Desde o início da pandemia, tem havido um aumento no volume de dados confidenciais de pacientes armazenados e processados por organizações de saúde. O histórico de saúde de um paciente, incluindo todos os tratamentos, procedimentos, prescrições, testes de laboratório e relatórios de varredura, são armazenados na forma de registros eletrônicos de saúde (EHRs). Embora os EHRs reduzam o número de erros nos relatórios e ajudem os médicos a rastrear os dados de saúde, adulterá-los pode produzir consequências desastrosas. Portanto, a responsabilidade recai sobre o administrador de TI para proteger os dados e a privacidade do paciente.

Para garantir a integridade das informações de saúde protegidas (PHI), a incorporação dessas três estratégias garantirá a conformidade com os regulamentos de privacidade e segurança de informações médicas, incluindo HIPAA e HITRUST.

1) Monitore o acesso a servidores de arquivos contendo PHIs

Os EHRs contêm PHI que os torna um alvo lucrativo para os cibercriminosos. Os servidores que contêm EHRs precisam ser monitorados de perto para detectar o acesso não autorizado a arquivos, modificações e movimentos para preservar a integridade dos dados. As organizações de saúde devem garantir que informações confidenciais como essa sejam acessadas apenas por pessoal médico autorizado e pelos próprios pacientes.

2) Administração de políticas de senha granulares e implementação de MFA

Como a maioria das organizações de saúde depende fortemente de senhas para proteger o acesso ao seu ePHI, os hackers precisam apenas de uma credencial comprometida para entrar na rede de uma organização. O desafio é garantir que os médicos e outras equipes usem senhas fortes para proteger suas contas. Imponha autenticação multifator (MFA) para usuários diferentes, como enfermeiras, residentes, médicos, recepção e outros, com base no domínio, UO e associações de grupo, garantindo uma experiência de login perfeita.

3) Mitigue o uso indevido de privilégios e ameaças internas

Usuários privilegiados com controle sobre seu ambiente Active Directory (AD), GPOs e servidores representam o uso indevido de privilégios e riscos de ameaças internas. Para uma segurança eficaz, um ambiente ZeroTrust precisa ser estabelecido para que as ameaças internas sejam mantidas à distância. Atribua apenas o nível necessário de acesso às informações de um paciente a médicos, enfermeiras, executivos de seguros de saúde e outros que sejam diretamente responsáveis por ele.

Para implementar essas três estratégias, você precisa de uma solução abrangente de gerenciamento de identidade e acesso (IAM), como ManageEngine AD360, que é um pacote IAM integrado que pode gerenciar e proteger seus ambientes Windows AD, Exchange Server e Microsoft 365, além de cuidar de seus requisitos de conformidade.

Com AD360, você pode:

  • Rastrear em tempo real quem alterou qual arquivo ou pasta, quando e de onde, em sistemas de arquivos Windows, NetApp, EMC, Synology, Huawei e Hitachi que contêm PHI.

  • Detectar dispositivos USB conectados a sistemas e receba alertas quando os arquivos forem copiados para eles e impeça a exfiltração de PHI.

  • Aplicar políticas de senha refinadas e MFA para usuários privilegiados que têm acesso a PHI.

  • Combater as ameaças internas, aproveitando a análise do comportamento do usuário, que notifica sobre desvios do comportamento normal do usuário.

  • Responder instantaneamente a esses desvios configurando ações automáticas a serem realizadas, como a execução de scripts ou a execução de arquivos em lote.

  • Identificar e receber alertas sobre sinais reveladores de abuso de privilégios, como volumes invulgarmente grandes de modificações de arquivos e tentativas de acessar arquivos críticos.

  • Provar a conformidade da HIPAA com mais de 200 relatórios pré-configurados para visualizar as alterações feitas no sistema, rastrear ações do usuário, acessar logs de dados e modificar dados.

Para ajudar as organizações de saúde a fornecer assistência elevada ao paciente, navegar no ambiente de TI em constante evolução e fazer o gerenciamento de identidade e acesso pesar menos no orçamento, nossa solução IAM, AD360, pode ser testada gratuitamente por até 30 dias. Confira!

Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.