Você trabalha para uma entidade ou negócio que a engloba HIPAA? Então você deve estar se perguntando exatamente qual avaliação de risco de segurança da TI é necessária para a conformidade da HIPAA, por que as organizações falham em fazem propriamente e onde você deve começar para passar em uma auditoria de HIPAA. Aqui você encontrará as perguntas para essas questões. Vamos ver passo a passo.
Avaliação de risco da HIPAA: Todo mundo precisa, mas ninguém faz direito
A avaliação de risco da TI (ou análise de risco, como a HIPAA se refere) é um dos principais requisitos para a conformidade da HIPAA. É essencial para a proteção das e-PHI (Informações eletrônicas protegidas de saúde) de várias ameaças cibernéticas. A falha em realizar a avaliação de risco de segurança contínua, podem levar a vazamentos de dados e a falhar nas auditorias de conformidade, que podem resultar em penalidades criminais e civis. Para se ter a ideia, veja o artigo na sessão de notícias da HHR sobre o Direitos civis de escritórios (OCR).
Infelizmente, tanto as investigações de brecha quanto as auditorias conduzidas pelo OCR mostra a falta de análise de avaliação de risco e gerenciamento de risco de forma apropriada, e continuará assim, sendo um problema para as empresas que cobrem a HIPAA. Mesmo em auditorias da HIPAA, as organizações tem dificuldade em estabelecer análise de risco de segurança para a empresa e responder com procedimentos e controles apropriados.
Então qual é o problema?
- A avaliação de risco da TI deve ser contínua. A avaliação de risco da TI é um processo contínuo e complexo que requer habilidade e conhecimento para ser estabelecida e mantida. Não é de forma nenhuma algo único, que você faz uma vez e esquece.
- Não há um fluxo de trabalho claro. Por existir diversos tipos de organizações que são sujeitas a conformidade HIPAA, há uma certa ausência de guias específicos sobre quais avaliações de risco devem ser feitas. Logo, muitas organizações que precisam cumprir com a HIPAA não sabem nem por onde começar e se eles entendem a avaliação de risco da TI da mesma forma que a OCR entende.
O que é a avaliação de risco no contexto da HIPAA?
De acordo com a HIPAA (§ 164.308) análise de risco é:
“Uma avaliação precisa e completa dos riscos e vulnerabilidades potenciais a confidencialidade, integridade e disponibilidade da informação de saúde protegida eletronicamente armazenada pela entidade ou negócio associado”
Seu propósito é identificar onde as e-PHI podem ser divulgadas sem a autorização própria, seja modificada impropriamente, ou feita indisponível quando necessitada.
A regra de segurança da HIPAA se aplica a todas as e-PHI que forem criadas, recebidas, mantidas ou transmitidas por uma entidade coberta pela HIPAA, que inclui os associados do negócio. Além do mais, uma análise de risco de TI apropriada deve cobrir “todas as aplicações, softwares, bancos de dados, servidores, estações de trabalho, dispositivos moveis e mídias eletrônicas, administração de rede e dispositivos de segurança e processos de negócios associados.”
Mas mesmo depois de vermos todas essas definições, ainda parece vago, não é o mesmo?
Onde começar com a avaliação de risco de TI
Já que a regra de segurança da HIPAA não oferece um guia claro sobre o que a avaliação de risco deve incluir, é sua responsabilidade determinar o escopo de avaliação de risco e segurança que seja compreensivo para a sua organização e como você deve atingi-la. Claro, a avaliação de risco é uma área tão grande que você não pode fazer tudo que ela implica, independente dos seus recursos. Ao invés disso, você deve estar preparado para provar para os auditores que você tomou todas as medidas necessárias para proteger sua e-PHI identificando riscos, avaliando a probabilidade e o impacto que elas causam e endereçando os de maior prioridade. Também deve ter uma explicação persuasiva do por que certas medidas não serem apropriadas no seu ambiente e ter formas de mostrar as alternativas que você adotou.
A HHS oferece um documento chamado o Guia para os requisitos de análise de risco, que pode te dar uma ideia do que esperar de você do ponto de vista dos auditores. Ele sugere que você inclua os seguintes elementos na sua avaliação de risco.
- Identifique o seu e-PHI
É necessário encontrar que tipo de e-PHI sua organização lida, onde ele é armazenado e como eles são recebidos, mantidos e transmitidos. Note que os dados sensíveis tem uma tendências a ser espalhada através de múltiplos sistemas e aplicações; ele não está necessariamente onde você pensa que está.
- Identifique as origens de e-PHI
Se você trabalha com parceiros ou fabricantes com quem você compartilha o seu e-PHI, você deve fazer uma lista detalha de todas as origens dos seus dados e tenha certeza que as suas políticas de segurança estão em linha com o HIPAA.
- Identifique as ameaças da e-PHI
Há ameaças naturais, de ambiente e humanos aos seus sistemas de informação que contenham dados sensíveis. Já há diversos formulários que listam as ameaças. Encontre uma online e use-a como ponto inicial para reduzir o risco de perder algo importante.
- Determine a probabilidade, impacto e o nível de risco para cada ameaça
A lista de ameaças é longa, então você tem que priorizar seus esforços de segurança. Os auditores irão querer prova de que você trabalhou durou para mitigar os riscos que causam mais pressão.
- Avalie suas medidas de segurança atuais e as atualize conforme necessários
As suas políticas e controles são suficientes para mitigar riscos que você identificou de alto nível? Se não, atualize elas para endereçar suas ameaças atuais, e tenha certeza que eles também acomodarão novas circunstancias e ameaças. Repita isso regularmente. Os adversários não se cansam e são inovadores; não fique para trás.
- Documente tudo
Se não foi documentado, nunca existiu. Você deve provar aos auditores com a evidencias de conformidade pelos últimos 6 anos, incluindo tudo da documentação de avaliação de risco as políticas e dados de log. Mantenha rastro de tudo que aconteceu desde o começo.
- Nunca para.
Faça da avaliação de risco um processo contínuo. Reavalie seus riscos de 1 a 2 anos para garantir que você se mantenha atualizado aos seus esforços e práticas.
Leitura extra: O documento de guia é baseado nas recomendações do framework da NIST, mas é uma boa ideia se familiarizar com o próprio framework de NIST. Ele definitivamente ajudara seus esforços de conformidade, já que ela oferece uma lista extensa de tarefas de avaliações de risco de TI e explicações de como completa-las, assim como um conjunto de exemplos. E, ao contrário de outros materiais de conformidade que são vagas e difíceis de seguir, NIST é bom de se ler.
Não ache que você será capaz de fazer tudo manualmente. Há diversas soluções no mercado que podem te ajuda. Apenas fique atento que cada solução cobre apenas certas áreas da conformidade e avaliação de risco, e você precisa de uma que te atenda melhor.
Sua organização tem que cumprir com a HIPAA? Você acha que tem o que é necessário para passar do auditoria? Quais melhores práticas você usa quando conduz uma avaliação de risco de TI? O que você achou mais difícil na avaliação de risco de TI da HIPPA?
