Identity und access management automation spart PeaceHealth Hunderte von tausenden von Dollar

Vor etwa fünf Jahren, PeaceHealth, einem 16.000-caregiver Anbieter im Gesundheitswesen in der Pacific Northwest mit 10 Krankenhäuser und 250 ambulante Kliniken, begann eine konzentrierte Anstrengung zur Erfüllung der compliance-Vorgaben des HIPAA role-based-access-Anforderungen.

DAS PROBLEM

Zur gleichen Zeit, die provider-Organisation investiert $300 Millionen in der Umwandlung von der elektronischen Gesundheit Aufzeichnungen über seine zehn Krankenhäuser und 250 Kliniken, die zu einem Epic-system. Zu der Zeit, war die Organisation mit einem homegrown-system zu helfen, gewähren Sie Zugriff auf Anbieter. Aber mit diesem Werkzeug, es dauerte eine provider 28 Tage, nachdem Sie eingestellt wurden, erhalten Zugang zu den Systemen.

„Bringen wir dann in einem älteren tool, Microsoft Identity Manager, um zu helfen die Zeit verringern, die, um den Zugang“, sagte Robert Siebenthaler, manager der identity -, access-und security bei PeaceHealth. “Während dieses Werkzeug war in der Lage zu automatisieren Teil des Prozesses, interne und externe audits offenbart seine Schwächen. Wir bewerten das tool Fahrplan und geschlossen, es war nicht geeignet, um Unterstützung PeaceHealth langfristig.“

So dass der provider-Organisation begann der Prozess der Bewertung der identity-governance-Systeme, gespiegelte seine Ziele für die Zukunft: Engagement für identity-governance und eine starke integration mit Epic. Während dieser Evaluierungsphase, PeaceHealth brachte in der internen und der externen Revision das risk-team und der Büro-Integrität zu helfen mit dem Prozess.

VORSCHLAG

Durch die evaluation-phase, PeaceHealth beschlossen, beginnen eine langfristige Partnerschaft mit Lieferanten SailPoint, und von dort die nächste generation des identity-Programm nahm Form an.

„Einer der Gründe, wir sahen eine Zukunft mit SailPoint war seine Fähigkeit, verwalten Sie alle Benutzer,“ Siebenthaler erklärt. “Die Gewährung von Berechtigungen für die im Gesundheitswesen Beschäftigten mit mehreren personas können sehr schwierig sein. PeaceHealth Mitarbeiter, community-Providern, Hospiz, Freiwilligen, Auftragnehmer und externe Anbieter, die alle brauchen unterschiedliche Arten von Zugang.“

Mit dem SailPoint-Technologie, PeaceHealth wäre in der Lage, um zu gewähren, Berechtigungen, komplett mit Zugang Zulassungen und Zertifizierungen, mit denen der Organisation kompatibel bleiben, fügte er hinzu.

MARKTPLATZ

Es gibt eine Vielzahl von identity-und access-management-Technologie-Anbieter mit Produkten auf den Markt. Einige dieser Anbieter sind Centrify Identity Service, Digital Persona, Forefront Identity Manager, ForgeRock Identity Platform, Intermedia AppID Unternehmen, Okta Identity Management und Oracle Identity Management.

DIE HERAUSFORDERUNG

Mit der neuen Technologie, PeaceHealth hat jetzt 100 Prozent rollenbasierten Zugriff für alle Benutzer: die Mitarbeiter, community-Providern, Hospiz, Freiwilligen, Auftragnehmer und externe Anbieter. Es integriert SailPoint mit seiner credential-system von Visual Kaktus; seine human-resources-system; Azure, da die Organisation ist ein Office-365-shop; und ein paar von internen Datenbanken, dass es zu verfolgen Anbietern.

„Um dies zu erreichen, haben wir umfangreiche business-Analyse, Bewertung der vorhandenen workflows mit unserer HR-Abteilung und die Auseinandersetzung mit den aktuellen Lücken und problematische Bereiche zu mildern künftige Gefahr“ Siebenthaler sagte. “Die erste phase des Programms konzentrierte sich auf SailPoint gewähren die Anbieter Zugriff auf Systeme, schneller, Priorisierung Zugang zu Epic. Anbieter keine längere Wartezeit von 28 Tagen für den Zugang zu Epischen und anderen Systemen, und jetzt erhalten die vollen Rechte innerhalb von zwei Tagen.“

Reduzierung der manuellen Arbeit beteiligt, die für die Bereitstellung der Zugang war auch ein Ziel für das team. Zwanzig-fünf Auftragnehmern verantwortlich waren für die Gewährung des Zugriffs. Nun, dass dieser Prozess automatisiert ist, sind diese Anbieter nicht mehr am Personal sparen PeaceHealth Hunderte von tausenden von Dollar.

„Ich habe es geschafft, sparen Sie Hunderte von tausenden von Dollar durch die Reduzierung der manuellen Arbeit beteiligt, die für die Bereitstellung zugreifen.“

Robert Siebenthaler, PeaceHealth

„Wir haben auch in der Lage gewesen, um zu stärken alle unsere provisioning-Prozesse, einschließlich der Sperrung des Zugangs, wenn jemand bewegt sich innerhalb oder die Organisation verlassen,“ Siebenthaler Hinzugefügt.

Mit dem Erbe und hausgemachten-tools, identity-und access-management-team war nicht in der Lage zu verfolgen Benutzer den Zugriff in übereinstimmung mit den audit-Anforderungen oder laufen Zertifizierung Kampagnen. Die Compliance wurde nicht angesprochen, und PeaceHealth wusste, es war ein problem aber nicht die Lösung oder Prozesse zu verwalten, ist es richtig.

„Mit SailPoint in Ort, um jetzt die Verwaltung von compliance, Zertifizierung Zugang zu Epischen wurde die erste Priorität auf die Adresse,“ erklärte er. “Die verschiedenen Rollen, die ein Anbieter haben kann, machen die Zertifizierungs-Prozess ziemlich kompliziert ist. Einige von PeaceHealth Standorten sind als kritischen Zugang Krankenhäusern, in denen die Identität der Anbieter oder der Mitarbeiter können sich ändern, je nach Tag.“

An den kritischen Zugang Krankenhäusern, kann jemand sein, der front-desk-Mitarbeiter, später in den Tag Sie sind eine Krankenschwester und zwei Tage später eine medizinische Fachangestellte. Tracking diese komplexe und sich verändernde Rollen ist entscheidend für den Nachweis der compliance. PeaceHealth auch ermöglichen will, seine Mitarbeiter arbeiten in der Kapazität, die Sie benötigen, ohne verlangsamt Sie.

„Auf der ersten Epic-Zertifizierung-Kampagne, arbeiteten wir mit dem audit-team, um zu entscheiden, was wichtig war zu berichten, und um sicherzustellen, dass Sie waren, die alle Anforderungen“, Siebenthaler, sagte. “Dies hat uns geholfen, etablieren Ton-Zertifizierung Kampagnen-Prozesse, die Einstellung, die unsere Mannschaft für den zukünftigen Erfolg. Wir laufen nun jährlich Kampagnen und die Einbindung zusätzlicher Anwendungen als Episch.“

Mit der neuen Technologie, Anbieter Zufriedenheit hat sich drastisch verbessert, fügte er hinzu.

„Die identity-Programm ist nun ein business-enabler Unterstützung der IT-Abteilung, Anbietern und security-team, um besser zu dienen der Organisation,“ Siebenthaler sagte. “Medizin ist automatisiert nun alle Informationen in der Krankenakte. Geben unsere Anbieter den richtigen Zugriff auf die richtigen Informationen zur richtigen Zeit können Sie unsere Patienten, top-Qualität, sorgsame Pflege. Wenn Provider keinen Zugriff auf die Informationen in einer fristgerechten Weise, wir sind nicht die Behandlung von Patienten in einer kontinuierlichen Art und Weise.“

Identity-und access-management-team profitiert auch von der verbesserten identity-Programm. Siebenthaler jetzt fordert sein team nach Möglichkeiten suchen, SailPoint, können verwendet werden, um zu gesteigerter Effizienz.

„Weiter auf unsere roadmap, die wir planen, zu verwalten, die bots in unserer Umgebung und führen die Zertifizierung Kampagnen, die auf Ihren Zugriff,“ sagte er. “Wir haben auch Pläne, um zu untersuchen, unsere privilegierte Benutzer, und fügen Sie weitere Steuerelemente und Sicherheit rund um Ihren Zugang zu mindern, potenzielle Risiken. Unser Erfolg mit SailPoint ist nur der Anfang, und bringt diese beiden Bereiche, die unter unserer Aufsicht wird nur Laufwerk mehr automation und Sicherheit erhöht.“

ERGEBNISSE

Vorher dauerte etwa 25 Tagen Bereitstellung eines neuen Arztes oder Krankenschwester. Damals wurde deutlich gekürzt, als Ergebnis der Integration von SailPoint mit der credentialing software von Visual Kaktus, der human-resources-system und einige andere interne software. Anbieter keine längere Wartezeit von 28 Tagen für den Zugang zu Epischen und anderen Systemen, und jetzt erhalten die vollen Rechte innerhalb von zwei Tagen.

„Außerdem, ich habe es geschafft, sparen Sie Hunderte von tausenden von Dollar durch die Reduzierung der manuellen Arbeit beteiligt, die für die Bereitstellung von Zugang,“ Siebenthaler erklärt. “Früher, zwanzig-fünf Auftragnehmern verantwortlich waren für die Gewährung des Zugriffs. Nun, dass dieser Prozess automatisiert ist, habe ich nicht mehr diese Vertragspartner auf die Mitarbeiter.“

BERATUNG FÜR ANDERE

„Wir haben gelernt, einige Dinge auf dem Weg der Umsetzung und nach,“ Siebenthaler geraten. “Zuerst identifizieren und access-management-Systeme sind nicht statisch und daher eine fortlaufende Investitionen erforderlich. IT-Organisationen benötigen, um die Behandlung zu identifizieren und access management als Kerngeschäft-Funktion.“

Ob man arbeitet mit Lieferanten oder verwaltet ein identity-und access-management-system intern, jedes Jahr wird das Programm muss finanziell und personell unterstützt, fügte er hinzu. Identifizieren und access-management-Systeme sind eine sich entwickelnde Technologie, die müssen sich an die ständig wechselnden business-Anforderungen und-Systeme, sagte er.

„Vor der Durchführung, bei der überprüfung der Arbeitsabläufe und Prozesse, nehmen Sie die Zeit, sich zu Fragen, ob es eine bessere Möglichkeit, dies zu tun, und wie könnten Sie erreichen ein besseres Ergebnis,“ schlug er vor. “Frage jeden Prozess, nur weil das ist die Art und Weise Sie derzeit tun, bedeutet es nicht, gibt es nicht einen effizienteren Weg. Wir haben HR, medizinisches Personal, Büro-und sonstige Partner in unsere Bewertungen und erhalten enorme Wert aus, einschließlich in den Prozess.“

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]