Desde o início da pandemia, tem havido um aumento no volume de dados confidenciais de pacientes armazenados e processados por organizações de saúde. O histórico de saúde de um paciente, incluindo todos os tratamentos, procedimentos, prescrições, exames laboratoriais e relatórios de varredura, são armazenados na forma de registros eletrônicos de saúde (EHRs). Embora os EHRs reduzam o número de erros nos relatórios dos pacientes e ajudem os médicos a rastrear os dados de saúde dos pacientes, adulterá-los pode produzir consequências desastrosas. Portanto, a responsabilidade recai sobre o administrador de TI para proteger os dados e a privacidade do paciente.
Para garantir a integridade das informações de saúde protegidas (PHI), a incorporação dessas três estratégias garantirá a conformidade com os regulamentos de privacidade e segurança de informações médicas, incluindo HIPAA e HITRUST.
1) Monitorar o acesso a servidores de arquivos contendo PHIs
Os EHRs contêm PHI que os torna um alvo lucrativo para os cibercriminosos. Os servidores que contêm EHRs precisam ser monitorados de perto para detectar o acesso não autorizado a arquivos, modificações e movimentos para preservar a integridade dos dados. As organizações de saúde devem garantir que informações confidenciais como essa sejam acessadas apenas por pessoal médico autorizado e pelos próprios pacientes.
2) Administração de políticas de senha granulares e implementação de MFA
Como a maioria das organizações de saúde depende fortemente de senhas para proteger o acesso ao seu ePHI, os hackers precisam apenas de uma credencial comprometida para entrar na rede de uma organização. O desafio é garantir que os médicos e outras equipes médicas usem senhas fortes para proteger suas contas. Imponha autenticação multifator (MFA) para usuários diferentes, como enfermeiras, residentes, médicos, recepção e outros, com base no domínio, UO e associações de grupo, garantindo uma experiência de login perfeita.
3) Mitigar o uso indevido de privilégios e ameaças internas
Usuários privilegiados com controle sobre seu ambiente Active Directory (AD), GPOs e servidores representam o uso indevido de privilégios e riscos de ameaças internas. Para uma segurança eficaz, um ambiente ZeroTrust precisa ser estabelecido para que as ameaças internas sejam mantidas à distância. Atribua apenas o nível necessário de acesso às informações de saúde de um paciente a médicos, enfermeiras, executivos de planos de saúde e outros que sejam diretamente responsáveis por esse paciente.
Para implementar essas três estratégias, você precisa de uma solução abrangente de gerenciamento de identidade e acesso (IAM), como ManageEngine AD360. AD360 é um pacote IAM integrado que pode gerenciar e proteger seus ambientes Windows AD, Exchange Server e Microsoft 365 e cuidar de seus requisitos de conformidade.
Com AD360, você pode:
- Rastreie em tempo real quem alterou qual arquivo ou pasta, quando e de onde, em sistemas de arquivos Windows, NetApp, EMC, Synology, Huawei e Hitachi que contêm PHI.
- Detecte dispositivos USB conectados a sistemas e receba alertas quando os arquivos forem copiados para eles e impeça a exfiltração de PHI.
- Aplique políticas de senha refinadas e MFA para usuários privilegiados que têm acesso a PHI.
- Combate as ameaças internas ao alavancar a análise do comportamento do usuário, que notifica sobre desvios do comportamento normal do usuário. Responda instantaneamente a esses desvios configurando ações automáticas a serem realizadas, como a execução de scripts ou a execução de arquivos em lote.
- Identifique e receba alertas sobre sinais reveladores de abuso de privilégios, como volumes invulgarmente grandes de modificações de arquivos e tentativas de acessar arquivos críticos.
- Prove a conformidade da HIPAA com mais de 200 relatórios pré-configurados para visualizar as alterações feitas no sistema, rastrear ações do usuário, acessar logs de dados e modificar dados.
Otimize a proteção dos dados e a privacidade dos usuários obtendo de forma simples as informações das atividades e acessos aplicados ao ambiente. Faça já o upgrade ou inicie sua avaliação gratuita de 30 dias do AD360 da ManageEngine, contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
