Healthfirst aplica un enfoque basado en la seguridad de la identidad para implementar Zero Trust

Perfil de la empresa

Healthfirst es la mayor aseguradora de salud sin ánimo de lucro del estado de Nueva York. Ofrece planes asequibles y de alta calidad que se adaptan a todas las etapas de la vida, incluidos Medicaid, Medicare Advantage, atención a largo plazo, salud cualificada y planes individuales y para grupos pequeños. La ventaja exclusiva de Healthfirst es dar prioridad a los afiliados asociándose estrechamente en torno a objetivos compartidos con su amplia red de proveedores. Healthfirst también es pionera en el modelo de atención basado en el valor, según el que los hospitales y los médicos reciben el pago en función de los resultados de los pacientes.

Ingresos anuales: 14.000 millones USD
Empleados: 5.000

Desafíos

Brian Miller, CISO de Healthfirst, tiene muy claro el panorama de las amenazas de ciberseguridad y hacia dónde dirigir la defensa. «Hay un número infinito de variables cuando se trata de ciberataques. Piense en un ejército que cruza un desierto. Para combatirlo, necesitaríamos una valla de seguridad a lo largo del desierto», afirmó Miller. «Pero bastan 300 personas en un puerto de montaña para poder detener a todo el ejército. La identidad es el puerto de montaña de su entorno y la identidad es donde Healthfirst está haciendo sus mayores inversiones».

Miller llegó a Healthfirst, la mayor aseguradora de salud sin ánimo de lucro del estado de Nueva York, porque la organización quería desarrollar sus operaciones de ciberseguridad. Fundada hace casi 30 años, Healthfirst ha trabajado con su red de sistemas hospitalarios, proveedores comunitarios y socios para mejorar constantemente los resultados en salud y avanzar en la equidad en esta área a través de un mejor acceso a la atención, especialmente para las comunidades marginadas.

Gracias a este éxito, Healthfirst experimentó un rápido crecimiento y ahora atiende a unos 1,8 millones de afiliados en el estado de Nueva York. Pero el crecimiento y las necesidades y demandas cada vez más complejas a las que se enfrenta una aseguradora de salud moderna exigen un programa de ciberseguridad igualmente sólido.

Habilitación digital de afiliados

Healthfirst cuenta con una de las bases de datos más completas de información relacionada con los afiliados, que incluye la inscripción y la facturación, la atención al cliente, los pagos, la tramitación de las reclamaciones y los datos médicos. Proteger los registros e identidades médicas extremadamente sensibles de 1,8 millones de miembros y 5.000 empleados es primordial. Para su entorno informático, la organización adoptó una estrategia basada en la nube. Aproximadamente el 70% de los sistemas y aplicaciones ahora están en la nube y la organización tiene 10.000 endpoints (un 70% son remotos) que requieren una seguridad sólida y sofisticada. «Healthfirst tiene como objetivo transformar el sector habilitando digitalmente a nuestros afiliados», afirmó Miller. «Parte integrante de ello es proporcionar seguridad y altas garantías Hemos invertido mucho en nuestras aplicaciones digitales, nuestras oficinas virtuales comunitarias y muchas soluciones móviles. Tanto si un afiliado llega a través de una aplicación, por teléfono o entra en una oficina comunitaria, todos los caminos conducen a la identidad».

Soluciones

Debido a la posición líder en el mercado de CyberArk, Healthfirst ya había desplegado una gama de productos de CyberArk, incluidos Privileged Access Manager y Vendor Privileged Access Manager. La aseguradora confió en CyberArk para proporcionar la mejor gestión del acceso con privilegios de su clase y decidió adoptar tecnologías adicionales del proveedor de Seguridad de la Identidad para proteger su transformación digital. Por ejemplo, Healthfirst también ha migrado varias apps de gestión de secretos heredadas a Conjur porque se integra a la perfección con los flujos de trabajo de los desarrolladores y puede gestionar un gran volumen de secretos.

Importancia empresarial de la seguridad

Junto con la solución de CyberArk, Healthfirst ejecutó un programa de educación y adopción para ayudar al personal a comprender el riesgo y el impacto que los ciberataques modernos, como el ransomware, podrían tener en la organización y sus afiliados. «Después de implementar CyberArk, pasamos por un período en el que tuvimos que educar a la empresa sobre la gestión del acceso con privilegios», recuerda Miller. «Pero en realidad fue un esfuerzo de gestión de cambios para ayudar a la gente a comprender el valor de la seguridad. Entonces llega un punto de inflexión en el que se deja de presionar a la resistencia y la gente se da cuenta de la importancia de la seguridad para ellos como empresa».

Tras haber reconocido la identidad como uno de los elementos esenciales para crear una infraestructura de ciberseguridad eficaz, Healthfirst ha recurrido ahora a la cartera de soluciones de gestión de identidades del personal de CyberArk. Recientemente, la empresa ha implementado CyberArk Identity para proporcionar al personal un acceso sencillo pero extremadamente seguro a los recursos empresariales utilizando Single Sign-On y Multi-Factor Authentication (MFA). «El objetivo es dificultar al máximo la irrupción en los sistemas, el software y las cadenas de desarrollo desde dentro del sistema, como ya sucede desde fuera en Internet. Un control de identidad sólido forma parte de ese concepto de Zero Trust en el que no importa dónde se encuentre el delincuente; no pueden dañar nada», añadió Miller.

«Una de las cosas que más entusiasma a Healthfirst a medida que progresamos en la gestión de la identidad del personal es la habilidad de federar», afirmó Miller. «Con otros sistemas estamos gastando mucho dinero en licencias, por ejemplo, para permitir que los centros de atención al cliente accedan a nuestros sistemas. Con CyberArk, podremos federarnos con sus identidades, reducir costos y derechos de licencia y utilizar tokens blandos de escritorio de CyberArk para MFA. Esto nos dará una solución muy robusta y rentable».

Dado que las soluciones de CyberArk están integradas en varias áreas de la gestión del acceso con privilegios y la protección de la identidad, Healthfirst ahora puede controlar la seguridad de forma más eficaz y rentable que cuando tenía múltiples herramientas que desempeñaban funciones similares, lo que impulsa una eficiencia operativa significativa en la empresa.

Resultados

Zero Trust controla la identidad

«Si podemos controlar la identidad, podemos detener la mayoría de los ataques modernos. Y si se controla la identidad, se controlarán todos los perímetros, aplicaciones y contenedores de forma eficaz en todas las partes del entorno. Esto es lo que yo llamo un auténtico enfoque Zero Trust y por eso utilizamos CyberArk. Es lo que me ayuda a dormir tranquilo» -Brian Miller, CISO, HealthFirst

La asociación con CyberArk ha sido uno de los elementos clave para ayudar a Healthfirst a crear un programa eficaz de gestión del acceso con privilegios y Seguridad de la Identidad. «Me gusta trabajar con proveedores que tienen una cultura y una visión, y estoy entusiasmado con lo que están haciendo», concluyó Miller. «En CyberArk, veo una empresa con una cultura sólida que trabaja para que el valor fluya para ambas organizaciones. Algunos de los empleados de CyberArk llevan muchos años en la empresa, pero nunca se quedan atrás porque la empresa sigue creciendo y evolucionando. Como CISO, ese es el tipo de socio en el que voy a apostar».

Principales ventajas

• Crea una gestión del acceso con privilegios completa
• Refuerza la capacidad de proteger las identidades humanas, de máquina y de terceros
• Protege la información médica personal (PHI) para los 1,8 millones de afiliados
• Reduce los costos de seguridad con soluciones como el control de identidad federado
• Elimina la necesidad de costosas licencias de software de seguridad
• Reemplaza múltiples herramientas con una plataforma unificada de Seguridad de la Identidad