医疗保健组织如何采取敏捷方法实现云安全控制？

云转型计划是一项复杂的工作，失败率很高。采用基于风险的云转型方法，重点关注网络安全控制，可以显著改善组织的成果。

敏捷转型：医疗行业的认真考量
关于敏捷方法实施的争论，尤其是在医疗行业，一直是众多组织关注的话题。监管和合规性要求往往是这场争论的关键驱动因素。当医疗机构决定开展数字化转型项目时，管理层面临的一个重要决策是：是采用传统的瀑布式开发方法（鉴于严格的监管审查，这种方法通常是业内的首选）还是采用敏捷方法。虽然瀑布式开发方法可能适用于许多用例，但要实施对业务产生重大影响的大规模组织范围云应用程序，通常需要采用敏捷方法，以确保技术解决方案能够最大限度地满足组织的整体业务和战略需求，从而获得最高的投资回报。通过正确调整敏捷原则并考虑到医疗行业的具体需求，组织将能够创建高度集成的云应用系统，从而提高组织的整体效率。

敏捷方法对医疗机构的益处
数字化转型意味着将最新的技术解决方案融入构成现代医疗企业的所有流程中。医疗机构采用敏捷方法可以享受诸多益处。主要益处包括：

• 更快的软件开发时间表
• 提高软件部署质量
• 加强跨职能协作
• 更高的投资回报率（ROI）
• 增强监管合规性和风险管理

云网络安全控制：总是事后诸葛亮？
在实施敏捷原则时，医疗保健组织应密切关注可能带来的风险。敏捷原则要求组织快速行动，通常优先考虑工作原型和跨职能协作。这往往导致云网络安全控制在优先级列表中被推后。因此，医疗保健组织面临着开发不符合安全控制和协议的工作原型的巨大风险，包括未能满足复杂医疗保健法规（例如 HIPAA、HITRUST）的合规性要求。为了避免这种失误，医疗保健组织应像对待其他与软件开发相关的工作流一样，认真对待云网络安全控制。最佳实践是将云网络安全控制工作流嵌入为一个独立且专用的工作流，并将部署运营网络安全控制作为转型工作的一部分。这种前期协调将降低医疗机构的转型风险，因为云网络安全控制措施将在整个开发、测试和部署敏捷生命周期中进行迭代（与其他软件功能保持一致），从而在整个转型过程中得到充分考虑，而不是在转型结束后才被考虑。从资金投入的角度来看，这种方法通常能为医疗机构带来最高的回报，并且显著降低云转型完成后出现安全相关缺陷的可能性。

实施云网络安全控制：一种敏捷方法
在我们介绍敏捷网络安全控制实施之前，这里简要概述一下典型敏捷冲刺所涉及的步骤：

• 收集需求并确定其优先顺序
• 迭代开发初始原型
• 测试原型
• 部署原型
• 获取最终用户的反馈

作为敏捷网络安全控制部署的一部分，至关重要的是要将控制的开发贯穿上述敏捷生命周期。这可能包括：

如上所述，医疗保健组织需要刻意考虑将网络安全控制措施嵌入到更大规模的云转型工作中。虽然具体的网络安全控制措施会因医疗保健业务模式（这将推动模型中的风险）以及正在开发或部署的云软件类型（这将影响所采用的敏捷方法的性质）而异，但医疗保健组织至少应考虑两大类网络安全控制措施：

• 外部网络安全控制：防范组织外部因素（例如勒索软件、恶意软件等）
• 内部网络安全控制：用于防范组织内部因素（例如员工破坏或员工失误）

有关针对云 ERP 应用程序的上述两类网络安全控制的更多考虑，请阅读此处。

敏捷网络安全控制开发的优势
虽然有很多优势，但在云转型期间（而非之后）部署网络安全控制的关键优势在于显著的成本节省。组织需要预先承担专用网络安全控制工作流的成本，但这项前期投资将在云转型结束时构建一个强大的网络安全框架，从而降低出现网络安全控制问题的可能性、审计成本/服务成本以及补救工作成本。任何医疗保健组织的目标都应该是最终进入网络安全控制成熟度框架的第四象限，并以敏捷作为关键驱动力，有效地跨越象限。

• 1 = 初学者（无控制或控制极少，控制成本低）
• 2 = 中级（控制成熟度低，控制成本高）
• 3 = 高级（控制成熟度高，控制成本高）
• 4 = 优化（控制成熟度高，控制成本低）

结论
因此，医疗保健机构不仅应考虑在大规模云转型项目中采用敏捷方法，还应在云转型期间（而非之后）开发强大的网络安全控制措施。采用敏捷的网络安全控制方法将更有可能设计出更完善、更易于操作的网络安全控制措施，从而使机构能够显著节省成本并提高投资回报。此外，敏捷方法在将敏捷性和灵活性原则融入机构的运营文化方面也发挥着至关重要的作用——这些优势通常在遵守复杂的医疗保健法规和合规要求的同时得以实现。

注意：所表达的观点仅代表作者本人，并不代表其雇主的观点或意见。