Portabilidade de informação de saúde é um dos maiores desafios da TI

Se a sua organização de segurança está na área de saúde, você, inevitavelmente, deve estar lutando com a Portabilidade de Informações de Saúde (HIPAA, da sigla em inglês). O requerimento de compliance HIPAA é um dos maiores desafios das organizações de TI em saúde ? mas também poderia ser uma oportunidade para avançar sua agenda de segurança. Para os profissionais de segurança alavancar investimentos de compliance e atividades para o cumprimento mais amplo de benefícios, é preciso entender o que está atraindo os investimentos de compliance. Primeiro, cabe dizer que os padrões descritos na regra de segurança HIPAA são projetados para atender trechos da indústria, desde pequenas clínicas e consultórios médicos até maiores prestadores de cuidados institucionais e companhias de seguros. Devido a isso, o alto nível dos objetivos de controle de segurança descritos nas normas, assim como os controles de apoio, são extremamente amplos e carentes de especificidade técnica. Como podem as organizações de segurança fazer uso de atividades de compliance? Elas podem começar com a gestão de risco, que historicamente tem sido um desafio para essas organizações, sendo elas de cuidados com a saúde ou não. Mas as regras de segurança HIPAA estão fortemente amarradas às atividades de gestão de risco, algumas empresas de segurança podem aproveitá-las para fazer progressos que provavelmente não poderiam fazer de outra forma. As organizações de TI em saúde às vezes podem se sentir em desacordo com as equipes de compliance. Isso ocorre porque as normas e especificações descritas na aplicação da regra de segurança HIPAA têm um impacto técnico, mas geralmente são acompanhadas e gerenciadas por equipes de conformidade não técnica. A interpretação de implementações específicas da equipe de compliance deve estar em sincronia com o técnico de segurança da equipe. Uma maneira de fazer isso é alcançar a conformidade da organização e caminhar através da sua estratégia existente de conformidade com o seu grupo. Compare a sua interpretação com a equipe de compliance, entenda como os membros do grupo avaliam como você atendeu ou não os requisitos. Então, discuta francamente onde exceções e complexidades podem estar. Se você identificar as lacunas na compreensão de ambos os lados, discuta cada caso e o que fazer sobre eles até chegar a um acordo. É provável que haja diferentes interpretações. Para obter uma análise aprofundada e recomendações sobre como alavancar as exigências da HIPAA para continuar seus esforços de segurança, faça o download do relatório completo sobre a conformidade de segurança HIPAA.