Come eseguire la valutazione del rischio HIPAA

Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) richiede alle entità sanitarie di seguire il Health Insurance Portability and Accountability Act del 1996 (HIPAA). Questo atto richiede alle entità sanitarie di implementare politiche e procedure per salvaguardare la privacy e la sicurezza delle informazioni sanitarie protette (PHI) dei pazienti.

Un requisito fondamentale è eseguire valutazioni dei rischi. Questo articolo spiega i requisiti della valutazione dei rischi HIPAA e offre orientamenti sui passaggi coinvolti.

Cos'è una valutazione del rischio HIPAA?

HIPAA ha due componenti chiave:

• Regola sulla Sicurezza HIPAA (45 CFR Parte 160 e Sottoparti A e C della Parte 164) — Richiede alle entità coperte di proteggere le ePHI utilizzando le adeguate salvaguardie amministrative, fisiche e tecniche.
• Regola sulla Privacy (45 CFR Parte 160 e Sottoparti A ed E della Parte 164) — Regola chi può accedere alle PHI, come possono essere utilizzate e quando possono essere divulgate.

Un'analisi del rischio di sicurezza HIPAA è fondamentale per conformarsi a entrambe queste normative. Aiuta a identificare potenziali rischi e vulnerabilità per la riservatezza, disponibilità e integrità di tutte le PHI che la tua organizzazione genera, riceve, conserva o trasmette, e a implementare controlli appropriati per mitigare tali rischi.

La mia organizzazione è tenuta a condurre una valutazione del rischio HIPAA?

Le valutazioni del rischio HIPAA sono obbligatorie per qualsiasi entità coperta che genera, riceve, conserva o trasmette PHI, come centri medici e piani sanitari. Anche i business associate, i subappaltatori e i fornitori che interagiscono con qualsiasi ePHI devono condurre valutazioni del rischio HIPAA.

Dovreste condurre valutazioni della sicurezza HIPAA almeno una volta all'anno, così come ogni volta che vengono introdotti nuovi metodi di lavoro, tecnologie o significativi aggiornamenti ai sistemi IT esistenti.

Le organizzazioni coperte devono prendere seriamente il requisito della valutazione del rischio HIPAA. L'Ufficio per i Diritti Civili (OCR) può applicare multe da $100 a $50,000 per violazione o per record, fino a un massimo di $1.5 milioni all'anno, per ogni violazione.

Quali sono i passaggi di una valutazione del rischio HIPAA?

HIPAA non prescrive una specifica metodologia di analisi del rischio. Invece, le organizzazioni si riferiscono regolarmente a standard come NIST 800-30 per linee guida al fine di raggiungere e mantenere la HIPAA compliance. NIST SP 800-30 definisce le metodologie standard di valutazione del rischio per valutare l'efficacia dei controlli di sicurezza nei sistemi informativi.

In generale, condurre una valutazione del rischio HIPAA comporta i seguenti nove passaggi:

Passo 1: Determinare l'ambito della propria analisi del rischio.

Prima di tutto, è necessario determinare l'ambito della vostra analisi del rischio. Un'analisi del rischio HIPAA deve includere l'ePHI della vostra organizzazione, indipendentemente dalla sua origine, dalla sua ubicazione o dal supporto elettronico utilizzato per crearlo, riceverlo, mantenerlo o trasmetterlo.

Inoltre, l'analisi deve coprire tutti i rischi e le vulnerabilità “ragionevoli” per la riservatezza, l'integrità e la disponibilità di tali ePHI. Per “ragionevole” si intendono tutte le minacce alla HIPAA compliance che sono prevedibili, inclusi attori esterni malintenzionati, insider maliziosi e errori umani dovuti a mancanza di conoscenza o formazione.

Passo 2: Raccogliere i dati.

Successivamente, raccogliere informazioni complete e accurate sull'uso e la divulgazione dell'ePHI. Puoi farlo:

• Analizzando l'inventario dei progetti passati e attuali
• Esecuzione di interviste
• Revisione della documentazione
• Utilizzando altre tecniche di raccolta dati secondo necessità

Passaggio 3: Identificare potenziali minacce e vulnerabilità.

Quindi analizzare le minacce e le vulnerabilità per ogni pezzo di dati regolamentati. Includere tutte le minacce ragionevolmente prevedibili.

Le minacce identificate dovrebbero includere fattori unici per il tuo ambiente di sicurezza. Ad esempio, se utilizzi Amazon Web Services (AWS) come soluzione cloud, dovresti identificare i rischi di sicurezza associati ad AWS.

Passaggio 4: Valuta le tue attuali misure di sicurezza.

Documentate le salvaguardie e le misure che avete già implementato per mitigare i rischi per il vostro ePHI. Assicuratevi di includere le seguenti misure:

• Misure tecniche come il controllo degli accessi, autenticazione, crittografia, disconnessione automatica, auditing e altri controlli hardware e software.
• Misure non tecniche, che sono controlli operativi e gestionali come politiche, procedure e misure di sicurezza fisica o ambientale.

Analizzate la configurazione e l'uso di ogni misura di sicurezza per determinarne l'adeguatezza e l'efficacia. Questo vi aiuterà a ridurre i rischi associati a ogni misura di sicurezza.

Passaggio 5: Determinare la probabilità di occorrenza della minaccia.

Valutate la probabilità che una minaccia possa innescare o sfruttare una specifica vulnerabilità e valutate ogni possibile combinazione di minaccia e vulnerabilità. Le strategie comuni per esprimere la probabilità di occorrenza includono l'uso di categorie come Alta, Media e Bassa, o l'assegnazione di un peso numerico specifico.

Passaggio 6: Determinare l'impatto potenziale di ogni occorrenza di minaccia.

Dettagliare i possibili esiti di ogni minaccia ai dati, come:

• Accesso o divulgazione non autorizzati
• Perdita permanente o corruzione
• Perdita temporanea o indisponibilità
• Perdita del flusso di cassa finanziario
• Perdita di beni fisici

Stima e documenta l'impatto di ogni risultato. Le misure possono essere qualitative o quantitative.

Passaggio 7: Identificare il livello di rischio.

Analizzate i valori assegnati alla probabilità e all'impatto di ogni minaccia. Quindi, assegnate un livello di rischio basato sulla probabilità e sul livello di impatto assegnati.

Passaggio 8: Determinare le misure di sicurezza appropriate e finalizzare la documentazione.

Identificate le potenziali misure di sicurezza che potreste utilizzare per ridurre ciascun rischio ad un livello ragionevole. Considerate l'efficacia della misura, i requisiti normativi per l'attuazione e qualsiasi requisito di politica e procedura organizzativa. Ricordatevi di documentare tutti i risultati.

Passaggio 9: Rivedere e aggiornare periodicamente la valutazione dei rischi.

Infine, sviluppare una politica che descriva ogni quanto condurre valutazioni del rischio. Si dovrebbe eseguirne una almeno annualmente. Inoltre, si dovrebbe aggiornare la valutazione quando si verifica un cambiamento, come nei sistemi di sicurezza dell'organizzazione, nei livelli di autorità e rischio o nelle politiche. Registrare ogni cambiamento nella cronologia delle revisioni alla fine della valutazione.

Consigli per rendere la tua valutazione del rischio HIPAA efficace

Le valutazioni del rischio HIPAA possono essere difficili da eseguire, specialmente se si dispone di un piccolo team e di risorse limitate. Tenete presenti questi consigli quando implementate le valutazioni del rischio HIPAA:

• Scegli una persona di riferimento per essere responsabile della valutazione.
• Comprendi che puoi eseguire la valutazione internamente oppure esternalizzarla a un esperto HIPAA. Esternalizzare la valutazione può permettere di completare le attività di analisi e pianificazione più velocemente.
• Ricordate lo scopo della valutazione del rischio HIPAA. Non si tratta di un'auditoria — piuttosto, mira ad aiutarvi a identificare, dare priorità e mitigare i rischi.
• Assicurati che la tua documentazione sia conforme agli standard HIPAA. Registra tutte le procedure e le politiche, verifica che siano accurate e rendile centralmente disponibili.
• Ricorda che sei tenuto a ripetere il processo di valutazione almeno annualmente.
• Tenete presente i requisiti di notifica HIPAA, come la regola di notifica delle violazioni. Questa regola richiede alle organizzazioni di notificare il Segretario HHS se una violazione interessa 500 o più individui.
• Fornire a tutti i membri dello staff formazione sulle pratiche di conformità HIPAA e sui requisiti di notifica.

Come può Netwrix aiutare?

Netwrix’s HIPAA compliance software helps you achieve and prove HIPAA compliance. In particular, it enables you to conduct the risk assessments required by HIPAA to protect against cybersecurity threats. For example, HIPAA requires organizations to assess the risks to their information systems and act on the findings, and the Netwrix solution empowers you to examine the configuration of your information systems and identify risks in account management, data governance and security permissions.

Ancora meglio, la funzionalità HIPAA della soluzione Netwrix va ben oltre le valutazioni dei rischi. In modo critico, ti permette di individuare minacce attive in tempo per prevenire incidenti di sicurezza, violazioni e interruzioni aziendali. Inoltre, a differenza di molti altri strumenti di audit, la soluzione Netwrix include report di conformità pre-costruiti corrispondenti ai requisiti di HIPAA e altre normative comuni, risparmiando tempo e sforzo significativi durante la preparazione della conformità.

FAQ

Qual è la differenza tra un'analisi del rischio di sicurezza HIPAA e una valutazione della conformità HIPAA?

La valutazione regolare del rischio è uno dei requisiti del mandato HIPAA. Una valutazione della conformità HIPAA valuta la vostra aderenza a tutti i requisiti HIPAA.

Quando è necessaria una valutazione del rischio HIPAA?

Le valutazioni del rischio HIPAA sono obbligatorie per qualsiasi entità che crea, riceve, trasmette o conserva informazioni sanitarie protette (PHI), come piani sanitari e centri medici.

Quanto spesso si dovrebbero rivedere le valutazioni del rischio HIPAA?

Anche se l'HIPAA non specifica con quale frequenza si dovrebbero condurre le valutazioni dei rischi HIPAA, è consigliabile eseguire le valutazioni HIPAA almeno una volta all'anno, così come ogni volta che si introducono nuovi metodi di lavoro, si aggiornano i sistemi IT esistenti o si aggiungono nuove tecnologie.