Pesquisa de site

O guia definitivo de segurança cibernética para saúde em 2023

Quase 93% das organizações de saúde sofreram uma violação de dados nos últimos três anos, e a maioria desses eventos poderia ter sido evitada com práticas básicas de segurança cibernética.

Para ajudar as entidades de saúde a mitigar os riscos de segurança cibernética e aumentar sua resiliência à violação de dados, criamos um guia abrangente de segurança cibernética de saúde otimizado para as maiores ameaças de segurança do setor.

Realize uma avaliação de risco e defina seu apetite ao risco

Para que seu programa de segurança cibernética seja econômico, ele precisa ser adaptado aos riscos exclusivos do seu ecossistema digital. Uma avaliação de risco (um questionário de segurança) ajudará você a determinar as áreas em sua postura de segurança cibernética que precisam ser melhoradas para atender aos padrões nacionais de resiliência cibernética recomendados.

A Estrutura de Segurança Cibernética do NIST (disponível na plataforma UpGuard) é uma avaliação de risco popular para essas avaliações iniciais.

Depois de concluída, uma avaliação de risco avaliará sua exposição total ao risco sem controles de segurança em vigor - também conhecido como risco inerente. Esses dados permitirão que você defina um apetite de risco, especificando o nível máximo de riscos de segurança que sua organização de saúde está disposta a absorver para qualquer cenário de ameaça. Ao estabelecer um padrão para gerenciar riscos cibernéticos, seu apetite pelo risco define a base de todo o seu programa de segurança cibernética.

Uma vez definido seu apetite ao risco, seu primeiro objetivo de segurança cibernética deve ser empurrar seu nível de risco inerente abaixo do seu apetite ao risco por meio da implementação estratégica de controles de segurança. O nível de risco resultante torna-se conhecido como seu nível de risco residual.

Saiba como escolher o melhor produto de gerenciamento de superfície de ataque de saúde >

O risco residual é o nível de risco restante após a implementação dos controles de segurança.

Aprenda a calcular seu apetite ao risco >

O esforço de reduzir os riscos de segurança abaixo de um apetite de risco definido é o mecanismo fundamental de todo programa de segurança cibernética.

Os controles de segurança que você implementa para atingir um nível de risco residual ideal devem ser baseados nos controles recomendados para cada grande ameaça cibernética de saúde listada abaixo.

Fique ciente das maiores ameaças cibernéticas na área da saúde

As entidades de saúde precisam desenvolver um programa de segurança cibernética com base nas ameaças cibernéticas exclusivas do setor.

As três ameaças cibernéticas mais críticas na área da saúde estão listadas abaixo. As respostas de segurança sugeridas para cada ameaça listada também estão incluídas para ajudá-lo a desenvolver o programa de segurança cibernética mais relevante alinhado ao cenário de ameaças à saúde.

1. Ataques de ransomware

De acordo com o relatório State of Ransomware in Healthcare de 2022 da Sophos, 66% das organizações de saúde pesquisadas foram vítimas de um ataque de ransomware em 2021; e entre 2020 e 2021, os ataques de ransomware no setor de saúde aumentaram 94%.

Durante um ataque de ransomware, o computador da vítima é completamente criptografado, bloqueando todos os usuários. Apenas uma mensagem de resgate dos cibercriminosos responsáveis está acessível nos computadores infectados, prometendo reverter os danos e restabelecer o acesso se um resgate for pago com bitcoin.

Aqui está um exemplo de uma mensagem de resgate do ransomware AvosLocker.

Exemplo de pedido de resgate por AvosLocker ransomware - Fonte: socradar.io

Para forçar as vítimas a cumprir os pedidos de resgate, alguns criminosos cibernéticos publicam quantidades crescentes de dados confidenciais de saúde roubados em fóruns de cibercriminosos, prometendo parar apenas quando o resgate for pago.

Saiba como escolher um produto de remediação de riscos cibernéticos de saúde >

As entidades de saúde são alvos ideais para ataques de ransomware, não apenas por causa do tesouro de dados confidenciais de pacientes que armazenam, mas também por causa de sua necessidade de manter a continuidade operacional para fornecer atendimento eficaz ao paciente. Em meio ao caos de um ataque de ransomware, essa expectativa torna cada vez mais atraentes as promessas de um cibercriminoso de restabelecer os sistemas em troca do pagamento de um resgate.

O FBI desaconselha fortemente o pagamento de um resgate em resposta a um ataque de ransomware. Os pagamentos de resgate nunca garantem o acesso restabelecido a sistemas de saúde criptografados e servem apenas para financiar ataques futuros.

Um ataque de ransomware é composto por 7 estágios:

1. Phishing - Um funcionário é alvo de um e-mail fraudulento que leva a um site de roubo de credenciais.

2. Comprometimento da conta - O funcionário da área de saúde executa a ação pretendida pelo cibercriminoso, resultando no comprometimento de sua conta.

>

3. Movimento lateral - Usando a conta comprometida do funcionário, o cibercriminoso faz login na rede da organização de saúde e começa a se mover clandestinamente por suas regiões, procurando contas privilegiadas para comprometer.

4. Escalonamento de privilégios - Credenciais privilegiadas que levam a recursos confidenciais de informações de saúde são localizadas e comprometidas.

5. Exfiltração de dados - Usando credenciais privilegiadas comprometidas, recursos de dados confidenciais são acessados. Os dados do paciente dentro desses recursos são transferidos secretamente de backdoors para servidores cibercriminosos para fins de extorsão.

6. Criptografia de dados - A carga útil do malware é implantada, criptografando os sistemas críticos da vítima. Uma nota de ransomware digital é deixada em todos os dispositivos comprometidos.

7. Despejo de dados - Para forçar as vítimas a seguir com os pedidos de resgate, quantidades crescentes de dados confidenciais roubados no estágio 5 do ataque são publicados na dark web até que o resgate seja pago.

Como as organizações de saúde podem se defender contra ataques de ransomware

Para se defender contra ataques de ransomware, controles de segurança direcionados devem ser implantados em cada estágio do ataque.

Controles de segurança da Fase 1 - Ataques de phishing

O sucesso dos ataques de phishing pode ser significativamente reduzido ensinando os funcionários da área de saúde a identificar e responder corretamente às ameaças de phishing.

Mais detalhes sobre a mitigação de ataques de phishing estão descritos abaixo

Controles de segurança da Fase 2 - Comprometimento da conta

Se as credenciais de um funcionário forem comprometidas, o uso de sua conta para obter acesso não autorizado à rede ainda poderá ser impedido com os seguintes controles de segurança:

  • Autenticação multifator (MFA) - A adição de protocolos de autenticação para complicar as tentativas de comprometimento da conta.

    Saiba mais sobre o MFA >

  • Detecção e resposta de endpoint (EDR) - Essas soluções oferecem suporte a respostas a possíveis ameaças detectadas em endpoints (laptops, dispositivos IoT, dispositivos móveis, computadores desktop, dispositivos médicos etc.).

    Saiba mais sobre o Endpoint Detection and Response >

  • Plataformas de proteção de endpoint (EPP) - Essas soluções impedem que ameaças entrem em uma rede interna a partir de endpoints comprometidos.

Fase 3 Controles de Segurança - Movimento Lateral

Com os controles de segurança a seguir, um invasor dentro de sua rede pode ser impedido de localizar e progredir em direção aos recursos confidenciais de dados do paciente.

  • Gerenciamento de eventos e informações de segurança (SIEM) - Uma disciplina de segurança cibernética focada no monitoramento em tempo real e alertas subsequentes de atividades de rede potencialmente maliciosas (como determinadas regiões de rede e tentativas de acesso a aplicativos).
    Saiba mais sobre o SIEM >
  • Segmentação de rede - Uma estratégia para dividir uma rede em sub-regiões para fechar recursos confidenciais do paciente, como registros médicos, do acesso geral do usuário.

Fase 4 Controles de segurança - Escalonamento de privilégios

O comprometimento de contas privilegiadas e, portanto, o acesso não autorizado a recursos de dados confidenciais podem ser evitados com os controles a seguir.

  • Gerenciamento de acesso privilegiado (PAM) - Uma estratégia para controlar, monitorar e proteger contas de uso com acesso a recursos confidenciais.

    Saiba mais sobre o Privileged Access Management >

  • Arquitetura Zero Trust - Um modelo de segurança que impõe a autenticação contínua do usuário enquanto estiver conectado a uma rede - especialmente ao acessar recursos confidenciais. Uma arquitetura Zero Trust geralmente contém um componente de controle MFA.

    Saiba mais sobre o Zero Trust >

Controles de segurança da Fase 5 - Exfiltração de dados

A exfiltração de dados pode ser interceptada por meio de uma abordagem de controle de segurança em várias camadas que consiste em:

  • Um SIEM
  • Montitoring de porta aberta
  • Monitoramento de conexão de endereço IP estrangeiro
  • Monitoramento de tráfego de saída

  • Uma solução de prevenção contra perda de dados

    Saiba mais sobre como detectar > de exfiltração de dados

Controles de segurança da Fase 6 - Criptografia de dados

No estágio de criptografia de um ataque de ransomware, o principal curso de ação deve ser restabelecer os sistemas comprometidos para manter as interrupções de serviço mínimas.

Para isso, é necessário o seguinte:

  • Políticas regulares de segurança de backup de dados.

  • Um plano de resposta a incidentes bem projetado para orientar com eficiência a equipe de segurança nos processos de restauração de dados.

    Saiba como criar um plano de resposta a incidentes >

Controles de segurança da Fase 7 - Despejo de dados

No estágio de despejo de dados de um ataque de ransomware, nada mais pode ser feito para impedir que os dados do paciente saiam da sua rede. No entanto, o impacto sobre os pacientes comprometidos ainda pode ser minimizado se os dados roubados forem detectados rapidamente quando publicados na dark web. Detecção rápida

A detecção rápida de dados vazados permite que os pacientes comprometidos sejam notificados rapidamente, apoiando a conformidade com a regra de notificação de violação. A detecção rápida de credenciais internas vazadas permite que as contas comprometidas sejam protegidas mais rapidamente, diminuindo as chances de os cibercriminosos as usarem para acessar sua rede.

Dados confidenciais postados em blogs de ransomware cibercriminosos podem ser detectados rapidamente com o recurso de detecção de vazamento de dados do UpGuard.

Saiba mais sobre a solução de vazamento de dados da UpGuard >

2. Ataques de phishing

Em um ataque de phishing, um hacker envia a um funcionário um e-mail fraudulento que supostamente é de uma fonte familiar e confiável. Esses e-mails tentam persuadir as vítimas a realizar uma ação específica - um clique no link ou um download de anexo. Se um link for clicado, as vítimas serão direcionadas para um site falso que se parece quase exatamente com o serviço ou a página de login mencionada no e-mail. O envio de credenciais nessas páginas envia as informações de login da conta diretamente para o hacker.

Aqui está uma comparação de uma página de login real versus falsa de um banco australiano popular.

Página de login real para Commonwealth Bank

Página de login falsa do Commonwealth Bank

Quando um hacker deseja roubar credenciais de rede interna, seus e-mails de phishing são vinculados a páginas de login fraudulentas de um serviço interno conhecido que provavelmente compartilha os mesmos detalhes de login que a rede interna de um alvo - destacando o perigo da reciclagem de senhas.

Os ataques de phishing são uma das ameaças cibernéticas mais críticas na área da saúde. Quase todos os ataques cibernéticos começam com uma campanha de phishing, pois esses ataques armam os hackers com as credenciais necessárias para violar uma rede.

Em 2022, os custos de danos causados por violação de dados resultantes de ataques de phishing custaram em média US$4,91 milhões.

Uma perspectiva alternativa aos ataques de phishing mostra um lado positivo do problema - ao diminuir o potencial de sucesso dos ataques de phishing, sua organização de saúde pode evitar ser vítima da maioria dos ataques cibernéticos, incluindo ataques de ransomware.

Como as organizações de saúde podem se defender contra ataques de phishing

Para se defender contra ataques de phishing, implemente os seguintes controles:

1. Proteja todas as contas de usuário com autenticação multifator

As credenciais de usuário roubadas são difíceis de abusar se um hacker precisar concluir protocolos de autenticação de usuário adicionais antes que o acesso à rede seja concedido.

A autenticação multifator é tão eficaz na proteção de contas de usuário que, de acordo com a Microsoft, esse controle único pode bloquear até 99,9% das tentativas de comprometimento de conta.

Idealmente, os protocolos MFA devem envolver o uso de tokens rígidos, pois essa autenticação é muito difícil de contornar.

Ao implementar uma política de MFA, certifique-se de levar em conta as diferentes maneiras pelas quais a MFA pode ser ignorada.

Saiba como os hackers ignoram o > de MFA

2. Use um gerenciador de senhas

Os gerenciadores de senhas evitam práticas de senhas inseguras no local de trabalho, como reciclagem de senhas e uso de senhas fracas.

3. Ensine a equipe a reconhecer tentativas de phishing

Mesmo com as soluções de segurança de dados mais caras, os dados de seus pacientes ainda correm um alto risco de comprometimento se sua equipe for vítima de campanhas de phishing.

A melhor maneira de reduzir o componente de erro humano dos riscos de violação de dados é ensinar a equipe a detectar e responder a ameaças cibernéticas comuns de forma eficaz. Esses programas de educação, conhecidos como treinamento de conscientização de segurança, devem ser idealmente apoiados por ataques de phishing simulados regulares para manter a prontidão para ameaças cibernéticas em mente.

As ameaças cibernéticas mais comuns são explicadas nos recursos gratuitos abaixo, que podem ser usados para criar um programa de conscientização sobre ameaças cibernéticas.

  • O que é uma ameaça cibernética?
  • O que é uma violação de dados?
  • O que é engenharia social?
  • O que são ataques de phishing?
  • O que é clickjacking?
  • O que é typosquatting?
  • O que é um ataque DDoS?
  • O que é Ransomware?
  • O que é Ransomware-as-a-Service (RaaS)?

Saiba como usar o ChatGPT para criar um programa de resiliência a phishing >

3. Violações de dados

O resultado mais desastroso de todos os programas de segurança cibernética visam evitar uma violação de dados - a exposição não autorizada de informações confidenciais.

As violações de dados ocorrem por meio de vulnerabilidades de rede de TI, como software sem patch. Mas a ameaça de uma violação se estende muito além do limite de TI. Uma violação de dados pode ocorrer por meio de qualquer um de seus fornecedores terceirizados e até mesmo de terceiros. Isso ocorre porque os provedores de serviços geralmente precisam de acesso aos dados internos do sistema para fornecer o serviço oferecido de forma eficaz. Portanto, um fornecedor terceirizado violado se torna um caminho potencial para as informações confidenciais do paciente.

Com quase 60% das violações ocorrendo por meio de fornecedores terceirizados comprometidos, uma estratégia de prevenção de violação de dados deve considerar as ameaças à segurança cibernética do cenário de fornecedores terceirizados.

Como as organizações de saúde podem se defender contra violações de dados

A defesa bem-sucedida contra violações de dados requer uma abordagem de duas etapas:

1. Defenda-se contra ameaças de comprometimento da rede

Implante os mesmos controles de segurança contra táticas comuns de comprometimento de rede, como phishing e engenharia social, além das seguintes defesas básicas de segurança cibernética:

  • Firewalls
  • Software antivírus
  • Soluções de proteção de dados
  • Estratégias de roubo de identidade (para mitigar o roubo de credenciais internas).

2. Verifique se há vulnerabilidades de segurança

Use uma solução de monitoramento de superfície de ataque para detectar vulnerabilidades internas e de terceiros que aumentam os riscos de violação de dados.

Saiba mais sobre a solução de monitoramento de ataques da UpGuard >

3. Avalie as posturas de segurança de todos os seus fornecedores

A probabilidade de cada fornecedor se tornar um caminho potencial para seus dados confidenciais pode ser avaliada por meio de uma combinação de avaliações de risco e classificações de segurança.

  • Avaliações de risco - esses questionários mapeiam estruturas e regulamentos populares de segurança cibernética para avaliar os esforços de segurança cibernética de cada fornecedor em relação aos padrões do setor.
  • Classificações de segurança - Essas soluções verificam continuamente a superfície de ataque de cada fornecedor em relação a 70+ vetores de ataque comuns para rastreamento de postura de segurança em tempo real.

Quando usadas de forma simbiótica, as avaliações de risco e as classificações de segurança simplificam o esforço de mitigar violações de terceiros. As quedas nas classificações de segurança indicaram possíveis exposições de risco de novos fornecedores que exigem uma investigação mais aprofundada com avaliações de risco, com os esforços de correção de todos. Ameaças identificadas rastreadas em tempo real por meio da melhoria da classificação de segurança.

A eficiência resultante dos esforços de resposta significa que os riscos de terceiros podem ser resolvidos rapidamente antes que os cibercriminosos os descubram e explorem.

Entenda a diferença entre um regulamento e uma estrutura de segurança cibernética

Se você está profundamente em sua jornada de aprendizado sobre a implementação de programas de segurança cibernética na área da saúde, provavelmente já se deparou com os termos 'regulamentação' e 'estrutura'. Entender a diferença entre esses termos é importante porque combiná-los pode inchar seu projeto com um esforço desnecessário significativo.

No contexto da segurança cibernética, um regulamento é um conjunto de regras juridicamente vinculativo que as organizações devem seguir para atender aos padrões nacionais de segurança cibernética.

Uma estrutura de segurança cibernética, por outro lado, é um conjunto de diretrizes a serem seguidas pelas organizações para ajudá-las a cumprir regulamentos específicos.

Por exemplo, uma regulamentação popular na área da saúde é a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (mais detalhes abaixo). Isso não é uma estrutura; É um conjunto de regras que estipulam padrões de segurança para instalações de saúde. Para cumprir os padrões de segurança da HIPAA, as entidades de saúde devem implementar uma estrutura que mapeie os requisitos da HIPAA. A estrutura de segurança cibernética do NIST é um exemplo de tal estrutura.

Em suma, sua organização precisa implementar uma estrutura de segurança cibernética para melhorar sua postura de segurança. Quando uma estrutura de segurança cibernética é mapeada para os requisitos de um regulamento específico, sua implementação ajudará você a cumprir esse regulamento.

O setor de saúde é fortemente regulamentado pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde, não apenas por causa de sua alta suscetibilidade a tentativas de violação de dados, mas também por causa do alto potencial de impacto em nível nacional quando essas entidades são violadas.

Esse potencial destrutivo foi demonstrado de forma mais vívida no ataque de ransomware WannaCry de 2017. O WannaCry é uma variedade de ransomware que infecta computadores por meio de uma vulnerabilidade nos sistemas operacionais Microsoft Windows.

Como muitas organizações de saúde estavam executando versões mais antigas e sem patches da Microsoft na época, o ransomware rapidamente destruiu o setor de saúde, bloqueando médicos e equipes médicas de seus computadores e de todos os serviços de emergência alimentados por eles.

Depois que sua disseminação foi finalmente interrompida, o WannaCry impactou mais de 230.000 computadores em 150 países, causando uma estimativa total de US$4 bilhões em danos.

Impacto do ransomware Wannacry - fonte: npr.org

O WannaCry continua a ser uma ameaça no setor de saúde, infectando organizações que executam o mesmo software Microsoft não corrigido que o ransomware foi projetado para explorar em 2017 - o que destaca a necessidade desesperada de a indústria melhorar seus padrões de segurança cibernética

Familiarize-se com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) é uma lei federal que especifica padrões de segurança nacional para proteger as informações de saúde do paciente contra divulgação não autorizada. O não cumprimento da HIPAA pode resultar em multas de até US$50.000 e até um ano de prisão.

Saiba como evitar as 10 principais violações da HIPAA >

O Departamento de Saúde e Serviços Humanos dos EUA (HHS) criou duas regras para ajudar as entidades de saúde a atender aos requisitos de segurança da HIPAA.

  • A regra de privacidade da HIPAA - Descreve os padrões para o compartilhamento de informações de saúde protegidas (PHI) com outras entidades, como outros provedores de saúde, planos de saúde e câmaras de compensação de saúde.

Saiba mais sobre a regra de privacidade da HIPAA >

  • A regra de segurança HIPAA - descreve os padrões de segurança para proteger os formulários eletrônicos de informações de saúde protegidas (ePHI) contra comprometimento. Essa regra de segurança HIPAA especifica proteções administrativas, físicas e técnicas centradas na causa mais comum de comprometimento de ePHI: violações de dados.

Saiba mais sobre a regra de segurança da HIPAA >

As regras de privacidade e segurança da HIPAA não são estruturas de segurança cibernética. Eles descrevem os padrões mínimos absolutos de segurança para conformidade com a HIPAA. Alinhar seu processo interno exclusivo com os requisitos da HIPAA é alcançado com uma estrutura de segurança cibernética.

A regra de segurança da HIPAA especifica controles de segurança em três categorias de proteções - administrativas, físicas e técnicas.

1. Salvaguardas administrativas

As salvaguardas administrativas descrevem padrões para proteger os programas de segurança da informação de saúde. Alguns exemplos de salvaguardas administrativas incluem:

  • Processos de gestão de segurança capazes de avaliar e reduzir riscos à segurança das ePHI.
  • Programas de treinamento de pessoal que educam os funcionários sobre os padrões de segurança e privacidade do HHS.
  • Controles de gerenciamento de acesso a informações para impedir o acesso não autorizado a informações de saúde protegidas eletronicamente.
  • Processos de backup de dados e planos de recuperação para garantir a rápida restabelecimento do sistema após um ataque cibernético bem-sucedido.

Para obter mais informações sobre cada padrão de salvaguarda administrativa, consulte este documento do HHS.

2. Salvaguardas físicas

As proteções físicas protegem todos os pontos de acesso físicos à sua organização e seus sistemas de computador. Alguns exemplos de salvaguardas físicas incluem:

  • Controles de acesso físico, como fechaduras e alarmes, limitando o acesso ao computador e ao sistema de informação apenas ao pessoal autorizado.
  • Protegendo as estações de trabalho contra tentativas de roubo físico com o uso de travas de cabo.
  • Protegendo estações de trabalho contra tentativas de login não autorizadas.
  • Políticas de estação de trabalho que impedem métodos de uso que aumentam o risco de comprometimento do dispositivo.

Para obter mais informações sobre cada padrão de proteção física, consulte este documento do HHS.

3. Salvaguardas técnicas

As salvaguardas técnicas se concentram em limitar o acesso a informações de saúde protegidas por eletrônicos por meio de controles que abrangem hardware, software e tecnologia da informação. Alguns exemplos de salvaguardas técnicas especificadas pelo HHS incluem:

  • Controles de acesso limitando a acessibilidade das PHI apenas a usuários autorizados.
  • Soluções de monitoramento que rastreiam tentativas de acesso em sistemas e recursos que contêm registros eletrônicos de saúde.
  • Medidas de segurança para proteger as ePHI contra interceptação e comprometimento durante o trânsito.

Para obter mais informações sobre cada norma de proteção técnica, consulte este documento do HHS.

Saiba como o UpGuard ajudou o Burgess Group a alcançar a conformidade com a HIPAA.

Leia o estudo de caso >


Quem precisa estar em conformidade com a HIPAA?

A conformidade com a HIPAA e, portanto, a conformidade com ambas as regras da HIPAA, é obrigatória para todas as "Entidades Cobertas", o que inclui:

  • Prestadores de cuidados de saúde
  • Planos de saúde
  • Câmara de compensação de cuidados de saúde

As seguintes entidades também são consideradas "Entidades Cobertas" e, portanto, vinculadas à conformidade se transmitirem eletronicamente o mapeamento de informações de saúde para quaisquer padrões de segurança estabelecidos pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS).

  • Médicos
  • Clínicas
  • Hospitais
  • Lares
  • Farmacêuticos

Regra de notificação de violação da HIPAA

A regra de notificação de violação de dados da HIPAA é um componente crítico de conformidade. De acordo com a regra de notificação, uma entidade coberta deve fornecer uma notificação de violação de dados a todos os pacientes afetados, ao secretário e, em alguns casos, à mídia.

Se a violação afetar menos de 500 indivíduos, uma entidade coberta deve notificar o secretário sobre o evento dentro de 60 dias a partir do final do ano civil em que a violação foi descoberta.

Se a violação afetou mais de 500 indivíduos, uma entidade coberta deve informar o Secretário no prazo máximo de 60 dias corridos após a descoberta da violação.

Para obter mais informações sobre a regra de notificação de violação da HIPAA, consulte estes recursos:

  • O que é a regra de notificação de violação?
  • Como enviar um aviso de violação ao Secretário

Como cumprir o regulamento HIPAA

A conformidade com a regulamentação da HIPAA pode ser alcançada implementando as seguintes estruturas de segurança cibernética.

  • Estrutura de segurança cibernética do NIST - O NIST CSF mapeia os mesmos padrões HIPAA atendidos pela regra de segurança HIPAA.
  • HITRUST - Uma estrutura que suporta a conformidade com vários regulamentos, incluindo HIPAA, PCI DSS e GDPR.

Para obter suporte de conformidade, consulte os seguintes recursos gratuitos:

  • Como se tornar compatível com a HIPAA em 2023.
  • Como cumprir os requisitos de gerenciamento de risco de terceiros da HIPAA.
  • Guia de conformidade: NIST CSF e o setor de saúde.
  • Aproveitando a HITRUST para demonstrar conformidade com a HIPAA.
  • Download do HITRUST CSF.

A conformidade com a regulamentação da HIPAA internamente e em todas as entidades cobertas por terceiros pode ser avaliada com o mapeamento de avaliação de risco da UpGuard para todos os padrões de regras de segurança da HIPPA.

Saiba mais sobre os questionários de segurança do UpGuard >

Por meio de um conjunto de recursos essenciais de segurança de saúde, incluindo classificações de segurança, monitoramento contínuo da superfície de ataque e detecção de vazamento de dados, o UpGuard ajuda as entidades de saúde a estabelecer um programa de segurança cibernética resiliente a causas comuns de violação de dados e em conformidade com o regulamento HIPAA. O UpGuard também oferece um questionário pré-criado e personalizável para ajudar as entidades de saúde a garantir que seus terceiros e parceiros de negócios também estejam em conformidade com a HIPAA.

Artigos relacionados