Heres eine bodenständige Art und Weise zu überdenken, die Sicherheit bei der Zusammenarbeit mit cloud-Anbietern

Viele Krankenhaus-Sicherheits-und rechtliche teams begeben sich auf einen schmerzhaften Prozess, jedes mal, wenn Sie die Bewertung eines cloud-Anbieters. Denke knorrigen Tabellen oder lange Fragebögen, dass die Anbieter den Kampf zu vervollständigen, und selbst wenn Sie es tun, die Ergebnisse nicht unbedingt das liefern, was der Kunde tatsächlich braucht, um zu wissen, um den Schutz sensibler Daten, insbesondere cloud.

Wäre es nicht einfacher für alle im Gesundheitswesen, die Krankenkassen, auch die cloud-Anbieter selbst – wenn eine kritische Masse stimmte jeder Einsatz ein Ansatz?

Das ist die assertion des Anbieters Third-Party-Risk-Management-Rat, eine neue nonprofit-angeführt von top-Sicherheits-Führungskräfte von UPMC, Highmark Gesundheit und Wellforce.

„Jeder hat genau das gleiche problem, und jeder braucht und will die gleichen Dinge“, sagte Taylor Lehmann, CISO bei Wellforce, ein system aus Tufts Medical Center, Lowell General Hospital und andere. „Das schöne ist, dass es wurde so viel Arbeit an diesem Thema, es kann einfach nur sagen: ‚ja, lasst uns nur einig‘ auf was müssen wir von den Verkäufern.“

Lehmann fügte hinzu, er hat schon gesprochen etwa 100 Krankenhaus-Systemen und dabei gelernt, dass Sie bereits suchen HITRUST Zertifizierung.

Du bist HITRUST-zertifiziert? Dann bist du in meinem shop

Mitglieder des Providers Third-Party-Risk-Management-Rat, der seit September 2018, begangen haben, zu tun, Weg mit Ihren ganz eigenen Fragen und Anforderungen, wenn, aber nur dann, wenn ein cloud-Anbieter verdient HITRUST Zertifizierung nach John Houston, vice president, Datenschutz und Informationssicherheit & associate counsel bei UPMC.

[Siehe auch: Umsetzung von best practices für die Migration in die cloud]

„Das macht es viel einfacher, die Vergangenheit in die Prüfung ein Verkäufer durch ein Arbeitsblatt oder ein Fragebogen, der es uns ermöglicht haben, einen tieferen und mehr sinnvolles Gespräch über das Produkt-wir kaufen und wie wir es richtig einsetzen und sicher,“ Lehmann sagte. „Das ist ein Gespräch, wir haben nicht genug, weil wir so beschäftigt in diesen Tabellen und Fragebögen.“

Rat Begründung: die Sicherheit der Patienten und Pflege Lieferung

Infosec-die nächste Welle ist mehr als nur Schutz von Patienten-Daten, da eine hohe Sicherheit ermöglicht innovation und, in turn, hilft Spitäler machen Patienten sicherer zu machen.

Cybersecurity, nachdem alle, ist immer angesehen, wie ein patient die Frage der Sicherheit und Gesellschaftliche Verantwortung. Zu diesem Zweck Lehmann betonte, dass kein Geld austauscht, Hände als Teil des PTPRM Rat und, stattdessen, die teilnehmenden Organisationen dazu auf, Ihre eigenen Groschen.

„Wir bitten Sie nicht um Geld,“ Lehmann sagte. „Wir müssen unparteiisch bleiben für unsere Stimme, um gehört zu werden.“

Lehmann, in der Tat, sank Verkäufer Interesse an sponsoring der Rat.

„Der größte und wichtigste Punkt ist, dass die Krankenhäuser“ Priorität muss sein Geld auf die Versorgung der Patienten,“ Lehmann sagte. „Die Mehrheit der jeden dollar, den Krankenhäusern verbringen, sollte gehen, um die Versorgung der Patienten.“

Dienstplan der Teilnehmer

Wie der Presse-Zeit, rund 60 Organisationen unterzeichnet haben, auf, sich zu beteiligen, Lehmann, sagte, ob als vollwertige Mitglieder, die schon laufen, oder andere in den Verhandlungen über Teilnahmebedingungen und über 10, die mündlich vereinbart.

Unter den Gesundheits-Systemen, die bereits an Bord sind, die Mayo Clinic, Cleveland Clinic, Vanderbilt University Medical Center, Phoenix Children ‚ s Hospital, Indiana University Health und mehr.

„Es gibt mehrere hundert weitere Organisationen, die wir noch nicht in der Lage, die Verbindung mit noch, die wollen zu uns sprechen,“ Lehmann hinzu. „Es ist eine Frage der Kapazität.“

Warum HITRUST?

Houston sagte, die Gruppe ließ sich auf HITRUST aus zwei Gründen.

„Es ist, als ein amalgam von healthcare-relevanten Rahmenbedingungen und Regelungen, wie NIST Cobit, PCI, HIPAA, usw.. Durch die Anwendung HITRUST wir brauchen nicht zu versuchen, sinnvoll von jedem einzelnen Rahmen oder Verordnung zu bestimmen, wie es gilt,“ Houston erklärt. „Und es bietet eine Zertifizierung-Prozess mit unabhängigen Gutachtern durchzuführen, die Bewertung und HITRUST zu tun, die Zertifizierung scoring und Qualitätssicherung.“

Lehmann fügte hinzu, dass HITRUST hat eine Qualität standard, der über das hinausgeht, was Wirtschaftsprüfungsgesellschaften haben für sich selbst – und es ist völlig unabhängig.

Über den cloud-Anbieter

Obwohl, es ist früh und die großen cloud-Anbieter sind nicht Mitglieder noch, Lehmann beschrieb Sie so aufgeregt, weil die Berichterstattung HITRUST wird viel einfacher für Sie, von denen viele haben es schon erreicht, als Abschluss Tausende von nicht-standard-Formen, jedes Jahr.

Die meisten der größeren cloud-Anbieter, sind in der Tat bereits HITRUST zertifiziert. Das bedeutet, Sie haben bereits getan, der harte Teil, und es ist nur eine Frage der Verpackung, die es bis in eine HITRUST Bericht.

„Wir haben eine Tonne von großen tech-cloud-Anbieter, die genau so sind wie „die Hölle Jahr‘, und Sie fallen in diese Kategorie, die wir einfach noch nicht verbunden mit, noch,“ Lehmann sagte.

Breitensport für immer

Es gibt keine Garantie, dass die PTPRM Rat wird die Arbeit natürlich. Lehmann sagte, die Absicht zu bleiben ist eine gemeinnützige und Geld halten, andere als Kosten-Einsparungen, die aus der Gleichung, nicht Mitglied zu werden-Beiträge angetriebenen Einheit.

„Es ist eine grassroots-Sache und wir wollen es so halten,“ Lehmann sagte. „Es ist ein Multiplikator-Effekt. Wir begannen im September, die 60 Organisationen zusammengeschlossen haben, die in etwas Kapazität, und Hunderte weitere sind interessiert.“

Twitter: @SullyHIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.