Recomendações de configuração do Microsoft Entra para controles HITRUST
As orientações deste artigo ajudam-no a navegar pelos detalhes e fornecem recomendações de serviços e funcionalidades no Microsoft Entra ID para suportar o alinhamento com os controlos HITRUST. Use as informações para ajudar a entender a estrutura da Health Information Trust Alliance (HITRUST) e apoiar sua responsabilidade de garantir que sua organização esteja em conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). As avaliações envolvem trabalhar com avaliadores HITRUST certificados que conhecem bem a estrutura e são necessários para ajudar a guiá-lo através do processo e entender os requisitos.
Acrónimos
A tabela a seguir lista as siglas e sua ortografia neste artigo.
| Acrónimos | Ortografia |
|---|---|
| CE | Entidade abrangida |
| QCA | Quadro de Segurança Comum |
| HIPAA | Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 |
| Redes ferroviárias de alta velocidade | Regra de Segurança HIPAA |
| HITRUST | Aliança para a Confiança na Informação sobre Saúde |
| IAM | Gestão de identidades e acessos |
| Metadados | Fornecedor de identidade |
| ISO | Organização Internacional de Normalização |
| ISMS | Sistema de gestão da segurança da informação |
| JEA | Apenas acesso suficiente |
| JML | Entrar, mover-se, sair |
| MFA | Autenticação multifator Microsoft Entra |
| NIST | Instituto Nacional de Padrões e Tecnologia, Departamento de Comércio dos EUA |
| PHI | Informações de saúde protegidas |
| PIM | Privileged Identity Management |
| SSO | Início de sessão único |
| TOQUE | Cartão de acesso temporário |
Aliança para a Confiança na Informação sobre Saúde
A organização HITRUST estabeleceu o Common Security Framework (CSF) para padronizar e simplificar os requisitos de segurança e privacidade para organizações do setor de saúde. A HITRUST CSF foi fundada em 2007 para abordar o complexo ambiente regulatório, os desafios de segurança e as preocupações com a privacidade que as organizações enfrentam ao lidar com dados pessoais e dados de informações de saúde protegidas (PHI). O QCA é constituído por 14 categorias de controlo, compreendendo 49 objetivos de controlo e 156 especificidades de controlo. Foi construído com base nos princípios primários da Organização Internacional de Normalização (ISO) 27001 e ISO 27002.
A ferramenta HITRUST MyCSF está disponível no Azure Marketplace. Use-o para gerenciar riscos de segurança da informação, governança de dados, para cumprir com as regulamentações de proteção de informações, também aderir às normas nacionais e internacionais e melhores práticas.
Nota
A ISO 27001 é uma norma de gestão que especifica os requisitos para um sistema de gestão da segurança da informação (SGSI). A ISO 27002 é um conjunto de práticas recomendadas para selecionar e implementar controles de segurança na estrutura da ISO 27001.
Regra de Segurança HIPAA
A Regra de Segurança da HIPAA (HSR) estabelece padrões para proteger as informações eletrônicas pessoais de saúde de um indivíduo criadas, recebidas, usadas ou mantidas por uma Entidade Coberta (CE), que é um plano de saúde, uma câmara de compensação de cuidados de saúde ou um prestador de cuidados de saúde. O Departamento de Saúde e Serviços Humanos dos EUA (HHS) administra o HSR. O HHS requer salvaguardas administrativas, físicas e técnicas para garantir a confidencialidade, integridade e segurança do PHI eletrônico.
HITRUST e HIPAA
A HITRUST desenvolveu o CSF, que inclui padrões de segurança e privacidade para apoiar as regulamentações de saúde. Os controles CSF e as práticas recomendadas simplificam a tarefa de consolidar as fontes para garantir a conformidade com a legislação federal, a segurança da HIPAA e as regras de privacidade. HISTRUST CSF é uma estrutura de segurança e privacidade certificável com controles e requisitos para demonstrar a conformidade com a HIPAA. As organizações de saúde adotaram amplamente a estrutura. Use a tabela a seguir para saber mais sobre controles.
| Categoria de controlo | Nome da categoria de controlo |
|---|---|
| 0 | Programa de Gestão de Segurança da Informação |
| 1 | Controlo de Acesso |
| 2 | Segurança de Recursos Humanos |
| 3 | Gestão de Riscos |
| 4 | Política de segurança |
| 5 | Organização da Segurança da Informação |
| 6 | Conformidade |
| 7 | Gestão de Recursos |
| 8 | Segurança Física e Ambiental |
| 9 | Gestão de Comunicações e Operações |
| 10 | Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação |
| 11 | Gestão de Incidentes de Segurança da Informação |
| 12 | Gerenciamento de continuidade de negócios |
| 13 | Práticas de Privacidade |
Saiba mais sobre a plataforma Microsoft Azure é certificada HITRUST CSF, que inclui gerenciamento de identidade e acesso:
- Microsoft Entra ID, anteriormente conhecido como Azure Ative Directory
- Gerenciamento de direitos com o Microsoft Purview
- Autenticação multifator (MFA) do Microsoft Entra
Categorias e recomendações de controle de acesso
A tabela a seguir tem a categoria de controle de acesso para gerenciamento de identidade e acesso (IAM) e recomendações do Microsoft Entra para ajudar a atender aos requisitos de categoria de controle. Os detalhes são do HITRUST MyCSF v11, que se refere à regra de segurança HIPAA, adicionada ao controle correspondente.
| Controlo, objetivo e HSR da HITRUST | Orientação e recomendação do Microsoft Entra |
|---|---|
| Controle CSF V11 01.b Registo de Utilizador Categoria de controlo Controlo de Acesso – Registo e Cancelamento de Registo de Utilizadores Especificação de controlo A organização usa um processo formal de registro e cancelamento de registro de usuário para permitir a atribuição de direitos de acesso. Nome do objetivo Acesso Autorizado a Sistemas de Informação Regra de Segurança HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) Artigo 164.312(a)(2)(ii) Artigo 164.312, alínea d) |
O Microsoft Entra ID é uma plataforma de identidade para verificação, autenticação e gerenciamento de credenciais quando uma identidade entra em seu dispositivo, aplicativo ou servidor. É um serviço de gerenciamento de identidade e acesso baseado em nuvem com logon único (SSO), MFA e Acesso Condicional para proteger contra ataques de segurança. A autenticação garante que apenas identidades autorizadas tenham acesso a recursos e dados. Os fluxos de trabalho do ciclo de vida permitem a governança de identidade para automatizar o ciclo de vida JML (joiner, mover, leaver). Ele centraliza o processo de fluxo de trabalho usando os modelos internos ou você cria fluxos de trabalho personalizados. Essa prática ajuda a reduzir, ou potencialmente remover, tarefas manuais para requisitos de estratégia JML organizacional. No portal do Azure, navegue até Governança de Identidade no menu ID do Microsoft Entra para revisar ou configurar tarefas para seus requisitos organizacionais. O Microsoft Entra Connect integra diretórios locais com o Microsoft Entra ID, suportando o uso de identidades únicas para acessar aplicativos locais e serviços de nuvem, como o Microsoft 365. Ele orquestra a sincronização entre o Ative Directory (AD) e o Microsoft Entra ID. Para começar a usar o Microsoft Entra Connect, revise os pré-requisitos. Observe os requisitos do servidor e como preparar seu locatário do Microsoft Entra para gerenciamento. O Microsoft Entra Connect Sync é um agente de provisionamento gerenciado na nuvem, que oferece suporte à sincronização com a ID do Microsoft Entra a partir de um ambiente AD desconectado de várias florestas. Use os agentes leves com o Microsoft Entra Connect. Recomendamos a sincronização de hash de senha para ajudar a reduzir o número de senhas e proteger contra a deteção de credenciais vazadas. |
| Controle CSF V11 01.c Gestão de Privilégios Categoria de controlo Controlo de Acesso – Contas Privilegiadas Especificação de controlo A organização garante que as contas de usuário autorizadas sejam registradas, rastreadas e validadas periodicamente para evitar o acesso não autorizado aos sistemas de informação Nome do objetivo Acesso Autorizado a Sistemas de Informação Regra de Segurança HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) Artigo 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
O Privileged Identity Management (PIM) é um serviço do Microsoft Entra ID para gerenciar, controlar e monitorar o acesso a recursos importantes em uma organização. Ele minimiza o número de pessoas com acesso a informações seguras para ajudar a impedir que agentes mal-intencionados obtenham acesso. O PIM tem acesso baseado em tempo e aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou usadas indevidamente. Ele ajuda a identificar e analisar contas privilegiadas para garantir que você forneça acesso suficiente (JEA) para um usuário desempenhar sua função. O monitoramento e a geração de alertas evitam atividades suspeitas, listando os usuários e as funções que disparam o alerta, reduzindo o risco de acesso não autorizado. Personalize alertas para a sua estratégia de segurança organizacional. As revisões de acesso permitem que as organizações gerenciem atribuições de função e associação a grupos de forma eficiente. Mantenha a segurança e a conformidade avaliando quais contas têm acesso e garanta que o acesso seja revogado quando necessário, minimizando assim os riscos de permissões excessivas ou desatualizadas. |
| Controle CSF V11 0.1d Gerenciamento de senhas de usuário Categoria de controlo Controlo de Acessos - Procedimentos Especificação de controlo Para garantir que as contas de usuário autorizadas sejam registradas, rastreadas e validadas periodicamente para evitar o acesso não autorizado aos sistemas de informação. Nome do objetivo Acesso Autorizado a Sistemas de Informação Regra de Segurança HIPAA §164.308(a)(5)(ii)(D) |
O gerenciamento de senhas é um aspeto crítico da infraestrutura de segurança. Alinhado com as práticas recomendadas para criar uma postura de segurança robusta, o Microsoft Entra ID ajuda a facilitar com um suporte estratégico abrangente: SSO e MFA também autenticação sem senha, como chaves de segurança FIDO2 e Windows Hello for Business (WHfB) mitigam o risco do usuário e simplificam a experiência de autenticação do usuário. O Microsoft Entra Password Protection deteta e bloqueia senhas fracas conhecidas. Ele incorpora políticas de senha e tem a flexibilidade de definir uma lista de senhas personalizada e criar uma estratégia de gerenciamento de senhas para proteger o uso de senhas. Os requisitos de comprimento e força da senha HITRUST estão alinhados com o NIST 800-63B do National Institute of Standards and Technology, que inclui um mínimo de oito caracteres para uma senha, ou 15 caracteres para contas com acesso mais privilegiado. As medidas de complexidade incluem pelo menos um número e/ou caráter especial e pelo menos uma letra maiúscula e minúscula para contas privilegiadas. |
| Controle CSF V11 01.p Procedimentos de logon seguro Categoria de controlo Controle de Acesso – Logon Seguro Especificação de controlo A organização controla o acesso aos ativos de informação usando um procedimento de logon seguro. Nome do objetivo Controlo de Acesso ao Sistema Operativo Regra de Segurança HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
O início de sessão seguro é o processo para autenticar uma identidade de forma segura quando tentam aceder a um sistema. O controle se concentra no sistema operacional, os serviços Microsoft Entra ajudam a fortalecer o login seguro. As políticas de Acesso Condicional ajudam as organizações a restringir o acesso a aplicativos e recursos aprovados e garantir que os dispositivos sejam seguros. O Microsoft Entra ID analisa os sinais das políticas de Acesso Condicional da identidade, local ou dispositivo para automatizar a decisão e aplicar políticas organizacionais de acesso a recursos e dados. O controle de acesso baseado em função (RBAC) ajuda você a gerenciar o acesso e os recursos gerenciados em sua organização. O RBAC ajuda a implementar o princípio do menor privilégio, garantindo que os usuários tenham as permissões necessárias para executar suas tarefas. Esta ação minimiza o risco de configuração incorreta acidental ou intencional. Como observado para o controle 0.1d User Password Management, a autenticação sem senha usa biometria porque eles são difíceis de falsificar, fornecendo assim uma autenticação mais segura. |
| Controle CSF V11 01.q Identificação e autenticação do utilizador Categoria de controlo N/A Especificação de controlo Todos os utilizadores devem dispor de um identificador único (ID de utilizador) apenas para seu uso pessoal e deve ser aplicada uma técnica de autenticação para fundamentar a alegada identidade de um utilizador. Nome do objetivo N/A Regra de Segurança HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) Artigo 164.312, alínea d) |
Use o provisionamento de conta no Microsoft Entra ID para criar, atualizar e gerenciar contas de usuário. A cada usuário e objeto é atribuído um identificador exclusivo (UID) conhecido como ID do objeto. O UID é um identificador global exclusivo gerado automaticamente quando um usuário ou objeto é criado. O Microsoft Entra ID oferece suporte ao provisionamento automatizado de usuários para sistemas e aplicativos. O provisionamento automatizado cria novas contas nos sistemas certos quando as pessoas se juntam a uma equipe em uma organização. O desprovisionamento automatizado desativa as contas quando as pessoas saem. |
| Controle CSF V11 01.u Limitação do Tempo de Conexão Categoria de controlo Controle de Acesso - Logon Seguro Especificação de controlo A organização controla o acesso aos ativos de informação usando um procedimento de logon seguro. Nome do objetivo Controlo de Acesso ao Sistema Operativo Regra de Segurança HIPAA Artigo 164.312(a)(2)(iii) |
O controle se concentra no sistema operacional, os serviços Microsoft Entra ajudam a fortalecer o login seguro. O início de sessão seguro é o processo para autenticar uma identidade de forma segura quando tentam aceder a um sistema. O Microsoft Entra autentica usuários e possui recursos de segurança com informações sobre o usuário e o recurso. As informações incluem o token de acesso, o token de atualização e o token de ID. Configure de acordo com seus requisitos organizacionais para acesso ao aplicativo. Use esta orientação predominantemente para clientes móveis e desktop. As políticas de Acesso Condicional suportam definições de configuração para a restrição de sessões autenticadas do navegador da Web. O Microsoft Entra ID tem integrações entre sistemas operacionais, para fornecer uma melhor experiência ao usuário e suporte para métodos de autenticação sem senha listados: O SSO da plataforma para macOS estende os recursos de SSO para macOS. Os utilizadores iniciam sessão num Mac utilizando credenciais sem palavra-passe ou gestão de palavras-passe validada pelo Microsoft Entra ID. A experiência sem senha do Windows promove uma experiência de autenticação sem senhas em dispositivos associados ao Microsoft Entra. O uso da autenticação sem senha reduz as vulnerabilidades e os riscos associados à autenticação tradicional baseada em senha, como ataques de phishing, reutilização de senhas e intercetação de senhas pelo keylogger. O início de sessão na Web para Windows é um fornecedor de credenciais que expande as capacidades de início de sessão na Web no Windows 11, abrangendo o Windows Hello para Empresas, o passo de acesso temporário (TAP) e as identidades federadas. O Ambiente de Trabalho Virtual do Azure suporta SSO e autenticação sem palavra-passe. Com o SSO, você pode usar autenticação sem senha e provedores de identidade de terceiros (IdPs) que se federam com a ID do Microsoft Entra para entrar nos recursos da Área de Trabalho Virtual do Azure. Ele tem uma experiência de SSO ao autenticar no host da sessão. Ele configura a sessão para fornecer SSO aos recursos do Microsoft Entra na sessão. |
Próximos passos
Configurar proteções de controle de acesso HIPAA do Microsoft Entra