Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Principais Requisitos e Padrões de Segurança de Dados da HIPAA

Principais Requisitos e Padrões de Segurança de Dados da HIPAA

Dec 10, 2019

A HIPAA exige que as organizações de saúde protejam as informações de saúde protegidas eletrônicas (ePHI) por meio de regras de privacidade e segurança que reforçam a confidencialidade, integridade e disponibilidade. A conformidade exige controles de acesso, criptografia, auditoria e treinamento da força de trabalho, bem como salvaguardas contra violações, exfiltração e ransomware. Estruturas como NIST e HITRUST ajudam as organizações a alinhar controles, gerenciar riscos e demonstrar responsabilidade pela proteção de dados de saúde sensíveis.

Toda organização, independentemente do setor de mercado ou tamanho do negócio, deve proteger seus dados para minimizar data leakage e outros incidentes de segurança. A importância da data security na área da saúde é ampliada pela necessidade de cumprir com o Health Insurance Portability and Accountability Act (HIPAA). Este artigo descreve estratégias e táticas de proteção de dados que organizações de saúde podem usar para comply with the key provisions of HIPAA, e explora as ameaças mais comuns à segurança de dados na saúde.

Regras de segurança e privacidade de dados HIPAA

Contexto

Profissionais técnicos em organizações de saúde são responsáveis por proteger as informações de saúde contra ameaças de segurança e riscos de segurança. Tanto hackers externos quanto insiders mal-intencionados estão constantemente tentando obter acesso a informações de saúde protegidas eletronicamente (e-PHI), geralmente buscando lucro com a venda das informações, roubo de identidade ou chantagem. Informações de saúde protegidas compreendem todas as informações relacionadas à saúde passada, presente ou futura de uma pessoa (mental ou física). Isso inclui dados sobre serviços médicos prestados, pagamentos por cuidados de saúde e benefícios de seguro de saúde.

A HIPAA foi promulgada em 1996 para obrigar as organizações de saúde a melhorarem sua segurança de dados. Ela inclui múltiplos requisitos que regem como as organizações de saúde devem trabalhar com informações de saúde. Por exemplo, elas devem proteger a privacidade das informações de saúde pessoal restringindo o uso ou divulgação dessas informações sem autorização do paciente.

HIPAA inclui dois componentes-chave: a Regra de Privacidade e a Regra de Segurança.

Conteúdo relacionado selecionado:

Regra de Privacidade

A Regra de Privacidade da HIPAA regula quem pode ter acesso ao PHI e como ele pode ser utilizado e divulgado. Os requisitos principais são os seguintes:

  • Você deve implementar políticas e procedimentos que restrinjam o acesso e o uso de informações de saúde protegidas com base nos papéis dos funcionários. As informações de saúde protegidas não devem ser acessíveis a nenhum funcionário que não precise de acesso, como um gerente de escritório ou um segurança
  • Você deve implementar políticas e procedimentos que limitem o uso e a divulgação de PHI ao mínimo necessário. Por exemplo, se uma companhia de seguros precisa do nome de uma pessoa, número do Seguro Social e detalhes do seu procedimento médico mais recente, a regra de privacidade exige que você não envie todo o prontuário médico da pessoa.
  • Você deve obter a autorização por escrito de uma pessoa antes de divulgar suas informações de saúde protegidas. Por exemplo, se você planeja enviar informações de saúde pessoal para uma empresa farmacêutica, precisa obter a autorização por escrito da pessoa primeiro.

Existem potenciais penalidades civis e criminais por não cumprir a Regra de Privacidade da HIPAA. Embora alguns estados tenham suas próprias regras, a HIPAA é um requisito federal que prevalece sobre regras estaduais conflitantes. As entidades cobertas pela HIPAA incluem não apenas prestadores de serviços de saúde como hospitais e casas de repouso, mas também planos de saúde (companhias de seguro saúde, HMOs, etc.) e casas de compensação de saúde (entidades que processam informações de saúde que recebem de outras entidades).

Regra de Segurança HIPAA

A Regra de Segurança HIPAA exige que as organizações de saúde protejam as informações de saúde eletrônicas (ePHI) usando salvaguardas administrativas, físicas e técnicas apropriadas. Especificamente, a Regra de Segurança exige que as entidades cobertas façam o seguinte:

  • Garanta a confidencialidade, integridade e disponibilidade de todas as informações de saúde eletrônicas protegidas (e-PHI) que criam, recebem, mantêm ou transmitem. Esta regra exige que você garanta a confidencialidade, integridade e disponibilidade dos dados (CIA, ou o “CIA triad”). Vamos analisar os componentes da regra individualmente:
    • Confidencialidade. Você pode ajudar a garantir a confidencialidade implementando controles de segurança como listas de controle de acesso (ACLs) e criptografia. A criptografia oferece maior segurança e confidencialidade do que ACLs. Outros controles de segurança ou softwares são frequentemente adicionados sobre ACLs e criptografia; estes podem incluir software de gerenciamento de configuração, software de monitoramento e alerta, e software de auditoria.
    • Integridade. Integridade de dados significa que os dados não foram alterados. Por exemplo, se um ataque man-in-the-middle intercepta e altera dados antes de enviá-los ao seu destino original, os dados não possuem integridade. Uma maneira de garantir a integridade é usar uma assinatura digital ou um hash. Para dados armazenados em bancos de dados, você precisa garantir a integridade da entidade, a integridade referencial e o domínio
    • Disponibilidade. Às vezes as pessoas esquecem que a disponibilidade é um elemento chave da segurança dos dados. Para garantir que as pessoas possam acessar os dados de que precisam, as organizações podem implementar várias soluções, como replicação do centro de dados primário para um secundário. Balanceadores de carga, hardware redundante e outras estratégias também podem ajudar a garantir alta disponibilidade.

Conteúdo relacionado selecionado:

  • Identifique e proteja contra ameaças razoavelmente antecipadas à segurança ou integridade das informações protegidas. Esta regra requer alguma interpretação. Muitas organizações erram pelo excesso de cautela e incluem o maior número possível de ameaças, chegando ao ponto de incluir toda a sua cadeia de suprimentos ou restringir o uso de dispositivos móveis em certas áreas de suas instalações. Esta interpretação estrita ajuda a garantir que cumpram os requisitos da regra de segurança. Em qualquer caso, ameaças razoáveis certamente incluem modificação indevida de dados, acesso não autorizado a dados e dados Estas e outras ameaças são discutidas com mais detalhes mais adiante neste artigo.
  • Proteja-se contra usos ou divulgações impermissíveis razoavelmente antecipáveis. Esta regra também está aberta a interpretação. É razoável antecipar que um funcionário possa revelar informações de saúde protegidas a um amigo do paciente? Um médico poderia relatar alguns registros de pacientes ou detalhes de saúde do paciente à mídia se uma celebridade estiver sendo tratada? Esta regra pode exigir que você considere tais casos.
  • Garanta a conformidade por parte da sua força de trabalho. Esta regra abrange algumas das salvaguardas administrativas necessárias para aderir à Regra de Segurança. Para garantir a conformidade, você precisa educar sua força de trabalho. Eles devem entender em um nível alto o que é o HIPAA e o papel que desempenham na conformidade, bem como as políticas e procedimentos de segurança da sua organização. Treinamentos repetidos ao longo do ano são necessários para garantir que os funcionários aprendam sobre novos requisitos ou métodos. Certifique-se também de implementar testes regulares, e de dar seguimento com treinamentos adicionais para os indivíduos que precisarem.

Regra de Execução HIPAA

Além da Regra de Privacidade e da Regra de Segurança, você também deve estar familiarizado com a HIPAA Enforcement Rule, que trata da conformidade, investigações e penalidades.

HITECH Act

A Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH) amplia o escopo da HIPAA. Promove o uso de registros eletrônicos de saúde, aumenta a responsabilidade por não conformidade, regula a notificação de violação e exige que certos associados comerciais de organizações cobertas pela HIPAA cumpram com a HIPAA.

Estratégias para Conformidade com HIPAA

Claramente, HIPAA compliance é uma tarefa complexa e os riscos de falha são altos. Existem múltiplos recursos que podem ajudar você a alcançar e manter um ambiente de TI compatível com o HIPAA, como HIPAA Software.

O Instituto Nacional de Padrões e Tecnologia (NIST) estabelece padrões nacionais e oferece recursos gratuitos de segurança de TI, como frameworks como o NIST Cybersecurity Framework. O seu guia introdutório pode ajudar sua organização a cumprir com a Regra de Segurança HIPAA.

A Health Information Trust Alliance (HITRUST) é uma organização sem fins lucrativos cuja missão é ajudar as organizações a protegerem seus dados sensíveis. Seu Common Security Framework (CSF) é um quadro que facilita para as organizações o cumprimento da HIPAA e outras leis, e oferece boa interoperabilidade com outros quadros e padrões. Embora a HIPAA não seja um padrão certificável, as organizações de saúde podem tornar-se certificadas pela HITRUST.

Conteúdo relacionado selecionado:

Maiores ameaças à segurança dos dados de saúde

A indústria da saúde enfrenta muitas das mesmas ameaças à segurança dos dados que outros setores. A principal diferença é que, para as organizações de saúde, os dados de saúde geralmente são o alvo final, em vez de segredos comerciais ou registros financeiros. Aqui estão as principais ameaças e possíveis incidentes de segurança:

  • Violação de dados. Em geral, quando alguém acessa informações sem autorização, trata-se de uma data breach, seja a pessoa um insider com intenções maliciosas, um hacker ou apenas um funcionário excessivamente curioso. No entanto, os seguintes casos de divulgação de PHI não são considerados data breaches sob o HIPAA:
    • Uma pessoa acessa ou usa acidentalmente as informações de saúde protegidas (PHI) “de boa fé e dentro do escopo de autoridade” e não divulga mais as PHI de maneira não permitida pela HIPAA Privacy Rule.
    • Uma pessoa autorizada divulga acidentalmente PHI com outra pessoa autorizada na mesma organização e não divulga mais o PHI de maneira que não esteja em conformidade com a Regra de Privacidade.
    • Uma pessoa autorizada divulgou dados a alguém de forma imprópria, mas acredita de boa fé que essa pessoa não será capaz de reter os dados.

Quando as organizações descobrem uma violação de dados, elas devem fornecer notificação de violação conforme especificado pela Regra de Notificação de Violação da HIPAA.

  • Exfiltração de dados. A exfiltração de dados é a cópia de informações para um local não autorizado. A maioria dos casos de exfiltração de dados envolve a cópia de dados para um local não autorizado fora da organização. Outros termos comuns para isso são vazamento de dados e exfiltração de dados. A regra de notificação de violação de dados se aplica tanto à exfiltração de dados quanto à violação de dados.
  • Ataques de ransomware. Ransomware é um tipo de software malicioso que nega o acesso a um computador ou aos dados nesse computador ao criptografar os dados. Para recuperar seus dados, você deve pagar um resgate ou restaurar a partir de um backup. Os pagamentos de resgate são frequentemente organizados por meio de moedas digitais não rastreáveis, como o Bitcoin. De acordo com a pesquisa da Coveware, o setor de saúde ficou em terceiro lugar entre as indústrias alvo de ataques de ransomware em 2019. Essa situação provavelmente não mudará para melhor, pois os atacantes entendem que a urgência de restaurar dados necessários para tratamentos médicos significa que eles têm mais chances de serem pagos. No entanto, pagar o resgate não garante que você realmente receberá uma chave de descriptografia; portanto, a melhor estratégia para garantir que você possa se recuperar de ataques de ransomware é ter backups offline.

Conteúdo relacionado selecionado:

  • Outras ameaças cibernéticas. Uma variedade de outras ameaças cibernéticas coloca as organizações de saúde em risco. Enquanto muitos ataques visam roubar dados eletrônicos de saúde, outros tentam tomar dispositivos, sistemas ou serviços. As organizações de saúde são alvos principais para todos os tipos de ataques cibernéticos, pois, como mencionado acima, a falta de disponibilidade de sistemas ou dados cruciais pode levar não apenas a multas e danos à reputação, mas também a resultados de saúde precários e até mesmo perda de vidas. A adoção de novas tecnologias amplia a superfície de ataque; em particular, a segurança na nuvem é uma preocupação cada vez mais importante para o setor de saúde.

Conteúdo relacionado selecionado:

Conclusão

Algumas organizações de saúde dependem de equipes internas de TI para lidar com a maioria de suas necessidades técnicas, enquanto outras contam com prestadores de serviços ou fornecedores de produtos para implementar ou dar suporte às suas iniciativas de gestão de segurança. Independentemente da estratégia que você escolher, para proteger adequadamente o PHI e cumprir com o HIPAA, você precisa garantir que tanto você quanto todos os seus associados comerciais estejam tomando as medidas necessárias para minimizar o risco de que as informações de saúde sejam divulgadas, roubadas ou criptografadas indevidamente.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança