{"id":1439,"date":"2020-10-08T10:45:40","date_gmt":"2020-10-08T13:45:40","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=1439"},"modified":"2020-10-09T11:38:14","modified_gmt":"2020-10-09T14:38:14","slug":"a-avaliacao-de-risco-de-seguranca-na-area-da-saude","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/a-avaliacao-de-risco-de-seguranca-na-area-da-saude\/","title":{"rendered":"A avalia\u00e7\u00e3o de risco de seguran\u00e7a na \u00e1rea da sa\u00fade"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Voc\u00ea trabalha para uma entidade ou neg\u00f3cio que a engloba HIPAA? Ent\u00e3o voc\u00ea deve estar se perguntando exatamente qual avalia\u00e7\u00e3o de risco de seguran\u00e7a da TI \u00e9 necess\u00e1ria para a conformidade da HIPAA, por que as organiza\u00e7\u00f5es falham em fazem propriamente e onde voc\u00ea deve come\u00e7ar para passar em uma auditoria de HIPAA. Aqui voc\u00ea encontrar\u00e1 as perguntas para essas quest\u00f5es. Vamos ver passo a passo.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/a-avaliacao-de-risco-de-seguranca-na-area-da-saude\/#Avaliacao_de_risco_da_HIPAA_Todo_mundo_precisa_mas_ninguem_faz_direito\" >Avalia\u00e7\u00e3o de risco da HIPAA: Todo mundo precisa, mas ningu\u00e9m faz direito<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/a-avaliacao-de-risco-de-seguranca-na-area-da-saude\/#O_que_e_a_avaliacao_de_risco_no_contexto_da_HIPAA\" >O que \u00e9 a avalia\u00e7\u00e3o de risco no contexto da HIPAA?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/a-avaliacao-de-risco-de-seguranca-na-area-da-saude\/#Onde_comecar_com_a_avaliacao_de_risco_de_TI\" >Onde come\u00e7ar com a avalia\u00e7\u00e3o de risco de TI<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"Avaliacao_de_risco_da_HIPAA_Todo_mundo_precisa_mas_ninguem_faz_direito\"><\/span>Avalia\u00e7\u00e3o de risco da HIPAA: Todo mundo precisa, mas ningu\u00e9m faz direito<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>A <a href=\"https:\/\/aiqon.com.br\/blog\/avaliacao-de-risco\/\">avalia\u00e7\u00e3o de risco da TI<\/a> (ou an\u00e1lise de risco, como a HIPAA se refere) \u00e9 um dos principais requisitos para a conformidade da HIPAA. \u00c9 essencial para a prote\u00e7\u00e3o das e-PHI (Informa\u00e7\u00f5es eletr\u00f4nicas protegidas de sa\u00fade) de v\u00e1rias amea\u00e7as cibern\u00e9ticas. A falha em realizar a avalia\u00e7\u00e3o de risco de seguran\u00e7a cont\u00ednua, podem levar a vazamentos de dados e a falhar nas auditorias de conformidade, que podem resultar em penalidades criminais e civis. Para se ter a ideia, veja o <a href=\"https:\/\/www.hhs.gov\/ocr\/newsroom\/index.html\">artigo na sess\u00e3o de not\u00edcias da HHR sobre o Direitos civis de escrit\u00f3rios (OCR).<\/a><\/p>\n<p>Infelizmente, tanto as investiga\u00e7\u00f5es de brecha quanto as auditorias conduzidas pelo OCR mostra a falta de an\u00e1lise de avalia\u00e7\u00e3o de risco e gerenciamento de risco de forma apropriada, e continuar\u00e1 assim, sendo um problema para as empresas que cobrem a HIPAA. Mesmo em auditorias da HIPAA, as organiza\u00e7\u00f5es tem dificuldade em estabelecer an\u00e1lise de risco de seguran\u00e7a para a empresa e responder com procedimentos e controles apropriados.<\/p>\n<p>Ent\u00e3o qual \u00e9 o problema?<\/p>\n<ol>\n<li><strong>A avalia\u00e7\u00e3o de risco da TI deve ser cont\u00ednua<\/strong>. A <a href=\"https:\/\/lps.aiqon.com.br\/checklist_riscos_ti\">avalia\u00e7\u00e3o de risco da TI<\/a> \u00e9 um processo cont\u00ednuo e complexo que requer habilidade e conhecimento para ser estabelecida e mantida. N\u00e3o \u00e9 de forma nenhuma algo \u00fanico, que voc\u00ea faz uma vez e esquece.<\/li>\n<li><strong>N\u00e3o h\u00e1 um fluxo de trabalho claro<\/strong>. Por existir diversos tipos de organiza\u00e7\u00f5es que s\u00e3o sujeitas a conformidade HIPAA, h\u00e1 uma certa aus\u00eancia de guias espec\u00edficos sobre quais avalia\u00e7\u00f5es de risco devem ser feitas. Logo, muitas organiza\u00e7\u00f5es que precisam cumprir com a HIPAA n\u00e3o sabem nem por onde come\u00e7ar e se eles entendem a avalia\u00e7\u00e3o de risco da TI da mesma forma que a OCR entende.<\/li>\n<\/ol>\n<h2><span class=\"ez-toc-section\" id=\"O_que_e_a_avaliacao_de_risco_no_contexto_da_HIPAA\"><\/span>O que \u00e9 a avalia\u00e7\u00e3o de risco no contexto da HIPAA?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>De acordo com a HIPAA (\u00a7 164.308) an\u00e1lise de risco \u00e9:<\/p>\n<blockquote><p>\u201cUma avalia\u00e7\u00e3o precisa e completa dos riscos e vulnerabilidades potenciais a confidencialidade, integridade e disponibilidade da informa\u00e7\u00e3o de sa\u00fade protegida eletronicamente armazenada pela entidade ou neg\u00f3cio associado\u201d<\/p><\/blockquote>\n<p>Seu prop\u00f3sito \u00e9 identificar onde as e-PHI podem ser divulgadas sem a autoriza\u00e7\u00e3o pr\u00f3pria, seja modificada impropriamente, ou feita indispon\u00edvel quando necessitada.<\/p>\n<p>A regra de seguran\u00e7a da HIPAA se aplica a todas as e-PHI que forem criadas, recebidas, mantidas ou transmitidas por uma entidade coberta pela HIPAA, que inclui os associados do neg\u00f3cio. Al\u00e9m do mais, uma an\u00e1lise de risco de TI apropriada deve cobrir \u201c<strong>todas as aplica\u00e7\u00f5es, softwares, bancos de dados, servidores, esta\u00e7\u00f5es de trabalho, dispositivos moveis e m\u00eddias eletr\u00f4nicas, administra\u00e7\u00e3o de rede e dispositivos de seguran\u00e7a e processos de neg\u00f3cios associados.<\/strong>\u201d<\/p>\n<p>Mas mesmo depois de vermos todas essas defini\u00e7\u00f5es, ainda parece vago, n\u00e3o \u00e9 o mesmo?<a href=\"https:\/\/lps.aiqon.com.br\/compliance-desmistificada\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1443 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/10\/Artboard-1banner_download.png\" alt=\"Hipaa avalia\u00e7\u00e3o de risco\" width=\"1024\" height=\"370\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/10\/Artboard-1banner_download.png 1024w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/10\/Artboard-1banner_download-300x108.png 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/10\/Artboard-1banner_download-768x278.png 768w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Onde_comecar_com_a_avaliacao_de_risco_de_TI\"><\/span>Onde come\u00e7ar com a avalia\u00e7\u00e3o de risco de TI<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>J\u00e1 que a regra de seguran\u00e7a da HIPAA n\u00e3o oferece um guia claro sobre o que a avalia\u00e7\u00e3o de risco deve incluir, \u00e9 sua responsabilidade determinar o escopo de avalia\u00e7\u00e3o de risco e seguran\u00e7a que seja compreensivo para a sua organiza\u00e7\u00e3o e como voc\u00ea deve atingi-la. Claro, a avalia\u00e7\u00e3o de risco \u00e9 uma \u00e1rea t\u00e3o grande que voc\u00ea n\u00e3o pode fazer tudo que ela implica, independente dos seus recursos. Ao inv\u00e9s disso, voc\u00ea deve estar preparado para provar para os auditores que voc\u00ea tomou todas as medidas necess\u00e1rias para proteger sua e-PHI identificando riscos, avaliando a probabilidade e o impacto que elas causam e endere\u00e7ando os de maior prioridade. Tamb\u00e9m deve ter uma explica\u00e7\u00e3o persuasiva do por que certas medidas n\u00e3o serem apropriadas no seu ambiente e ter formas de mostrar as alternativas que voc\u00ea adotou.<\/p>\n<p>A HHS oferece um documento chamado o <a href=\"https:\/\/www.hhs.gov\/hipaa\/for-professionals\/security\/guidance\/guidance-risk-analysis\/index.html\">Guia para os requisitos de an\u00e1lise de risco<\/a>, que pode te dar uma ideia do que esperar de voc\u00ea do ponto de vista dos auditores. Ele sugere que voc\u00ea inclua os seguintes elementos na sua avalia\u00e7\u00e3o de risco.<\/p>\n<ol>\n<li><strong>Identifique o seu e-PHI<\/strong><\/li>\n<\/ol>\n<p>\u00c9 necess\u00e1rio encontrar que tipo de e-PHI sua organiza\u00e7\u00e3o lida, onde ele \u00e9 armazenado e como eles s\u00e3o recebidos, mantidos e transmitidos. Note que os dados sens\u00edveis tem uma tend\u00eancias a ser espalhada atrav\u00e9s de m\u00faltiplos sistemas e aplica\u00e7\u00f5es; ele n\u00e3o est\u00e1 necessariamente onde voc\u00ea pensa que est\u00e1.<\/p>\n<ol start=\"2\">\n<li><strong>Identifique as origens de e-PHI<\/strong><\/li>\n<\/ol>\n<p>Se voc\u00ea trabalha com parceiros ou fabricantes com quem voc\u00ea compartilha o seu e-PHI, voc\u00ea deve fazer uma lista detalha de todas as origens dos seus dados e tenha certeza que as suas pol\u00edticas de seguran\u00e7a est\u00e3o em linha com o HIPAA.<\/p>\n<ol start=\"3\">\n<li><strong>Identifique as amea\u00e7as da e-PHI<\/strong><\/li>\n<\/ol>\n<p>H\u00e1 amea\u00e7as naturais, de ambiente e humanos aos seus sistemas de informa\u00e7\u00e3o que contenham dados sens\u00edveis. J\u00e1 h\u00e1 diversos formul\u00e1rios que listam as amea\u00e7as. Encontre uma online e use-a como ponto inicial para reduzir o risco de perder algo importante.<\/p>\n<ol start=\"4\">\n<li><strong>Determine a probabilidade, impacto e o n\u00edvel de risco para cada amea\u00e7a<\/strong><\/li>\n<\/ol>\n<p>A lista de amea\u00e7as \u00e9 longa, ent\u00e3o voc\u00ea tem que priorizar seus esfor\u00e7os de seguran\u00e7a. Os auditores ir\u00e3o querer prova de que voc\u00ea trabalhou durou para mitigar os riscos que causam mais press\u00e3o.<\/p>\n<ol start=\"5\">\n<li><strong>Avalie suas medidas de seguran\u00e7a atuais e as atualize conforme necess\u00e1rios<\/strong><\/li>\n<\/ol>\n<p>As suas pol\u00edticas e controles s\u00e3o suficientes para mitigar riscos que voc\u00ea identificou de alto n\u00edvel? Se n\u00e3o, atualize elas para endere\u00e7ar suas amea\u00e7as atuais, e tenha certeza que eles tamb\u00e9m acomodar\u00e3o novas circunstancias e amea\u00e7as. Repita isso regularmente. Os advers\u00e1rios n\u00e3o se cansam e s\u00e3o inovadores; n\u00e3o fique para tr\u00e1s.<\/p>\n<ol start=\"6\">\n<li><strong>Documente tudo<\/strong><\/li>\n<\/ol>\n<p>Se n\u00e3o foi documentado, nunca existiu. Voc\u00ea deve provar aos auditores com a evidencias de conformidade pelos \u00faltimos 6 anos, incluindo tudo da documenta\u00e7\u00e3o de avalia\u00e7\u00e3o de risco as pol\u00edticas e dados de log. Mantenha rastro de tudo que aconteceu desde o come\u00e7o.<\/p>\n<ol start=\"7\">\n<li><strong>Nunca para.<\/strong><\/li>\n<\/ol>\n<p>Fa\u00e7a da avalia\u00e7\u00e3o de risco um processo cont\u00ednuo. Reavalie seus riscos de 1 a 2 anos para garantir que voc\u00ea se mantenha atualizado aos seus esfor\u00e7os e pr\u00e1ticas.<\/p>\n<p><strong><span style=\"color: #ff0000;\">Leitura extra:<\/span><\/strong>\u00a0O documento de guia \u00e9 baseado nas recomenda\u00e7\u00f5es do framework da NIST, mas \u00e9 uma boa ideia se familiarizar com o pr\u00f3prio framework de <a href=\"http:\/\/nvlpubs.nist.gov\/nistpubs\/Legacy\/SP\/nistspecialpublication800-30r1.pdf\">NIST<\/a>. Ele definitivamente ajudara seus esfor\u00e7os de conformidade, j\u00e1 que ela oferece uma lista extensa de tarefas de avalia\u00e7\u00f5es de risco de TI e explica\u00e7\u00f5es de como completa-las, assim como um conjunto de exemplos. E, ao contr\u00e1rio de outros materiais de conformidade que s\u00e3o vagas e dif\u00edceis de seguir, NIST \u00e9 bom de se ler.<\/p>\n<p>N\u00e3o ache que voc\u00ea ser\u00e1 capaz de fazer tudo manualmente. H\u00e1 diversas solu\u00e7\u00f5es no mercado que podem te ajuda. Apenas fique atento que cada solu\u00e7\u00e3o cobre apenas certas \u00e1reas da conformidade e avalia\u00e7\u00e3o de risco, e voc\u00ea precisa de uma que te atenda melhor.<\/p>\n<p>Sua organiza\u00e7\u00e3o tem que cumprir com a HIPAA? Voc\u00ea acha que tem o que \u00e9 necess\u00e1rio para passar do auditoria? Quais melhores pr\u00e1ticas voc\u00ea usa quando conduz uma avalia\u00e7\u00e3o de risco de TI? O que voc\u00ea achou mais dif\u00edcil na avalia\u00e7\u00e3o de risco de TI da HIPPA?<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/checklist_riscos_ti\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-1065 size-large\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/05\/GUIA_-CHECKLIST-RISCOS-DA-TI-1024x379.png\" alt=\"Hipaa avalia\u00e7\u00e3o de risco\" width=\"1024\" height=\"379\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Voc\u00ea trabalha para uma entidade ou neg\u00f3cio que a engloba HIPAA? Ent\u00e3o voc\u00ea deve estar se perguntando exatamente qual avalia\u00e7\u00e3o de risco de seguran\u00e7a da TI \u00e9 necess\u00e1ria para a conformidade da HIPAA, por que as organiza\u00e7\u00f5es falham em fazem propriamente e onde voc\u00ea deve come\u00e7ar para passar em uma auditoria de HIPAA. Aqui voc\u00ea [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1441,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[123,83],"tags":[138,137],"class_list":["post-1439","post","type-post","status-publish","format-standard","has-post-thumbnail","category-auditoria-de-ti","category-gerenciamento-de-risco","tag-avaliacao-de-risco","tag-hipaa","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/10\/HIPAA.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1439","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1439"}],"version-history":[{"count":3,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1439\/revisions"}],"predecessor-version":[{"id":1444,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/1439\/revisions\/1444"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/1441"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1439"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1439"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1439"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}