apree health desarrolla su enfoque de seguridad

apree health , constituida por la fusión de Castlight Health y Vera Whole Health, tiene la misión de transformar el modo en el que los pacientes acceden y obtienen asistencia sanitaria, la forma en la que los proveedores brindan asistencia, y el modo en el que los empleadores y otros compradores pagan por la asistencia sanitaria. A medida que acelera la transformación de los pagos y la prestación de atención sanitaria mediante la tecnología y un modelo de asistencia clínica único, la empresa interactúa con la información sanitaria personal (PHI). Para garantizar el uso compartido rápido y seguro de esa información, apree recurre a soluciones de su partner de confianza, Akamai.

apree proporciona a las empresas y a sus empleados una plataforma de navegación sanitaria y una aplicación móvil que permiten a los pacientes encontrar una atención sanitaria asequible y de alta calidad, acceder a los detalles y las reclamaciones de su seguro médico, gestionar sus beneficios e incluso realizar un seguimiento de su salud. Dado que la plataforma y la aplicación de la empresa incluyen más de 100 integraciones de partners de API y más de 1000 integraciones de clientes de terceros, es esencial contar con una cultura vertical centrada en la seguridad que esté basada en prácticas recomendadas.

Como explica David Quisenberry, responsable sénior de seguridad de la información de apree, "La única forma de lograr mejores resultados sanitarios es a través del intercambio de información. Pero esa información es muy sensible y debe protegerse".

Esta seguridad es fundamental teniendo en cuenta los tipos y las tendencias de ataque actuales, incluidos los ataques de ingeniería social y a las API, que son posibles mediante bots a escala. Abordar la seguridad de forma integral y eficaz en un entorno de este tipo requiere una priorización e iteración continuas, al tiempo que se demuestra la existencia de medidas de protección sólidas.

Desafortunadamente, apree carecía de las soluciones adecuadas para capacitar a su equipo de operaciones de seguridad (SecOPS) en este sentido. Su firewall de aplicaciones web básico notificó al equipo posibles problemas, lo que llevó a SecOPS a investigar manualmente y determinar la mejor respuesta. Cuando la empresa experimentó una avalancha de Credential Stuffing a través de su aplicación móvil, el equipo se vio abrumado por el tiempo y el gasto necesarios para investigar, informar sobre posibles impactos y tomar medidas. 

Según Cat Schwan, analista sénior de seguridad de la información de apree, "Era como el juego de atrapar al topo. No pudimos mejorar nuestra estrategia de seguridad más allá de un instante".

La primera prioridad de apree fue prevenir los ataques a las API y bloquear las explotaciones asociadas. La configuración de las soluciones de protección de API y las aplicaciones de Akamai para satisfacer sus necesidades permitió a la empresa hacer precisamente eso. Con Akamai, el equipo de seguridad añade una capa de seguridad en la capa de encabezado HTTP de las API que se utilizan para las solicitudes POST y para las integraciones de partners. 

Al mismo tiempo, Akamai protege a la empresa y a su aplicación móvil de la avalancha de bots que causaron tanto trabajo y preocupación. Puesto que han pasado 18 meses desde que apree experimentó el último ataque de Credential Stuffing, ha logrado reducir significativamente los costes generales asociados a la solución de estas explotaciones. Y lo que es igual de importante, apree puede proteger con confianza los datos confidenciales que los consumidores, las empresas y los partners le confían. 

Además, Quisenberry explica: "Es fundamental que permitamos un acceso rápido y seguro a nuestra aplicación y guías de asistencia, y nuestro equipo de ingeniería está encantado con la capacidad de garantizar que sea fiable gracias a Akamai".

Aunque la prevención de los ataques a las API han sido la principal motivación para asociarnos con Akamai, apree también se ha beneficiado de diferentes maneras.

La confianza en la seguridad, junto con la capacidad de escalar según sea necesario, fue fundamental cuando apree (entonces Castlight Health) se asoció con el Boston Children’s Hospital (BCH) y los Centros para el Control y la Prevención de Enfermedades (CDC) para lanzar un buscador gratuito de vacunas contra la COVID-19. BCH contrató a Castlight para que creara la infraestructura tecnológica que impulsara una solución con datos actualizados sobre las vacunas contra la COVID-19, lo que se tradujo en la primera experiencia de contenido abierto que creó Castlight. La plataforma global de Akamai permitió garantizar automáticamente que el buscador de vacunas mostrara información precisa y actualizada.

"Akamai protegió nuestro back-end de los scrapers web no autorizados y nos permitió gestionar el enorme volumen de tráfico asociado a este proyecto de alto riesgo y alta visibilidad. También garantizó que no se robara la aplicación", afirma Schwan.

Las funciones de protección de aplicaciones que ha implementado apree, como la protección frente a ataques DDoS, la defensa del origen y la detección avanzada de bots, funcionan conjuntamente con su sistema de detección de intrusiones para una inteligencia sobre amenazas y una detección rápida de amenazas. Con las soluciones de Akamai como parte de esta pila, la empresa puede comprender los vectores de ataque de forma más rápida y sencilla.

Por ejemplo, cuando apree identificó los ataques de inyección, Akamai proporcionó protección y visibilidad inmediatas en el entorno de amenazas. "Akamai nos proporcionó la información que necesitábamos para priorizar nuestras vulnerabilidades y aplicar parches al 98 % de nuestras máquinas virtuales en un plazo de cinco días", afirma Quisenberry.

Además, Akamai ha demostrado ser integral cuando apree migra a Google Cloud para reforzar aún más su base de seguridad. Según Schwan, "Akamai ha facilitado mucho la migración cuando hemos cambiado nuestro entorno".

Una de las primeras victorias fue garantizar una seguridad más sólida de las aplicaciones web de Vera Whole Health durante la fusión con Castlight. "Fusionar esas aplicaciones en nuestro entorno fue increíblemente fácil", continúa Schwan.

De hecho, tanto Google Cloud como Akamai harán posible la automatización (por ejemplo, al realizar llamadas de API sólidas) que prevé nuestro equipo de seguridad y operaciones (SecOps). "El hecho de que Akamai posibilite el control automatizado de cambios es increíblemente valioso para nosotros, ya que permite a nuestros equipos establecer controles de seguridad y mostrar pruebas de ellos", continúa Schwan.

Al liberar al equipo para que se centre en seguir madurando las medidas de seguridad, Akamai ayuda a apree a avanzar con confianza hacia el futuro. "Akamai aporta la tecnología, la telemetría y la información que necesitamos para conseguir una arquitectura de seguridad ágil y automatizada", concluye Quisenberry.

apree health tiene la misión de crear la primera solución integral para el sector sanitario que redefina la experiencia de la asistencia sanitaria y transforme la forma en la que los pacientes acceden y obtienen asistencia sanitaria, la manera en la que los proveedores brindan asistencia, y la forma en la que los empleadores y otros compradores pagan por la asistencia sanitaria. apree health lo lleva a cabo combinando la mejor navegación de su clase y la información basada en datos, el modelo de atención primaria más avanzado y modelos de riesgo basados en el valor para obtener los resultados en el sector sanitario y mejorar la vida de las personas a las que presta servicio.

Akamai potencia y protege la vida online. Las empresas líderes de todo el mundo eligen Akamai para crear, proteger y ofrecer sus experiencias digitales, ayudando así a miles de millones de personas a vivir, trabajar y jugar cada día. Akamai Connected Cloud, plataforma de nube distribuida de forma masiva en el Edge, acerca las aplicaciones y las experiencias a los usuarios mientras mantiene las amenazas a raya. Para obtener más información acerca de las soluciones de cloud computing, seguridad y distribución de contenido de Akamai, visite akamai.com/es/es/ y akamai.com/blog, o siga a Akamai Technologies en X, antes conocido como Twitter, y LinkedIn.