No sexto passo dentro das regras de segurança da HIPAA, temos análise e gerenciamento dos riscos, onde o estabelecimento de saúde deve criar e implementar procedimentos que previnam, detectem, contenham e corrijam violações na segurança das clínicas. Para isso, uma análise dos riscos e seu gerenciamento deve ser feita.

Para que a análise de risco aconteça, o estabelecimento de saúde deve conduzir de forma completa e acurada, de todos os possíveis riscos e vulnerabilidades a que estão sujeitas, as informações privadas de saúde dos pacientes nos meios eletrônicos, usados pelo estabelecimento de saúde e seus funcionários diretos ou terceirizados.

Já o gerenciamento de riscos diz que deve-se implementar medidas de segurança suficientes, que reduzam os riscos e as vulnerabilidades para um nível aceitável. A regra de segurança não estabelece uma forma de conduzir e criar essas medidas, sendo livre a criação das mesmas de acordo com a necessidade de cada estabelecimento de saúde.

Para entender melhor os processos acima, é necessário entender um pouco mais sobre o que é vulnerabilidade, ameaças e riscos, e a relação existente entre esses termos:

  • Vulnerabilidade: é uma falha ou um ponto fraco que pode estar em um sistema de segurança, procedimento, design, implementação, ou ainda, nos controladores internos, que pode ser acidentalmente causada ou não, e resulte em um comprometimento do sistema de segurança ou violação de alguma das diretrizes de segurança. Essa vulnerabilidade pode ser técnica ou não técnica, sendo as técnicas aquelas que envolvem um sistema ou software diretamente, e as não técnicas, que envolvem procedimentos, políticas internas, diretrizes ou a falta delas.
  • Ameaças: são os potenciais para uma pessoa ou algo a explorar e usar uma vulnerabilidade, intencionalmente ou não. As ameaças podem ser naturais também, como enchentes, vendavais, tornados, etc. As ameaças humanas podem incluir ameaças intencionais como vírus, malwares e acesso indevido às informações de saúde. As não intencionais podem ser consideradas adição de informações errôneas no sistema utilizado, ou exclusão e alteração das mesmas. As ameaças do meio se referem à faltas de luz, poluição, químicos e até mesmo vazamentos.
  • Riscos: a definição de risco fica mais clara depois que definimos as vulnerabilidades e ameaças. Sendo assim, o risco é a junção de uma vulnerabilidade sendo usado por uma ameaça.

Alguns exemplos de passos a serem tomados na análise de risco são: identificar o escopo da análise, fazer um levantamento de dados e então identificar e documentar ameaças em potencial.

Identificar e documentar ameaças e vulnerabilidades

O estabelecimento de saúde deve focar na listagem das ameaças previsíveis, por exemplo, a localização da clínica irá determinar as ameaças existentes que podem configurar um risco. Um furacão é uma ameaça, mas se a clínica estiver localizada em uma região onde não é comum esse tipo de evento meteorológico, essa ameaça não deve entrar na lista de ameaças previsíveis.

Para a maioria dos estabelecimentos de saúde, as ameaças humanas são as mais preocupantes, uma vez que elas podem ser exploradas frequentemente e a qualquer momento, sendo as ameaças humanos funcionários atuais e ex-funcionários, hackers, concorrentes, criminosos, e até mesmo pacientes e visitantes. Qualquer pessoa que tenha acesso, conhecimento ou motivação para causar danos, pode ser considerado como uma ameaça.

Enquanto o estabelecimento de saúde identifica as potenciais ameaças, deve-se também fazer o levantamento e documentação das vulnerabilidades, que ao serem exploradas transformam-se em riscos. Assim como as ameaças, as vulnerabilidades podem ser tanto técnicas quanto não técnicas, associadas ao prontuário eletrônico dos pacientes.

Uma solução comum é desenvolver um teste de avaliação e segurança, tanto das estações de trabalho como dos servidores usados.

Avaliar as medidas de segurança atuais

O objetivo dessa etapa é analisar os sistemas e procedimentos de segurança implementados para manter a segurança dos prontuários e registros dos pacientes. Por exemplo, a vulnerabilidade tem menos chances de ser explorada por uma ameaça se sistemas de segurança eficazes estão funcionando.

Determine a probabilidade de ocorrência de uma ameaça

Quando terminados os passos acima de análise, o estabelecimento de saúde tem todas as informações para determinar:

  • As chances de uma ameaça ocorrer e ser explorada, assim como uma vulnerabilidade;
  • O impacto resultante, caso o pior cenário ocorra, que é de uma ameaça e vulnerabilidade ser explorada com sucesso.

A avaliação desses tópicos fica a critério de cada estabelecimento de saúde, mas uma sugestão é classificá-los em risco alto, risco médio e risco baixo. Sendo assim, a probabilidade alta, onde existem várias formas de uma vulnerabilidade ser usada, e pode ser causada por uma série de deficiências na segurança; o risco médio é considerado quando existe pelo menos uma condição de deficiência na segurança; e o risco baixo pode ser considerado quando a deficiência de segurança é algo simples e rápido de ser corrigido, como por exemplo uma configuração de sistema.

Determine o potencial do impacto causado pela ocorrência das ameaças

Caso ocorra de uma vulnerabilidade ser explorada com sucesso por uma ameaça, isso trará consequências negativas para aos pacientes e para o estabelecimento de saúde. Tentar medir o impacto dessas ações deve ajudar na prevenção dos mesmos, e a forma sugerida é classificar com métodos qualitativos e quantitativos. Além disso, os resultados devem também ser documentados com todos os potenciais impactos e avaliações, o que auxilia caso uma ameaça se concretize danificando de qualquer forma as informações dos pacientes.

Determine o nível do risco

O próximo passo então é determinar os níveis dos riscos existentes. O ideal aqui é construir uma matrix de riscos, usando os valores e informações sobre os riscos obtidas a partir dos impactos e ameaças. Essa matrix pode conter também uma divisão de alto, médio e baixo, onde riscos combinados podem mudar de classificação. Por exemplo, um risco avaliado como "alto" se combinado a outro avaliado como "baixo", pode então ser colocado como um risco "médio".

Identifique as medidas de segurança e finalize a documentação

Aqui serão identificadas todas as medidas de segurança do estabelecimento de saúde, que são usadas para minimizar os riscos para o que se considera um nível aceitável e apropriado. É necessário observar a legislação existente ou regulamentos que devem ser cumpridos, efetividade do sistema de segurança, requerimentos da organização, suas políticas e privacidade. A documentação de todo esse processo é necessário, mas a normativa da HIPAA não exige um formato específico.

Os passos para o gerenciamento de riscos podem ser resumidos em:

  • Desenvolver e implementar um plano de gerenciamento de riscos;
  • Implementar medidas de segurança;
  • Avaliar e fazer manutenções nas medidas de segurança.

Fonte: HHS - Risk Assessment