跳转到主要内容

为了更好地保护其数据,这家医疗保健提供商正在将关键业务和临床应用程序迁移到云端,并在量子威胁之前对其加密系统进行审计。

西奈山医疗系统的首席信息官兼医学院 IT 院长 Kristin Myers 正在将这家纽约医疗保健提供商带到云端,同时将数据保护和安全作为重点放在首位。

Myers 拥有昆士兰科技大学的法律和 IT 学位以及哥伦比亚大学的公共卫生高级管理硕士学位,她将 2019 年重返校园归功于卡内基梅隆大学,获得了 CISO 认证,从而激发了她对 Mount 进行大修的愿望 西奈的网络安全方法。

“那是六个月。这非常具有挑战性,但我学到了很多东西,这让我作为一名 CIO 准备好真正理解网络项目应该是什么,以及我们需要如何成熟才能向前发展,”她说。

该培训促使迈尔斯采取了多项安全举措,为将西奈山的业务和临床应用程序迁移到云端做准备,包括在 2021 年 5 月招聘首席信息安全官 Rishi Tripathi,迈尔斯确信他是西奈山执行指导委员会的成员为云。

“有些人可能认为你将 [应用程序] 移动到云端是安全的,但这是不正确的,”迈尔斯说,他将 CIO-CISO 关系描述为极其重要的关系。 “在进行这些转换时,您必须确保建立安全性。”

将西奈山带到云端


Myers 于 2021 年下半年开始为她的云迁移整理业务案例,这个过程“需要相当长的时间,因为并非所有内容都在数据中心的技术预算范围内,”她说。 “它还会影响其他预算,例如设施。”

为了评估这些影响,Myers 和她的团队对数据中心成本进行了自下而上的预算项目分析,并让财务部门审查了他们的业务案例。

“当我们与我们的设施团队进行审查时,分析非常清楚,”迈尔斯说,他与由首席执行官监督的西奈山企业风险委员会一起着手评估“所有三个”云提供商,最终选择了 Microsoft Azure ,埃森哲为托管服务元素提供支持。

她说:“与微软有关的事情对我们来说最突出的是他们对数据安全的理念,以及他们如何定位自己在医疗保健领域为客户提供帮助。”

她说,迈尔斯还将一些业务应用程序迁移到甲骨文的云中,包括甲骨文财务、供应链、HCM 人才管理和学习。但对于其他业务和临床云应用程序,“我想做的是有更多的东西,我想说,不可知论。”

西奈山的云迁移还为时过早。 Myers 的目标是在三年内将大部分医疗保健提供商的应用程序放在云端。

西奈山的电子健康记录系统 Epic 将成为迁移到 Azure 的应用程序之一。自从加入该组织以来,Myers 就在西奈山的各个地方部署了 Epic,并计划至少在 2025 年之前进行更多部署。

“这似乎是无止境的,但当我们收购或合并组织时,我们必须确保我们能够把将所有医院或设施连接到主要中心的技术在那里,”她说。

西奈山已经利用多云进行基因组学研究,利用了同类最佳的解决方案,但是,Myers 说,“对我们的业务和临床应用制定多云战略没有意义。”

她解释说,考虑到在多云环境中必须保持不同但重叠的技能集,部分原因在于人才。 “当您考虑人才保留和能够找到合适的团队成员来管理这些环境时,很明显我们希望将 80% 到 90% 的应用程序集中在一个供应商上。”

为量子威胁做准备


随着西奈山的大量 IT 运营迁移到云端,数据安全已成为 Myers 的首要考虑因素。

“必须在整个迁移过程中建立安全性,”她说。 “只是将应用程序迁移到云端并不一定能保护它们,除非你加密数据。”

不仅仅是数据是否加密,还有如何加密。使用当今的计算设备可能需要数年时间才能破解的加密算法可能会在几秒钟内被有权访问工作量子计算机的攻击者破解。

虽然量子计算仍停留在短暂的实验室实验领域,但量子计算机将更广泛地应用并且它们构成的威胁更加明显的时候将会到来。例如,白宫正在认真对待量子威胁,于 2022 年 1 月发布了一项行政命令,要求国家安全系统的运营商更新其安全计划和系统以防范它。

医疗保健组织不受相同要求的约束,但它们面临相同的威胁:如果他们的数据没有得到充分的保护和加密,那么当工作的量子计算机成为现实时,它们可能会在今天被收集并在以后解密。

Myers 认为这种量子威胁将在未来三到五年内出现。 “这听起来似乎需要很长时间才能开始研究,但实际上并非如此,”她说。

为了做好准备,迈尔斯聘请了谷歌的子公司 Sandbox AQ 来盘点西奈山的加密系统,并帮助它们实现量子安全。

Sandbox AQ 提供了一种审计工具,公司可以在其内部网络上运行该工具,以识别所有正在使用的加密系统,然后就升级它们提出建议。

Myers 预计将在年底之前确定必要的缓解措施:“如果我们现在开始这项工作,它将使我们能够更好地解决这个漏洞,然后再利用它。”

将其视为对西奈山 IT 资产及其患者数据的预防性护理。

本文:https://cio.ceo/mount-sinais-journey-secure-health-data-cloud