Spire Healthcare garante evolução dos serviços digitais com F5

À medida que a Spire desenvolvia mais serviços digitais voltados para o cliente, como seu portal MySpire para agendamento de consultas, visualização de informações pessoais e realização de pagamentos, ela também estava disponibilizando mais dados confidenciais de pacientes on-line.

Com o aumento do perfil de risco, a equipe técnica se viu em uma situação em que faltavam informações críticas sobre o comportamento do usuário. O sistema existente não era capaz de mostrar quais dispositivos os clientes estavam usando para se conectar aos serviços da Spire e quando eles poderiam estar fazendo isso de forma insegura. Essa falta de visibilidade estava inibindo a capacidade da equipe de fazer atualizações importantes de segurança.

“Por exemplo, não podíamos tomar a decisão de restringir o acesso por SSLv3, porque não sabíamos se havia usuários se conectando em dispositivos que não suportariam TLSv1.0”, lembrou Rob Sissons, gerente de operações técnicas.

Além de não ter informações para fazer mudanças técnicas cruciais, a equipe de TI muitas vezes se via incapaz de responder a perguntas internas da empresa sobre segurança de dados. A empresa também teve que se preparar para as auditorias que as principais seguradoras e o NHS, que rotineiramente encaminham pacientes para o Spire, realizam para garantir que seus dados estejam sendo armazenados com segurança.

Buscando melhorar a segurança de seus serviços digitais sem inibir a capacidade dos clientes de acessá-los, a Spire decidiu procurar um provedor de serviços gerenciados para segurança de aplicativos.

Para atender às suas crescentes necessidades de segurança, a Spire optou por implementar o F5® Silverline® Web Application Firewall (WAF) e o F5® Silverline® DDoS Protection como serviços gerenciados, com suporte 24 horas do Security Operations Center (SOC), o centro de especialistas em segurança voltados para o cliente da F5.

“O SOC é o que realmente nos paga dividendos”, comentou Sissons. “Isso nos dá a confiança de que, quando implementamos uma mudança, temos um segundo par de olhos bem informados examinando-a. Muitas vezes, recebemos recomendações da equipe sobre como otimizar o que estamos tentando fazer.”

A equipe do SOC se tornou parte integrante de como a Spire desenvolve e implementa novos aplicativos, inclusive de desenvolvedores terceirizados. O Spire determina as políticas do WAF começando com um modelo em branco e, em seguida, permitindo falsos positivos identificados por meio de testes repetidos.

“Quando solicitamos que algo seja aberto, o SOC verificará novamente o que estamos propondo”, explicou Sissons. “Aplicações clínicas de nicho nem sempre são tão seguras quanto deveriam ser. Em algumas ocasiões, a contribuição da F5 nos levou a recorrer a desenvolvedores de software terceirizados para apontar problemas com seus aplicativos.”

No período em que a Spire começou a trabalhar com a F5, seu ecossistema de aplicativos continuou a se diversificar e se tornar mais complexo. Isso inclui a incorporação de APIs que permitem que as seguradoras encaminhem pacientes e transfiram seus dados com mais facilidade. A Silverline fornece a segurança que permite à Spire desenvolver e aprimorar continuamente os serviços digitais que oferece aos seus clientes, consultores e principais parceiros.

Com o suporte do SOC, os serviços da Silverline também ajudaram a Spire a implementar um nível de segurança de aplicativo compatível com os dados confidenciais que ela armazena, além de responder rapidamente a incidentes importantes ocasionais.

Além disso, a Silverline oferece suporte à evolução das políticas gerais de segurança da Spire, fornecendo visibilidade e dados sobre o comportamento do usuário que ajudam a equipe de TI a refinar suas políticas gerais de segurança. Ele também fornece uma imagem detalhada de como seus clientes acessam serviços que antes não existiam.

“Como exemplo, para o reforço do TLS, a equipe de Segurança da Informação tem se apoiado fortemente nos dados que a Silverline fornece sobre as conexões que estão chegando e de onde as conexões inseguras estão vindo”, disse Sissons. 

Outro benefício significativo do Silverline é a capacidade de lidar com ameaças ativas à rede do Spire. Durante um recente e significativo ataque DDoS, o SOC participou ativamente da resposta, fornecendo informações sobre a origem do ataque e participando de discussões com o Provedor de Serviços de Internet da Spire. “Com um ataque em larga escala como esse, ele acontece rapidamente e você investiga conforme acontece”, lembrou Sissons. “Tivemos um canal de comunicação aberto com o SOC durante todo o processo, eles estavam conosco nas ligações e nos deram um suporte inestimável.”

No dia a dia, a Spire continua confiante de que os membros especialistas do SOC estão sempre disponíveis. “Em um prazo muito curto, podemos colocar pessoas realmente qualificadas na linha como parte do serviço gerenciado”, acrescentou Sissons. “Não há nada que tenhamos solicitado que o SOC não tenha sido capaz de fazer.”

A Silverline também está tendo um impacto positivo no ecossistema mais amplo da Spire. Indicações de pacientes de terceiros são uma parte importante de seu modelo de negócios, e a presença da F5 como provedora de serviços gerenciados ajudou a garantir a esses parceiros que as políticas e proteções de segurança de dados podem atender a padrões exigentes. A Silverline até fez parte da resposta às auditorias de parceiros de seguros, bem como do kit de ferramentas de segurança que é uma pré-condição para ingressar na Rede de Assistência Social e de Saúde (HSCN) do NHS. “É bom para nós podermos dizer em uma auditoria externa que temos uma equipe de segurança especializada protegendo esses serviços”, acrescentou Sissons.