Secure vendor access-tech verschärft Sicherheit, spart $1M an UMass

UMass Memorial Health Care ist eine 2,5 Milliarden US-Dollar non-profit-Gesundheits-system mit Sitz in Worcester, Massachusetts. Das Flaggschiff in der multi-campus-system 779-Bett UMass Memorial Medical Center.

Das Gesundheitssystem umfasst auch zwei community-Kliniken (163-Bett UMass Memorial HealthAlliance/Clinton Krankenhaus und 79-Bett-UMass-Denkmal-Marlborough Hospital), eines großen Arztes multi-specialty group, der Praxis und zahlreichen anderen verwandten Unternehmen.

DAS PROBLEM

Früh im Jahr 2014, UMass Memorial Healthcare aufmerksam gemacht wurde eine unabhängige third-party-audit suchen nach einem potenziellen Problem mit der Art und Weise, dass es einen kontrollierten Zugang für die Anbieter, um Ihr Netzwerk.

Während der Analyse der möglichen Ergebnisse der Prüfung, das Personal aufmerksam gemacht wurden, die Grundlage dieser Ergebnisse, die direkt führte aus, die Schlagzeilen 2013 Ziel Verletzung. Dass die Verletzung resultierte aus Hacker Beschaffung von login-Daten durch einen externen Anbieter verwaltet seine Energie-management-system, und verwenden, dass der Zugang zu in den laden kommen Systeme direkt.

„Nach dem tun weitere Forschung auf Anbieter Zugang zu UMass Memorial Healthcare-Netzwerk und-Systeme, haben wir festgestellt, dass wir möglicherweise hatte ein großes Sicherheitsproblem hatten, wurden von der Revision“, sagte Scott W. Emery, information systems security analyst bei UMass Memorial Healthcare.

“Vendor Zugang zu UMass Memorial Healthcare war uneinheitlich und weitgehend unkontrolliert. Wir hatten keine permanente Aufzeichnung, wenn die Anbieter über unsere Netzwerk oder System.“

Die Methoden für den Zugriff auf UMass Memorial Healthcare variiert von VPN-verbindungen, web services, remote desktop und diverse Drittanbieter-remote-PC-Zugriff. Kreditoren-Konten, das Gesundheitswesen einrichten im Netzwerk, die verwendet wurden, als Gruppe Konten von Anbietern und jeder hatte unterschiedliche Privilegien zugeordnet, die auf die Konten.

Das andere Hauptproblem des Gesundheitssystems konfrontiert wurde, Ihr wissen über das, was der Anbieter haben, während Sie angemeldet sind, in das Netzwerk und die Systeme.

VORSCHLAG

„Wir haben sofort gesucht für eine Lösung, die uns die Kontrolle über unser problem,“ Emery sagte. “Wir beschäftigen mehrere Unternehmen, die spezialisiert auf sichere Anbieter zugreifen. Wir haben im Grunde waren auf der Suche nach einem Anbieter, der könnte bieten: sicheren Zugang zu unserem Netzwerk und Systeme; detaillierte Zugriffs-Protokolle und Geschichte; Sitzung Informationen des Verkäufers; Benachrichtigung des Verkäufers der Zugang zu unserer Umwelt; und Fähigkeiten zu aktivieren oder deaktivieren Sie den Zugriff.“

Nach mehreren technischen review-Sitzungen die Lösungen präsentierten, wurde deutlich, dass viele der Anbieter bot gute Lösungen, sondern auch Produkte, die haben viel mehr als das Gesundheitssystem benötigt. Obwohl das Gesundheitssystem wollte, seine Probleme zu lösen, die es gar nicht wollen ein Produkt, das multifunktional und weit über die Grenzen des sicheren Anbieter zugreifen.

„Ein Unternehmen, das rose an die Spitze der Liste wurde Securelink,“ Emery berichtet. “Von Anfang an konzentrierten Sie sich auf unser problem und nicht auf andere mögliche Interessen der Lösung. Sie beschäftigt uns mit unseren Interessen im Sinn und wollte mit uns zusammenarbeiten, bei der Suche nach einer Lösung für unser spezielles problem der sicheren Anbieter Zugang zu unserer Umwelt.“

Emery fügte hinzu, dass der Verkäufer Bedenken waren echt ist und dass es nie abgekommen von dem, was das Gesundheitssystem erreichen wollte. Er sagte, das Gesundheitssystem landete die Auswahl von Securelink aus folgenden Gründen:

  • Es war ein im Besitz der Mitarbeiter Unternehmen, die das Gesundheitssystem fühlte, dass jeder in der Firma hatte einen Anteil an seinem Erfolg bei der Bewältigung der festgestellten Probleme.
  • Es konzentriert sich auf sichere Anbieter zugreifen.
  • Wenn angepriesen die einfache Durchführung und Ihre kontinuierliche Unterstützung.
  • Es hatte einen guten Ruf und Kunden-Empfehlungen.
  • Seine Gesamtkosten erschwinglich war.

MARKTPLATZ

Es gibt eine Vielzahl von sicheren vendor access-Technologien auf dem IT-Markt heute, mit Anbietern wie BeyondTrust, Bomgar, CyberArk, Netop, SANS und Saviynt.

DIE HERAUSFORDERUNG

„Durch die Wahl von Securelink, waren wir in der Lage eine Lösung zu bieten, die angesprochen unsere anfängliche problem mehr,“ Emery sagte. Das Produkt, sagte er, vorausgesetzt, dual-Authentifizierung, secure browser-Zugang, Verschlüsselung von Datenverkehr, die Aufnahme von Lieferanten-Sitzungen, die Benachrichtigung an, wenn Anbieter den Zugriff auf Ressourcen, Mitteilung der Grund, warum Anbieter ist der Zugriff auf die Ressource, – Benachrichtigung, wenn Anbieter abgeschlossen hat, der Zugang, die vollständige Kontrolle der Lieferanten zugreifen und limit-Hersteller, um nur Ressourcen definiert.

Das Produkt, fügte er hinzu, auch die übergabe von Anmeldeinformationen (keine Passwörter ausgetauscht werden), einzelne Kreditoren (keine Gruppen-accounts), Verknüpfung mit anderen Securelink-Umgebungen (Nexus-verbindungen), Verwendung verschiedener Netzwerkprotokolle (wie RDP, SSH, VNC, etc.), proaktive Sicherheits-Reaktionen (die Anbieter wissen, das Gesundheitssystem zu beobachten und monitoring), system analyst (interne Benutzer) haben die volle Kontrolle über Ihre Lieferanten und Zugang -, Produktions-Systeme, auf die zugegriffen werden kann, blockiert während der kritischen Gebrauch der Zeiten, und mehr.

„Unsere Herausforderungen bei der Implementierung dieser Umgebung waren begrenzt“, sagte er. “Die größte Herausforderung wurde überzeugend Anbietern, die sich Ihrer zuvor uneingeschränkten Zugriff auf unsere Umwelt würde sich dramatisch ändern und einen Einfluss auf die Unterstützung Ihrer Systeme oder Anwendungen. Allerdings, wenn Anbieter verwendet die SecureLink Umgebung, Sie wurden schnell Fans.“

Intern, das Gesundheitssystem kämpfte für eine kurze Zeit mit der änderung der Prozesse für den Anbieter-Zugang, bis interne Mitarbeiter wurde bewusst die Vorteile der Verwendung von die Umwelt. Sie sind jetzt davon überzeugt, dass das Gesundheitssystem werden mit Ihnen zusammenarbeiten, um sicherzustellen, dass Ihre Lieferanten kommen sicher auf Ihre Ressourcen, ohne unnötige Schritte und Prozesse.

ERGEBNISSE

Am Ende von Jahr drei arbeiten mit SecureLink, UMass Memorial Health Care beteiligte sich mit einem Drittanbieter-Unternehmen gemietet werden, die von Securelink zu helfen, die Berechnung des return on investment der Umsetzung.

“Ursprünglich waren wir nicht konzentriert sich auf dies als einen wichtigen Entscheidungsfaktor für die Auswahl der Lösung; jedoch wurden wir daran interessiert, wie gut wir haben alles gegeben, unseren Erfolg,“ Emery sagte. “Unsere Gefühle waren, die wir vereinfacht den Prozess und beseitigt viele unnötige Schritte in unserer ursprünglichen Prozesses für Lieferanten Zugang. Dies könnte etwas sein, dass wir darüber berichten könnten auf senior-management als ein zusätzlicher nutzen für die Implementierung einer secure vendor-Umgebung. Zu unserer Freude haben wir festgestellt, dass der ROI der Umsetzung unsere Erwartungen weit übertroffen.“

Insgesamt UMass sah 594% jährliche ROI basiert auf einer Reihe von Effizienz und Sicherheit Faktoren, Emery berichtet. Die folgenden sind einige der Statistiken, die aus dem third-party-ROI-Studie:

  • Es verbesserte Dienstleistungen durch die Verbesserung der Verfügbarkeit von kritischen Anwendungen – Risiken Einsparungen gleich $700,416.
  • Es verringert Zeitaufwand für das erstellen und tracking-Anbieter Zugriff auf Konten – Aktionen-Einsparungen gleich $98,229.
  • Es reduziert Zeitaufwand für die Verwaltung, unterstützen und Problembehandlung bei Lieferanten Zugriff auf Konten – Aktionen-Einsparungen gleich $208,203.

BERATUNG FÜR ANDERE

„Wir empfehlen, dabei eine volle Sicherheit Schwachstellenanalyse des vendor-Umgebung,“ Emery beriet. “Das würde einschließen, wie Kreditoren-Konten einrichten und die Berechtigungen, die Sie gegeben sind. Sie sollten immer zu verzögern, um die geringste Menge an Berechtigungen notwendig sind, um support-Aufgaben. Blick auf den Prozessablauf definiert für den Lieferanten zugreifen und sehen, ob Verbesserungen vorgenommen werden können, die in diesem Bereich zur Verbesserung der Kunden-service insgesamt.“

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]