O seguro contra erro médico é um recurso que os prestadores de serviços de saúde esperam nunca ter que usar. Como empresa líder em soluções de responsabilidade médica e gerenciamento de riscos, a ProAssurance oferece aos profissionais uma cobertura de total confiança nesses momentos críticos, e a segurança de identidades e dados é essencial para essa promessa.
“Temos o compromisso de proteger as informações dos nossos clientes e levamos essa confiança muito a sério”, afirma Robert Gwaltney, VP de segurança da informação. “Nossa força de trabalho sabe que deve tratar os dados dos clientes como se fossem seus próprios dados. Isso ajuda nossas equipes a pensar sobre os dados de forma diferente.”
No entanto, a configuração anterior da ProAssurance, que incluía soluções internas, dependia de processos manuais que não podiam ser ampliados conforme a empresa crescia nem atendiam com eficiência às necessidades de governança, como revisões de acesso e certificações. Além disso, a empresa utilizava soluções diferentes para funções diferentes: uma ferramenta para login único (SSO) e outra para autenticação multifatorial (MFA). Isso significava que o pessoal precisava usar nomes de usuário e senhas para se registrar separadamente em cada aplicativo, sobrecarregando a equipe de TI reduzida da ProAssurance, que precisava provisionar acesso em toda a plataforma. Além disso, esse procedimento resultava em pontos cegos de segurança e em uma experiência do usuário desarticulada.
A ProAssurance percebeu que a proteção de dados precisava começar com o gerenciamento de identidade e acesso (IAM). A equipe buscava uma plataforma que oferecesse uma estrutura de segurança de identidade unificada capaz de simplificar os processos de login, aplicar controles de gerenciamento de acesso e fornecer segurança de identidade de ponta a ponta. Agora, o IAM na ProAssurance começa e termina com a Okta.
Do acesso isolado a uma estrutura de segurança de identidade unificada
A jornada da ProAssurance com a Okta começou com a migração de soluções distintas para o Okta Workforce Identity, de modo a criar uma estrutura de segurança de identidade unificada e acesso seguro em todo o complexo ambiente de TI da empresa. O primeiro passo foi integrar a Okta ao Workday para estabelecer uma única fonte da verdade para as identidades de todos os usuários. Isso significa que todos os dados da força de trabalho, incluindo atributos de usuários e novas contratações, são sincronizados automaticamente pela Okta em todo o ecossistema de aplicativos da ProAssurance. Com as melhorias de eficiência, a equipe obteve resultados positivos imediatamente e lançou as bases para uma integração e experiências de usuário perfeitas.
Com a implementação da identidade unificada, novos usuários são inscritos automaticamente nas soluções de MFA, como o Okta Verify. Embora certos aplicativos sempre exijam MFA, a Okta busca reduzir a fadiga permitindo que a ProAssurance defina políticas dinâmicas em que os usuários não são desafiados repetidamente. Desde que estejam se autenticando de um dispositivo confiável e não tenham passado por mudanças significativas em sua rede ou localização, os usuários podem continuar trabalhando sem interrupções.
Enquanto isso, para fortalecer a segurança e reduzir o atrito do usuário, métodos de autenticação sem senha que são resistentes a phishing, como o Okta FastPass, estão disponíveis como opção para um número limitado de funcionários com acesso a hardware apropriado. Além de permitir experiências de usuário seguras e contínuas, a Okta garante a conformidade com o Regulamento de Segurança Cibernética do Departamento de Serviços Financeiros de Nova York (NYDFS).
A equipe também implementou o SSO para melhorar a experiência do usuário e permitir uma integração segura. O SSO funciona como um hub central para os usuários e oferece acesso imediato a aplicativos críticos com apenas um login. Essa experiência perfeita também se estende à equipe de TI, pois agora ficou fácil integrar novos apps do ecossistema ProAssurance no SSO. “Com a evolução da nossa pilha de tecnologia, as pessoas sempre perguntam se novos apps e ferramentas funcionarão com a Okta”, diz Gwaltney. “Quando os parceiros de negócios conhecem o produto pelo nome e solicitam a integração de suas ferramentas, você sabe que ele se tornou parte integrante da sua empresa.”
Automação da integração e das revisões de acesso para simplificar a segurança
Em relação à governança, o Okta Identity Governance (OIG) oferece à equipe um único local para gerenciar, monitorar e auditar o acesso, começando pela automação de todo o processo de integração e desligamento, com o Okta Workflows e o Lifecycle Management. Após confirmar os usuários por meio de procedimentos de verificação de identidade e adicioná-los ao Workday, uma série de Workflows cria automaticamente a conta Okta deles e provisiona acesso a todos os apps necessários para começar.
Para capacitar os usuários e, ao mesmo tempo, proteger o acesso sensível, um formulário de autoatendimento simplifica solicitações ad hoc para aplicativos restritos ou legados que não podem ser totalmente automatizados. Essas automações eliminaram mais de duas horas de trabalho manual da equipe de TI por nova contratação, garantindo que os novos funcionários se tornem produtivos mais rapidamente e que a equipe de TI possa se concentrar em tarefas mais importantes. “A concessão de acesso no primeiro dia se tornou um processo totalmente automatizado”, afirma Brian Foshee, engenheiro e arquiteto de sistemas. “A única tarefa prática é enviar o computador propriamente dito.”
A consolidação dos processos de integração com a Okta também auxilia nos procedimentos de fusões e aquisições. Anteriormente, quando a ProAssurance adquiria outra empresa, a equipe precisava mesclar manualmente as instâncias do Active Directory (AD). Com a Okta, é possível integrar o AD da nova organização desde o primeiro dia, economizando tempo e recursos significativos.
Além disso, o OIG aprimora a segurança e a conformidade com revisões e certificações de acesso, garantindo que o usuário tenha as permissões corretas. Antes da Okta, a ProAssurance usava um aplicativo web interno para essas revisões, precisando fazer o upload de todos os dados do usuário e a verificação manual do acesso do usuário para cada aplicativo de uma longa lista.
Agora, a equipe usa o OIG para automatizar os processos de revisão, o que tem ajudado a cumprir os requisitos de conformidade e reduzir o risco de violações de dados. Os Workflows concluem tarefas, desde a criação de um tíquete do ServiceNow até a revogação de acesso e a automação da remoção para aplicativos como Microsoft Teams e compartilhamentos de arquivos. “Antes, precisávamos de uma ou duas semanas para remover o acesso”, diz Foshee. “Com o OIG e os Workflows, isso é instantâneo.”
Essa remoção automatizada de acesso também ajuda a equipe da ProAssurance a passar menos tempo lidando com tíquetes de TI. Desde a implantação do OIG para desprovisionamento automatizado, o volume mensal de tíquetes de helpdesk relacionados à remoção de acesso foi reduzido em cerca de 85%. “Agora, nossa equipe não precisa fazer nada, a Okta revoga o acesso automaticamente quando necessário, o que diminui a quantidade de tempo e trabalho que nossa equipe de TI precisa gastar nesses processos”, explica Foshee.
Equilíbrio entre segurança e experiência do usuário com IAM nos bastidores
Pensando no futuro, a ProAssurance vai investir mais na Okta, para gerar melhores resultados de segurança e fortalecer sua estrutura de segurança de identidade. Isso inclui a implementação do Okta Device Access (ODA) para adicionar uma camada de segurança durante o login do dispositivo e atender às próximas mudanças nos requisitos do NYDFS. O ODA ajudará a garantir que os dispositivos dos usuários atendam aos padrões de alta segurança da empresa, além de fornecer uma experiência de login sem atrito nos dispositivos e apps.
“Do ponto de vista da segurança, é raro encontrar uma solução que além de ser mais fácil para o usuário, seja mais segura”, afirma Gwaltney. “É algo que não costuma acontecer, mas que se tornou possível graças à Okta.”
Sobre a ProAssurance
A ProAssurance é uma seguradora especializada líder no setor, com ampla experiência em seguros de responsabilidade profissional na área médica e de responsabilidade por produtos para tecnologia médica e ciências biológicas. Ela também é fornecedora de seguros de acidente de trabalho no leste dos EUA e recebeu a classificação “A” (Excelente) da AM Best. Para saber as últimas novidades sobre a ProAssurance, acesse proassurancegroup.com. O conteúdo para investidores está disponível em Investor.proassurance.com.
