Ameaça interna na área da saúde: dicas além da conformidade com a HIPAA

Os profissionais de saúde precisam de acesso imediato aos dados do paciente, mas como as organizações médicas podem ajudar seus funcionários a salvar vidas e, ao mesmo tempo, manter os dados pessoais dos pacientes protegidos?

CISOs (chief information security officer) de empresas de assistência médica já conhecem a realidade em que estão – médicos e enfermeiros usam serviços em nuvem como o Facebook e o Dropbox, assim como o resto de nós. Normalmente, se qualquer violação de dados ocorrer pelo compartilhamento de dados de pacientes nesses aplicativos, pensaríamos que isso foi feito acidentalmente e não por mal.

A natureza humana também desempenha um papel importante quando procuramos entender como as violações de segurança acontecem. Uma pesquisa da Veriphyr, realizada há alguns anos no mercado de saúde, revelou que 35% dos profissionais da área haviam bisbilhotado registros médicos de colegas de trabalho e 27% tinham acessado os registros médicos de familiares e amigos. Imagine Anitta sendo internada em um hospital. A instituição pode ter 100% de certeza de que seus funcionários não vão bisbilhotar seus registros médicos, por curiosidade ou com segundas intenções?

De qualquer forma, a intenção não importa. O resultado é o mesmo. A perda de informações confidenciais de saúde (PHI – protected health information), as perdas financeiras e de confiança da organização e a recuperação pública e privada de tal violação são agora os únicos objetivos no horizonte para o CISO.

Empregados causam mais de 50% das brechas de segurança na área de saúde

A Verizon publicou recentemente um white paper chamado Relatório de Violação de Dados de Informações Confidenciais de Saúde (Protected Health Information Data Breach Report) para 2018, que todos os profissionais de segurança e de TI que trabalham na área da saúde devem ler na íntegra. Vamos abordar apenas os principais tópicos, por uma questão de brevidade.

O relatório constatou que 58% dos incidentes em saúde envolvem funcionários. Observe que a média geral em todos os setores é de 27% (ainda alarmante). Infelizmente, o setor de saúde tem uma honra própria – é o único setor no qual funcionários e fornecedores internos representam a maior ameaça de segurança cibernética para toda a organização.

O HIPAA Journal publicou recentemente um artigo detalhado sobre como se defender contra ameaças internas, ou seja, dos próprios funcionários. Ele se concentra em uma abordagem em quatro etapas para atenuá-las: Educar, Deter, Detectar e Investigar:

Educar: a força de trabalho deve ser instruída sobre usos permitidos e divulgações de PHI, o risco associado a determinados comportamentos, privacidade do paciente e segurança de dados.

Deter: políticas devem ser desenvolvidas para reduzir o risco e aplicar conformidades. As repercussões das infrações da HIPAA e violações de privacidade devem ser claramente explicadas aos funcionários.

Detectar: as organizações de saúde devem implementar soluções tecnológicas que lhes permitam detectar violações rapidamente e os registros de acesso devem ser verificados regularmente.

Investigar: quando possíveis violações de privacidade e segurança são detectadas, elas devem ser investigadas imediatamente para limitar os danos causados. Quando a causa da violação é determinada, devem ser tomadas medidas para evitar uma recorrência.

Etapas mais específicas fornecidas pelo HIPAA Journal são destacadas aqui, mas dicas mais detalhadas estão disponíveis em seu site:

  • realizar verificações de antecedentes criminais dos funcionários;
  • realizar o treinamento HIPAA e treinamentos de conscientização de segurança;
  • todos os funcionários da área de saúde devem estar cientes de suas responsabilidades; o treinamento de segurança deve ser fornecido o mais rápido possível e, idealmente, antes que seja fornecido acesso à rede ou às PHIs;
  • implementar defesas anti-phishing e educar os funcionários, incluindo exercícios de simulação de phishing;
  • incentivar os funcionários a denunciarem atividades suspeitas (com segurança e anonimato);
  • controlar o acesso a informações confidenciais e encerrar o acesso quando ele não for mais necessário para a função de trabalho do funcionário;
  • criptografar as PHIs em todos os dispositivos portáteis,
  • aplicar o uso de senhas fortes e usar autenticação de dois fatores;
  • monitoras as atividades dos funcionários.

Artigo escrito por Sally Feller, gerente de estratégia de conteúdo da Cylance, tendo trabalhado em comunicações, relações públicas e mídias sociais na indústria de segurança cibernética por cinco anos.

Veja mais posts relacionados

Próximo Post

Healthcare Management – Edição 92

Healthcare - Edição 92

Healthcare - Edição 92

COLUNISTAS