Como Realizar uma Avaliação de Risco HIPAA

O Departamento de Saúde e Serviços Humanos dos EUA (HHS) exige que as entidades de saúde sigam a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Esta lei exige que as entidades de saúde implementem políticas e procedimentos para proteger a privacidade e a segurança das informações de saúde protegidas (PHI) dos pacientes.

Um requisito fundamental é realizar avaliações de risco. Este artigo explica os requisitos de avaliação de risco da HIPAA e oferece orientações sobre as etapas envolvidas.

O que é uma avaliação de risco HIPAA?

HIPAA possui dois componentes-chave:

• Regra de Segurança HIPAA (45 CFR Parte 160 e Subpartes A e C da Parte 164) — Exige que as entidades cobertas protejam as ePHI utilizando as salvaguardas administrativas, físicas e técnicas apropriadas.
• Regra de Privacidade (45 CFR Parte 160 e Subpartes A e E da Parte 164) — Regula quem pode acessar PHI, como pode ser utilizado e quando pode ser divulgado.

Uma avaliação de risco de segurança HIPAA é fundamental para cumprir ambas as regras. Ajuda a identificar potenciais riscos e vulnerabilidades para a confidencialidade, disponibilidade e integridade de todas as PHI que sua organização gera, recebe, retém ou transmite, e a implementar controles apropriados para mitigar esses riscos.

A minha organização é obrigada a realizar uma avaliação de risco HIPAA?

As avaliações de risco HIPAA são necessárias para qualquer entidade coberta que gere, receba, armazene ou transmita PHI, como centros médicos e planos de saúde. Associados comerciais, subcontratados e fornecedores que interagem com qualquer ePHI também devem realizar avaliações de risco HIPAA.

Você deve realizar avaliações de segurança HIPAA pelo menos uma vez por ano, bem como sempre que novos métodos de trabalho, peças de tecnologia ou atualizações significativas nos sistemas de TI existentes forem introduzidos.

As organizações cobertas devem levar a exigência de avaliação de risco da HIPAA a sério. O Office for Civil Rights (OCR) pode aplicar multas de $100 a $50,000 por violação ou por registro, até um máximo de $1.5 milhão por ano, por cada violação.

Quais são os passos em uma avaliação de risco HIPAA?

A HIPAA não prescreve uma metodologia específica de análise de risco. Em vez disso, as organizações costumam referir-se a padrões como o NIST 800-30 para orientações a fim de alcançar e manter a conformidade com a HIPAA compliance. O NIST SP 800-30 define metodologias padrão de avaliação de risco para avaliar a eficácia dos controles de segurança em sistemas de informação.

Em geral, realizar uma avaliação de risco HIPAA envolve as seguintes nove etapas:

Passo 1: Determine o escopo da sua análise de risco.

Primeiro, você deve determinar o escopo da sua análise de risco. Uma análise de risco HIPAA deve incluir o ePHI da sua organização, independentemente da sua origem, localização ou do meio eletrônico utilizado para criá-lo, recebê-lo, mantê-lo ou transmiti-lo.

Além disso, a análise deve cobrir todos os riscos e vulnerabilidades “razoáveis” para a confidencialidade, integridade e disponibilidade desse ePHI. “Razoável” significa quaisquer ameaças à HIPAA compliance que são previsíveis, incluindo atores externos mal-intencionados, insiders maliciosos e erro humano por falta de conhecimento ou treinamento.

Passo 2: Coletar dados.

Em seguida, reúna informações completas e precisas sobre o uso e divulgação de ePHI. Você pode fazer isso por meio de:

• Analisando o inventário de projetos passados e atuais
• Realizando entrevistas
• Revisando a documentação
• Usando outras técnicas de coleta de dados conforme necessário

Etapa 3: Identifique ameaças e vulnerabilidades potenciais.

Em seguida, analise as ameaças e vulnerabilidades para cada conjunto de dados regulamentados. Inclua todas as ameaças razoavelmente antecipadas.

As ameaças identificadas devem incluir fatores únicos ao seu ambiente de segurança. Por exemplo, se você usa Amazon Web Services (AWS) como sua solução de nuvem, deve identificar os riscos de segurança associados ao AWS.

Passo 4: Avalie suas medidas de segurança atuais.

Documente as salvaguardas e medidas que você já implementou para mitigar riscos ao seu ePHI. Certifique-se de incluir as seguintes medidas:

• Medidas técnicas como controle de acesso, autenticação, criptografia, log-off automático, auditoria e outros controles de hardware e software.
• Medidas não técnicas, que são controles operacionais e de gestão como políticas, procedimentos e medidas de segurança física ou ambiental.

Analise a configuração e o uso de cada medida de segurança para determinar sua adequação e eficácia. Isso ajudará você a reduzir os riscos associados a cada medida de segurança.

Passo 5: Determine a probabilidade de ocorrência da ameaça.

Avalie a probabilidade de uma ameaça acionar ou explorar uma vulnerabilidade específica e avalie cada combinação potencial de ameaça e vulnerabilidade. Estratégias comuns para expressar a probabilidade de ocorrência incluem o uso de categorias como Alta, Média e Baixa, ou a atribuição de um peso numérico específico.

Passo 6: Determine o impacto potencial de cada ocorrência de ameaça.

Detalhe os possíveis resultados de cada ameaça aos dados, como:

• Acesso ou divulgação não autorizados
• Perda permanente ou corrupção
• Perda temporária ou indisponibilidade
• Perda do fluxo de caixa financeiro
• Perda de ativos físicos

Estime e documente o impacto de cada resultado. As medidas podem ser qualitativas ou quantitativas.

Passo 7: Identifique o nível de risco.

Analise os valores atribuídos à probabilidade e ao impacto de cada ameaça. Em seguida, atribua um nível de risco com base na probabilidade e no nível de impacto designados.

Etapa 8: Determine as medidas de segurança apropriadas e finalize a documentação.

Identifique as potenciais medidas de segurança que você poderia usar para reduzir cada risco a um nível razoável. Considere a eficácia da medida, os requisitos regulatórios em torno da implementação e quaisquer requisitos de política e procedimentos organizacionais. Lembre-se de documentar todos os achados.

Etapa 9: Revise e atualize periodicamente a avaliação de risco.

Por fim, desenvolva uma política descrevendo com que frequência realizar avaliações de risco. Você deve realizar uma pelo menos anualmente. Além disso, você deve atualizar a avaliação sempre que algo mudar, como os sistemas de segurança da sua organização, níveis de autoridade e risco ou políticas. Registre cada alteração no histórico de revisões no final da avaliação.

Dicas para tornar sua avaliação de risco HIPAA bem-sucedida

As avaliações de risco HIPAA podem ser desafiadoras de realizar, especialmente se você tem uma equipe pequena e recursos limitados. Mantenha estas dicas em mente ao implementar avaliações de risco HIPAA:

• Escolha uma pessoa de referência para ficar responsável pela avaliação.
• Compreenda que você pode realizar a avaliação internamente ou terceirizá-la para um especialista em HIPAA. Terceirizar a avaliação pode acelerar a conclusão das tarefas de análise e planejamento.
• Lembre-se do propósito da avaliação de risco HIPAA. Não é uma auditoria — em vez disso, visa ajudá-lo a identificar, priorizar e mitigar riscos.
• Garanta que sua documentação atenda aos padrões HIPAA. Registre todos os procedimentos e políticas, assegure que estejam corretos e os torne centralmente disponíveis.
• Lembre-se de que você deve repetir o processo de avaliação pelo menos anualmente.
• Mantenha em mente os requisitos de notificação da HIPAA, como a regra de notificação de violação. Esta regra exige que as organizações notifiquem o Secretário do HHS se uma violação afetar 500 ou mais indivíduos.
• Forneça a todos os membros da equipe treinamento sobre práticas de conformidade com a HIPAA e requisitos de notificação.

Como a Netwrix pode ajudar?

O software de HIPAA compliance da Netwrix ajuda você a alcançar e comprovar a conformidade com o HIPAA. Em particular, ele permite que você realize as avaliações de risco exigidas pelo HIPAA para proteger contra ameaças cibernéticas. Por exemplo, o HIPAA exige que as organizações avaliem os riscos para seus sistemas de informação e atuem com base nos resultados, e a solução da Netwrix capacita você a examinar a configuração dos seus sistemas de informação e identificar riscos no gerenciamento de contas, data governance e permissões de segurança.

Ainda melhor, a funcionalidade HIPAA da solução Netwrix vai muito além de avaliações de risco. De forma crítica, ela permite que você identifique ameaças ativas a tempo de prevenir incidentes de segurança, violações e interrupções nos negócios. Além disso, ao contrário de muitas outras ferramentas de auditoria, a solução Netwrix inclui relatórios de conformidade pré-construídos que correspondem aos requisitos do HIPAA e de outros mandatos comuns, economizando tempo e esforço significativos durante a preparação para conformidade.

FAQ

Qual é a diferença entre uma análise de risco de segurança HIPAA e uma avaliação de conformidade HIPAA?

A avaliação regular de risco é um dos requisitos do mandato HIPAA. Uma avaliação de conformidade HIPAA avalia a sua aderência a todos os requisitos HIPAA.

Quando é necessária uma avaliação de risco HIPAA?

Avaliações de risco HIPAA são necessárias para qualquer entidade que crie, receba, transmita ou armazene informações de saúde protegidas (PHI), como planos de saúde e centros médicos.

Com que frequência você deve revisar as avaliações de risco do HIPAA?

Embora a HIPAA não especifique com que frequência você deve realizar avaliações de risco da HIPAA, você deve realizar avaliações da HIPAA pelo menos uma vez por ano, bem como sempre que introduzir novos métodos de trabalho, atualizar sistemas de TI existentes ou adicionar novas peças de tecnologia.