PAM: Uzaktan ve Hibrit Sağlık Hizmetleri Çalışmalarında Ayrıcalıklı Erişim Yönetimi

Dağıtık Sağlık Ekipleri için Sıfır Güven PAM

Sağlık kuruluşları için PAM iki temel nedenden dolayı önemlidir: Son derece değerli verilerini ve kritik öneme sahip sistemlerini korumaya yardımcı olur. Ancak PAM, uzaktan veya karma çalışanlara sahip olan veya yükleniciler, teknoloji tedarikçileri ve hizmet sağlayıcıları gibi karmaşık bir üçüncü taraf karışımıyla çalışan kuruluşlar için daha da önemli hale gelir.

Birçok uzaktan veya hibrit çalışan, kötü amaçlı yazılım önleme, uç nokta/genişletilmiş tespit ve müdahale ve veri kaybı önleme yazılımları gibi tüm güvenlik paketini içeren sağlık sistemi cihazlarında çalışır. Ancak, hizmet sağlayıcıların uzaktan veya hibrit çalışanları, kuruluşun sahip olmadığı ekipmanları kullandığında durum farklıdır.

"Gerçek bir çevre yok. Kale ve hendek paradigması öldü," diyor Burleson-Davis.

Bu nedenle, sıfır güven PAM kullanan kuruluşlar, ağ çevresine dayalı bir güvenlik yaklaşımı yerine, güvenlik sınırlarını sistemlerine erişen kişilere kadar genişletirler.

"Uzaktan bir çalışanın herhangi bir hassas veriye erişmesine izin vereceksek, bu uzak sistemin her açıdan kuruluşun bir parçası olmasını isteriz. Yönetilmeyen veya kişisel bir cihaz olmamalıdır," diyor Monks. "Sıfır güven, kimliğin yeni sınır olduğu sloganını taşır ve bu, uzak veya karma bir iş yerinde iyi iş görür."

PAM, sağlık kuruluşlarının hem yerinde hem de uzaktan, dünya çapında kimlik doğrulama ve yetkilendirmeler üzerinde görünürlük kazanmalarını ve bunları izlemelerini sağlar. Yüz tanıma, geçiş anahtarları veya kimlik doğrulaması gibi yöntemlerle, PAM'in yüksek düzeydeki kimlik doğrulaması, kullanıcının kimliğinin güvencesini sağlar.

DAHA FAZLASINI OKUYUN: IAM, giderek karmaşıklaşan BT ortamlarının zorluklarını ele alıyor.

Sağlık Kullanıcıları için Risk Tabanlı Kimlik Doğrulama

Ancak kullanıcı kimliği tek başına yeterli değildir. Bir PAM çözümü, kullanıcının normal davranış kalıplarını da dikkate alır ve normdan herhangi bir sapma olup olmadığını belirler.

PAM, erişimin verilip verilmemesi gerektiğini belirlemek için bir dizi faktörü ve riski göz önünde bulundurur. Bunlar arasında kullanıcının erişmek istediği verinin türü, verinin hassas olup olmadığı ve söz konusu kullanıcıdan gelen böyle bir isteğin normal olup olmadığı yer alır.

Kişi her zamanki ev ofisinde ve her zamanki çalışma saatlerinde mi çalışıyor? Yoksa konumu ve çalışma saatleri aniden değişti mi? EHR sistemine haftada yalnızca bir kez giriş yapan bir kullanıcı, aynı sisteme günde birkaç kez mi giriş yapıyor?

Bu risk sinyalleri, sisteme zaten bağlı olan kullanıcılar için bir geçiş anahtarı veya kademeli kimlik doğrulama gibi ek kimlik doğrulamanın gerekli olabileceğini gösterir.

Monks, akıllı davranış analitiğinden yararlanan PAM çözümleri hakkında, "Doğaları gereği oldukça uyarlanabilirler," diyor. "Konu, isteğin bağlamını anlamakla ilgili: kullanıcının nereden bağlandığı, ne tür bir veri erişimi istediği ve ne tür bir cihaz kullandığı."

PAM ile kullanıcılar ayrıcalıklı hesaplara kalıcı erişime sahip değildir. Bunun yerine, yalnızca tam zamanında ve tam yeterli erişime, yani ihtiyaç duyulan en az ayrıcalık miktarına erişebilirler. Örneğin, hasta kayıtlarını güncellemek için evden çalışan bir doktorun tüm sağlık ağı yerine bir veya iki sisteme erişmesi gerekir.

Kimlik bilgisi yönetimi rotasyonuyla, kullanıcılar yalnızca iddia ettikleri kişi olduklarını kanıtladıktan sonra ve yalnızca belirli bir süre boyunca ayrıcalıklı sistemlere erişim kazanırlar. Bu süreden sonra kimlik bilgileri tekrar kullanılamaz.

Ancak sağlık sistemleri, klinik iş akışını veya acil durum erişimini engellemeden PAM'den yararlanmalıdır. Monks, "PAM'in en zorlu yanlarından biri, kuruluşların kullanıcı açısından faydaları ve kullanım kolaylığını güvenlikle sürekli olarak tartmasıdır," diyor.

Dahili otomasyon ve zekaya sahip PAM araçları, iş akışını yavaşlatmadan risk sinyallerini tespit edip bunlara yanıt verebilir.

Dolayısıyla, BT yöneticileri her zamanki yer ve zamanlarında her zamanki sistemlere eriştiğinde, akıllı PAM araçları davranış dinamiklerini değerlendirerek üç seviyeli kimlik doğrulamanın gerekli olmadığını belirleyebilir. Ancak herhangi bir risk sinyali değiştiğinde, araçlar otomatik olarak daha fazla kimlik doğrulaması gerektirir.

Monks, "Kötü niyetli olmadığı sürece, hiçbir zaman bir engel oluşturmadan giderek daha büyük hız tümsekleri oluşturmakla ilgili," diyor. "Doğru senaryo için doğru sürtünmeyi yaratmakla ilgili."

KEŞFEDİN: Yapay zeka çağında kimlik ve erişim yönetiminde yolunuzu bulun.

Uzaktan Erişim Senaryolarında HIPAA Uyumluluğu ve Denetlenebilirlik

Uzak üçüncü taraflar için ayrıcalıklı erişim, HIPAA uyumluluğu açısından önemli bir risk teşkil eder. Elektronik sağlık kayıtları (EHR) gibi kritik sistemlere ayrıcalıklı erişim sağlayarak, bir PAM çözümü, uzak veya karma üçüncü taraflarla çalışan sağlık sistemleri için HIPAA uyumluluğunu sağlamaya yardımcı olur; riski azaltır ve dayanıklılığı artırır.

Burleson-Davis, "Bir sağlık kuruluşunun tüm çalışan olmayan çalışanları ve elektronik sağlık kayıtları (EHR) bir PAM sisteminde iyi yönetiliyorsa, gerçekten iyi bir noktadadır" diyor.

Ve denetlenebilirlik çok önemli. PAM süreçlerinin denetlenebilir olması gerektiğini, "böylece bir kullanıcı ayrıcalıklı bir sisteme eriştiğinde tam olarak ne olduğunu bilebiliriz" diyor. "Geriye dönüp tekrar izleyebilmemiz gerekiyor, böylece tam olarak ne olduğunu bilebiliriz."