Modelo de Avaliação de Risco HIPAA
Introdução
A análise de risco é o problema mais agudo de conformidade com a HIPAA que o Departamento de Saúde e Serviços Humanos (HHS) para o Escritório de Direitos Civis (OCR) investiga. Uma análise imprecisa ou incompleta pode levar a graves violações de segurança e a severas penalidades monetárias.
Mas a análise de risco pode ser difícil de implementar, especialmente se o seu departamento de TI não tem as pessoas ou o tempo disponível. O modelo de avaliação de risco fornecido aqui pode ajudá-lo a realizar uma auditoria completa e precisa dos riscos de segurança do seu ePHI para que você possa estabelecer as medidas de mitigação apropriadas.
O que é uma avaliação de risco HIPAA?
Uma avaliação de risco HIPAA ajuda as organizações a determinar e avaliar ameaças à segurança das informações de saúde protegidas eletronicamente (ePHI), incluindo o potencial para divulgação não autorizada conforme exigido pela Regra de Privacidade.
Se a sua organização cria, recebe, mantém ou transmite ePHI, mesmo utilizando um sistema certificado de registro eletrônico de saúde (EHR), você deve avaliar seus riscos de seguraça para garantir que tomou as melhores medidas possíveis para proteger seu ePHI. Uma vez identificados esses riscos, você deve implementar salvaguardas administrativas, físicas e técnicas para manter a conformidade com a HIPAA Security Rule.
À medida que entidades de saúde trabalham para alcançar a conformidade com o HIPAA, ferramentas de análise de risco e gestão de risco podem ser inestimáveis; elas frequentemente permitem que você proteja a confidencialidade, integridade e disponibilidade do seu ePHI de forma mais eficaz e eficiente do que poderia com processos manuais.
Adaptando uma avaliação de risco à sua organização
Os requisitos de avaliação de risco da HIPAA permitem que você adapte a avaliação ao ambiente e às circunstâncias da sua organização, incluindo:
- O tamanho, a complexidade e as capacidades da sua organização
- A infraestrutura técnica, o hardware e as capacidades de segurança da sua organização
- A probabilidade e a criticidade dos riscos potenciais ao ePHI
- O custo das medidas de segurança
Especificações de implementação: obrigatórias versus opcionais
Uma avaliação de risco HIPAA conterá muitas especificações de implementação, que são instruções detalhadas para satisfazer um determinado padrão. Algumas são obrigatórias, enquanto outras são passíveis de endereçamento:
- As especificações obrigatórias documentam as políticas ou procedimentos que cada entidade coberta e seus associados comerciais devem implementar. Um exemplo disso é a análise de risco.
- As especificações tratáveis (addressable) não são opcionais, mas as organizações têm flexibilidade para escolher os processos ou controles adequados para cumpri-las. Por exemplo, o gerenciamento de senhas é uma especificação tratável, já que existem várias maneiras de garantir que apenas pessoas confiáveis tenham acesso aos seus sistemas. Uma dessas maneiras é usar a autenticação multifator.
Você não pode recusar a adoção de uma especificação de implementação baseando-se apenas no custo.
Terminologia-chave
Aqui estão definições para termos comuns à HIPAA, adaptados do NIST 800-30:
- ePHI (informação protegida de saúde eletrônica) — Dados sobre a saúde, tratamento ou faturamento de um paciente que poderiam identificar esse paciente. ePHI é PHI mantida em forma eletrônica; possui os mesmos requisitos de confidencialidade que toda a PHI, mas a facilidade de copiar e transmitir ePHI exige salvaguardas especiais para prevenir violações.
- Vulnerabilidade — Uma falha ou fraqueza nos procedimentos de um sistema de segurança, design, implementação de controles internos que pode ser acidentalmente desencadeada ou explorada intencionalmente, resultando em uma violação de segurança ou da política de segurança.
- Ameaça — O potencial de uma fonte de ameaça desencadear acidentalmente ou explorar intencionalmente uma vulnerabilidade específica.
- Risco — Refere-se ao risco relacionado à TI. Risco descreve o impacto líquido nos negócios com base na probabilidade de uma ameaça específica acionar uma vulnerabilidade particular. Inclui fatores como responsabilidade legal e perda de missão.
- Análise de risco (ou avaliação de risco) — O processo de identificar todos os riscos para a segurança do sistema, a probabilidade de que eles causem danos e as salvaguardas que podem mitigar esse dano. É uma parte da gestão de riscos.
- Gestão de riscos — O processo de implementação de medidas e práticas de segurança para reduzir adequadamente riscos e vulnerabilidades a um grau razoável para conformidade.
Etapas na Análise de Risco
O NIST 800-30 detalha os seguintes passos para uma avaliação de risco compatível com a HIPAA:
Passo 1. Determine o escopo da análise.
Uma análise de risco considera todas as ePHI, independentemente do meio eletrônico utilizado para criar, receber, manter ou transmitir os dados, ou da localização dos dados. Abrange todos os riscos e vulnerabilidades razoáveis à confidencialidade, integridade e disponibilidade da sua ePHI.
Passo 2. Reúna informações completas e precisas sobre o uso e divulgação de ePHI.
Este processo inclui:
- Revisando projetos passados e existentes
- Realizando entrevistas
- Revisando documentação
- Usando outras técnicas de coleta de dados conforme necessário
- Documentando todos os dados coletados
Você pode já ter concluído esta etapa para cumprir com a Regra de Privacidade HIPAA, mesmo que não fosse diretamente exigido.
Etapa 3. Identifique ameaças e vulnerabilidades potenciais.
Observe os dados coletados e considere quais tipos de ameaças e vulnerabilidades existem para cada informação.
Etapa 4. Avalie suas medidas de segurança atuais.
Documente as medidas que você já implementou para mitigar riscos ao seu ePHI. Essas medidas podem ser técnicas ou não técnicas:
- As medidas técnicas incluem hardware e software de sistemas de informação, como controle de acesso, autenticação, criptografia, encerramento automático de sessão e controles de auditoria.
- As medidas não técnicas incluem controles operacionais e de gestão, como políticas, procedimentos e medidas de segurança física ou ambiental.
Em seguida, analise se a configuração e o uso dessas medidas de segurança são apropriados.
Etapa 5. Determine a probabilidade de ocorrência da ameaça.
Avalie a probabilidade de uma ameaça acionar ou explorar uma vulnerabilidade específica. Considere cada combinação possível de ameaça e vulnerabilidade e classifique-as de acordo com a probabilidade de um incidente. Métodos comuns de classificação incluem rotular cada risco como Alto, Médio e Baixo, ou fornecer um peso numérico expressando a probabilidade de ocorrência.
Etapa 6. Determine o impacto potencial da ocorrência de ameaças.
Considere os possíveis resultados de cada ameaça aos dados, como:
- Acesso ou divulgação não autorizados
- Perda permanente ou corrupção
- Perda temporária ou indisponibilidade
- Perda de fluxo de caixa financeiro
- Perda de ativos físicos
Estime o impacto de cada resultado. As medidas podem ser qualitativas ou quantitativas. Documente todos os impactos razoáveis e as classificações associadas a cada resultado.
Passo 7. Determine o nível de risco.
Analise os valores atribuídos à probabilidade de ocorrência de cada ameaça e ao impacto. Atribua o nível de risco com base na média das probabilidades e níveis de impacto atribuídos.
Passo 8. Identifique medidas de segurança apropriadas e finalize a documentação.
Identifique as possíveis medidas de segurança que você poderia usar para reduzir cada risco a um nível razoável. Para cada medida, considere:
- A eficácia da medida
- Requisitos legislativos ou regulamentares para implementação
- Requisitos de política e procedimento organizacional
Documente todos os achados para completar sua avaliação de risco.
Modelo de Avaliação de Risco HIPAA
Abaixo está um modelo de avaliação de risco HIPAA com uma descrição e um exemplo para cada seção. Este é um modelo geral que você precisará adaptar às necessidades específicas da sua organização. Todos os nomes de empresas e pessoais usados neste modelo são fictícios e são utilizados apenas como exemplos.
1. Introdução
Explique o motivo do documento.
Este documento descreve o escopo e a abordagem da avaliação de risco para a Allied Health 4 U, Inc. (doravante referida como Allied Health 4 U). Inclui o inventário de dados da organização, determinação de ameaças e vulnerabilidades, medidas de segurança e resultados da avaliação de risco.
1.1 Propósito
Explique por que você precisa de uma avaliação de risco.
O objetivo da avaliação de risco é identificar áreas de risco potencial, atribuir responsabilidades, caracterizar as atividades e sistemas de mitigação de risco e orientar procedimentos de ação corretiva para cumprir com o Padrão de Segurança HIPAA.
1.2 Escopo
Documente o fluxo de dados dos pacientes dentro da sua organização. Descreva todos os componentes do sistema, elementos, locais das unidades de campo, usuários (incluindo o uso de uma força de trabalho remota) e quaisquer detalhes adicionais sobre o sistema EHR.
Documente e defina seus sistemas de TI, componentes e informações, incluindo mídias removíveis e dispositivos de computação portáteis.
O escopo deste documento inclui os processos técnicos, físicos e administrativos que regem todas as informações de saúde protegidas eletronicamente (ePHI) recebidas, criadas, mantidas ou transmitidas pela Allied Health 4 U.
O objetivo é avaliar e analisar o uso de recursos e controles, tanto planejados quanto implementados, para eliminar, mitigar ou gerenciar a exploração de vulnerabilidades por ameaças internas e externas ao sistema de registros eletrônicos de saúde (EHR).
A Allied Health 4 U atende às necessidades de pacientes e profissionais no Medical City em Regency Park, IL. O centro médico relacionado fornece o firewall principal da internet e a segurança física básica para a instalação. A organização fornece todas as outras necessidades tecnológicas e de segurança para a Allied Health 4 U, Inc.
A Allied Health 4 U utiliza laptops, tablets e PCs desktop para acessar o ePHI dos pacientes. O acesso remoto de fora da Allied Health 4 U é estritamente proibido. Três servidores estão localizados em uma sala de servidores trancada com vigilância por vídeo ativada.
2. Abordagem de Avaliação de Risco
Defina os métodos que você usa para realizar a avaliação de risco.
A Allied Health 4 U realiza a avaliação de risco inventariando todos os dispositivos físicos e dados eletrônicos criados, recebidos, mantidos ou transmitidos pela organização; entrevistando usuários e administradores do sistema de EHR; e analisando dados do sistema para determinar potenciais vulnerabilidades e ameaças ao sistema.
2.1 Participantes
Identifique os participantes, como toda a equipe de TI e gestão, responsáveis por ou que interagem com o EHR. Inclua uma lista com os nomes e funções dos participantes, como Diretor de Informação ou Proprietário do Ativo.
O responsável pela segurança do ePHI e a Equipe de Gestão de Riscos são responsáveis por manter e executar a análise de risco de segurança do ePHI e o processo de gestão de riscos para a Allied Health 4 U.
- Diretor de Informação: Bradley Gray, MD
- Compliance Officer: Jean Parker, MD
- Equipe de Avaliação de Riscos: William Brown, Takisha Lutrelle e Lili Obrador
2.2 Técnicas Utilizadas para Coletar Informações
Liste os métodos utilizados para identificar e inventariar dados ePHI, dispositivos físicos, processos e procedimentos.
As seguintes técnicas são utilizadas para reunir informações para a avaliação de risco:
- Entrevistas com o Diretor de Informação, equipe de Gestão de Riscos, usuários
- Revisão de Documentação — Políticas e processos de TI, relatórios de ameaças e vulnerabilidades, relatórios de incidentes, documentos de classificação de informações.
- Visitas ao Local — Localização Regency Park, quaisquer futuras localizações
2.3 Desenvolvimento e Descrição da Escala de Risco
Descreva quando as avaliações de risco são realizadas, a matriz de nível de risco em uso, como os riscos são determinados e uma classificação de risco com pelo menos três níveis.
A Allied Health 4 U realiza avaliações de risco nos seguintes momentos:
- Após atualizações de software para o EHR
- Após a implementação de novo hardware, software ou firmware
- Após um relatório de violação de dados
Utilize a seguinte matriz de risco para determinar a escala do risco:
|
Impacto |
||||
|
Baixo (0,1) |
Médio (0.5) |
Alto (1.0) |
||
|
Probabilidade de Ameaça |
Baixo (5) |
5 X 0,1 = 0,5 |
5 X 0,5 = 2,5 |
5 X 1,0 = 5 |
|
Médio (25) |
25 X 0.1 = 2.5 |
25 X 0.5 = 12.5 |
25 X 1,0 = 25 |
|
|
Alto (50) |
50 X 0,1 = 5 |
50 X 0,5 = 25 |
50 X 1,0 = 50 |
|
Escala de risco:
- ALTO: >25 até 50
- MÉDIO: >5 até 25
- BAIXO: >0,5 a 5
3. Caracterização do Sistema
Identifique os limites do sistema de TI em consideração e os recursos e informações que compõem o sistema. A caracterização estabelece o escopo do esforço de avaliação de risco, mostra o caminho para autorização ou acreditação e fornece informações sobre conectividade, responsabilidade e suporte.
O sistema de EHR da Allied Health 4 U é composto por todos os laptops, desktops, tablets, servidores e ePHI contidos neles.
3.1 Informações Relacionadas ao Sistema
Forneça informações relacionadas e uma breve descrição do ambiente de processamento.
|
Nome do sistema |
Allied Health 4 U EHR |
|
Proprietário do sistema |
Allied Health 4 U, Inc. |
|
Localização física |
123 Main Street, Dept D, Regency Park, IL |
|
Função empresarial principal |
Armazenamento de informações de saúde |
|
Descrição e componentes |
Sistema EHR, servidor, desktops, laptops, tablets, servidores, software |
|
Interfaces e limites |
Interface de usuário em cada dispositivo, conexão interna via WiFi, conexão externa via cabo |
|
Sensibilidade de dados |
Alto |
|
Classificação e classificação geral de sensibilidade de TI |
Alto, Crítico |
3.2 Usuários do Sistema
Descreva quem usa o sistema, incluindo detalhes sobre a localização do usuário e o nível de acesso.
Tipo de Dados | Descrição | Nível de Sensibilidade |
|---|---|---|
|
ePHI |
Informação eletrônica de saúde protegida |
Alto |
|
Procedimentos médicos |
Cópias dos procedimentos realizados no paciente |
Baixo |
|
Resultados dos testes |
Laboratório, Radiologia |
Alto |
|
Inventário de EPI |
Inventário de equipamento de proteção individual |
Baixo |
|
Dados de faturamento |
Informações de seguro e faturamento |
Alto |
4. Ameaças e Vulnerabilidades
Liste todas as ameaças e vulnerabilidades credíveis ao sistema que está sendo avaliado. Frequentemente, você pode fornecer uma breve descrição aqui e apresentar os resultados detalhados em um apêndice ou numa planilha separada.
4.1 Identificação de Ameaças
Desenvolva um catálogo de ameaças razoavelmente antecipadas. Sua maior preocupação são as ameaças humanas de ex-funcionários, criminosos, fornecedores, pacientes ou qualquer outra pessoa com motivação, acesso e conhecimento do sistema.
|
Fonte de Ameaça |
Ação de Ameaça |
|
Funcionário insatisfeito |
Modificação não autorizada dos dados de faturamento |
|
Hacker |
Divulgação ameaçada de ePHI para resgate |
|
Terremoto |
Dano ou perda de energia para componentes de EHR |
4.2 Identificação de Vulnerabilidades
Liste todas as vulnerabilidades do sistema, técnicas e não técnicas, que ameaças potenciais possam desencadear ou explorar. Inclua políticas e procedimentos incompletos ou conflitantes, salvaguardas insuficientes (tanto físicas quanto eletrônicas) e outras falhas ou fraquezas em qualquer parte do sistema.
Allied Health 4 U identifica as seguintes vulnerabilidades:
|
Vulnerabilidade |
Descrição |
|
Sistema de supressão de incêndio à base de água no escritório e centro de TI |
Os aspersores de água ativados podem causar curtos-circuitos nos componentes do sistema EHR |
|
O firewall EHR permite acesso de entrada |
Um usuário poderia acessar o EHR de fora das instalações da Allied Health 4 U e Medical City |
4.3 Medidas de Segurança
Documente e avalie a eficácia de todos os controles técnicos e não técnicos que estão ou serão implementados para mitigar riscos.
|
Proteja |
Controle |
|
Salvaguarda técnica: Senhas seguras |
Controle o acesso ao sistema EHR. |
|
Salvaguarda administrativa: Sanções |
Defina e aplique sanções apropriadas, para que os funcionários compreendam as consequências do não cumprimento das políticas e procedimentos de segurança. |
|
Salvaguarda física: Escritórios trancados |
Mantenha a instalação trancada fora do horário comercial para prevenir a entrada não autorizada para acesso ou destruição de componentes ou registros. |
5. Resultados da Avaliação de Risco
Descreva as observações (as vulnerabilidades e as ameaças que podem ativá-las), meça cada risco e ofereça recomendações para a implementação de controle ou ação corretiva. Os resultados detalhados são frequentemente melhor apresentados em um apêndice ou uma planilha separada.
|
Número da observação |
100011 |
|
Risco (par vulnerabilidade/ameaça) |
Acesso de funcionário demitido não foi revogado |
|
Current control measures |
Enviar notificação para TI na data de desligamento |
|
Probabilidade com controles existentes |
Alto |
|
Impacto com controles existentes |
Alto |
|
Nível de risco inicial |
High |
|
Recommended action or control measure |
Technical safeguard: Automate revocation of system access upon employee termination |
|
Residual risk level |
Low |
|
Implementation method |
Sysadmin configures automated access revocation tied to employee termination in the HR system |
|
Supervisor |
Jane Smith |
|
Start date |
January 15, 2021 |
|
Target end date |
Target end date |
|
Date controls implemented |
February 10, 2021 |
6. Histórico de Revisões
Registre todas as alterações feitas em sua avaliação de riscos HIPAA.
|
Version |
Published |
Author |
Description |
|
1.0 |
01/01/2020 |
Jane Smith |
Original |
|
1.1 |
06/01/2020 |
Bill Jones |
Modification |
Compartilhar em