Serviços de saúde: 3 maneiras de garantir a segurança dos dados

Serviços de saúde: 3 maneiras de garantir a segurança dos dados

Devido a sua sensibilidade e alto valor, os dados de saúde têm sido fortemente regulamentados por anos através de legislação especializada, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA pela sua sigla em inglês). Apesar disso, a saúde tem tido o maior custo médio total de violação de dados de qualquer indústria por onze anos consecutivos. De acordo com o Relatório do Custo da Violação de Dados 2021, elaborado pela IBM e o Instituto Ponemon, o custo neste setor atingiu um prejuízo médio de US$ 9,23 milhões por violação de dados em 2021, um aumento de 29,5% comparado com o 2020.

Os serviços de saúde coletam uma riqueza de Informação de Saúde Protegida (PHI) que cai sob a incidência do HIPAA. As PHI são informações relacionadas à saúde física ou mental passada, presente ou futura de um indivíduo e à prestação de cuidados de saúde a um indivíduo. Também inclui Informações de Identificação Pessoal (PII) tais como nome, endereço, ou número do Seguro Social que, por si só ou agrupadas com outros identificadores, podem revelar a identidade de uma pessoa, histórico do paciente, ou pagamentos que ela tenha feito. O PII também é protegido pela legislação mais geral de proteção de dados, como o Regulamento Geral de Proteção de Dados da UE (GDPR).

Para garantir a conformidade, evitar multas e outros custos associados a violações de dados, como perda de negócios e danos à reputação, os serviços de saúde precisam construir uma estratégia abrangente de segurança de dados que proteja as informações sensíveis contra ameaças externas e internas. Vamos analisar mais de perto como eles podem conseguir isso.

1. Lidar com as ameaças internas

O setor de saúde luta com um nível particularmente alto de negligência em seus funcionários. 27% de suas violações são devidas a erro humano, uma das mais altas porcentagens em todos os setores. Outros 27% dos incidentes maliciosos também têm os funcionários como causa principal, pois são vítimas de ataques de phishing e engenharia social ou tentam roubar os próprios dados.

Isto é problemático porque, por lei, a maioria dos dados de saúde não podem sair das instalações de uma organização sem serem criptografados ou transmitidos através de canais seguros e autorizados. Os serviços de saúde podem recorrer a soluções de Prevenção de Perda de Dados (DLP) para controlar o fluxo de dados de saúde sensíveis dentro e fora de suas redes.

Projetadas para proteger dados sensíveis diretamente, as ferramentas DLP usam perfis predefinidos e definições personalizadas para rastrear e controlar os dados sensíveis abrangidos pela incidência de leis como HIPAA e GDPR nas redes da empresa. Com poderosas ferramentas de inspeção de conteúdo e escaneamento contextual, as soluções DLP podem identificar dados de saúde em arquivos e o corpo de e-mails antes que eles sejam enviados, bloqueando sua transferência através de canais não autorizados.

2. Restringir o acesso aos dados

Outra forma de tornar os dados de saúde vulneráveis e expostos ao roubo é quando são armazenados localmente em computadores de trabalho. Os funcionários repetidamente acessam, salvam e descarregam dados sensíveis enquanto executam suas tarefas e podem esquecer de apagar esses arquivos quando não são mais necessários. Isto representa um risco significativo para a segurança dos dados e para os esforços de conformidade, pois leis como a HIPAA enfatizam o dever de limitar o acesso aos dados a uma base de necessidade de conhecimento.

As soluções DLP podem procurar dados sensíveis armazenados localmente em toda a rede da empresa, e quando são encontrados em locais não autorizados, os administradores podem tomar ações de remediação, tais como exclusão ou criptografia. Os serviços de saúde podem assim garantir que nenhum funcionário continue a ter acesso a dados sensíveis dos quais ele não precisa mais para desempenhar suas funções.

3. Controle de dispositivos removíveis

Embora a internet esteja ganhando força como método de transferência de dados de escolha, muitos funcionários ainda usam dispositivos removíveis como USBs ou discos rígidos externos para copiar grandes quantidades de informações ou grandes arquivos. No entanto, esses dispositivos podem ser facilmente perdidos ou roubados devido ao seu tamanho. Pior ainda, nos últimos anos, os USBs, em particular, também se tornaram ferramentas populares para ataques de malware.

Os serviços de saúde que desejam enfrentar esses riscos podem usar soluções DLP para monitorar e controlar o uso de portas periféricas e USB, assim como conexões Bluetooth. Eles podem optar por bloquear seu uso por completo ou limitá-lo a dispositivos aprovados. Desta forma, os serviços de saúde podem rastrear qual funcionário está usando qual dispositivo em que momento, facilitando a detecção de atividades suspeitas na rede e roubo potencial de dados. Algumas soluções DLP como Endpoint Protector também oferecem políticas granulares, o que significa que as empresas podem optar por aplicar diferentes níveis de restrições com base em grupos, departamentos, dispositivos ou indivíduos.

Para garantir a segurança dos dados, as organizações de saúde também podem dar um passo a mais e usar uma solução de criptografia forçada. Desta forma, elas podem garantir que qualquer dado copiado em um USB seja automaticamente criptografado e o acesso a ele seja restrito àqueles com uma chave de decriptação.

 

SOLICITE UMA DEMO
* Nós não compartilhamos suas informações pessoais com ninguém. Confira nossa Política de Privacidade Para mais informações.