Compartilhamento de arquivos compatível com HIPAA

O setor de saúde é um alvo valioso para criminosos cibernéticos devido às informações coletadas, que incluem números de previdência social, históricos médicos, informações de seguro, endereço de e-mail e muito mais. Os padrões de conformidade HIPAA e HITECH garantem a privacidade das informações de identificação pessoal (PII).Conformidade HIPAA de compartilhamento de arquivos

Alvos valiosos incluem seguradoras de saúde, prestadores de serviços de saúde, várias entidades que são prestadores de serviços e indivíduos segurados, porque no mercado negro os preços são mais altos para registros de saúde do que apenas números de cartão de crédito. Os ataques cibernéticos do setor de saúde resultam em roubo de identidade de compartilhamentos de arquivos, onde mais dados podem ser roubados, suas informações de seguro podem ser mantidas como reféns e grandes ataques de força bruta e ataques de phishing são fáceis de realizar porque com mais informações os ataques podem parecer mais legítimos e mais fáceis de executar.

Da mesma forma, quando se trata de correspondência de dados médicos, é fácil fazer com que pessoas desavisadas abram a correspondência ou respondam a uma solicitação maliciosa sem saber.

O setor de saúde está focado na transformação digital total mais do que nunca. A segurança cibernética e a prevenção de roubo de dados de PII armazenados em sistemas de compartilhamento de arquivos devem estar na vanguarda das prioridades de negócios de uma empresa operacional e devem planejar adequadamente como qualquer grande empresa e não realizar iniciativas como um provedor de serviços menor.

Para a maioria das empresas que fornecem benefícios médicos aos funcionários, a maior parte da interação é com o corretor e o provedor ou agregador de seguros, incluindo os principais HMOs que têm seus próprios aplicativos para compartilhamento de arquivos de informações de saúde que podem ser facilmente comprometidos.

A prevenção contra roubo de dados para estar em conformidade com HIPAA e HITECH precisa começar decidindo quais arquivos serão preservados e migrados para servidores de arquivos críticos. Como em qualquer empreendimento de transformação digital, o primeiro estágio é decidir quais arquivos manter, como categorizar essas informações e, finalmente, priorizar tudo.

Considere este cenário típico de paciente: a menos que você possa visitar seu médico de família que o tratou desde criança, você sabe que é tão relevante quanto as últimas informações médicas carregadas e inseridas em seu 'arquivo' e, mesmo assim, há sempre correções necessárias. Sua última visita ao médico pode ter incluído o check-in no departamento apropriado e no prédio, passando seu cartão médico, que trouxe uma infinidade de informações para o administrador que administra a recepção. Qualquer saldo ainda devido ao provedor e qualquer pagamento de co-pagamento foram prontamente atendidos antes de esperar para ver o médico. Neste ponto, você está inserindo ou passando um cartão de crédito ou débito em um terminal de pagamento e inserindo um número PIN, se necessário, e aprovando a transação. Você é então levado para a sala de exames apropriada e, em seguida, espera novamente que outra pessoa entre, confirme suas informações em um computador portátil montado na parede e, em seguida, tome seus dados vitais e os insira no gráfico digital aberto na frente deles. Quaisquer medicamentos são confirmados e reordenados conforme necessário para serem preenchidos na farmácia de sua escolha e, em seguida, você espera novamente que o médico real dê seguimento ao exame para o qual você marcou a consulta.

Seu prontuário e histórico médico e informações pessoais são confirmados mais uma vez e mais informações são inseridas sobre você, incluindo um endereço de e-mail com o qual você pode ser correspondido e contatado. Se você tiver um HMO médico como o Kaiser, visite a farmácia no mesmo prédio e passe todas as suas informações pessoais novamente.

Além disso, você fez vários pontos de contato e deu a eles tudo, menos um litro de sangue ou seu primogênito. Mas espere! E se você tivesse um filho neste hospital? Eles têm as informações do seu primeiro filho e provavelmente seu tipo sanguíneo e, em seguida, os resultados do laboratório em qualquer um dos seus exames de sangue. Talvez você tenha solicitado um certo teste genético também para prevenção do câncer. Neste ponto, literalmente toda a sua vida, seus cromossomos, seu sangue, suas prescrições, tudo o que compõe VOCÊ é armazenado em um computador ou computadores e sua única proteção ou garantia de que tudo isso permanecerá privado é o quão bem esta empresa de saúde em particular colocou algum tipo de firewall entre suas informações críticas e qualquer cibercriminoso com um teclado que ganha a vida no mercado negro de ransomware, ataques de força bruta, phishing e explorando qualquer fraqueza possível. Uma onda de gastos com números de cartão de crédito roubados não tem nada a ver com um profissional de saúde vítima de um ataque cibernético de compartilhamento de arquivos calculado visando informações de identificação pessoal (PII).

Além de decidir quais dados devem ser migrados e preservados, a questão passa a ser monitorar e controlar e estar constantemente vigilante. O planejamento de prevenção contra roubo de dados e recuperação de desastres torna-se um trabalho em tempo integral, seja empregando funcionários e/ou engajando recursos e fornecedores para estar pronto para soluções para mitigar qualquer ameaça pendente conhecida ou imprevista. Profissionais de saúde, seguradoras, médicos, enfermeiros e equipe médica são treinados para ser o epítome da confiança, mas o que acontece com uma instituição ou marca de saúde atingida por um grande ataque como o que aconteceu com empresas de pontuação de crédito como a Experian? Vão perder clientes. Nos Estados Unidos, os pacientes são clientes e os clientes têm opções de fornecedores.

Para trocas de cuidados de saúde acessíveis, um simples hack do site de inscrição deixaria alguns governos estaduais em um estado completo de caos e um sistema já sobrecarregado não é grande demais para falhar e, se a inscrição cair, os custos dispararão. As salas de emergência tornam-se a principal fonte de atendimento médico e, mesmo assim, não há garantia de atendimento adequado. Em outras palavras, o setor de saúde neste país está pronto para um grande ataque e não é uma questão de se, é uma questão de quando.

Então o que fazer? Em primeiro lugar, não entre em pânico e, em seguida, você precisa envolver parceiros confiáveis para ajudá-lo a navegar no atoleiro da prevenção de perda de dados, roubo de dados e proteção de dados. Já existem leis que regem a privacidade médica, incluindo a conhecida HIPAA, que é o padrão-ouro para todas as coisas relacionadas à privacidade do paciente. HIPAA significa o Health Insurance Portability and Accountability Act de 1996. Também conhecido como o HIPAA Act para abreviar. É uma lei de privacidade dos EUA criada para proteger informações médicas, incluindo registros de pacientes e permitir comunicação confidencial entre pacientes e profissionais médicos. A Lei HIPAA tem muitos componentes, incluindo a portabilidade da cobertura médica em caso de mudança de status de trabalho e para evitar fraudes e abusos e exigir um conjunto de padrões universais sobre os quais o Departamento de Saúde e Serviços Humanos tem jurisdição. O principal componente que é mais conhecido nas regras e regulamentos de emprego empresarial e empresarial de segurança de dados é o direito ao histórico médico e às informações dos pacientes – não importa o quê.

Estar em conformidade com a HIPAA é, compreensivelmente, o objetivo número um e que a conformidade é regulamentada, portanto, deve ser controlada e monitorada constantemente, e verificações e balanços devem ser implementados e usados regularmente. Não existe isso de ser majoritariamente Compatível com HIPAA ou HITECH. Na esteira da regulamentação, provedores de serviços adicionais se intensificaram para preencher o vazio da segurança de dados, onde a necessidade da maioria das instituições de saúde é tratar pacientes - não proteção de compartilhamento de arquivos de privacidade de dados. O setor de saúde já está repleto de obstáculos críticos e agora está explodindo, pois todos estão tentando simplificar e se tornar totalmente digitais e ter informações compartilhadas facilmente em várias plataformas ou essas várias plataformas sendo reunidas em um único provedor de armazenamento. Start-ups relacionadas à saúde estão surgindo em todos os lugares e são onipresentes e abundantes onde quer que investidores de capital de risco e partes interessadas estejam se reunindo devido à necessidade urgente de grandes disrupções no gigante do setor. Aplicativos e contas on-line estão substituindo enfermeiros de aconselhamento e lembretes de compromissos enviados por correio. Várias startups de aplicativos no setor de saúde estão buscando ser o tecido ou agregador de dados que une o ecossistema do histórico médico de um paciente e os cuidados contínuos em vários provedores e plataformas.

Mas quem armazena esses arquivos da empresa e impede que esses dados caiam em mãos erradas? Vários provedores de armazenamento em nuvem tornaram seus serviços conhecidos visando esse setor com campanhas publicitárias muito caras. O armazenamento em nuvem e os servidores de compartilhamento de arquivos baseados em nuvem são mais populares do que nunca, mas só porque a tecnologia foi simplificada, organizada e centralizada, isso significa que vários setores devem seguir o exemplo e entregar seus ativos digitais críticos para propriedade e armazenamento externos apenas porque é mais fácil agora?

Dê um passo para trás e imagine o consultório médico de dias não tão antigos. Filas e filas e filas de pastas cheias de papel e resultados de exames e notas meticulosas empilhadas do chão ao teto e categorizadas por ano e em ordem alfabética pelos sobrenomes dos pacientes. Imagine se um caminhão parasse e pegasse todos esses arquivos e depois dirigisse milhares de quilômetros e os carregasse em um armazém e dissesse para você não se preocupar, que eles têm fechaduras industriais nas portas e um ambiente climatizado e que há são guardas de plantão 24/7. A única maneira de acessar os arquivos é abrindo a tela do computador e digitando algumas palavras ou números em uma caixa de pesquisa e torcer para que o resultado de pesquisa correto apareça com as melhores informações. Agora imagine que a luz cai, o armazém tem um incêndio desastroso, ou ladrões armados arrombam e fogem com todas as pastas de papel e vendem para o maior lance que nunca pode ser rastreado, e depois?

Prestadores de serviços de saúde e seguradoras e instituições médicas estão no negócio de fornecer o melhor atendimento possível aos clientes que se qualificam com base no custo e nos serviços prestados. Eles estão no negócio de curar as pessoas e prevenir doenças e curar os doentes e realizar pesquisas para combater os vírus mais recentes do mundo real. Eles não estão no negócio de manter constantemente, transferir e compartilhar arquivos em todo o país da maneira mais segura possível e ter que se preocupar com vírus de computador – até agora. Não há desculpa para qualquer especialista moderno em PPO, HMO, EPO, POS ou consultório particular não ter um sistema de prevenção de roubo e recuperação de desastres compatível com HIPAA e HITECH. Isso inclui os governos estadual e federal que monitoram e administram as trocas sob a Lei de Cuidados Acessíveis.

Grandes empresas, incluindo HMOs e entidades governamentais que administram intercâmbios de saúde, precisam desesperadamente de consolidar sistemas e ter uma ferramenta de segurança de dados que permita que usuários locais acessem e compartilhem dados remotamente conforme necessário, com acesso seguro garantido e precauções de privacidade HIPAA e HITECH obrigatórias em vigor . Se ocorrer um desastre e um provedor de armazenamento em nuvem for invadido ou os dados forem violados de alguma forma, esses usuários devem ser redirecionados para um servidor local e/ou servidor em espera que tenha feito backup e armazenamento de dados. Com uma ferramenta segura criptografada, os usuários podem acessar instantaneamente esses dados usando um login seguro na Web, uma unidade mapeada do diretório ativo local ou um aplicativo móvel e instantaneamente ainda estar no negócio e ter as informações dos pacientes prontas, mantendo a segurança. MyWorkDrive.com fornece essa camada extra de proteção, privacidade e recuperação. Um exército de funcionários de TI não precisa ser empregado continuamente e implantado em todas as instâncias ou problemas de tempo de inatividade ou perda de dados. MyWorkDrive foi recentemente certificado como parceiro DUO Authentication, Skyhigh Cloud Trust Enterprise Cloud Ready e os padrões de criptografia FIPS do governo federal dos EUA e agora oferece visualização criptografada e marca d'água de todos os arquivos, impedindo que os usuários baixem, copiem ou imprimam arquivos como uma camada adicional de prevenção contra roubo de dados Nenhum arquivo é armazenado, migrado ou processado pelo MyWorkDrive – Todos os arquivos permanecem armazenados nos próprios compartilhamentos de arquivos seguros do cliente.

Existem muitas opções para armazenamento em nuvem e compartilhamento de arquivos, incluindo grandes provedores como AWS e Google Drive e players menores, incluindo Egnyte e Sharecloud. Nenhum desses provedores pode garantir total conformidade absoluta e por sua própria natureza de ser baseado em nuvem e depender de armazenamento em nuvem compartilhado e gerenciamento de usuários móveis para proteger arquivos. Se você está no negócio de provedor de saúde ou em uma instituição governamental que exige e monitora o setor de saúde, você precisa de uma ferramenta de segurança de dados que faça o que ninguém mais é capaz de fazer, incluindo OneDrive, Dropbox e nuvem do Azure. Você precisa de controle total sobre armazenamento de dados, acesso, propriedade, privacidade, gerenciamento e recuperação. MyWorkDrive permite flexibilidade, menor custo de propriedade, agilidade, mais produtividade e privacidade garantida para que você possa se concentrar na competência central de sua prática. Não há necessidade de comprometer e optar por uma solução de armazenamento de arquivos baseada em nuvem com MyWorkDrive. Se você optar por uma solução baseada em nuvem, precisará analisar com atenção o melhor plano de ação para recuperação de desastres, segurança de arquivos, propriedade e controle. Novamente, não é uma questão de se as informações de PII vazaram, é uma questão de quando. Na saúde, a prevenção é o mantra como deve ser. As informações médicas e a privacidade dos dados de seus pacientes não devem ser exceção.

Daniel, fundador do MyWorkDrive.com, trabalhou em várias funções de gerenciamento de tecnologia atendendo empresas, governo e educação na área da baía de São Francisco desde 1992. Daniel é certificado em Microsoft Technologies e escreve sobre tecnologia da informação, segurança e estratégia e foi premiado Patente #9985930 em Rede de Acesso Remoto