Healthfirst si basa innanzitutto Sull’identity security per implementare l’approccio Zero Trust

Profilo dell’azienda

Healthfirst è la più grande assicurazione sanitaria no-profit dello Stato di New York. Offre piani di alta qualità e convenienti adatti a ogni fase della vita, inclusi i piani Medicaid, Medicare Advantage, l’assistenza a lungo termine, assicurazione sanitaria certificata e piani individuali e per piccoli gruppi. Il vantaggio esclusivo di Healthfirst è mettere i suoi assicurati al primo posto, con una collaborazione stretta mirata agli obiettivi condivisi con la sua estesa rete di fornitori. Healthfirst è anche un pioniere del modello di assistenza basato sul valore, in cui ospedali e medici vengono pagati in base agli esiti dei pazienti.

Fatturato annuo:14 miliardi di USD
Dipendenti: 5.000

Le sfide

Brian Miller, CISO di Healthfirst, è assai disilluso per quanto riguarda il panorama delle minacce alla cybersecurity e sugli obiettivi della difesa. “Le variabili sono infinite quando si tratta di cyber attacchi. Si pensi a un esercito che attraversa un deserto. Per affrontarlo avremmo bisogno di una recinzione di sicurezza sull’intero deserto”, dice Miller. “Ma con appena 300 persone in un valico di montagna possiamo bloccarlo. Le identità sono il valico del nostro ambiente, ed è proprio sulle identità che Healthfirst sta investendo fortemente.”

Miller è stato portato in Healthfirst, la più grande compagnia assicurativa sanitaria no-profit dello Stato di New York, perché l’organizzazione desiderava evolvere le proprie attività di cybersecurity. Fondata quasi 30 anni fa, Healthfirst ha lavorato con la sua rete di sistemi ospedalieri, provider e partner pubblici per migliorare costantemente i risultati sanitari e favorire l’equità sanitaria tramite un migliore accesso all’assistenza, specialmente per le comunità meno garantite.

Questo successo ha consentito a Healthfirst di godere di una rapida crescita, e ora offre i suoi servizi a circa 1,8 milioni di assicurati nello stato di New York. Ma la crescita e le esigenze e richieste sempre più complesse di un’assicurazione sanitaria moderna richiedono un programma di cybersecurity altrettanto valido.

Abilitazione digitale degli assicurati

Healthfirst dispone di uno dei database più completi di informazioni relative agli assicurati, che comprende l’iscrizione e la fatturazione, l’assistenza clienti, i pagamenti, l’elaborazione delle richieste di risarcimento e i dati sanitari. La protezione di dati altamente sensibili come quelli sanitari e anagrafici di 1,8 milioni di assicurati e di 5.000 dipendenti è di fondamentale importanza. Per il suo ambiente informatico, l’organizzazione ha adottato una strategia incentrata sul cloud. Circa il 70% dei sistemi e delle applicazioni è ora basato sul cloud e l’azienda ha 10.000 endpoint – 70% dei quali remoti – che richiedono una protezione efficace e di alto livello. “L’obiettivo di Healthfirst è trasformare il settore abilitando digitalmente i nostri assicurati “, ha dichiarato Miller. “Questo implica garantire sicurezza e un livello di fiducia elevato. Abbiamo investito pesantemente in app digitali, uffici virtuali aperti al pubblico e soluzioni mobili. Sia che l’assicurato entri in un’app, chiami al telefono o entri in un ufficio aperto al pubblico, tutte le strade portano alle identità.”

Soluzioni

Data la posizione di leader del mercato di CyberArk, Healthfirst aveva già implementato una gamma di prodotti CyberArk, tra cui Privileged Access Manager e Vendor Privileged Access Manager. La compagnia assicurativa si è affidata a CyberArk per offrire la miglior gestione degli accessi privilegiati e ha deciso di adottare ulteriori tecnologie del provider di Identity Security per proteggere la propria trasformazione digitale. Ad esempio, Healthfirst ha anche effettuato la migrazione a Conjur di diverse applicazioni legacy per la gestione dei segreti, poiché si integra perfettamente con i flussi di lavoro degli sviluppatori ed è in grado di gestire una grande quantità di segreti.

Importanza della sicurezza per le aziende

Oltre alla soluzione CyberArk, Healthfirst ha condotto un programma di formazione e adozione per aiutare il personale a rendersi conto del rischio e dell’impatto che gli attuali cyber attacchi, come quelli ransomware, possono avere sull’organizzazione e sui suoi assicurati. “Dopo l’implementazione di CyberArk, abbiamo dovuto formare l’azienda sulla gestione degli accessi privilegiati”, ricorda Miller. “Ma è stato davvero impegnativo gestire il cambiamento per aiutare le persone a comprendere il valore della sicurezza. Ma poi, arriva un punto critico in cui le persone non oppongono più resistenza e si rendono conto di quanto sia importante la sicurezza per l’azienda nel suo complesso.”

Dopo aver riconosciuto le identità come uno degli elementi fondamentali nella creazione di un’infrastruttura di cybersecurity efficace, Healthfirst sta ora pensando alla gamma CyberArk di soluzioni per la gestione delle identità della forza lavoro. L’azienda ha implementato recentemente CyberArk Identity per dare al personale un accesso semplice ma estremamente sicuro alle risorse aziendali utilizzando il Single Sign-On e l’autenticazione multifattoriale (MFA). “L’obiettivo è quello di rendere quanto più difficile possibile la violazione dei sistemi, del software e delle catene di sviluppo dall’interno del sistema, così come avviene dall’esterno su Internet. Un robusto controllo delle identità è parte integrante dell’approccio Zero Trust, in base al quale non è importante dove si trovi il malintenzionato; non potrà comunque danneggiare nulla”, ha aggiunto Miller.

“Una delle cose di cui Healthfirst è entusiasta, poiché stiamo sviluppando la gestione delle identità della forza lavoro, è la possibilità di federare”, dichiara Miller. “Con altri sistemi, ad esempio, stiamo spendendo parecchio in licenze, per consentire ai call center di accedere ai nostri sistemi. Con CyberArk, saremo in grado di federare con le loro identità, ridurre i costi e le spese di licensing e utilizzare i soft token desktop di CyberArk per l’autenticazione MFA. Questo ci garantirà una soluzione molto solida ed economica.”

Grazie all’integrazione delle soluzioni CyberArk su diverse aree di gestione degli accessi privilegiati e della protezione delle identità, Healthfirst è ora in grado di controllare la sicurezza in modo più efficace e conveniente rispetto a quando funzioni analoghe erano affidate a diversi strumenti, favorendo così una maggiore efficienza operativa in azienda.

Risultati

Identità controllate con l’approccio Zero Trust

“Riuscire a controllare le identità significa poter bloccare la maggior parte degli attacchi moderni. E se controlli le identità controlli ogni perimetro, ogni applicazione e ogni container, ovvero ogni parte dell’ambiente. Questo è ciò che chiamo Zero Trust, ed è per questo che utilizziamo CyberArk. È grazie a questo che riesco a dormire la notte” -Brian Miller, CISO, HealthFirst

La collaborazione con CyberArk è stata uno dei fattori chiave che ha aiutato Healthfirst a gestire con efficacia un programma PAM e Identity Security efficace. “Preferisco lavorare con vendor che abbiano cultura e visione e siano entusiasti di quello che stanno facendo”, conclude Miller. “In CyberArk, vedo un’azienda con una cultura solida che lavora per fare sì che il valore fluisca per entrambe le organizzazioni. Ci sono diversi dipendenti CyberArk che lavorano in azienda da molti anni, ma non sono stufi perché l’azienda continua a crescere ed evolversi. Come CISO, questo è il tipo di partner su cui sono disposto a scommettere.”

Vantaggi principali

• Pone in essere una gestione completa degli accessi privilegiati
• Rafforza la capacità di proteggere le identità umane, macchina ed esterne
• Protegge le informazioni sanitarie personali (PHI) per 1,8 milioni di assicurati
• Riduce i costi di sicurezza con soluzioni quali il controllo delle identità federate
• Elimina la necessità di costose licenze per il software di sicurezza
• Sostituisce più strumenti con una piattaforma Identity Security unificata