Isenção de responsabilidade: este artigo não é uma obra-prima sobre privacidade de dados nem aconselhamento jurídico para sua empresa usar no cumprimento de leis de privacidade de dados como a HIPAA. Em vez disso, ele fornece informações básicas para ajudar você a entender melhor como a CrowdStrike tratou de alguns temas jurídicos importantes. Essas informações jurídicas não funcionam como orientação jurídica, em que um advogado aplica a lei às suas circunstâncias específicas. Por isso, insistimos que você consulte um profissional se quiser obter orientações sobre sua interpretação dessas informações ou sua precisão. Em suma, você não pode confiar neste artigo como orientação jurídica nem como recomendação de qualquer entendimento jurídico específico.
Regra de Segurança da HIPAA
Criados sob a HIPAA (Lei de Portabilidade e Responsabilidade do Seguro Saúde) de 1996, os Padrões de Segurança para a Proteção de Informações Eletrônicas de Saúde Protegidas, também conhecidos como Regra de Segurança, visam proteger os PHIs (protected health information, dados pessoais de saúde) das pessoas em formatos eletrônicos.
Os PHIs compreendem informações de saúde que podem ser usadas para identificar um indivíduo e também podem incluir informações demográficas, históricos médicos, registros de saúde físicos e eletrônicos e detalhes de seguros.
O que é a Regra de Segurança da HIPAA?
A Regra de Segurança da HIPAA especifica padrões de segurança para proteger os ePHIs (electronic personal health information, dados eletrônicos pessoais de saúde) de indivíduos que são recebidos, usados, mantidos ou transmitidos por entidades cobertas e seus associados comerciais.
Além de aderir à Regra de Segurança da HIPAA, as entidades e os parceiros comerciais cobertos também devem cumprir os Padrões de Privacidade de Dados Individuais de Saúde Identificáveis, também conhecidos como a Regra de Privacidade da HIPAA. O não cumprimento de ambas as legislações pode levar a diversas penalidades civis ou criminais.
Saiba mais
Leia este artigo para saber mais sobre a infinidade de frameworks projetados para proteger dados confidenciais usados em organizações, garantindo que os dados sejam usados de maneira segura e compatível.
Para atender aos requisitos da Regra de Segurança da HIPAA, é necessário implementar proteções administrativas, técnicas e físicas para ajudar os provedores de saúde a prevenir a perda de dados e preservar a confidencialidade dos ePHIs. Vamos analisar mais de perto cada tipo de proteção.
Proteções administrativas
As proteções administrativas abordam muitos aspectos que regem a proteção dos ePHIs, como ações internas, políticas e procedimentos. Elas também especificam como o funcionário deve tratar as informações de saúde de um indivíduo. Há nove padrões a serem seguidos, conforme você verá abaixo.
O processo de gerenciamento da segurança
O processo de gerenciamento da segurança visa prevenir e corrigir violações de segurança por meio da implementação de políticas. Ele abrange as seguintes especificações:
- Análise de riscos
- Gerenciamento de riscos
- Política de sanções
- Revisão da atividade do sistema de informação
Responsabilidade de segurança atribuída
Responsabilidade de segurança atribuída refere-se às responsabilidades do pessoal de cibersegurança que implementa a Regra de Segurança da HIPAA e desenvolve todas as políticas e procedimentos exigidos por ela. O funcionário designado pode preencher tanto o cargo de diretor de segurança quanto o de diretor de privacidade.
Segurança da força de trabalho
Esta política garante que todos os funcionários cobertos tenham acesso aos ePHIs. Ela também abrange procedimentos de liberação e rescisão para gerenciar as informações privadas de um indivíduo. A política garante que usuários e sistemas de computador tenham permissões para visualizar os ePHIs.
Gerenciamento do acesso às informações
Assim como a segurança da força de trabalho, o gerenciamento do acesso às informações autoriza o acesso dos funcionários aos ePHIs. Ele segue o princípio do privilégio mínimo, no qual somente agentes verificados têm acesso aos dados em um momento específico.
Treinamento de conscientização sobre segurança
Proteções administrativas ou outras políticas de cibersegurança são ineficazes sem conhecimento operacional. O treinamento de conscientização sobre segurança mantém a equipe de saúde atualizada sobre os procedimentos relevantes de cibersegurança. Ele também ajuda a definir a responsabilidade do funcionário na aplicação da Regra de Segurança da HIPAA. Geralmente, o treinamento abrange:
- Lembretes de segurança
- Como se proteger contra software malicioso
- Monitoramento de logins
- Gerenciamento de senhas
Expert Tip
Siga as dicas deste guia sobre como criar um programa abrangente de treinamento em cibersegurança para funcionários, para garantir que eles fiquem cientes e atualizados sobre os procedimentos de cibersegurança mais relevantes.
Procedimentos de incidente de segurança
Incidentes são definidos como “tentativa ou sucesso de acesso autorizado, uso, divulgação, modificação ou destruição de informações ou interferência nas operações do sistema em um sistema de informação”. Esse padrão define o procedimento para identificar e conter incidentes de segurança.
O plano de contingência
O plano de contingência é uma proteção administrativa que ajuda a garantir que os dados ePHIs fiquem disponíveis até mesmo quando ocorrem emergências (por exemplo, incêndio, vandalismo, desastres naturais, falhas no sistema). Os padrões do plano de contingência incluem:
- Um plano de backup de dados
- Um plano de recuperação de desastres
- Um plano de operação no modo de emergência
- Procedimentos de teste e revisão
- Análise de criticidade de aplicações e dados
Avaliação
O processo de monitoramento e avaliação de sistemas sob a Regra de Segurança é chamado de avaliação — um processo contínuo que monitora o ambiente que afeta a segurança dos ePHIs.
Contratos de parceiros comerciais e outros acordos
Os parceiros comerciais de organizações que cumprem as Regras de Segurança e Privacidade da HIPAA podem precisar fornecer garantias por escrito da proteção dos ePHIs.
Proteções físicas
As proteções físicas gerenciam o aspecto de segurança da informação da Regra de Segurança da HIPAA. Elas protegem a estrutura física e os dispositivos nos quais você armazena os ePHIs. Não se trata de uma abordagem única, pois as medidas físicas específicas dependem do tamanho da organização e da natureza da prática de saúde. Em geral, as proteções físicas cobrem algumas áreas.
Controles de acesso às instalações
As instalações são obrigadas a gerenciar o acesso ao local no qual as informações dos pacientes estão fisicamente localizadas. Este requisito identifica os indivíduos, os métodos (travas de portas, agentes de segurança, monitoramento por vídeo etc.) e as operações de contingência para controlar o acesso às instalações físicas. A política aborda:
- O plano de segurança da instalação
- Procedimentos de controle de acesso e validação
- Registros de manutenção
Uso da estação de trabalho e segurança do dispositivo
A segurança da estação de trabalho considera o uso e a segurança de computadores e ferramentas do local de trabalho para armazenar os ePHI. Os requisitos de segurança da HIPAA consideram o ambiente, o fluxo de trabalho e o tipo de força de trabalho (local ou externa) que pode acessar os ePHI.
Da mesma forma, os padrões de dispositivos explicam como lidar com mídia eletrônica e sistemas de hardware que contêm ePHI dentro e fora do local de trabalho. Como requisito essencial, a segurança do dispositivo gerencia o descarte e a reutilização de mídia eletrônica. O descarte de mídia especifica os métodos para apagar dados, enquanto a reutilização de mídia define o procedimento para reutilização de mídia eletrônica que armazena ePHI.
Outros requisitos de segurança do dispositivo:
- Responsabilidade (os registros de hardware e mídia eletrônica).
- Backup e armazenamento (criação de cópias acessíveis de ePHI).
Proteções técnicas
Este é o aspecto técnico das proteções da Regra de Segurança da HIPAA. As proteções técnicas resguardam a tecnologia que armazena dados de pacientes. Elas não especificam quais soluções tecnológicas as entidades devem usar, mas descrevem os aspectos específicos que as ferramentas tecnológicas devem proteger.
Para implementar as proteções técnicas, você precisa atender aos padrões a seguir.
Controles de acesso e auditoria
Os controles de acesso permitem que somente as pessoas/programas de software aos quais foram concedidos direitos de acesso possam fazê-lo. O padrão ajuda as organizações a identificar e rastrear as atividades dos usuários. Os controles de acesso também incluem procedimentos de emergência para recuperação de ePHI. O logoff automático (uma política para encerrar sessões eletrônicas) juntamente com os processos de criptografia e descriptografia são outros requisitos que constituem controles de acesso.
Os controles de auditoria fornecem relatórios abrangentes sobre atividades de software e hardware relacionadas aos ePHI, ajudando as organizações a saber quando usuários específicos acessam determinados arquivos.
Controles de autenticação e integridade
As proteções técnicas também abordam autenticação e integridade. A autenticação garante que a identidade ou as credenciais de um usuário estejam corretas, enquanto a integridade protege os ePHI contra alterações, destruição ou corrupção não autorizadas.
Se a sua organização trabalha com dados de pacientes, ela deve implementar plataformas tecnológicas que verificam automaticamente a integridade dos dados, como verificação de soma de controle ou assinaturas digitais. O padrão também exige a MFA (autenticação multifatorial) como uma forma de verificar novamente a identidade de um usuário antes de lhe conceder acesso a sistemas internos.
Segurança da transmissão
A segurança da transmissão protege os ePHI em movimento. Ela abrange a proteção de e-mail, navegador e rede de endpoint. Os principais requisitos de segurança da HIPAA aqui são controles de integridade e criptografia. O primeiro impede a modificação dos dados enquanto eles estão em uso, enquanto o último garante a proteção dos dados durante a transmissão por meio de um código secreto.
Saiba mais
Leia este artigo para entender melhor a importância da conformidade de dados e como sua organização pode garantir estar atualizada com todos os padrões e regulamentações.
CrowdStrike e HIPAA
Embora a implementação da Regra de Segurança da HIPAA ofereça muitos benefícios, manter a conformidade pode ser desafiador para organizações de saúde e outras entidades cobertas. Os obstáculos incluem ameaças internas e externas, conforme reportado por uma pesquisa de 2016 da HealthITSecurity.
Normalmente, é implicitamente confiável que funcionários ou pessoas de dentro da empresa acessem sistemas e aplicações para que possam ser mais produtivos, principalmente quando trabalham de forma remota. No entanto, o acesso irrestrito também abre portas para lacunas de cibersegurança que podem ser exploradas. Além disso, as ameaças podem nem mesmo ter intenção maliciosa; elas podem ser simplesmente erros. Por exemplo, um recente Relatório de Investigações sobre Comprometimento de Dados da Verizon afirmou que funcionários do setor de saúde têm duas vezes e meia mais probabilidade de acessar por engano dados que não deveriam, em vez de abusar maliciosamente de seu acesso.
A implementação de soluções como o CrowdStrike Falcon® pode ajudar as organizações de saúde a prevenir, detectar e responder a incidentes de cibersegurança, protegendo seus ePHI contra APTs (advanced persistent threats, ameaças persistentes avançadas), ransomware e outras ameaças. O Falcon combina NGAV (antivírus de próxima geração) e EDR (detecção e resposta de endpoint) para proteger dados. Além disso, o Falcon® Device Control pode impor o uso seguro do dispositivo e a responsabilização. O Device Control fornece visibilidade contextual de dispositivos USB, ajudando a evitar divulgação indesejada ou manipulação dos ePHI. Além disso, você pode até bloquear o próprio dispositivo, evitando acesso não autorizado aos dados ou a introdução de software malicioso. O Falcon Fusion, parte da plataforma CrowdStrike Falcon®, automatiza os complexos fluxos de trabalho de resposta a incidentes, reduzindo o tempo médio para remediar incidentes. As empresas também buscam adotar firewalls compatíveis com a HIPAA e políticas de criptografia para um monitoramento de rede eficaz.
Independentemente da política interna de cibersegurança, os incidentes de segurança são inevitáveis. Surge então a necessidade de planos de resposta a incidentes para mitigar rapidamente os incidentes de segurança e ataques envolvendo os ePHI. O CrowdStrike Falcon® fornece um plano de IR (resposta a incidentes) para identificar, conter e responder a incidentes e ataques envolvendo ePHI, de acordo com os princípios da HIPAA. Também oferece conectores para integração de ferramentas de SIEM (gerenciamento e correlação de eventos de segurança) com o CrowdStrike Falcon®, permitindo o rastreamento de dados e a detecção de anomalias de segurança em tempo real.
No geral, sua abordagem para a conformidade com a Regra de Segurança da HIPAA deve ser holística, garantindo que você cumpra todos os requisitos e proteções sem abrir mão dos objetivos e metas comerciais da sua empresa.
Narendran é Diretor de Marketing de Produtos para Proteção de Identidade e Zero Trust na CrowdStrike. Ele tem mais de 17 anos de experiência na condução de estratégias de marketing de produtos e GTM em startups de cibersegurança e grandes empresas, como HP e SolarWinds. Anteriormente, foi Diretor de Marketing de Produtos na Preempt Security, que foi adquirida pela CrowdStrike. Narendran possui mestrado em Ciência da Computação pela Universidade de Kiel, Alemanha.
