Healthfirst si basa innanzitutto Sull’identity security per implementare l’approccio Zero Trust

Profilo dell’azienda

Healthfirst è la più grande assicurazione sanitaria no-profit dello Stato di New York. Offre piani di alta qualità e convenienti adatti a ogni fase della vita, inclusi i piani Medicaid, Medicare Advantage, l’assistenza a lungo termine, assicurazione sanitaria certificata e piani individuali e per piccoli gruppi. Il vantaggio esclusivo di Healthfirst è mettere i suoi assicurati al primo posto, con una collaborazione stretta mirata agli obiettivi condivisi con la sua estesa rete di fornitori. Healthfirst è anche un pioniere del modello di assistenza basato sul valore, in cui ospedali e medici vengono pagati in base agli esiti dei pazienti.

Fatturato annuo:14 miliardi di USD
Dipendenti: 5.000

Le sfide

Brian Miller, CISO di Healthfirst, è assai disilluso per quanto riguarda il panorama delle minacce alla cybersecurity e sugli obiettivi della difesa. “Le variabili sono infinite quando si tratta di cyber attacchi. Si pensi a un esercito che attraversa un deserto. Per affrontarlo avremmo bisogno di una recinzione di sicurezza sull’intero deserto”, dice Miller. “Ma con appena 300 persone in un valico di montagna possiamo bloccarlo. Le identità sono il valico del nostro ambiente, ed è proprio sulle identità che Healthfirst sta investendo fortemente.”

Miller è stato portato in Healthfirst, la più grande compagnia assicurativa sanitaria no-profit dello Stato di New York, perché l’organizzazione desiderava evolvere le proprie attività di cybersecurity. Fondata quasi 30 anni fa, Healthfirst ha lavorato con la sua rete di sistemi ospedalieri, provider e partner pubblici per migliorare costantemente i risultati sanitari e favorire l’equità sanitaria tramite un migliore accesso all’assistenza, specialmente per le comunità meno garantite.

Questo successo ha consentito a Healthfirst di godere di una rapida crescita, e ora offre i suoi servizi a circa 1,8 milioni di assicurati nello stato di New York. Ma la crescita e le esigenze e richieste sempre più complesse di un’assicurazione sanitaria moderna richiedono un programma di cybersecurity altrettanto valido.

Abilitazione digitale degli assicurati

Healthfirst dispone di uno dei database più completi di informazioni relative agli assicurati, che comprende l’iscrizione e la fatturazione, l’assistenza clienti, i pagamenti, l’elaborazione delle richieste di risarcimento e i dati sanitari. La protezione di dati altamente sensibili come quelli sanitari e anagrafici di 1,8 milioni di assicurati e di 5.000 dipendenti è di fondamentale importanza. Per il suo ambiente informatico, l’organizzazione ha adottato una strategia incentrata sul cloud. Circa il 70% dei sistemi e delle applicazioni è ora basato sul cloud e l’azienda ha 10.000 endpoint – 70% dei quali remoti – che richiedono una protezione efficace e di alto livello. “L’obiettivo di Healthfirst è trasformare il settore abilitando digitalmente i nostri assicurati “, ha dichiarato Miller. “Questo implica garantire sicurezza e un livello di fiducia elevato. Abbiamo investito pesantemente in app digitali, uffici virtuali aperti al pubblico e soluzioni mobili. Sia che l’assicurato entri in un’app, chiami al telefono o entri in un ufficio aperto al pubblico, tutte le strade portano alle identità.”

Solutions

Because of the market-leading position of CyberArk, Healthfirst had already deployed a range of CyberArk products including Privileged Access Manager and Vendor Privileged Access Manager. The insurer trusted CyberArk to provide best-of-breed privileged access management and decided to adopt additional technologies from the Identity Security provider to secure its digital transformation. For example, Healthfirst has also migrated several legacy secrets management apps to Secrets Manager (formerly Conjur Secrets Manager) because it integrates seamlessly with developer workflows and can handle a large volume of secrets.

Business importance of security

Alongside the CyberArk solution, Healthfirst ran an education and adoption program to help staff understand the risk and impact that modern cyberattacks, like ransomware, could have on the organization and its members. “After implementing CyberArk, we went through a period of having to educate the business about privileged access management,” recalled Miller. “But it was really a change management effort to help people understand the value of security. Then there is a tipping point where you stop pushing through resistance and people realize the importance of security for them as a business.”

Having recognized identity as one of the critical elements in building an effective cybersecurity infrastructure, Healthfirst has now turned to the CyberArk portfolio of workforce identity management solutions. The company recently deployed CyberArk Identity to provide staff with simple yet extremely secure access to business resources using single sign-on and multi-factor authentication (MFA). “The objective is to make it as hard as possible to break into systems, software and development chains from inside the system, as it is from outside on the internet. Strong identity control is a part of that Zero Trust idea where it does not matter where the bad guy is; they cannot harm anything,” added Miller.

“One of the things Healthfirst is very excited about as we evolve workforce identity management is the ability to federate,” disclosed Miller. “With other systems we are spending lots of dollars on licenses, for example, to allow call centers to access our systems. With CyberArk, we will be able to federate with their identities, cut costs and licensing fees, and use CyberArk desktop soft tokens for MFA. That will give us a very robust and cost-effective solution.”

Because CyberArk solutions are integrated across several areas of privileged access management and identity protection, Healthfirst can now control security more efficiently and cost effectively than when it had multiple tools performing similar functions, thereby driving significant operational efficiencies in the company.

Risultati

Identità controllate con l’approccio Zero Trust

“Riuscire a controllare le identità significa poter bloccare la maggior parte degli attacchi moderni. E se controlli le identità controlli ogni perimetro, ogni applicazione e ogni container, ovvero ogni parte dell’ambiente. Questo è ciò che chiamo Zero Trust, ed è per questo che utilizziamo CyberArk. È grazie a questo che riesco a dormire la notte” -Brian Miller, CISO, HealthFirst

La collaborazione con CyberArk è stata uno dei fattori chiave che ha aiutato Healthfirst a gestire con efficacia un programma PAM e Identity Security efficace. “Preferisco lavorare con vendor che abbiano cultura e visione e siano entusiasti di quello che stanno facendo”, conclude Miller. “In CyberArk, vedo un’azienda con una cultura solida che lavora per fare sì che il valore fluisca per entrambe le organizzazioni. Ci sono diversi dipendenti CyberArk che lavorano in azienda da molti anni, ma non sono stufi perché l’azienda continua a crescere ed evolversi. Come CISO, questo è il tipo di partner su cui sono disposto a scommettere.”

Vantaggi principali

• Pone in essere una gestione completa degli accessi privilegiati
• Rafforza la capacità di proteggere le identità umane, macchina ed esterne
• Protegge le informazioni sanitarie personali (PHI) per 1,8 milioni di assicurati
• Riduce i costi di sicurezza con soluzioni quali il controllo delle identità federate
• Elimina la necessità di costose licenze per il software di sicurezza
• Sostituisce più strumenti con una piattaforma Identity Security unificata