Spire Healthcare asegura la evolución de los servicios digitales con F5

Spire Healthcare, un proveedor líder de atención médica privada en el Reino Unido, con 38 hospitales y más de 3700 consultores, necesitaba mejorar la seguridad de las aplicação a medida que más de sus servicios se trasladaban a Internet. Spire, que contiene datos altamente sensibles de pacientes y trabaja con socios como el Servicio Nacional de Salud (NHS) y las principales aseguradoras, también tuvo que demostrar a las partes interesadas que su seguridad era la mejor de su clase y que se podía confiar en ella. En 2016, recurrió a F5 y Silverline (la plataforma de servicios de aplicação gestionadas y basada en la nube de F5).

Desafíos empresariales

A medida que Spire desarrolló más servicios digitales orientados al cliente, como su portal MySpire para reservar citas, ver información personal y realizar pagos, también ponía en línea datos más confidenciales de los pacientes.

Con el aumento del perfil de riesgo, el equipo técnico se encontró en una situación en la que carecía de información crítica sobre el comportamiento de los usuarios. El sistema existente no podía mostrar qué dispositivos utilizaban los clientes para conectarse a los servicios de Spire y cuándo podrían hacerlo de forma insegura. Esta falta de visibilidad estaba inhibiendo la capacidad del equipo para realizar importantes mejoras de seguridad.

“Por ejemplo, no pudimos tomar la decisión de restringir el acceso a través de SSLv3, porque no sabíamos si había usuarios conectándose en dispositivos que no admitieran TLSv1.0”, recordó Rob Sissons, gerente de operaciones técnicas.

Además de carecer de la información para realizar cambios técnicos cruciales, el equipo de TI a menudo se encontraba incapaz de responder a las consultas internas de la empresa sobre seguridad de datos. También tuvo que prepararse para las auditorías que las principales aseguradoras y el NHS, que rutinariamente derivan pacientes a Spire, llevan a cabo para asegurarse de que sus datos se almacenan de forma segura.

Buscando mejorar la seguridad de sus servicios digitales sin inhibir la capacidad de los clientes de acceder a ellos, Spire decidió buscar un proveedor de servicios administrados para la seguridad de las aplicação .

Solución

Para satisfacer sus cambiantes necesidades de seguridad, Spire optó por implementar F5® Silverline® Web Aplicação Firewall (WAF) y F5® Silverline® DDoS Protection como servicios administrados, con soporte las 24 horas del Centro de Operaciones de Seguridad (SOC), el centro de especialistas en seguridad de cara al cliente de F5.

“El SOC es lo que realmente nos da dividendos”, comentó Sissons. “Nos da la confianza de que, cuando implementamos un cambio, tenemos un segundo par de ojos expertos que lo analizan. A menudo, recibimos recomendaciones del equipo sobre cómo optimizar lo que intentamos hacer”.

El equipo SOC se ha convertido en una parte integral de cómo Spire desarrolla e implementa nuevas aplicações, incluidas las de desarrolladores externos. Spire determina las políticas de WAF comenzando con una plantilla en blanco y luego incluyendo en la lista de permitidos los falsos positivos que se identifican mediante pruebas repetidas.

“Cuando solicitamos que se abra algo, el SOC verificará lo que proponemos”, explicó Sissons. “ Las aplicações clínicas de nicho no siempre son tan seguras como deberían ser. En algunas ocasiones, los aportes de F5 nos han llevado a recurrir a desarrolladores de software externos para señalarles problemas con sus aplicações”.

Durante el tiempo que Spire lleva trabajando con F5, su ecosistema de aplicação ha seguido diversificándose y volviéndose más complejo. Esto incluye la incorporación de API que permitan a las aseguradoras derivar pacientes y transferir sus datos más fácilmente. Silverline proporciona la seguridad que permite a Spire desarrollar y mejorar continuamente los servicios digitales que ofrece a sus clientes, consultores y socios clave.

Con el apoyo del SOC, los servicios de Silverline también han ayudado a Spire a implementar un nivel de seguridad de aplicação acorde con los datos confidenciales que almacena, además de responder rápidamente a incidentes importantes ocasionales.

Además, Silverline apoya la evolución de las políticas de seguridad generales de Spire, proporcionando visibilidad y datos sobre el comportamiento de los usuarios que ayudan al equipo de TI a perfeccionar sus políticas de seguridad generales. También proporciona una imagen detallada de cómo sus clientes acceden a servicios que antes no existían.

“Como ejemplo, para el fortalecimiento de TLS, el equipo de Seguridad de la Información se basó en gran medida en los datos que proporciona Silverline sobre las conexiones que llegan y de dónde provienen las conexiones inseguras”, dijo Sissons. 

Soporte personalizado y siempre disponible

Otro beneficio importante de Silverline es la capacidad de lidiar con amenazas activas a la red de Spire. Durante un reciente e importante ataque DDoS, el SOC participó activamente en la respuesta, proporcionando información sobre la fuente del ataque y participando en discusiones con el proveedor de servicios de Internet de Spire. “Un ataque a gran escala como ese se desarrolla con gran rapidez y se investiga en el momento”, recordó Sissons. “Tuvimos un canal de comunicación abierto con el SOC en todo momento; estuvieron con nosotros en las llamadas y nos brindaron un apoyo invaluable”.

Diariamente, Spire confía en que los miembros expertos del SOC estén siempre disponibles. "Con muy poca antelación podemos poner en línea personal altamente capacitado como parte del servicio administrado", agregó Sissons. “No hay nada que hayamos solicitado que el SOC no haya podido hacer”.

Garantía para las partes interesadas

Silverline también está teniendo un impacto positivo en el ecosistema más amplio de Spire. Las derivaciones de pacientes de terceros son una parte importante de su modelo de negocio, y la presencia de F5 como proveedor de servicios gestionados ha ayudado a asegurar a estos socios que las políticas y protecciones de seguridad de datos pueden cumplir con estándares exigentes. Silverline incluso ha sido parte de la respuesta a las auditorías realizadas por socios de seguros, así como del conjunto de herramientas de seguridad que es una condición previa para unirse a la Red de Salud y Asistencia Social del NHS (HSCN). “Es bueno para nosotros poder decir en una auditoría externa que tenemos un equipo de seguridad especializado que protege estos servicios”, añadió Sissons.

Retos
  • Falta de visibilidad del comportamiento del usuario
  • La superficie de ataque se expande con más servicios digitales
  • Requisitos estrictos de seguridad de los socios

Ventajas
  • Una visión mejorada para fundamentar decisiones de seguridad
  • Políticas WAF personalizadas para cada aplicação
  • Garantía para socios y partes interesadas clave
  • Soporte experto siempre disponible del SOC
Productos