Uma estrutura Health-ISAC para CISOs gerenciarem a Identidade 2.0

25 de novembro de 2025

Uma atualização da estrutura original de 2020, para incluir identidades não humanas e tecnologias emergentes

Declaração do escopo

Nos últimos seis anos, a Health-ISAC publicou dez white papers sobre diversos componentes de Gestão de Identidade e Acesso (IAM). O segundo white paper, publicado em 2020, forneceu uma estrutura abrangente para auxiliar os CISOs do setor de saúde a arquitetar, construir e implementar um sistema de identidade moderno, capaz de proteger contra ataques e apoiar os objetivos de negócios. Organizações do setor de saúde já utilizam essas ferramentas. Autenticação multifator, gestão de acesso privilegiado e outras ferramentas de identidade são utilizadas diariamente em sistemas de saúde em todo o mundo. A estrutura também não ficou parada. Desde sua publicação inicial em 2020, foi atualizada duas vezes: primeiro no documento de confiança zero de 2022 e, em seguida, novamente para gestão de acesso privilegiado em 2024. No entanto, como acontece com todas as tecnologias, o cenário de identidade está em constante evolução. A Estrutura de Identidade a seguir detalha os diversos componentes necessários para uma abordagem moderna de cibersegurança centrada na identidade e descreve como esses diferentes componentes devem se integrar e inter-relacionar para proteger a empresa. Organizações do setor de saúde devem encarar isso como uma estrutura holística que gerencia todo o ciclo de vida da identidade de funcionários, profissionais, pacientes, parceiros e, agora, identidades não humanas, de forma a proteger contra ataques comuns à identidade, reduzir significativamente os riscos e aumentar a eficiência operacional. Fundamental para essa abordagem na saúde é a governança e administração de identidades (GAI), à medida que o número de identidades, funções e recursos se expande. Não se trata mais apenas de permitir o acesso para funcionários, pacientes e terceiros. Identidades não humanas — como agentes de inteligência artificial, APIs e dispositivos — também exigem identidades que devem ser protegidas juntamente com as identidades humanas.

Este artigo revisa e expande o escopo da estrutura de 2020 para incluir categorias adicionais de identidades e componentes necessários em meio à explosão de identidades não humanas em empresas. O artigo analisa o papel da Gestão de Identidades e Acessos (IAM) — particularmente à medida que diversos tipos de identidades são adicionados aos sistemas — e o papel crucial do monitoramento e auditoria para garantir que essas novas identidades não realizem ações não autorizadas. Este artigo também examina outras tecnologias importantes que as organizações de saúde devem considerar ao avaliar o futuro de seus sistemas de identidade, incluindo criptografia quântica, contratos inteligentes e outras tecnologias. Por fim, e talvez mais importante, este artigo apresenta um panorama ideal de como uma estrutura de IAM deveria ser em uma organização do setor de saúde, algo que pode não ser viável para todas as organizações. As organizações podem não ter os recursos para acomodar todos os novos sistemas e componentes. Este artigo também propõe um Modelo de Maturidade de IAM para organizações de saúde, para que elas possam progredir incrementalmente na melhoria da segurança de suas identidades.

Este artigo irá:

Defina os componentes necessários para uma pilha de tecnologia IAM moderna e como eles podem interagir com identidades não humanas.
Apresentar um modelo de maturidade para que as organizações do setor de saúde possam seguir a fim de melhorar sua postura em relação à identidade digital.
Atualize os tipos de identidades que precisam ser contabilizadas nos diretórios do IAM.
Identificar tecnologias novas e emergentes que as organizações do setor de saúde precisam considerar.
Crie casos de uso para demonstrar como esses componentes, tecnologias e sistemas são utilizados no setor da saúde.