O Health Insurance Portability and Accountability Act, também conhecido como HIPAA, é um padrão de conformidade que foi implementado depois que todas as informações relacionadas à saúde foram digitalizadas. O ponto crucial do ato é garantir que todas as informações de saúde protegidas eletrônicas (ePHI) tenham acesso restrito e seguro.
Conformidade de HIPAA para redes
Vários aspectos de sua rede determinam sua conformidade com os padrões HIPAA. Vamos discutir alguns desses componentes importantes em detalhes:
Mudanças de configuração em dispositivos de rede
As configurações do dispositivo de rede ditam como seus dispositivos se comportam e se comunicam dentro de sua rede. Para acomodar o aumento repentino na carga que as redes das instituições de saúde estão testemunhando durante a pandemia de COVID-19, os administradores devem continuamente fazer alterações nas configurações.
Uma alteração defeituosa pode tornar a rede vulnerável, concedendo a usuários não autorizados acesso a informações confidenciais, o que é uma violação dos padrões HIPAA. Por exemplo, se as senhas dos dispositivos de rede não forem criptografadas, qualquer usuário não autorizado pode obter acesso a bancos de dados que armazenam informações confidenciais. Portanto, as alterações de configuração devem ser revisadas antes e depois de serem carregadas nos dispositivos para evitar tais violações de dados.
Mudanças na regra de firewall
O HIPAA exige que as regras de firewall sejam configuradas de modo que apenas os dispositivos de usuários autorizados possam acessar dados confidenciais como ePHI. Por exemplo, um funcionário que trabalha em um escritório em um hospital pode requerer apenas o acesso ao seu e-mail ou portais específicos do hospital, que não contêm dados confidenciais. As regras de firewall podem ser configuradas especificamente para este funcionário para conceder-lhes acesso apenas a esses sites, tornando todos os outros sites inacessíveis. Essa restrição reduzirá a chance de o funcionário interagir com usuários suspeitos ou baixar software malicioso.
Nos casos em que determinados funcionários estão autorizados a acessar o ePHI, os administradores de rede podem configurar regras para permitir que os computadores deles acessem os servidores que contêm essas informações confidenciais. Além disso, os firewalls suportam mecanismos de autenticação baseados em identidade, onde os usuários terão que fornecer informações que só eles conhecem para acessar o ePHI, tornando as informações confidenciais ainda mais seguras.
A HIPAA relaxou algumas de suas regras à luz da pandemia em andamento. Isso provavelmente fez com que vários administradores de rede mudassem suas regras de firewall. Mas se o impacto de tais mudanças não for analisado antes de serem implementadas, usuários não autorizados podem entrar na rede da instituição de saúde e acessar informações confidenciais.
Logs de firewall
Os logs do firewall contêm informações como quais usuários efetuaram login, os arquivos que acessaram e as alterações feitas nos bancos de dados. Esses logs devem ser monitorados para analisar o comportamento do tráfego e garantir que seja de usuários autorizados.
Se os registros não forem analisados rotineiramente, os usuários mal-intencionados escaparão completamente invisíveis, livres para acessar bancos de dados contendo ePHI e cometer crimes como alteração de registros de saúde por fraude de seguro ou mesmo roubo de identidade.
As organizações de saúde devem incorporar mecanismos para analisar a atividade em bancos de dados que contenham dados confidenciais como ePHI. A HIPAA também exige que esses registros sejam preservados por no mínimo seis anos, portanto, os administradores de rede devem garantir que os registros obtidos por eles sejam armazenados com segurança para fins de auditoria.
Configurações de VPN
Em vez de modificar as regras de firewall, os administradores de rede podem configurar VPNs para acesso restrito a informações confidenciais. Uma VPN garantirá que todas as transferências de dados ocorram por meio de túneis criptografados, de forma que nenhuma violação de dados ocorra por meio de dispositivos conectados à rede.
Se um administrador suspeitar de uma violação de dados a qualquer momento, ele pode desligar imediatamente a VPN para bloquear o acesso a todas as informações confidenciais, contendo a possível violação de dados.
Backup seguro de ePHI
Os padrões HIPAA exigem que todo o ePHI tenha backup no caso de ocorrer um desastre na rede. Os administradores podem criptografar e armazenar todos os dados ePHI em servidores externos para garantir a segurança máxima. Em tempos de desastre de rede, onde os servidores primários da organização ficam inacessíveis, os usuários podem acessar esses servidores de backup fora do local e recuperar todos os dados essenciais. Uma VPN pode garantir que o acesso a esses servidores seja restrito.
Esses planos de recuperação de desastres são cruciais para cumprir os padrões da HIPAA. Além disso, como as organizações de saúde exigem alta disponibilidade de rede agora mais do que nunca para combater essa pandemia, os servidores de backup são essenciais para garantir a continuidade operacional.
Em grandes redes de hospitais, seria um desafio para os administradores monitorar e auditar todos esses componentes. Mas, com as ferramentas certas, os administradores podem facilmente analisar e auditar tráfego, regras de firewall, logs e alterações de configuração de rede para detectar anomalias e implantar medidas corretivas.
ManageEngine Network Configuration Manager e ManageEngine Firewall Analyzer são ferramentas que podem ajudá-lo a manter a conformidade com os padrões HIPAA. Você pode agendar verificações de conformidade de rotina e gerar relatórios intuitivos para fins de auditoria interna e externa.
Comece sua avaliação gratuita dessas soluções agora mesmo!
Além de gerenciamento de configuração e análise de log de firewall, as soluções ITOM também ajudam a otimizar o monitoramento de rede, monitoramento de servidor, monitoramento de aplicação, monitoramento de banda, gerenciamento de endereço IP e de porta de switch, sendo a escolha ideal para mais de 1 milhão de administradores de TI em todo o mundo.