大(dà)型醫(yī)療保健提供商的CISO是如何通過雲計(jì)算(suàn)轉型增強網絡安全的

醫(yī)療保健提供商Jefferson Health公司的首席信息安全官(CISO)Mark Odom日前對(duì)醫(yī)療保健提供商如何向雲優先戰略的轉變進行了(le)探讨，并分享了(le)如何創建更高(gāo)效、更敏捷且以風(fēng)險爲中心的網絡安全方法。 Odom指出，Jefferson Health公司在網絡安全方面的口号是“如果我們做不好(hǎo)，就不會(huì)去做”。事(shì)實證明(míng)，這(zhè)種方法對(duì)于Jefferson Health公司快(kuài)速過渡到(dào)雲優先的遠程模型以滿足在發生新冠疫情情況下(xià)正常開(kāi)展業務的需求是不可或缺的。 事(shì)實上(shàng)，通過将網絡安全放(fàng)在其雲計(jì)算(suàn)創新的前沿，該公司爲一些(xiē)醫(yī)院采用(yòng)了(le)一種更高(gāo)效、更敏捷、更注重風(fēng)險的安全方法來(lái)保護業務安全。Odom說，“幾年來(lái)，我們的戰略一直以雲計(jì)算(suàn)爲中心，但(dàn)我們的許多平台都非常大(dà)，通常不會(huì)在幾個月内更改和(hé)移動，而是需要數年才能(néng)移動。發生的疫情加速了(le)事(shì)情的發展。”事(shì)實上(shàng)，醫(yī)院龐大(dà)的數據庫涵蓋醫(yī)療保健、教育和(hé)研究業務的數據，其中一些(xiē)數據庫依賴于傳統的遺留系統，這(zhè)些(xiē)系統需要向雲端轉移，以實現(xiàn)更大(dà)的靈活性、成本效益和(hé)安全性。 網絡安全文(wén)化是雲計(jì)算(suàn)應用(yòng)的關鍵 Odom倡導采用(yòng)網絡安全文(wén)化以有效地完成這(zhè)一旅程，Jefferson Health公司總裁也(yě)在大(dà)力推動這(zhè)種文(wén)化。Odom說，“我們得到(dào)了(le)确切的安全信息，這(zhè)讓我們專注于執行，而不是向管理(lǐ)者介紹爲什(shén)麽需要采取安全措施。我們可以從(cóng)一開(kāi)始就以一種正确的方式加快(kuài)發展，而不是在傳統的内部部署基礎設施上(shàng)所做的那樣落後于發展曲線。” Odom解釋說，采用(yòng)正确的安全工(gōng)具可以防止員工(gōng)将事(shì)情搞得一團糟，從(cóng)而消除了(le)圍繞生産和(hé)運營中改變系統以達到(dào)安全标準的艱難對(duì)話(huà)。他(tā)說，“我們采用(yòng)的一種非常有條理(lǐ)、有計(jì)劃的方法，并從(cóng)一開(kāi)始就理(lǐ)解了(le)安全性，這(zhè)給我們帶來(lái)了(le)很(hěn)多好(hǎo)處。” Odom表示，業務一緻性是Jefferson Health公司實施雲遷移的另一個核心文(wén)化元素，治理(lǐ)是将網絡安全定位爲與更廣泛的企業動态保持一緻的不可或缺的組成部分。他(tā)說，“從(cóng)監管的角度來(lái)看(kàn)，我們有不同的業務，每個業務都有非常不同的使命和(hé)要求。這(zhè)在很(hěn)大(dà)程度上(shàng)是關于了(le)解所有這(zhè)些(xiē)領域的業務用(yòng)例及其在雲計(jì)算(suàn)空(kōng)間中的需求，然後安全團隊與雲計(jì)算(suàn)架構師一起正确構建雲平台。” 爲了(le)确保保持這(zhè)種以業務爲中心的心态，Odom經常與其他(tā)利益相關者和(hé)同行一起參加安全技術研讨會(huì)議(yì)和(hé)活動，以鼓勵企業之間的公開(kāi)對(duì)話(huà)。 雲計(jì)算(suàn)擴展中的遠程工(gōng)作(zuò) 在疫情蔓延期間，對(duì)敏捷、遠程工(gōng)作(zuò)的需求加速了(le)Jefferson Health公司向雲優先模式的轉變。他(tā)說，“我們已經在努力爲員工(gōng)提供更多的遠程辦公時(shí)間，因此實際上(shàng)向遠程工(gōng)作(zuò)模式的過渡非常順利。”他(tā)補充說，他(tā)對(duì)遇到(dào)的安全挑戰如此之少感到(dào)驚訝。 雖然Odom認識到(dào)新冠疫情對(duì)Jefferson Health公司構成的威脅，例如針對(duì)其疫苗研發工(gōng)作(zuò)的網絡攻擊激增，但(dàn)随着研發團隊在更多時(shí)間在家遠程工(gōng)作(zuò)，網絡安全方面的顯著優勢很(hěn)快(kuài)就顯現(xiàn)出來(lái)。他(tā)說，“在安全運營中心的幫助下(xià)，大(dà)多數員工(gōng)專注自(zì)己的工(gōng)作(zuò)和(hé)業務。當我們遠離企業辦公室時(shí)，許多事(shì)件響應活動變得更加有效，因爲我們的員工(gōng)在家裏遠程工(gōng)作(zuò)已經有了(le)完整的安全設置。而網絡攻擊者喜歡在周五晚上(shàng)或周六早上(shàng)在員工(gōng)不在辦公室工(gōng)作(zuò)的時(shí)候發動網絡攻擊。” Odom表示，通過開(kāi)展遠程工(gōng)作(zuò)，響應時(shí)間減少了(le)25%，團隊整體生産力提高(gāo)了(le)20%。他(tā)說，“我們确實從(cóng)遠程工(gōng)作(zuò)中獲益，而且已經能(néng)夠将額外(wài)的生産力應用(yòng)于疫情帶來(lái)的其他(tā)挑戰。” 然而Odom表示，需要解決控制、政策和(hé)教育問題，以确保遠程工(gōng)作(zuò)不會(huì)妨礙Jefferson Health公司更廣泛的日常運營的安全性。他(tā)說，“基于網絡的安全工(gōng)具已經轉向端點控制，考慮雲優先策略是一個正确的發展方向。如果真正的目标是雲計(jì)算(suàn)模型，那麽就不會(huì)關注網絡級别的控制——其控制或者必須在應用(yòng)程序級别，或者必須在端點級别。” Odom指出，随着企業提供的IT設備取代在家遠程工(gōng)作(zuò)的員工(gōng)的個人IT設備，可接受的使用(yòng)政策也(yě)得到(dào)了(le)加強。 他(tā)說，“随着時(shí)間的推移，我們認爲員工(gōng)采用(yòng)企業設備和(hé)個人設備的界限有些(xiē)模糊，因此我們需要阻止許多未經授權的工(gōng)作(zuò)站(zhàn)點，例如Google Drive。” 他(tā)補充說，并非所有工(gōng)作(zuò)和(hé)基本服務都受到(dào)疫情的影響，但(dàn)他(tā)和(hé)他(tā)的團隊需要務實地工(gōng)作(zuò)，以評估那些(xiē)最有可能(néng)受到(dào)疫情影響的服務。他(tā)說，“對(duì)于最終用(yòng)戶群體來(lái)說，這(zhè)顯然并不總是令人滿意，但(dàn)需要回到(dào)他(tā)們獲得、理(lǐ)解和(hé)适應的文(wén)化中。毫無疑問，其中的一個因素是更加關注網絡安全意識培訓，以應對(duì)新的遠程工(gōng)作(zuò)風(fēng)險。作(zuò)爲對(duì)遠離企業辦公室的員工(gōng)的直接反應，我們将安全意識培訓的次數增加了(le)一倍。” 通過雲優先的方法增強風(fēng)險管理(lǐ) 考慮到(dào)雲計(jì)算(suàn)轉型和(hé)引入更流暢的遠程工(gōng)作(zuò)模式如何影響Jefferson Health公司的網絡安全地位，Odom指出需要采用(yòng)風(fēng)險管理(lǐ)的多元化方法。他(tā)說，“通過采用(yòng)雲優先的遠程工(gōng)作(zuò)方式，我們已經消除了(le)很(hěn)多風(fēng)險，因爲它迫使企業對(duì)運行環境進行細分。” Odom說，“雲計(jì)算(suàn)的風(fēng)險指标已經被證明(míng)是風(fēng)險管理(lǐ)新方法的關鍵。如果想要獲得良好(hǎo)的結果，必須進行衡量。然而衡量結果的勞動會(huì)降低(dī)整體價值，需要花(huā)費更多時(shí)間提供補救措施。Zscaler公司爲我們提供了(le)從(cóng)一開(kāi)始就獲得自(zì)動化指标和(hé)衡量的機會(huì)，因此不會(huì)花(huā)費質量信息安全專業人員的時(shí)間來(lái)衡量結果。” 通過改進指标，Odom已經能(néng)夠從(cóng)年度數據洩露損失的角度來(lái)量化風(fēng)險的變化，例如關于勒索軟件的威脅。他(tā)說，“當我們在内部部署數據中心運行業務時(shí)，勒索軟件攻擊發生的可能(néng)性爲2%到(dào)3%。随着我們更多地将業務遷移到(dào)雲端，其成本曲線顯著降低(dī)，因爲勒索軟件攻擊不會(huì)影響整個運營環境，在某些(xiē)情況下(xià)，它可能(néng)隻會(huì)影響單個服務線。這(zhè)意味着可能(néng)隻有400萬到(dào)500萬美(měi)元的損失。雖然我們處理(lǐ)這(zhè)些(xiē)事(shì)件的周期性比率較高(gāo)，但(dàn)影響較小(xiǎo)。” 對(duì)于尋求采用(yòng)以雲計(jì)算(suàn)爲中心、不依賴網絡的安全方法的其他(tā)首席信息安全官來(lái)說，Odom主張盡早采取措施。他(tā)說，“過去很(hěn)多人說雲計(jì)算(suàn)不安全，但(dàn)這(zhè)根本不是一個準确的說法。使用(yòng)雲計(jì)算(suàn)技術，我們不會(huì)繼承内部部署數據中心的一些(xiē)遺留實踐，隻需要适當的規劃，它讓我們的業務更安全，我們需要與一些(xiē)不良的安全習慣作(zuò)鬥争，而企業越早實施安全措施就會(huì)越安全。”