Lista de verificação de conformidade HIPAA e ferramentas a serem usadas

Se você está no setor de saúde ou de alguma forma envolvido com TI nesse setor, é provável que já tenha ouvido falar da HIPAA. O Health Insurance Portability Accountability Act existe há algumas décadas para ajudar a proteger os dados pessoais dos pacientes. Hoje, vamos dar uma olhada em profundidade no HIPAA e analisar um punhado de ferramentas que podem ajudá-lo a obter ou manter sua certificação HIPAA.

Começaremos explicando brevemente o que é HIPAA e, em seguida, nos aprofundaremos em alguns dos aspectos mais importantes do padrão e discutiremos algumas de suas regras primárias. A seguir, apresentaremos nossa lista de verificação de conformidade HIPAA. Uma lista de três etapas que você precisa seguir para alcançar e manter a conformidade com a HIPAA. E, finalmente, revisaremos algumas ferramentas que você pode usar para auxiliar em seus esforços de conformidade com a HIPAA.

HIPAA explicado

A Lei de Responsabilidade e Portabilidade de Seguro Saúde, ou HIPAA, foi introduzida em 1996 para regulamentar o manuseio de dados médicos. O princípio subjacente era o de salvaguardar os dados pessoais dos utilizadores do sistema de saúde. Mais precisamente, ele lida com informações de saúde protegidas (PHI) e informações de saúde protegidas eletronicamente (ePHI). Quando promulgados, os padrões de toda a indústria para tratamento de dados, cibersegurança e faturamento eletrônico foram colocados em prática.

Seu principal objetivo era - e ainda é - garantir que os dados médicos pessoais sejam mantidos em sigilo e só possam ser acessados ​​por quem precisa acessá-los. Concretamente, significa que todos os registros de pacientes mantidos por uma organização de saúde devem ser protegidos contra acesso por indivíduos ou grupos não autorizados. Embora não seja a única regra associada ao HIPAA, esta é de longe a mais importante e a ideia por trás dela é proteger os dados médicos contra o uso malicioso ou fraudulento.

Em nossa era de sistemas distribuídos e computação em nuvem, os pontos de acesso em potencial aos dados médicos são numerosos, tornando sua proteção uma questão complexa. Resumindo, todos os recursos e sistemas físicos e virtuais devem ser totalmente protegidos contra ataques em potencial para proteger totalmente os dados do paciente. A norma especifica quais práticas devem ser implementadas, mas, mais importante, requer a construção de uma infraestrutura de rede à prova d'água.

Além disso, qualquer organização que falhe em manter os dados protegidos em segurança enfrenta graves consequências financeiras. Multas de até US $ 50.000 por dia por práticas inadequadas podem ser aplicadas com um limite anual de US $ 1,5 milhão. Isso é o suficiente para abrir um buraco no orçamento de qualquer organização. E para complicar ainda mais, o cumprimento da normativa não é só preencher alguns formulários. Medidas concretas devem ser tomadas para proteger os dados de maneira eficaz. Por exemplo, o gerenciamento proativo de vulnerabilidades deve ser demonstrado.

Nas seções a seguir, entraremos em maiores detalhes sobre os principais elementos da conformidade da HIPAA com a meta para ajudá-lo a entender o máximo possível esse assunto complexo.

A regra de privacidade

No contexto da tecnologia da informação, a parte mais importante da HIPAA é a regra de privacidade. Ele especifica como o ePHI pode ser acessado e tratado. Por exemplo, ele exige que todas as organizações de saúde, provedores de planos de saúde e associados de negócios - mais sobre isso mais tarde - das entidades cobertas tenham procedimentos em vigor para proteger ativamente a privacidade dos dados do paciente. Isso significa que toda e qualquer entidade, desde o provedor original até os data centers que mantêm os dados e os provedores de serviços em nuvem que os processam, devem proteger os dados. Mas não para por aí, um parceiro de negócios também pode se referir a qualquer contratante que oferece serviços para a organização acima mencionada também deve ser compatível com HIPAA.

Embora seja claro que o requisito básico da HIPAA é proteger os dados do paciente, há outro aspecto. As organizações também devem apoiar os direitos que os pacientes têm sobre esses dados. Concretamente, existem três direitos específicos no âmbito da HIPAA que devem ser preservados. O primeiro é o direito de autorizar (ou não) a divulgação de seu sPHI. O segundo é o direito de solicitar (e obter) uma cópia de seus registros de saúde a qualquer momento. E, por fim, existe o direito do paciente de solicitar correções em seu prontuário.

Para dividir ainda mais, a regra de privacidade da HIPAA afirma que o consentimento é necessário do paciente para divulgar dados ePHI. No caso de um paciente solicitar acesso aos seus dados, as organizações têm 30 dias para responder. Deixar de responder a tempo pode deixar uma empresa aberta a responsabilidades legais e multas potenciais.

A regra de segurança

A regra de segurança HIPAA é uma subseção da regra anterior. Ele descreve como o ePHI deve ser gerenciado do ponto de vista da segurança. Basicamente, esta regra estabelece que as empresas devem “ implementar as salvaguardas necessárias ” para proteger os dados do paciente. O que torna esta regra uma das mais complexas de gerir e cumprir é a ambiguidade que decorre dos termos “salvaguardas necessárias”. Para tornar um pouco mais fácil de gerenciar e cumprir, esta regra HIPAA é subdividida em três seções principais: salvaguardas administrativas, salvaguardas técnicas e salvaguardas físicas. Vamos ver o que cada um acarreta.

Salvaguardas Administrativas

De acordo com a Regra de Segurança da HIPAA, as salvaguardas administrativas são definidas como “ações administrativas e políticas e procedimentos para gerenciar a seleção, desenvolvimento, implementação e manutenção de medidas de segurança para proteger as informações eletrônicas de saúde”. Além disso, a norma estabelece que a gestão da conduta da força de trabalho também faz parte dessa responsabilidade. Torna as organizações responsáveis ​​pelas ações de seus funcionários.

As salvaguardas administrativas indicam que as organizações devem implementar processos administrativos para controlar o acesso aos dados do paciente, bem como fornecer qualquer treinamento para permitir que os funcionários interajam com as informações de forma segura. Um funcionário deve ser nomeado para gerenciar as políticas e procedimentos da HIPAA a fim de gerenciar a conduta da força de trabalho.

Salvaguardas Físicas

Embora as salvaguardas administrativas tenham a ver com procedimentos e processos, o requisito de proteção física é diferente. Trata-se de proteger as instalações onde os dados do paciente são manuseados ou armazenados e os recursos que acessam esses dados. O controle de acesso é o aspecto mais importante desta seção da especificação HIPAA.

Em suma, o que você precisa é ter medidas para controlar o acesso ao local onde os dados do paciente são processados ​​e armazenados. Você também precisa proteger os dispositivos onde os dados são processados ​​e armazenados contra acesso não autorizado - usando métodos como autenticação de dois fatores, por exemplo - e você precisa controlar e / ou a movimentação de dispositivos dentro e fora das instalações.

Salvaguardas Técnicas

Esta seção trata das políticas e procedimentos técnicos associados à proteção dos dados do paciente. Esses dados podem ser protegidos de várias maneiras, incluindo, mas não se limitando a, autenticação, controles de auditoria, relatórios de auditoria, manutenção de registros, controle de acesso e logoffs automáticos, apenas para citar alguns deles. Além disso, devem ser tomadas medidas para garantir que os dados sejam sempre mantidos em segurança, independentemente de serem armazenados em um dispositivo ou movidos entre sistemas ou locais.

Para identificar os fatores de risco e ameaças à segurança dos dados ePHI, um exercício de avaliação de risco deve ser realizado. E não apenas isso, devem ser tomadas medidas concretas para fazer face aos riscos e / ou ameaças identificados. O aspecto de salvaguardas técnicas do HIPAA é provavelmente o mais complexo e é uma área onde a assistência de um consultor de conformidade HIPAA qualificado pode ajudar qualquer organização a garantir que nenhuma pedra permanecerá sobre pedra.

A regra de notificação de violação

A próxima regra importante da especificação HIPAA é a regra de notificação de violação. Seu objetivo é especificar como as organizações devem responder a violações de dados ou outros eventos de segurança. Entre outras coisas, afirma que, em caso de violação de dados, as organizações devem notificar os indivíduos, a mídia ou a Secretaria de Saúde e Serviços Humanos.

A função também define o que constitui uma violação. É descrito como “um uso ou divulgação inadmissível sob a regra de privacidade que compromete a segurança ou privacidade das informações de saúde protegidas”. A norma também estabelece que as organizações têm até 60 dias para notificar as partes necessárias. Vai ainda mais longe ao exigir que a referida notificação indique quais identificadores pessoais foram expostos, o indivíduo que utilizou os dados expostos e se os dados foram simplesmente visualizados ou adquiridos. Além disso, a notificação também deve especificar se o risco ou dano foi mitigado e como.

Outra parte integrante da regra de notificação de violação trata dos relatórios. Pequenas violações - aquelas que afetam menos de 500 indivíduos - devem ser relatadas por meio do site Health and Human Services anualmente. Violações maiores - aquelas que afetam mais de 500 pacientes - também devem ser relatadas à mídia. Com esses requisitos, rapidamente se torna óbvio que a chave para o sucesso de seus esforços de conformidade HIPAA é monitorar as violações de perto.

Nossa lista de verificação de conformidade HIPAA

OK. Agora que cobrimos as bases do que é HIPAA e quais são seus principais requisitos, compilamos uma lista de verificação das várias etapas que uma organização precisa realizar para atingir ou manter seu status de conformidade. Como indicamos anteriormente, é altamente recomendável solicitar a assistência de um profissional experiente em conformidade com a HIPAA. Isso não apenas tornaria o processo muito mais fácil e menos estressante, mas eles deveriam ser capazes de auditar completamente suas práticas e processos de segurança e identificar as áreas que podem se beneficiar com as melhorias.

1. Conclua uma avaliação de risco

O primeiro item desta breve lista de verificação, a primeira coisa que qualquer pessoa deve fazer ao se preparar para a conformidade com a HIPAA, é uma avaliação completa de seus riscos atuais e do estado de preparação. A razão pela qual você deve fazer isso primeiro é que seu status atual determinará quais etapas adicionais precisarão ser executadas para atingir a conformidade. Uma avaliação de risco global que determinará como os dados de PHI e ePHI são tratados permitirá que você descubra qualquer lacuna em suas políticas e procedimentos de segurança.

Este é o primeiro lugar onde um consultor externo faria maravilhas. Primeiro, ele normalmente virá com vasta experiência em prontidão para conformidade com a HIPAA, mas, e talvez mais importante, ele verá as coisas de um ponto de vista diferente. Além disso, esse consultor terá uma compreensão completa dos vários requisitos da HIPAA e como eles se aplicam à sua situação específica.

Assim que a fase de avaliação de risco for concluída, você terá uma lista de recomendações para ajudar a alcançar a conformidade. Você pode pensar nessa lista como uma lista de tarefas das próximas etapas. Nós simplesmente não podemos enfatizar o suficiente o quão importante é esta etapa. Será, mais do que qualquer coisa, o fator mais determinante do sucesso.

2. Corrija os riscos de conformidade e refine os processos

A segunda etapa é muito mais simples do que a primeira. O que você precisa fazer a seguir é seguir todas as recomendações da primeira etapa e abordá-las. Esta é a etapa em que você precisará alterar seus processos e procedimentos. Provavelmente, é aqui que você encontrará mais resistência dos usuários. O grau de resistência irá, é claro, variar dependendo de quão perto você esteve inicialmente, quantas mudanças devem ser feitas e a natureza exata dessas mudanças.

É uma boa ideia abordar primeiro o problema menor de conformidade. Por exemplo, implementar medidas básicas como treinar sua equipe em práticas básicas de segurança cibernética ou ensiná-los a usar a autenticação de dois fatores deve ser fácil e pode ajudar você a começar de maneira rápida e tranquila.

Depois de concluir as tarefas fáceis, você precisa definir metas de correção, pois elas o ajudarão a priorizar as tarefas restantes. Por exemplo, se os resultados das primeiras etapas mostram que você precisa implementar algum tipo de relatório de conformidade, é aqui que você começaria a comprar uma ferramenta com relatórios de conformidade automatizados. Esta é outra área em que um consultor externo pode poupar muito sofrimento, fornecendo alguns insights valiosos sobre quais mudanças você precisa implementar para atingir a conformidade.

3. Gerenciamento de risco contínuo

Você pode ficar tentado a pensar que atingir a conformidade com a HIPAA é um negócio único e que, uma vez que você conseguiu, está pronto. Infelizmente, isso não pode estar mais longe da verdade. Embora atingir a conformidade seja um esforço único, mantê-lo é um esforço diário. Você precisará gerenciar continuamente o risco e certificar-se de que os dados do paciente estão seguros e não foram acessados ​​ou adulterados de maneira não autorizada.

Concretamente, você desejará executar varreduras de vulnerabilidade regulares. Você também precisará ficar atento aos logs do sistema para detectar qualquer sinal de atividade suspeita antes que seja tarde demais. É aqui que os sistemas automatizados serão mais úteis. Enquanto um consultor externo era seu melhor ativo durante as duas primeiras fases, as ferramentas de software agora são o que você precisa. E por falar em ferramentas de software, temos algumas que gostaríamos de recomendar.

Algumas ferramentas para auxiliar na conformidade com HIPAA

Vários tipos de ferramentas podem ajudar em seus esforços de conformidade com a HIPAA. Dois deles são particularmente úteis. Em primeiro lugar, as ferramentas de gerenciamento e auditoria de configuração podem garantir que a configuração de seus sistemas atenda aos requisitos da HIPAA - ou de qualquer outra estrutura regulatória. Mas eles também podem manter uma vigilância constante sobre a configuração do seu equipamento e garantir que nenhuma alteração não autorizada seja realizada ou que qualquer alteração autorizada não viole a conformidade. Nossa lista apresenta algumas dessas ferramentas.

Outro tipo de ferramenta útil no contexto da conformidade HIPAA trata da detecção de violações de dados. Para isso, os sistemas de gerenciamento de eventos e informações de segurança (SIEM) proporcionarão a tranquilidade que você merece e garantirão que você seja notificado rapidamente caso algo suspeito aconteça. Nossa lista também inclui algumas ferramentas SIEM.

1. Monitor de configuração do servidor SolarWinds (AVALIAÇÃO GRATUITA)

Quando se trata de monitorar e auditar as configurações do servidor, o que você precisa é o SolarWinds Server Configuration Monitor ou SCM . Este é um produto poderoso e fácil de usar, projetado para fornecer rastreamento de alterações de servidor e aplicativo em sua rede. Como uma ferramenta de solução de problemas, pode fornecer as informações necessárias sobre as alterações de configuração e suas correlações com a redução do desempenho. Isso pode ajudá-lo a encontrar a causa raiz de alguns problemas de desempenho causados ​​por alterações na configuração.

• AVALIAÇÃO GRATUITA: SolarWinds Server Configuration Monitor
• Link oficial para download: https://www.solarwinds.com/server-configuration-monitor/registration

O SolarWinds Server Configuration Monitor é uma ferramenta baseada em agente, com o agente implantado em cada servidor monitorado. A vantagem dessa arquitetura é que o agente pode continuar coletando dados mesmo quando o servidor está desconectado da rede. Os dados são então enviados para a ferramenta assim que o servidor estiver online novamente.

Em termos de recursos, este produto não deixa nada a desejar. Além do que já foi mencionado, esta ferramenta detectará automaticamente os servidores elegíveis para monitoramento. Ele vem com perfis de configuração prontos para uso para os servidores mais comuns. A ferramenta também permitirá que você visualize inventários de hardware e software e faça relatórios sobre eles. Você pode integrar facilmente o SCM em sua solução de monitoramento de sistema graças à plataforma Orion da SolarWinds. Esta é uma ótima ferramenta que pode ser usada para monitorar seu servidor físico e virtual local, bem como seu ambiente baseado em nuvem.

Os preços do SolarWinds Server Configuration Monitor não estão prontamente disponíveis. Você precisará solicitar um orçamento formal da SolarWinds. No entanto, uma versão de avaliação de 30 dias está disponível para download.

2. SolarWinds Security Event Manager (AVALIAÇÃO GRATUITA)

Quando se trata de informações de segurança e gerenciamento de eventos, o SolarWinds Security Event Manager - anteriormente denominado SolarWinds Log & Event Manager - é o que você precisa. A ferramenta é melhor descrita como uma ferramenta SIEM de nível básico. É, no entanto, um dos melhores sistemas básicos do mercado. A ferramenta tem quase tudo que você pode esperar de um sistema SIEM. Isso inclui excelente gerenciamento de log e recursos de correlação, bem como um mecanismo de relatório impressionante.

• AVALIAÇÃO GRATUITA: SolarWinds Security Event Manager
• Link oficial para download: https://www.solarwinds.com/security-event-manager/registration

A ferramenta também possui excelentes recursos de resposta a eventos que não deixam nada a desejar. Por exemplo, o sistema de resposta detalhado em tempo real reagirá ativamente a todas as ameaças. E como é baseado no comportamento e não na assinatura, você está protegido contra ameaças desconhecidas ou futuras e ataques de dia zero.

Além de seu impressionante conjunto de recursos, o painel do SolarWinds Security Event Manager é possivelmente seu melhor ativo. Com seu design simples, você não terá problemas para orientar-se na ferramenta e identificar anomalias rapidamente. A partir de cerca de US $ 4.500, a ferramenta é mais do que acessível. E se você quiser experimentar e ver como funciona em seu ambiente, uma versão de avaliação gratuita e totalmente funcional por 30 dias está disponível para download.

3. Auditor Netwrix para Windows Server

O próximo em nossa lista é o Netwrix Auditor para Windows Server , uma ferramenta gratuita de relatórios do Windows Server que mantém você informado sobre todas as alterações feitas na configuração do Windows Server. Ele pode rastrear alterações como instalação de software e hardware, alterações em serviços, configurações de rede e tarefas agendadas. Este pedágio enviará resumos de atividades diárias detalhando todas as mudanças durante as últimas 24 horas, incluindo os valores de antes e depois de cada modificação.

A Netwrix afirma que o Netwrix Auditor para Windows Server é a “solução de monitoramento gratuito do Windows Server que você está procurando”. O produto complementa o monitoramento de rede nativa e as soluções de análise de desempenho do Windows. Ele tem várias vantagens sobre as ferramentas de auditoria internas disponíveis no Windows Server. Em particular, melhora a segurança e oferece recuperação, consolidação e representação de dados de auditoria mais convenientes. Você também apreciará a facilidade com que pode habilitar a auditoria de TI contínua com muito menos tempo e esforço e controlar as alterações com mais eficiência.

Por melhor que seja o Netwrix Auditor para Windows Server , ele é uma ferramenta gratuita com um conjunto de recursos um tanto limitado. Se quiser mais funcionalidade, experimente o Netwrix Auditor Standard Edition. Não é uma ferramenta gratuita, mas vem com um conjunto de recursos amplamente estendido. O bom é que, ao baixar gratuitamente o Netwrix Auditor para Windows Server, ele incluirá todos os recursos de seu irmão mais velho durante os primeiros 30 dias, permitindo que você tenha um gostinho dele.

4. Segurança do Splunk Enterprise

Splunk Enterprise Security - normalmente conhecido como Splunk ES - é provavelmente uma das ferramentas de SIEM mais populares. É especialmente famoso por seus recursos analíticos e, quando se trata de detectar violações de dados, é isso que conta. O Splunk ES monitora os dados do seu sistema em tempo real, procurando vulnerabilidades e sinais de atividade anormal e / ou maliciosa.

In addition to great monitoring, security response is another of Splunk ES’s best features. The system uses a concept called the Adaptive Response Framework (ARF) that integrates with equipment from more than 55 security vendors. The ARF performs automated response, speeding up manual tasks. This will let you quickly gain the upper hand. Add to that a simple and uncluttered user interface and you have a winning solution. Other interesting features include the Notables function which shows user-customizable alerts and the Asset Investigator for flagging malicious activities and preventing further problems.

Since Splunk ES is truly an enterprise-grade product, you can expect it to come with an enterprise-sized price tag. Pricing information is unfortunately not readily available from Splunk’s website so you will need to contact the company’s sales department to get a quote. Contacting Splunk will also allow you to take advantage of a free trial, should you want to try the product.

5. Quest Change Auditor

Quest Software is a well-known maker of network administration and security tools. Its server configuration monitoring and auditing tool is aptly called the Quest Change Auditor and it offers real-time security and IT auditing of your Microsoft Windows environment. What this tool gives you is complete, real-time IT auditing, in-depth forensics and comprehensive security monitoring on all key configuration, user and administrator changes for Microsoft Active Directory, Azure AD, Exchange, Office 365, Exchange Online, file servers and more. The Quest Change Auditor also tracks detailed user activity for logons, authentications and other key services across organizations, enhancing threat detection and security monitoring. It features a central console that eliminates the need for and complexity of multiple IT audit solutions.

One of this tool’s great features is the Quest Change Auditor Threat Detection, a proactive threat detection technology. It can simplify user threat detection by analyzing anomalous activity to rank the highest-risk users in your organization, identify potential threats and reduce the noise from false-positive alerts. The tool will also protect against changes to critical data within AD, Exchange and Windows file servers, including privileged groups, Group Policy objects and sensitive mailboxes. It can generate comprehensive reports for security best practices and regulatory compliance mandates, including GDPR, SOX, PCI-DSS, HIPAA, FISMA, GLBA and more. It can also correlate disparate data from numerous systems and devices into an interactive search engine for fast security incident response and forensic analysis.

The pricing structure of the Quest Change Auditor is rather complex as each monitored platform must be purchased separately. On the plus side, a free trial of the product is available for each supported platform.

In Conclusion

While achieving HIPAA compliance is a serious challenge, it is by no means impossible. In fact, it’s just a matter of following a few simple yet elaborate steps and surrounding you with the right people and the right technology to make it as easy as possible. Just keep in mind that some of the requirements od HIPAA may seem quite ambiguous. This is why we can only recommend that you get some help in the form of an expert consultant and dedicated software tools. That should help make the transition as smooth as can be.