HIPAA compliance.

HIPAA compliance. Rispettiamo la conformità.

HIPAA compliance. Rispettiamo la conformità.

L’Health Insurance Portability and Accountability Act, nota anche come HIPAA, è uno standard di conformità che è stato implementato dopo la digitalizzazione di tutte le informazioni relative alla salute. Il punto cruciale dell’atto è garantire che tutte le sensitive electronic protected health information (ePHI) abbiano un accesso limitato e sicuro.

Conformità HIPAA per le reti.

Vari aspetti della rete determinano la conformità agli standard HIPAA. Vedremo nel dettaglio alcuni di questi importanti componenti.

HIPAA compliance. Configuration changes in network devices.

Le configurazioni dei dispositivi di rete determinano il comportamento e la comunicazione dei dispositivi di rete all’interno della rete. Per far fronte all’improvviso picco di carico a cui assistono le reti delle istituzioni sanitarie durante la pandemia di COVID-19, gli amministratori di rete devono apportare continuamente modifiche alle configurazioni.

Una modifica errata della configurazione può rendere vulnerabile la rete. Questo garantisce agli utenti non autorizzati l’accesso alle informazioni riservate, il che costituisce una violazione degli standard HIPAA. Se le password dei dispositivi di rete non sono crittografate, qualsiasi utente non autorizzato può leggerle e accedere ai database che memorizzano informazioni riservate. Le modifiche alla configurazione devono essere riviste sia prima che dopo essere state caricate sui dispositivi per evitare tali violazioni dei dati.

HIPAA compliance. Firewall rule changes.

HIPAA impone che le regole del firewall siano configurate in modo tale che solo i dispositivi degli utenti autorizzati possano accedere a dati riservati come ePHI. Un dipendente che lavora in ufficio in un ospedale potrebbe richiedere solo l’accesso alla propria e-mail o ai portali Web specifici dell’ospedale, che non contengono dati riservati. Le regole del firewall possono essere configurate in modo specifico per questo dipendente in modo da concedere loro l’accesso solo a questi siti Web rendendo inaccessibili tutti gli altri siti Web. Questa limitazione ridurrà la possibilità che il dipendente interagisca con utenti sospetti o scarichi software dannoso.

Nei casi in cui alcuni dipendenti sono autorizzati ad accedere a ePHI, gli amministratori di rete possono configurare regole per consentire ai computer di questi dipendenti di raggiungere i server contenenti tali informazioni riservate. I firewall supportano meccanismi di autenticazione basati sull’identità in cui gli utenti dovranno fornire informazioni note solo a loro per accedere a ePHI. Le informazioni riservate saranno ancora più sicure.

L’HIPAA ha allentato alcune delle sue regole alla luce della pandemia in corso. Ciò ha probabilmente indotto diversi amministratori di rete a modificare le regole del firewall. Ma se l’impatto di tali modifiche non viene analizzato prima che vengano implementate, gli utenti non autorizzati potrebbero accedere alla rete dell’organizzazione sanitaria e accedere a informazioni riservate.

HIPAA compliance. Firewall logs.

I log del firewall contengono informazioni quali gli utenti che hanno effettuato l’accesso, i file a cui hanno avuto accesso e le modifiche apportate ai database. Questi registri devono essere monitorati per analizzare il comportamento del traffico e garantire che il traffico provenga da utenti autorizzati. Se i log non vengono analizzati regolarmente, gli utenti malintenzionati si allontanano senza essere visti. Sono liberi di accedere a database contenenti ePHI e commettere crimini come l’alterazione dei registri sanitari per frode assicurativa o per il furto di identità.

Le organizzazioni sanitarie devono incorporare meccanismi per l’analisi delle attività in database che contengono dati riservati come ePHI. HIPAA impone che questi registri vengano conservati per un minimo di sei anni. Gli amministratori di rete devono garantire che i registri che sono stati estratti vengano archiviati in modo sicuro a fini di controllo.

HIPAA compliance. VPN configurations.

Invece di modificare le regole del firewall, gli amministratori di rete possono configurare VPN per l’accesso limitato alle informazioni riservate. Una VPN assicurerà che tutti i trasferimenti di dati avvengano attraverso tunnel crittografati in modo che non si verifichino violazioni dei dati attraverso dispositivi collegati alla rete.

Se si sospetta una violazione dei dati, in qualsiasi momento si può isolare la VPN per bloccare l’accesso a tutte le informazioni riservate. Si contiene così la possibile violazione dei dati.

HIPAA compliance. Secure backup of ePHI.

Gli standard HIPAA richiedono il backup di tutti gli ePHI in caso di disastro della rete. Gli amministratori possono crittografare e archiviare tutti i dati ePHI in server fuori sede per garantire la massima sicurezza. In tempi di disastro della rete, in cui i server primari dell’organizzazione sono resi inaccessibili, gli utenti possono accedere a questi server di backup off-site e recuperare tutti i dati essenziali. Una VPN può garantire che l’accesso a questi server sia limitato.

Tali piani di ripristino di emergenza sono fondamentali per la conformità agli standard HIPAA. Le organizzazioni sanitarie richiedono un’alta disponibilità di rete. Ora più che mai per combattere questa pandemia, i server di backup sono fondamentali per garantire la continuità operativa.

Nelle grandi reti ospedaliere, sarebbe difficile per gli amministratori monitorare e controllare tutti questi componenti. Con gli strumenti giusti, l’amministratore possono facilmente analizzare e controllare il traffico, le regole del firewall, i registri e le modifiche alla configurazione di rete per rilevare anomalie e implementare misure correttive.

HIPAA compliance. La soluzione.

Network Configuration Manager e Firewall Analyzer di ManageEngine sono strumenti che possono aiutarti a rimanere conforme agli standard HIPAA. È possibile pianificare controlli di conformità di routine e generare report intuitivi a fini di controllo interno ed esterno.

Prova le versioni demo gratuite scaricabili dal nostro sito: https://www.manageengine.it/products.html Se vuoi avere maggiori informazioni di carattere tecnico o commerciale contatta gli specialisti Bludis allo 0643230077 o invia una e-mail a sales@bludis.it

Written by:

Bludis è il distributore unico in Italia delle soluzioni ManageEngine. Da oltre 25 anni si occupa della distribuzione di soluzioni ICT e della fornitura di una vasta gamma di servizi a valore aggiunto per consentire il massimo livello di soddisfazione possibile per Vendor, Reseller e End-User

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

MODIFICA CONSENSI