Extension d'IAM et de Zero Trust à tous les comptes administratifs
Le secteur de la santé regorge de systèmes hérités , tels que des outils de diagnostic et de laboratoire installés il y a 25 ans, qui restent utilisés sans espoir de mise à niveau logicielle. Les produits IAM ont constamment évolué pour relever ces défis et proposent de nouvelles solutions pour protéger les noms d'utilisateur et les mots de passe des utilisateurs ordinaires. Par exemple, avec l'injection d'identifiants, le système IAM envoie les identifiants lorsqu'ils sont nécessaires lors d'une session interactive, de sorte que l'utilisateur ne les voit jamais. Les comptes « just-in-time » (dans lesquels l'IAM crée ou active un compte administrateur uniquement lorsque cela est nécessaire, puis le désactive dès que la tâche de l'utilisateur est terminée) en sont un autre exemple. Les équipes informatiques du secteur de la santé devraient réévaluer si la situation a évolué sur tous les systèmes et applications hérités.
2. Utiliser des traducteurs pour lier les fournisseurs IAM et d'identitéLes outils d'authentification et d'autorisation de l'IAM sont devenus sophistiqués et basés sur le Web, mais de nombreux aspects de l'informatique de santé dépendent encore d'anciens protocoles. Il est temps de relier ces deux mondes grâce à des traducteurs de protocoles pour LDAP, RADIUS, TACACS et SAML , notamment pour les accès administrateurs. Si le Zero Trust était principalement axé sur les systèmes modernes, intégrer des silos technologiques entiers à l'IAM grâce à des passerelles de protocoles réduira considérablement les risques de sécurité.
EN SAVOIR PLUS : Naviguez dans la gestion des identités et des accès à l’ère de l’IA.
3. Rédiger une politique PAM pour les systèmes hors bandeLa couverture PAM ne sera jamais totale, malgré les affirmations de certains fournisseurs IAM. Il est donc essentiel de créer des politiques qui traitent explicitement des systèmes hors du champ d'application de PAM. En identifiant les contrôles compensatoires requis, les exigences de changement de mot de passe, les protocoles de journalisation et de surveillance, ainsi que les règles de segmentation du réseau et du pare-feu pour ces types de systèmes, les équipes informatiques disposent de directives claires sur la manière de gérer efficacement ces systèmes. Parallèlement, les équipes de sécurité peuvent être assurées que chacun met tout en œuvre pour soutenir le Zero Trust .
4. Nous effectuons des journaux et des audits pour garantir que rien ne passe entre les mailles du filetLes systèmes de gestion des informations et des événements de sécurité doivent être configurés pour surveiller les angles morts IAM, en comparant les événements d'accès réels avec les journaux IAM afin de garantir que personne ne se connecte en dehors du cadre IAM/PAM. C'est une excellente occasion pour les équipes informatiques du secteur de la santé de commencer à expérimenter l'intelligence artificielle, en utilisant la détection des anomalies et l'audit automatisé basés sur l'IA pour signaler rapidement les accès inattendus.
EXPLORER : Une bonne gestion des identités est essentielle pour la sécurité des soins de santé.
healthtechmagazine
