Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Archive Data Protection

    10 migliori pratiche per l'utilizzo di Slack nel settore sanitario

    La configurazione di Slack conforme allo standard HIPAA è fondamentale per proteggere i dati dei pazienti.

    by Emily Schwenke

    Key Points

    • Questo blog è stato originariamente pubblicato sul sito web di Aware, ma con l'acquisizione di Aware da parte di Mimecast, ci assicuriamo che sia disponibile anche per i visitatori del sito web di Mimecast.
    • L'implementazione di misure di sicurezza avanzate, come i controlli di accesso basati sui ruoli e la prevenzione della perdita di dati basata sull'AI, è fondamentale per mantenere la conformità HIPAA in Slack.

    Slack è uno strumento popolare utilizzato da molte organizzazioni sanitarie per supportare la collaborazione sul posto di lavoro attraverso un'ampia gamma di applicazioni versatili. Ma è un archivio sicuro per le informazioni sanitarie protette (PHI)? Questo post esamina le considerazioni critiche e le migliori pratiche per gestire i dati sensibili dei pazienti rimanendo conformi alla normativa HIPAA.

    Come viene utilizzato Slack nel settore sanitario?

    L'uso di strumenti di collaborazione sul posto di lavoro come Slack è in aumento nel settore sanitario.

    • Gestione delle richieste di indennizzo - ottimizzazione dellecomunicazioni per migliorare i tempi di risoluzione e la soddisfazione dei pazienti.
    • Assistenza ai pazienti: riuniremedici e infermieri in uno spazio di lavoro unified per decisioni terapeutiche più rapide.
    • Supporto ai team di ricerca: coordinamento dellesperimentazioni cliniche e facilitazione della comunicazione senza soluzione di continuità per i team di ricerca.

    Sebbene questi casi d'uso possano migliorare i risultati per i pazienti e le équipe mediche, è fondamentale esercitare cautela nella gestione dei dati sanitari sensibili. In ogni momento, l'adesione alle normative HIPAA è fondamentale per garantire la sicurezza e la privacy delle informazioni del paziente.

    Slack è coperto dall'HIPAA?

    I fornitori di servizi sanitari e altre entità coperte hanno lo stesso obbligo di proteggere i dati personali in Slack come in qualsiasi altro set di dati. La natura informale e colloquiale delle chat di Slack può indurre i dipendenti a pensare di non dover prendere le stesse precauzioni per salvaguardare le informazioni sui pazienti che potrebbero prendere con altri strumenti, come le e-mail, e questo rende essenziale che le organizzazioni sanitarie formino adeguatamente i dipendenti su come utilizzare Slack in modo sicuro per rimanere conformi all'Health Insurance Portability and Accountability Act.

    Per supportare l'HIPAA, Slack offre una serie di funzioni di sicurezza e conformità progettate per proteggere le informazioni dei pazienti. Tuttavia, la semplice configurazione di queste impostazioni non è sufficiente per ottenere la completa conformità HIPAA in Slack. Invece, i controlli sulla sicurezza delle informazioni devono essere abbinati alla formazione adeguata e all'applicazione della conformità.

    Ci sono sfide nell'utilizzo di Slack nel settore sanitario?

    La natura veloce e informale delle conversazioni su Slack può aumentare la probabilità di condividere informazioni rischiose o riservate all'interno dei suoi canali. La ricerca di Aware mostra che 1 messaggio Slack su 17 contiene tre o più dati sensibili come PII o PHI.

    Inoltre, gli amministratori dello spazio di lavoro possono scoprire che la loro visibilità dei messaggi Slack è limitata dalla complessa struttura di Slack di canali pubblici, canali privati e messaggi diretti. A seconda del piano Slack in uso, gli amministratori potrebbero dover presentare una petizione a Slack per ottenere copie dei propri record. E anche quando gli amministratori hanno piena visibilità sui messaggi di Slack, gli utenti possono ancora modificare o cancellare ciò che hanno scritto originariamente, rendendo più difficile condurre le indagini di conformità HIPAA.

    Problemi di conformità nell'uso di Slack per l'assistenza sanitaria

    Oltre alle sfide legate al comportamento degli utenti e alla visibilità e al controllo limitati sui dati sensibili, ci sono altri problemi di conformità HIPAA che le organizzazioni sanitarie e altre entità coperte devono affrontare con Slack.

    Prevenzione della perdita di dati

    Strumenti come Slack offrono innumerevoli modi in cui i dati possono essere acceduti in modo improprio, esfiltrare o perdere. Molti di questi casi sono il risultato di incidenti o negligenze, come il caricamento di documenti riservati su canali Slack pubblici. Questi errori possono essere aggravati se i dipendenti decidono di cancellare le prove di una violazione piuttosto che segnalarla. Gli insider malintenzionati possono anche utilizzare Slack come copertura, sincronizzando i file aziendali sui dispositivi personali ed eludendo i firewall di sicurezza in pochi istanti.

    Hack e violazioni

    Anche i malintenzionati esterni possono accedere a dati sensibili attraverso Slack. Anche nei luoghi di lavoro che applicano l'autenticazione a due fattori (2FA), gli account Slack possono essere violati attraverso credenziali compromesse e attacchi MFA a fatica, in cui vengono inviate ripetute richieste di accesso finché un utente non ne approva una. Una volta entrati in un ambiente Slack, questi cattivi attori possono esfiltrare qualsiasi cosa dai canali a loro disposizione, comprese le informazioni illimitate sui pazienti.

    Integrazioni di terze parti

    Anche quando Slack stesso è configurato e protetto in modo appropriato per la conformità HIPAA, le app e le integrazioni di terze parti ad esso collegate possono ancora creare porte secondarie attraverso le quali i dati possono essere compromessi. Per evitare che ciò accada, gli amministratori dell'area di lavoro dovrebbero esaminare accuratamente ogni nuova app e integrazione prima di utilizzarla, e ispezionarla regolarmente per verificare che sia ancora conforme agli standard di conformità richiesti.

    Sicurezza del dispositivo

    Una delle caratteristiche più popolari di Slack è l'ampia gamma di app che consentono di utilizzarlo su più dispositivi e tipi di dispositivi. Tuttavia, quando i dipendenti utilizzano Slack sui loro dispositivi personali, possono introdurre dei rischi non mantenendo l'app Slack aggiornata, o addirittura smarrendo completamente il dispositivo.

    10 migliori pratiche per i team sanitari che utilizzano Slack

    1. Sfruttare le funzioni di sicurezza dei dati nativi
     

    Inizi a comprendere e utilizzare i controlli che Slack offre per proteggere le informazioni sulla salute. Slack offre una serie di opzioni di sicurezza e conformità, tra cui la crittografia dei dati in transito e a riposo, MFA e single sign-on (SSO) basato su OAuth o SAML.

    2. Utilizza i ruoli di amministratore in Enterprise Grid
     

    Gli enti sanitari devono utilizzare Slack Enterprise Grid per accedere a tutti gli strumenti di conformità HIPAA di Slack, e questo consente anche agli amministratori di accedere a controlli di sicurezza di livello aziendale. I ruoli di Enterprise Grid consentono ai proprietari degli spazi di lavoro di avere un controllo granulare su chi ha accesso ai dati sensibili o riservati in Slack.

    3. Firma un Accordo di associazione d'impresa (BAA)
     

    Un BAA è un contratto vincolante che delinea le responsabilità delle entità coperte e dei loro partner nella protezione dei dati personali. Slack è classificato come fornitore o partner di servizi ai sensi dell'HIPAA e ha determinati obblighi di salvaguardia dei dati sanitari protetti all'interno del suo software. Gli utenti devono avere un piano Enterprise Grid per firmare un BAA con Slack.

    4. Automatizzare la conservazione e la rimozione dei dati
     

    Per impostazione predefinita, Slack conserva i dati degli spazi di lavoro a pagamento a tempo indeterminato. Nel tempo, questo può creare un'enorme libreria di dati che comporta più rischi che valore. Tuttavia, gli utenti gratuiti potrebbero scoprire che il limite di conservazione di un anno di Slack comporta la perdita di informazioni aziendali critiche. Implementando politiche di conservazione granulari, valutando il valore dei dati Slack per l'organizzazione e cancellando automaticamente i vecchi contenuti quando non sono più necessari, le aziende sanitarie possono proteggersi riducendo la loro responsabilità in Slack.

    5. Utilizzi uno strumento DLP progettato per supportare la conformità HIPAA in Slack.
     

    Sebbene Slack offra molte funzioni per aiutare a gestire i dati all'interno della sua app, gli amministratori dello spazio di lavoro dovrebbero considerare l'implementazione di integrazioni di terze parti per la prevenzione della perdita di dati con la funzionalità di supportare ulteriormente la conformità HIPAA in Slack. Lo strumento giusto dovrebbe connettersi in tempo reale per identificare la non conformità, emettere notifiche quando rileva un rischio e istruire i dipendenti sulle politiche di utilizzo accettabile quando si verificano le violazioni.

    6. Implementare l'autenticazione a 2 fattori
     

    Slack può proteggere le istanze dell'area di lavoro limitando gli accessi ai membri del team di un dominio specifico. Tuttavia, nomi utente e password possono essere compromessi, violati o rubati in attacchi di phishing. L'implementazione dell'autenticazione a 2 fattori o del single sign-on può ridurre la probabilità che un hacker riesca ad accedere ad un account Slack aziendale.

    7. Utilizzi il controllo dell'accesso basato sui ruoli (RBAC).
     

    Gli amministratori dello spazio di lavoro Slack possono limitare ulteriormente gli utenti che possono visualizzare le informazioni sensibili e riservate, implementando il controllo degli accessi basato sui ruoli in ogni fase. Questo può essere utilizzato per limitare la visibilità all'interno di Slack e limitare chi può creare canali, aggiungere utenti o concedere autorizzazioni. Il RBAC dovrebbe anche essere una caratteristica di qualsiasi strumento di terze parti collegato all'area di lavoro che possa visualizzare o gestire i dati di Slack.

    8. Implementare convenzioni di denominazione conformi
     

    Il monitoraggio della conformità in tempo reale per Slack può prevenire la proliferazione di PHI e altri dati sensibili utilizzando parole chiave ed espressioni regolari per rilevare la condivisione di informazioni non autorizzate. Tuttavia, gli utenti possono prendere provvedimenti per aggirare questi controlli, credendo erroneamente che ciò protegga i dati che stanno condividendo. L'applicazione di convenzioni di denominazione predefinite può supportare la conformità HIPAA, rendendo i dati personali facilmente identificabili in Slack.

    9. Formare e riformare regolarmente i dipendenti.
     

    I suoi dipendenti sono la sua più grande fonte di rischio e la sua prima linea di difesa quando si tratta di usare Slack nella sanità. Formare i suoi dipendenti sull'importanza della protezione dei dati personali, aggiornare regolarmente tale formazione e fornire ai dipendenti strumenti adeguati per condividere le informazioni sensibili al fine di svolgere il proprio lavoro.

    10. Evitare la comunicazione con i pazienti tramite Slack
     

    Slack proibisce l'uso della sua app per condividere le comunicazioni medico-paziente. Così facendo, invaliderà il BAA che la sua organizzazione ha firmato con Slack e la lascerà esposta a violazioni dell'HIPAA. Invece, le comunicazioni con i pazienti dovrebbero essere limitate a strumenti come MyChart, progettati specificamente per questo scopo.

    Seguendo queste best practice, i team sanitari possono sfruttare la potenza collaborativa di Slack, riducendo al contempo i rischi potenziali e garantendo la conformità HIPAA.

    Come Aware supporta la conformità dei team sanitari

    Aware consente ai team sanitari di sbloccare il potenziale di Slack rimanendo conformi alla normativa HIPAA, utilizzando la tecnologia AI e NLP leader del settore per monitorare la conformità HIPAA in tempo reale. La piattaforma Aware si collega a Slack tramite API native per un'integrazione perfetta, fornendo la sicurezza di cui hanno bisogno le entità coperte senza impattare l'esperienza dell'utente finale. Con Aware, gli operatori sanitari possono:

    • Identifica in modo proattivo la condivisione di informazioni personali non autorizzate in tempo reale.
    • Istruire gli utenti sull'uso accettabile in tempo reale
    • Tombstone ha limitato i contenuti per evitare la visibilità continua
    • Automatizzare il monitoraggio della conformità HIPAA 24 ore su 24, 7 giorni su 7
    • Identifica un maggior numero di casi di PHI con meno falsi positivi.
    • Collegare gli insight di Slack con i flussi di lavoro legali, di conformità e delle risorse umane

    Aware supporta le aziende, dalle organizzazioni sanitarie alle ONG internazionali, per quanto riguarda la privacy dei dati, la conformità e la cybersicurezza negli strumenti di collaborazione come Slack.

    05BLOG_1.jpg
    Up Next
    Archive Data Protection |
    Fatti essenziali da sapere su Slack per il 2023

    Related Articles

    Archive Data Protection
    Capire il CPRA: proteggere le informazioni personali sensibili e mantenere la conformità
    Archive Data Protection
    Zoom Backup e Archiviazione: Una guida completa
    Archive Data Protection
    Le 10 migliori pratiche di sicurezza di Slack per salvaguardare la collaborazione sul posto di lavoro

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top