Als Gesundheits-Systeme erreichen, die Komfort-Ebene mit der Wolke, die skys die Grenze für innovation
Es war nicht allzu lange her, dass die meisten IT-und security-Profis sträuben sich die Idee, um mission-kritische Daten, die besonders geschützt Gesundheit Informationen – in der public cloud. Für alle, die Komfort, Kosteneinsparungen und Agilität remote-hosting anbieten könnte, nachdem alle, die Risiken anzuvertrauen, wie kostbare Daten an Dritte waren einfach zu bedeutsam, um breeze Vergangenheit.
„Vor zehn Jahren cloud-Technologie noch in den Kinderschuhen steckte“, sagte Anahi Santiago, CISO in Newark, Delaware-basierten Christiana Care Health System. “Die meisten Branchen, darunter Gesundheitswesen, waren immer noch versuchen, wickeln Sie Ihre Arme um das, was die cloud mit sich brachte und der potenziellen Risiken im Zusammenhang mit dem verschieben in Richtung der Technologie. Mangelnde Transparenz, standards und Transparenz waren ein vorrangiges Anliegen, wie Fragen der Privatsphäre, der Sicherheit und des Allgemeinen compliance.“
Leider, in diesen Tagen, Sie sagte, es war auch eine Herausforderung Ironie bei der Arbeit.
„Im Hinblick auf das PHI hosting in der cloud, eins war sicher: Die großen cloud-Anbieter mit der meisten Wahrscheinlichkeit von meeting-solide Sicherheits-Anforderungen, die nicht bereit waren, zu Unterschreiben Business Associate Agreements“, sagte Sie. “Allein für die healthcare-Industrie war ein deal breaker. Unter HIPAA bedeckt entities sind erforderlich, um geben Sie in BAAs mit Dritten, die Dienstleistungen erbringen, welche den Zugang zu PHI. Als eines der zentralen regulatorischen Anforderung, die Entscheidung zu verschieben PHI in die cloud war einfach. Fehlt ein BAA, wir konnten einfach nicht.“
Außerdem, wenn es um die Sicherheit-Funktionen, die public cloud, allgemein gesprochen, oft „fehlte Reife und Raffinesse“, sagte Santiago. “Viele der Anlagen und Steuerungen in Verbindung mit der Sicherung von Daten, Systeme und Daten nicht verfügbar waren, noch konnten Sie repliziert werden in cloud-Umgebungen. Der security-Hersteller hatte noch nicht Gedanken der Einführung von Funktionen, die integriert werden konnte, die cloud-security-steuert mit on-premise-tools.
“Jeder potenzielle Sicherheits-überlegungen im wesentlichen gemeint hat, das verwalten von zwei unterschiedlichen Satz von Steuerelementen. In der cloud und einer on-premise. Von einer Finanz-und Unterstützungsfunktionen die Perspektive, es hat keinen Sinn.“
„Eine Risikominimierung, nicht ein Risiko“
In den letzten Jahren jedoch viele dieser großen Bedenken wurden ausgeräumt. CIOs, CISOs und andere infosec-Führer kommen zu fühlen viel mehr komfortabel über die cloud – und viele sind gekommen, um Sie zu umarmen, als eine große, manchmal primäre, mittels data-hosting.
Einige haben sogar die kühne Behauptung, dass der cloud-selling Punkte sind so stark, dass on-premise-Krankenhaus-Rechenzentren in der Nähe von ausgestorben in einer Angelegenheit von Jahren.
Nicht, dass smart security-Profis nicht noch haben, Ihre Anliegen, natürlich. Aus den notwendigen Komponenten von business associate agreements zu SOC-2-audits, um die details der vendor-Verträge selbst, es gibt viele i ’s und t‘ s müssen Punktierung und Kreuzung, um sicherzustellen, eine cloud-Infrastruktur ist ordnungsgemäß eingesetzt, die für optimale Sicherheit.
Aber es ist schwer, mit der Tatsache streiten, dass, zumindest im Vergleich zu der Skepsis der vergangenen Jahre, gibt es ein Gefühl der Beruhigung in diesen Tagen über Gesundheitsversorgung und ein Komfort-Niveau mit der data protection-Funktionen der meisten großen public-cloud-Anbietern – auch ein Gefühl, dass sensible Informationen, kann mehr sicher in der cloud, als auf einer on-site-server.
Teil dieser hat zu tun mit den großen public-cloud-Unternehmen steigerten Ihre Spiele in den letzten Jahren – für die Förderung Ihrer eigenen technischen Infrastruktur und die springen durch die vielen regulatorischen Reifen erforderlich, um zu beweisen, Sie haben das nötige kleingeld zu handhaben PHI und andere Gesundheits-Daten.
Da mehr und mehr Krankenhäuser und Gesundheitssysteme zur Kenntnis genommen haben – und sehen, was Ihre Kollegen und Konkurrenten in der Lage gewesen, zu erreichen mit Hilfe von cloud-hosting – Sie verstehen, dass die Redundanz der remote-hosting kann ein Segen sein.
Heutzutage die Wolke ist ein „risk mitigation, nicht ein Risiko“, sagte Dr. John Halamka, Geschäftsführender Direktor des Beth Israel Lahey Health Technology Exploration Center.
„Eine Professionell verwaltete, geografisch verteilte storage-und compute-Infrastruktur bietet mehr Sicherheit und Schutz der Datenintegrität als eine Gesundheits-Organisation erstellen kann, auf seine eigene,“ sagte Halamka. „Im Laufe der Zeit, fand ich, dass im Gesundheitswesen Führer in Ländern auf der ganzen Welt sind zunehmend umarmen diese Idee.“
Ein tieferes Verständnis
In der Tat, wie Michael Reagin, CIO bei Norfolk, Virginia-basierte Sentara Healthcare, erläutert, eine migration in die cloud kann eine wertvolle Möglichkeit zu verbessern, ein Gesundheitssystem, die Sicherheitslage im Allgemeinen.
„Wenn Sie einen Blick auf public cloud-security-Systeme, die Sie absolut bekommen ein besseres Sicherheitsprofil dort“, sagte er. “Aber es hat mehr zu tun mit der Umstellung auf die cloud-und wie Sie das design und die Architektur Ihrer cloud. Sie erhalten zu installieren Sie die richtige compliance-framework, das Recht Steuerelemente in Ihre Anwendungen.“
Er fügte hinzu, dass “viele im Gesundheitswesen übernommen wurden: Es wurde Akquisition, es gibt eine Menge von schnellen Wachstum, so dass es noch nicht immer die Möglichkeit zu tun, dass auf einem niedrigeren Niveau. So dieser übergang, dieser übergang zur cloud, ist ein wirklich wichtiger Aspekt, der wirklich die Sicherung Ihres Systems.“
Bei Sentara, sagte Reagin Kollege Dan Bowden, das Gesundheitssystem chief information security officer, die Anforderungen der cloud haben dazu beigetragen, mehr zusammenhalt denken über die unternehmensweite Sicherheit.
„Sie müssen eine andere Ebene von Verständnis“, sagte er. “Wir sind also Umsetzung gut, Konfigurations-standards, gute Rahmenbedingungen standards – und dann ist jede Ausnahme, die implementiert werden müssen, ist dokumentiert up-front. In der Erwägung, dass in der Vergangenheit Bauten wir all diese Systeme und mussten Sie zusammen arbeiten.“
Ein „gewaltig anders“ – Technologie
Christiana Care Santiago, für seinen Teil, sagt, Ihre Gefühle über die cloud haben sich dramatisch verändert in den vergangenen zehn Jahren.
„Meiner Meinung nach ist die cloud wesentlich anders“, sagte Sie. “Die Industrie, die Technologie und die Funktionen haben sich erweitert und gereift mit einer exponentiellen rate in den letzten zehn Jahren. Die Sicherheitskontrollen sowohl native zu der cloud-Anbieter die Umgebung sowie Kostenlose denen native toolsets sind umfassend.“
Santiago nicht beachten, aber – echo-Reagin-und Bowden-Kommentare–, dass in den meisten Fällen, sound-Sicherheit ist eine gemeinsame Verantwortung: “Die cloud-service-provider ist verantwortlich für die Sicherheit bis zu einem Punkt und von diesem Punkt aus, der Kunde wird verantwortlich für die Sicherheit. Die meisten Verletzungen, die ich mir bewusst bin mit cloud-service-Anbietern waren das Ergebnis einer Fehlkonfiguration auf der Kundenseite, nicht unbedingt ein Fehler an der Steuerung der cloud-Anbieter. Organisationen müssen verstehen, dass der Umzug in die cloud entbindet nicht Sie der Sicherheit verantwortlich.“
In der Tat, in einigen Fällen, sagte Sie, “wegen der, wie unterschiedlich die cloud funktioniert-vom traditionellen on-premise-Umgebungen, die es erschwert Sicherheits-Anforderungen. Die Sicherheit erforderlichen Fähigkeiten zum sicheren cloud-Umgebungen sind auch anders als diejenigen erforderlich, um sichere on-premise-Umgebungen. Als Unternehmen betrachten Umzug in die cloud, Sie sollten auch den übergang Zeit für Weiterqualifizierung talent oder on-boarding-cloud-security-versierte talent.“
Jedenfalls, die Frage, die cloud-die gegenwärtige und zukünftige Rolle in der Gesundheitsversorgung ist, in signifikanter Weise, größtenteils bereits abgerechneten Problem, sagte Santiago.
„Mit oder ohne der cloud, unsere Endkunden – die Geräte, die Sie verwenden für die Arbeit und die Daten, die wir versuchen zu sichern, haben alle Mobil geworden“, sagte Sie. “Der Begriff der hält alles innerhalb der vier Wände der Organisation ist nicht mehr realistisch. Unsere Endbenutzer und Kunden wollen einen Zugang von überall aus und von jedem Gerät aus und die cloud erleichtert diesen Zugang. Als security-Experten, müssen wir verlagern unser denken und unsere gesamte security-Strategie, um mehr Daten centric und weniger darüber, wo sich die Daten befinden.“
Die gute Nachricht ist, dass Sicherheits-tools im Gesundheitswesen „haben sich zu dem Punkt, wo die Aktivierung eine Verschiebung in dieser Perspektive ist erreichbar“, sagte Santiago.
„Im Hinblick auf Wettbewerbsvorteile, die Nutzung der cloud kann ein Wettbewerbsvorteil für Unternehmen“, fügte Sie hinzu. „Wie CISOs, wir sind business Enabler und muss bei unserem partner Unternehmen, um sicherzustellen, dass wir Ihre Bedürfnisse erfüllt, während die Verwaltung von Risiken auf ein akzeptables Niveau.“
Twitter: @MikeMiliardHITN @SiwickiHealthIT
E-Mail der Autoren: [email protected], [email protected]
Healthcare-IT-News ist eine Publikation der HIMSS Medien.