Desbloqueando a conformidade com HIPAA: navegando pelas diretrizes de controle de acesso e MFA

Conteúdo

Compartilhe este post:

À medida que a tecnologia continua a revolucionar as operações de saúde, proteger os dados dos pacientes nunca foi tão desafiador. Na luta contínua contra as violações de dados, o ano passado marcou um ponto de viragem, com um número sem precedentes de 133 milhões de registos de saúde violados, de acordo com o Jornal HIPAA.

Neste blog, nos aprofundaremos na estrutura de conformidade HIPAA, com foco particular nas seções sobre controle de acesso e MFA e como adicionar controles de segurança de identidade em sua organização pode ajudá-lo a estar em conformidade com a HIPAA.

O que é a Lei HIPAA

HIPAA, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde, é uma peça legislativa crucial promulgada em 1996 nos Estados Unidos. O seu principal objetivo é salvaguardar a informação médica dos indivíduos, garantindo a privacidade e segurança dos seus dados de saúde. A relevância da HIPAA para os prestadores de cuidados de saúde não pode ser exagerada, uma vez que exige directrizes rigorosas para o tratamento de informações sensíveis dos pacientes.

Um dos aspectos centrais da conformidade com a HIPAA é a proteção de informações eletrônicas de saúde protegidas (ePHI). ePHI inclui qualquer informação eletrônica de saúde que identifique um indivíduo e seja transmitida ou mantida por uma entidade coberta ou associado comercial. Isso abrange uma ampla gama de dados, desde registros médicos e informações de faturamento até dados demográficos de pacientes e resultados laboratoriais. Proteger e proteger esses dados e registros confidenciais de pacientes contra atores mal-intencionados é fundamental.

O controle de acesso e a autenticação multifator (MFA) são elementos cruciais para impedir o acesso não autorizado ao ePHI e alcançar a conformidade com a HIPAA. Vamos mergulhar nos detalhes.  

Requisitos de controle de acesso

De acordo com a regra de segurança da HIPAA, que afirma “As entidades cobertas pela HIPAA devem implementar as salvaguardas administrativas, físicas e técnicas apropriadas para garantir a confidencialidade, integridade e segurança das informações eletrônicas de saúde protegidas (ePHI)”, as organizações são obrigadas a implementar salvaguardas técnicas para proteger ePHI. Estas abordagens técnicas de segurança devem incluir um sistema de controlo de acesso para garantir que apenas indivíduos autorizados possam aceder ao ePHI.

A HIPAA exige que as organizações implementem as seguintes medidas de controle de acesso:

  • Políticas e procedimentos para sistemas de informação eletrônica que mantêm ePHI para permitir acesso apenas a usuários, programas, processos ou outros sistemas autorizados. Os controles administrativos envolvem o estabelecimento de políticas, procedimentos e diretrizes para gerenciar o acesso do usuário. Os controles técnicos utilizam soluções como sistemas de autenticação, criptografia e registros de acesso para controlar o acesso eletrônico. Os controles físicos restringem o acesso físico às instalações e equipamentos onde o ePHI é armazenado ou processado.
  • O controle de acesso baseado em função (RBAC) é uma abordagem comum usada para gerenciar o acesso a ePHI em organizações de saúde. O RBAC atribui permissões com base nas funções e responsabilidades dos usuários, garantindo que os indivíduos tenham acesso apenas às informações necessárias para desempenhar suas funções profissionais.

Aplicando controles de acesso na HIPAA

De acordo com a Regra de Segurança, as organizações devem desenvolver políticas e procedimentos escritos para conceder acesso a ePHI. As políticas e procedimentos devem também especificar quem tem acesso a que informações e como esses pontos de acesso serão rastreados e monitorizados.

Para cumprir a Regra de Segurança, as organizações devem impor:

  • Processos para conceder e negar acesso ao ePHI.
  • O acesso deve ser concedido apenas a indivíduos com motivos comerciais para usar o ePHI.
  • Capacidade de revogar o acesso quando não for mais necessário.
  • Monitoramento regular para garantir que o acesso seja concedido e retirado em tempo hábil.

Além disso, as organizações devem ser capazes de proteger as ePHI no caso de uma violação de segurança, por exemplo, criptografando informações pessoais durante o armazenamento e transmissão e implementando um procedimento de acesso de emergência.

Por último, em termos de controlo de acesso, as organizações devem manter uma pista de auditoria que registe quem acedeu ao ePHI. Esta trilha de auditoria deve conter informações sobre quando e por quem o acesso foi concedido e revogado, bem como quais dados foram acessados.

Autenticação forte para HIPAA

Embora a regra de segurança da HIPAA não obrigue especificamente o uso de MFA, a HIPAA exige a implementação de medidas de segurança “razoáveis ​​e apropriadas” para proteger os dados dos pacientes. A MFA alinha-se perfeitamente com esses requisitos, fornecendo controle de acesso robusto e uma camada adicional de segurança que ajuda as organizações de saúde a atender aos rigorosos mandatos de segurança da HIPAA.

Veja como a HIPAA aborda a autenticação forte e recomenda a MFA como prática recomendada de segurança:

  • Requisito de autenticação forte: A regra de segurança da HIPAA exige que as entidades cobertas implementem procedimentos para verificar a identidade dos usuários que buscam acesso ao ePHI. Isto inclui o uso de métodos de autenticação que sejam “razoáveis ​​e apropriados”.
  • Recomendação do MFA: MFA é uma prática recomendada de segurança para aprimorar a autenticação e o controle de acesso. O Departamento de Saúde e Serviços Humanos (HHS), que aplica a HIPAA, emitiu orientações recomendando o uso de MFA como parte de um programa de segurança abrangente.
  • Flexibilidade na Implementação: A HIPAA permite que as entidades cobertas determinem as medidas de autenticação mais apropriadas com base em seus fatores de risco específicos, tamanho organizacional, complexidade e capacidades. Embora a MFA não seja explicitamente obrigatória, a HIPAA oferece às organizações a flexibilidade para escolher os métodos de autenticação que melhor atendem às suas necessidades de segurança e perfil de risco; por exemplo, senhas, biometria, tokens ou MFA.

Fortalecendo a conformidade com HIPAA com Silverfort

Sistema de controle de acesso

Para atender aos requisitos de controle de acesso da HIPAA, Silverfortos recursos de autenticação contínua do monitoram e analisam o comportamento do usuário em tempo real. Silverfort detecta o comportamento do usuário, dispositivos, locais e outros fatores de risco para calcular a pontuação de risco de cada autenticação de usuário solicitar. Caso seja identificado algum comportamento não autorizado ou anormal, o sistema pode tomar medidas imediatas, como encerrar a sessão ou solicitar autenticação adicional. Isto significa que o acesso ao ePHI pode ser rigorosamente controlado, garantindo que apenas indivíduos autorizados tenham acesso a dados confidenciais, o que é um requisito crítico da HIPAA.

SilverfortA tela de logs de autenticação do fornece visibilidade total de todos os logs de usuários, atividades de autenticação e indicadores de risco.

Aplicando Políticas de Acesso

Com Silverfort, as organizações podem configurar políticas de acesso de usuários em conformidade com os regulamentos da HIPAA. As políticas de acesso são configuradas com base em usuários, grupos e unidades organizacionais (OUs), bem como nos privilégios mínimos necessários para seus sistemas, processos e aplicativos. Ao implementar essas políticas, as organizações podem obter total visibilidade contas de usuário, solicitações de acesso e autenticações, bem como criar e monitorar arquivos de log para detectar atividades maliciosas ou irregulares.

A Silverfort a tela de política exibe todas as políticas de acesso que foram configuradas e aplicadas aos seus usuários

Por exemplo, nos SilverfortO sistema pode requer MFA para cada solicitação de acesso com base na análise contínua do comportamento do usuário, dispositivos, locais, eventos de segurança e outros fatores de risco. Ao fazer isso, o acesso ao ePHI pode ser gerenciado e protegido adequadamente, garantindo que apenas usuários autorizados tenham acesso a informações confidenciais do paciente, conforme exigido pela HIPAA.

Aplicando proteção MFA

Para cumprir o requisito de autenticação forte da HIPAA, Silverfort pode impor proteção MFA a todos os usuários e recursos, no local e na nuvem. Isto se aplica a todas as autenticações para provedores de identidade (IdPs), incluindo Active Directory e aqueles que antes não podiam ser protegidos pela MFA, como aplicativos legados, acesso à linha de comando, bancos de dados, infraestrutura de rede e muitos outros. SilverfortOs fortes recursos de autenticação do são alcançados por meio de políticas de acesso. Silverfort garante que nenhum acesso seja concedido apenas com base em senhas e que os usuários sejam obrigados a se autenticar por meio de MFA para verificar sua identidade.


Silverforta política de acesso MFA do exige que os administradores de domínio autentiquem suas identidades ao solicitar acesso a recursos

A autenticação forte através da proteção MFA está alinhada com os requisitos da HIPAA, que determinam que apenas indivíduos autorizados tenham acesso ao ePHI. Ao exigir MFA para cada solicitação de acesso, Silverfort garante que o acesso ao ePHI seja rigorosamente monitorado com os controles de segurança adequados, conforme exigido pelos regulamentos HIPAA.

Quer saber mais sobre como Silverfort pode ajudá-lo a cumprir os requisitos da HIPAA? Programar uma chamada com um de nossos especialistas ou preencha este formulário para obter uma cotação de preços.

Ousamos levar a segurança da identidade ainda mais longe.

Descubra o que é possível.

Configure uma demonstração para ver o Silverfort Plataforma de segurança de identidade em ação.

Agende uma demonstração