Come le organizzazioni sanitarie possono scegliere l'MSP giusto per le loro esigenze di sicurezza
I fornitori di servizi IT gestiti svolgono un ruolo sempre più importante per le organizzazioni sanitarie che altrimenti faticano ad allocare personale e budget alla gestione IT. Gli MSP possono aiutare le organizzazioni a modernizzare l'infrastruttura , monitorare le prestazioni e migliorare la governance dei dati. Inoltre, gli MSP possono rendere i reparti IT più efficienti assumendosi compiti che un team a corto di personale raramente ha le risorse per svolgere.
A fronte del crescente divario di competenze in materia di sicurezza informatica nel settore e della conseguente vulnerabilità agli attacchi informatici, anche le organizzazioni sanitarie si stanno rivolgendo a fornitori di servizi di sicurezza gestiti . Le tipiche offerte MSSP, unite alla disponibilità del personale 24 ore su 24, 7 giorni su 7, sono "progettate per ridurre il numero di personale addetto alla sicurezza operativa che un'azienda deve assumere, formare e mantenere per mantenere un livello di sicurezza accettabile", osserva Gartner .
"Un buon MSSP aiuterà le organizzazioni sanitarie a massimizzare il ROI della tecnologia, liberandole dal blocco e dalla gestione delle infrastrutture di Livello 1 e Livello 2", afferma Robert McFarlane, stratega della sicurezza gestita presso CDW . "Con un ambiente co-gestito, le organizzazioni sono libere di dedicare più tempo allo sviluppo di policy e strategie di sicurezza".
Oltre al potenziale di colmare la carenza di personale, gli MSSP contribuiscono ad affrontare la "costante ondata di attacchi al settore", secondo Christopher Fielder, direttore del marketing di prodotto di Arctic Wolf . Il settore sanitario è un obiettivo allettante, aggiunge, e la posta in gioco non è mai stata così alta: "Nel migliore dei casi, un aggressore ottiene molte informazioni personali identificabili. Nel peggiore, si verificano perdite di fatturato e il potenziale danno per i pazienti".
La vulnerabilità del settore sanitario deriva in gran parte da un colpevole noto: l'infrastruttura legacy. Le organizzazioni possono disporre di sistemi all'avanguardia per l'interpretazione delle immagini radiologiche o l'esecuzione di interventi chirurgici, ma spesso operano insieme a dispositivi di monitoraggio mission-critical che eseguono versioni obsolete di Windows o sistemi basati su cloud con configurazioni non sicure per impostazione predefinita. "Ci sono così tante lacune da colmare", afferma Fielder.
Compiti come l'isolamento dei dispositivi non aggiornati possono rapidamente sovraccaricare un team IT. A questo si aggiunge la necessità di proteggere reti ed endpoint, gestire gli accessi, monitorare le minacce e rispondere prima che gli attacchi paralizzino il sistema.
"Stanno faticando a tenere il passo con il ritmo del cambiamento", afferma McFarlane. Questo vale anche per le policy. Molte organizzazioni sanno che trarrebbero beneficio da manuali preimpostati per la risposta agli incidenti , ma ciò richiede la documentazione dei flussi di lavoro di risposta agli incidenti, uno sforzo che pochi hanno intrapreso. "Ci vuole molta fatica per arrivare in fondo a ciò che non va".
Ecco perché il vero valore aggiunto per un MSSP risiede nelle persone che il servizio fornisce, non solo nella tecnologia, afferma Fielder.
"Si ottiene un team di esperti al costo di una sola persona. Questo offre un valore frazionario", afferma. "Se si è un ospedale di medie dimensioni, è necessario un servizio di risposta agli incidenti, di threat hunting, di rilevamento e risposta agli endpoint e tutto il resto. Serve qualcuno con esperienza che possa essere disponibile di notte e nei fine settimana ".
È difficile trovare personale qualificato nel campo della sicurezza, soprattutto quando nella stessa zona ci sono più ospedali che competono per accaparrarsi le stesse persone, osserva Fielder.
INIZIA ORA: migliora la tua sicurezza informatica con i servizi gestiti CDW.
Come le organizzazioni sanitarie traggono vantaggio dagli MSSPFielder descrive i servizi tipici offerti da un MSSP in termini militari.
Prima di un attacco , o “left of boom”, le organizzazioni possono beneficiare di una serie di servizi:
- La gestione delle vulnerabilità implica l'inventario di tutto l'hardware e il software in un ambiente e l'annotazione di quali identità hanno accesso a quali sistemi . Questo aiuta le organizzazioni a stabilire le priorità per l'applicazione di patch ai sistemi o a individuare dove monitorare eventuali abusi, afferma Fielder.
- La gestione delle identità garantisce che utenti, applicazioni e dispositivi abbiano accesso solo a ciò di cui hanno bisogno, e a nient'altro. In questo modo, in caso di attacco, il raggio d'azione è ridotto al minimo, perché un aggressore non può arrivare molto lontano, afferma McFarlane.
- La registrazione centralizzata acquisisce i log degli incidenti da diversi strumenti di monitoraggio delle minacce per fornire una visione unificata di dove si verificano gli incidenti e di come sono correlati. Ciò riduce il volume degli avvisi e fornisce al contempo un contesto aggiuntivo sugli incidenti.
- L'analisi del comportamento degli utenti analizza quando accedono e a cosa cercano di accedere. Questo è particolarmente importante per l'assistenza sanitaria, afferma McFarlane, poiché "un accesso anomalo non è necessariamente dannoso" (ad esempio, un medico che accede fuori orario per compilare appunti o rivedere esami di diagnostica per immagini).
Durante un attacco , o "il boom", tutto ruota attorno al rilevamento e alla risposta gestiti . In questo caso, le organizzazioni vorranno un MSSP che "si senta come un'estensione del team di sicurezza informatica", afferma Fielder. "Il fornitore giusto ti tratterà come se fossi la sua organizzazione, non come un altro avviso su una console".
Dopo un attacco , o "diritto di scoppio", l'attenzione si sposta sulla risposta agli incidenti . "Serve qualcuno a disposizione", afferma Fielder. "Devi essere in grado di fare una telefonata e avere un team che lavora per risolvere il problema e negoziare entro un'ora".
McFarlane avverte che la risposta non equivale alla bonifica: "Le organizzazioni dovranno comunque intervenire". Raccomanda di definire in anticipo quali compiti di bonifica siano di responsabilità dell'MSSP e quali debbano ricadere sul sistema sanitario. In questo caso, la conoscenza istituzionale di un'organizzazione aiuterà a identificare la persona giusta per gestire la situazione in loco.
Molti ospedali e sistemi sanitari avviano trattative con un MSSP ritenendo di avere esigenze di sicurezza specifiche, legate alla demografia del personale o della popolazione di pazienti. Questo può essere vero, ma può essere una distrazione, afferma McFarlane: "Un modello di sicurezza ben studiato, ben implementato, ben progettato e ben gestito può adattarsi a qualsiasi situazione".
Fielder concorda. Sì, ogni azienda sembra avere un'architettura client-server autonoma e vecchia di decenni, ma non è questo che gli aggressori cercano. Prendono di mira le versioni obsolete di Microsoft Exchange o i dispositivi che eseguono Windows XP.
"I processi possono essere diversi, ma i componenti fondamentali dell'architettura che gli aggressori sfrutteranno sono molto simili. Dobbiamo sottolineare che, in fin dei conti, si tratta pur sempre di computer, router, switch e server", afferma, indipendentemente dal sistema di cartelle cliniche elettroniche (EHR) utilizzato , dalla posizione dell'ospedale o dal tipo di pazienti trattati.
Detto questo, nessuna offerta MSSP dovrebbe essere adatta a tutti, continua Fielder. Ad esempio, un buon partner supporterà i rapporti esistenti di un'organizzazione con le attrezzature e i fornitori e collaborerà con l'organizzazione per determinare la giusta cadenza per le riunioni, le modifiche all'ambiente costruito o l'esplorazione di tecnologie avanzate, afferma McFarlane.
In questo caso, aggiunge, un MSSP aiuterà un'organizzazione a concentrarsi sull'obiettivo finale: "Personalizzare gli impegni per uno strumento completamente nuovo dovrebbe essere solo la fase finale del processo. Non dovrebbe guidare la strategia di base, perché potrebbe limitare le operazioni di sicurezza in base al loro livello di maturità".
healthtechmagazine
