Desde o início da pandemia, tem havido um aumento no volume de dados confidenciais de pacientes armazenados e processados por organizações de saúde. O histórico de saúde de um paciente, incluindo todos os tratamentos, procedimentos, prescrições, testes de laboratório e relatórios de varredura, são armazenados na forma de registros eletrônicos de saúde (EHRs). Embora os EHRs reduzam o número de erros nos relatórios e ajudem os médicos a rastrear os dados de saúde, adulterá-los pode produzir consequências desastrosas. Portanto, a responsabilidade recai sobre o administrador de TI para proteger os dados e a privacidade do paciente.
Para garantir a integridade das informações de saúde protegidas (PHI), a incorporação dessas três estratégias garantirá a conformidade com os regulamentos de privacidade e segurança de informações médicas, incluindo HIPAA e HITRUST.
1) Monitore o acesso a servidores de arquivos contendo PHIs
Os EHRs contêm PHI que os torna um alvo lucrativo para os cibercriminosos. Os servidores que contêm EHRs precisam ser monitorados de perto para detectar o acesso não autorizado a arquivos, modificações e movimentos para preservar a integridade dos dados. As organizações de saúde devem garantir que informações confidenciais como essa sejam acessadas apenas por pessoal médico autorizado e pelos próprios pacientes.
2) Administração de políticas de senha granulares e implementação de MFA
Como a maioria das organizações de saúde depende fortemente de senhas para proteger o acesso ao seu ePHI, os hackers precisam apenas de uma credencial comprometida para entrar na rede de uma organização. O desafio é garantir que os médicos e outras equipes usem senhas fortes para proteger suas contas. Imponha autenticação multifator (MFA) para usuários diferentes, como enfermeiras, residentes, médicos, recepção e outros, com base no domínio, UO e associações de grupo, garantindo uma experiência de login perfeita.
3) Mitigue o uso indevido de privilégios e ameaças internas
Usuários privilegiados com controle sobre seu ambiente Active Directory (AD), GPOs e servidores representam o uso indevido de privilégios e riscos de ameaças internas. Para uma segurança eficaz, um ambiente ZeroTrust precisa ser estabelecido para que as ameaças internas sejam mantidas à distância. Atribua apenas o nível necessário de acesso às informações de um paciente a médicos, enfermeiras, executivos de seguros de saúde e outros que sejam diretamente responsáveis por ele.
Para implementar essas três estratégias, você precisa de uma solução abrangente de gerenciamento de identidade e acesso (IAM), como ManageEngine AD360, que é um pacote IAM integrado que pode gerenciar e proteger seus ambientes Windows AD, Exchange Server e Microsoft 365, além de cuidar de seus requisitos de conformidade.
Com AD360, você pode:
-
Rastrear em tempo real quem alterou qual arquivo ou pasta, quando e de onde, em sistemas de arquivos Windows, NetApp, EMC, Synology, Huawei e Hitachi que contêm PHI.
-
Detectar dispositivos USB conectados a sistemas e receba alertas quando os arquivos forem copiados para eles e impeça a exfiltração de PHI.
-
Aplicar políticas de senha refinadas e MFA para usuários privilegiados que têm acesso a PHI.
-
Combater as ameaças internas, aproveitando a análise do comportamento do usuário, que notifica sobre desvios do comportamento normal do usuário.
-
Responder instantaneamente a esses desvios configurando ações automáticas a serem realizadas, como a execução de scripts ou a execução de arquivos em lote.
-
Identificar e receber alertas sobre sinais reveladores de abuso de privilégios, como volumes invulgarmente grandes de modificações de arquivos e tentativas de acessar arquivos críticos.
-
Provar a conformidade da HIPAA com mais de 200 relatórios pré-configurados para visualizar as alterações feitas no sistema, rastrear ações do usuário, acessar logs de dados e modificar dados.
Para ajudar as organizações de saúde a fornecer assistência elevada ao paciente, navegar no ambiente de TI em constante evolução e fazer o gerenciamento de identidade e acesso pesar menos no orçamento, nossa solução IAM, AD360, pode ser testada gratuitamente por até 30 dias. Confira!
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.
