Escolar Documentos
Profissional Documentos
Cultura Documentos
Agradecimentos
Um agradecimento à Professora Ana Ferreira, por todo o apoio e
incentivo na elaboração e maturação do presente trabalho. Através do seu
conhecimento e dedicação foi possível projetar um trabalho com a
excelência que a caracteriza. Todo o acompanhamento e guia durante a
elaboração das diversas etapas permitiu aperfeiçoar conceitos e boas
práticas na apresentação e escrita de um trabalho tão importante para nós
estudantes de Mestrado.
Resumo
Introdução: Os ataques cibernéticos são direcionados a organizações de
saúde, com foco nos dados pessoais e privados armazenados com base em
informações confidenciais, como dados clínicos de pacientes. A gestão de
contas de acesso a esse tipo de informação é um fator essencial. As
empresas usam soluções de gestão de acessos privilegiados, porque acham
mais eficiente comprar e gerir a sua própria solução de segurança de contas
privilegiadas.
Objetivo: Revisão da utilização de gestão de acessos privilegiados nos
setores da saúde e empresarial e apresentação de uma proposta de um caso
de estudo e boas práticas em contexto real de saúde
Métodos: Elaboração de uma revisão bibliográfica através da recolha de
artigos científicos com aplicação de critérios de inclusão e exclusão,
seguindo-se a análise, seleção e criação de fluxogramas. Foi feita uma
comparação da aplicação da gestão de acessos privilegiados no setor da
saúde e empresarial, com a respetiva integração de um caso de estudo em
contexto de estágio na Sonae MC, Business Information Technology (BIT).
Resultados: Proposta de um Proof of Concept (POC) de um caso de estudo
em saúde e criação de um guia de boas práticas para a possível
implementação de um caso de estudo em saúde com base no trabalho
elaborado.
Conclusão: O setor de saúde processa e armazena informações
confidenciais. Essas informações podem levar ao roubo de identidade e
violação de dados, sendo que a implementação de um conjunto de
medidas de segurança pode melhorar drasticamente a postura de
segurança de uma organização, em particular no setor da saúde.
Palavras-chave: Gestão de acesso privilegiado, PAM, Controlo de acesso
privilegiado, Setor da saúde, Setor empresarial, Cibersegurança, Ataque
cibernético, Violação de dados
Abstract
Introduction: Cyberattacks are targeted at healthcare organizations,
focusing on personal and private data stored on the basis of sensitive
information such as patient clinical data. The management of access
accounts to this type of information is an essential factor. Companies use
privileged access management solutions because they find it more efficient
to purchase and manage their own privileged accounts security solution.
Objective: To review the use of privileged access management in the
healthcare and business sectors and present a proposal for a case study
and good practices in a real health context.
Methods: Elaboration of a bibliographic review through the collection of
scientific articles with the application of inclusion and exclusion criteria,
followed by the analysis, selection, and creation of flowcharts. A
comparison was made of the application of privileged access management
in the healthcare and business sectors, with the respective integration of a
case study in the context of an internship at Sonae MC, BIT.
Results: Proposal of a Proof of Concept (POC) for a healthcare case
study and creation of a good practice guide for the possible
implementation of a healthcare case study based on the work carried out.
Conclusion: The healthcare industry processes and stores confidential
information. This information can lead to identity theft and data breaches
and implementing a set of security measures can dramatically improve an
organization's security posture, particularly in the healthcare industry.
Keywords: Privileged Access Management, PAM, Privileged Access
Control, Healthcare sector, Business sector, Cybersecurity, Cyber Attack,
Data Breach
6
Preâmbulo
No seguimento da minha Licenciatura em Fisiologia Clínica, desde muito
cedo e no decorrer do Mestrado em Informática Médica, senti a
importância de aliar duas áreas que embora distintas se completam
mutuamente. Através da minha integração na equipa de Segurança
Operacional da BIT, no seguimento do estágio no Programa Contacto na
Sonae MC, consegui acompanhar a integração do projeto de acessos
privilegiados, Privileged Access Management (PAM). A implementação de
PAM, encontra-se instanciada na ferramenta IBM Security Verify Privilege
Vault e tem como objetivo entregar uma solução com o propósito de gerir
e monitorizar acessos privilegiados de contas de utilizadores e serviços aos
sistemas alvo, ajudando a empresa a proteger todas as suas identidades
através de um acesso seguro.
Índice
Agradecimentos......................................................................................... 2
Resumo...................................................................................................... 4
Abstract ..................................................................................................... 5
Preâmbulo ................................................................................................. 6
Índice......................................................................................................... 8
Acrónimos ................................................................................................ 10
Índice de figuras....................................................................................... 12
Índice de tabelas ...................................................................................... 14
Organização da tese ................................................................................. 15
1. Introdução/ Motivação ....................................................................... 17
2. Objetivos ............................................................................................ 20
3. Enquadramento Teórico .................................................................... 22
3.1 Contextualização da temática ............................................................ 22
3.1.1 Segurança de dados .................................................................. 22
3.1.2 Ferramentas para Confidencialidade .......................................... 24
3.1.3 Gestão de Identidade ............................................................... 26
3.1.4 IAM vs PAM ........................................................................... 27
3.1.5 Contas padrão vs Contas privilegiadas ....................................... 29
3.2 Privileged Access Management (PAM).............................................. 32
3.2.1 Conceitos - chave do PAM ....................................................... 33
3.2.2 Importância do PAM na segurança da informação ..................... 37
3.2.3 Ciclo de vida do PAM .............................................................. 38
4. Estado da arte..................................................................................... 22
4.1 Estudos prévios e desafios de segurança na saúde .............................. 43
4.2 Desafios no setor da saúde durante a COVID-19 .............................. 47
4.3 HIPAA vs GDPR ........................................................................... 49
4.4 Caso de estudo de implementação PAM - Sonae MC......................... 53
4.4.1 Apresentação do caso de estudo no setor empresarial ................... 53
4.4.2 Design da Arquitetura ................................................................ 56
4.4.3 Visão geral de alto nível Intelligent Surveillance Video Processing and
Visualization ...................................................................................... 58
5. Materiais e Métodos ........................................................................... 63
5.1 Desenho de Estudo ......................................................................... 63
5.1.1 Metodologia de estudo ................................................................ 63
5.1.2 Estratégia de Pesquisa ................................................................. 63
5.1.3 Critérios de Elegibilidade ............................................................ 64
5.2 Processo de Seleção de Resultados ................................................... 64
5.3 Cronograma .................................................................................... 65
6. Resultados .......................................................................................... 66
6.1 Revisão da Literatura no setor da saúde............................................. 66
6.2 Revisão da Literatura no setor empresarial ........................................ 72
6.3 Estratégia de implementação PAM e boas práticas na área da saúde ... 76
6.4 Comparação entre setores no PAM .................................................. 82
7. Discussão ........................................................................................... 84
8. Conclusões e recomendações............................................................. 86
9. Trabalho futuro .................................................................................. 90
10. Referências .......................................................................................... 91
10
Acrónimos
ABAC - Attribute-Based Access Control
AD - Active Directory
API - Application Programming Interface
BIT – Business Information Technology
CISO - Chief Information Security Officer
DHS – Department of Homeland Security
DR – Disaster Recovery
DRM - Digital Rights Management
EEE - Espaço Económico Europeu
EHR - Electronic Health Record
EUA – Estados Unidos da América
GDPR - General Data Protection Regulation
HIPAA - Health Insurance Portability and Accountability Act
IAM - Identity and Access Management
IBM – International Business Machines Corporation
IoT – Internet of Things
ISVPV - Intelligent Surveillance Video Processing and Visualization
IP - Internet Protocol
IT – Information Technology
LDAP - Lightweight Directory Access Protocol
MC – Modelo Continente
MFA – Multifactor Authentication
NIST – National Institute of Standards and Technology
OATH - Initiative for Open Authentication
OMS - Organização Mundial de Saúde
PAM – Privileged Access Management
PHI - Protected Health Information
PHR - Personal Health Record
PII - Personal Identifiable Information
POC - Proof of Concept
PRISMA- Preferred Reporting Items for Systematic Reviews and Meta-Analyses
RBAC – Role-Based Access Control
RDBAC - Reflective Database Access Control
RGPD - Regulamento Geral sobre a Proteção de Dados
SIEM – Security Information and Event Management
SMTP - Simple Mail Transfer Protocol
SSO - Single Sign-On
UE – União Europeia
12
Índice de figuras
Índice de tabelas
Tabela 1: Principais características entre HIPAA e GDPR ................................ 49
Tabela 2: Principais diferenças entre HIPAA e GDPR....................................... 52
Tabela 3: Descrição das principais ferramentas do PAM implementadas no caso de
estudo ............................................................................................................................. 54
Tabela 4: Descrição das fases do projeto .................................................................... 55
Tabela 5: Descrição do plano macro do projeto ........................................................ 55
Tabela 6: Distribuição de resultados por grupos ........................................................ 67
Tabela 7: Características dos estudos da revisão no setor da saúde (Grupo 1) .......... 67
Tabela 8: Características dos estudos da revisão no setor da saúde (Grupo 1) .......... 68
Tabela 9: Características dos estudos da revisão no setor da saúde (Grupo 2) .......... 70
Tabela 10: Características dos estudos da revisão no setor da saúde (Grupo 3) ........ 71
Tabela 11: Distribuição de resultados por grupos....................................................... 73
Tabela 12: Características dos estudos da revisão no setor empresarial (Grupo 1) .... 73
Tabela 13: Características dos estudos da revisão no setor empresarial (Grupo 2) .... 74
Tabela 14: Características dos estudos da revisão no setor empresarial (Grupo 3) .... 75
Tabela 15: Características dos estudos da revisão no setor empresarial (Grupo 4) .... 76
Organização da tese
No primeiro capítulo, da Introdução, é realizada uma apresentação
abrangente ao trabalho, contextualizando a problemática a ser estudada,
assim como tópicos relevantes a abordar ao longo da dissertação.
2. Objetivos
No presente capítulo são apresentados os objetivos da tese que se baseia
na implementação de tecnologia no setor da saúde apoiada em práticas
empresariais e acompanhamento da implementação de ferramentas para
gestão de acessos privilegiados.
3. Enquadramento Teórico
3.1 Contextualização Teórica
Figura 5: Scopes PAM e IAM (adapted from Haber & Hibbert, 2018)
3.1.5 Contas padrão vs Contas privilegiadas
Autorizações do Utilizador:
• Usado para aceder a uma solução PAM e respetivos segredos, auditoria,
configuração de aplicações ou administração, entre outros.
• Pode ser utilizado localmente ou importado de qualquer plataforma de
serviço de diretório, como o Active Directory, Azure AD, entre outros.
• Para importar utilizadores de qualquer plataforma de serviço de
diretório, grupos são criados na plataforma de serviço de diretório para
mapear utilizadores com funções e pastas/ segredos correspondentes.
34
Autorização do Segredo:
• Credencial armazenada e gerida na solução PAM para a proteger contra
qualquer uso indevido.
• Pode ser adicionado manualmente ou descoberto usando a solução
PAM (Discovery).
• As credenciais de vários ativos ou dispositivos podem ser armazenadas,
incluindo servidores, bases de dados, dispositivos de rede, aplicações,
credenciais de contas bancárias, chaves API, contas de serviço, entre
outras.
• São automaticamente verificados, geridos e sincronizados com os
endpoints geridos usando a solução PAM.
Autorização da Pasta:
• Container usado para armazenar e segregar segredos na solução PAM,
conforme a necessidade, criando várias pastas com base em aplicações,
endpoints de destino, regiões ou workstation.
• As pastas podem ser organizadas noutras pastas para criar
subcategorias para cada conjunto de classificações.
• Um utilizador ou grupo pode ser adicionado às pastas para fornecer
permissões de acesso aos segredos, respetivamente.
• As permissões são Visualização, Edição, Proprietário e Adicionar
segredo, que podem ser herdados para subpastas.
Autorização de Funções:
• Modeladas de acordo com o mecanismo de controlo de acesso baseado
em função (RBAC).
• Método usado para regular as permissões de acesso granular para gerir
a solução PAM.
• Por padrão, existem 3 funções definidas no PAM de segurança da IBM,
sendo estas o perfil de Administrador, Utilizador e Somente leitura.
• Cada utilizador ou grupo deve ser atribuído a uma função.
• Cada função contém um conjunto de permissões para executar as
tarefas necessárias de acordo com as suas funções de trabalho.
A sexta fase do ciclo de vida inclui a resposta que a solução PAM tem a
incidentes dependendo do nível de comprometimento das contas e do
nível de risco apresentado. No caso de uma conta de serviço a ser
comprometida, a rotação de senha pode ser suficiente, no entanto, se for
uma conta de administrador de domínio esta medida pode não ser
suficiente. Conforme a empresa evolui, o uso do PAM e as necessidades
devem ser consideradas, sendo necessário investigar o uso de contas com
alto privilégio. Quando existe um comprometimento bem-sucedido de
uma conta, os hackers podem instalar malware a até mesmo criar as suas
próprias contas privilegiadas de backdoor, sendo necessário investigar o uso
das mesmas e analisar a atividade e o comportamento dos seus
utilizadores, de forma a evitar este tipo de intrusão.
Figura 14: Resumo das principais ameaças de segurança na área da saúde (cont.)
Padrões de
Health Insurance Portability and General Data Protection
conformidade de
Accountability Act (HIPAA) Regulation (GDPR)
dados
País/Local Estados Unidos da América (EUA) União Europeia (UE)
Parlamento Europeu e
Origem 104° Congresso dos Estados Unidos
Conselho da União Europeia
Efetivo 14/04/2003 25/05/2018
Manter seguras as informações protegidas Obter consentimento antes de
de saúde (PHI) e os registos médicos; recolher dados pessoais; manter o
obter autorização do paciente sobre o uso mínimo de dados pessoais
Objetivo e divulgação de PHI; conceder aos armazenados; proteger os dados
pacientes direitos sobre as suas PHIs, pessoais armazenados com
incluindo o direito de obter cópias medidas adequadas
PHI (Personal Health Information) Dados Pessoais
(Qualquer informação sobre o estado de (Qualquer informação relacionada
Tipo de informação saúde de uma pessoa, provisões ou com uma pessoa física que pode
pagamentos de assistência médica que ser usada para a identificar direta
possam ser usados para identificar a
ou indiretamente)
pessoa)
Planos de saúde, provedores de Qualquer entidade comercial que
assistência médica, câmaras de faz negócios na EU, qualquer
Conformidade compensação de assistência médica e entidade comercial que monitoriza,
seguradoras que recolham e armazenam recolhe ou armazena dados
PHIs de cidadãos dos EUA pessoais de residentes da EU
50
uma instituição de saúde para apagar todos os seus dados recolhidos numa
determinada circunstância.
Figura 15: Frontpage da aplicação PAM (IBM Security Verify Privilege Vault)
Ferramentas PAM
Implementar Secure Vault Armazenar credenciais privilegiadas encriptadas e centralizadas
Identificar todos os serviços, aplicações, administradores
Discovery de privilégios
e contas privilegiadas
Gerir credenciais ou segredos Garantir a complexidade e rotação automática de passwords
Controlo de acesso baseado em perfis (RBAC), workflow
Delegar acesso
de acessos, aprovação extra
Implementar estabelecimento de sessão, proxies de ligação,
Controlo de sessões
monitorização e gravação da atividade
Figura 16: Equipa de projeto responsável pelo PAM (Sonae MC/ BIT)
Na fase inicial do projeto foram definidas as etapas do mesmo, junto dos
respetivos objetivos previstos de alcançar validando-se em reuniões de
apresentação da solução. Seguidamente, na Tabela 4, apresentam-se
descritas as diferentes fases do projeto e os objetivos esperados para cada.
Plano macro
Selecionar a melhor solução PAM e parceiro para
implementação
Procurement Seleção da Solução
Definir arquitetura de alto nível
-
Definir políticas de PAM e governança de contas
Planeamento de projetos e comunicação
Workshops da equipa do projeto e alocação de
Planning Início do Projeto
recursos
-
Instalação e configuração da solução PAM
Sprint 1
Implementação solução PAM
Implementação de Sprint 2
Discovery, integração, gestão de senha e gestão de
linha de base para Sprint 3
Wave 1 ativos de destino
sessão para ativos de destino de prioridade 1
Sprint 4
(virtualização, storage, IAM, Windows, Unix,
de prioridade 1 Sprint 5
Segurança, Bases de Dados)
Sprint 6
Lançamento da funcionalidade de linha de base
Implementação de
para ativos de destino de prioridade 2 Sprint 7
linha de base para
Wave 2 ativos de destino
Discovery, onboarding, gestão de senha e sessão para Sprint 8
ativos de destino de prioridade 2 (Infraestruturas Sprint 9
de prioridade 2
e plataformas de rede, segurança e nuvem)
56
6. Resultados
6.1 Revisão da Literatura no setor da saúde
Figura 21: Diagrama de fluxo PRISMA para seleção de artigos (setor da saúde)
Os artigos recolhidos na revisão da literatura no setor da saúde foram
agrupados consoante os resultados obtidos nos respetivos estudos, sendo
representados na Tabela 6.
Olson, Lars RDBAC Gestão de controlo Reflective Database Access Políticas de emergency-
e., et al. de acesso a bases de Control, Case Study, use, ou “break the glass”,
2009 49 dados Medical Database auditoria para revisão
Legenda: RBAC - Role-Based Access Control, RDBAC - Reflective Database Access Control,
DRM – Digital Rights Management
68
Legenda: HL7 - Health Level Seven International, EHR - Electronic Health Record, HIPAA -
Health Insurance Portability and Accountability Act, NIST - National Institute for Standards and
Technology, RBAC - Role-Based Access Control, CCHIT - Certification Commission for Health
Information Technology, EMR – Electronic Medical Record, CP-ABE - Ciphertext-Policy Attribute-
Based Encryption
Calvillo, J. et al. Gestão VOs Gestão VOs Access control, directory Infraestrutura de
2011 13 dentro de dentro de services, PMI, semantic gestão de controlo de
ambientes ambientes de saúde technologies, SOA, VO acesso, considerando
de saúde padrões como a
semântica
Legenda: PHR - Personal Health Record, EHR - Electronic Health Record, AES - Advanced
Encryption Standard, VO – Virtual Organization, PMI - Privilege Management Infrastructures,
SOA - Service-Oriented Architecture
Legenda: ePCRN - electronic Primary Care Research Network, IIA - Interoperable Integration
Architecture, EHR - Electronic Health Record, LOA – Levels of Assurance, NIST - National
Institute of Standards and Technology's, IoT – Internet of Things
72
Figura 22: Diagrama de fluxo PRISMA para seleção de artigos (setor empresarial)
Os artigos recolhidos na revisão no setor empresarial foram agrupados
consoante os resultados obtidos, sendo representados na Tabela 11.
Legenda: NIST - National Institute of Standards and Technology's, RBAC - Role-Based Access
Control
Tirtadjaja, PAM e IAM RAD, metodologia Account management, PAM, Sistema de gestão de
W., Rana, M. desenvolvimento Laravel Framework, Security contas de utilizador
E. e de sistemas infrastructure, Role-based com diferentes níveis
Shanmugam, access control de privilégios
K. 2021 62
Kern, A. et Modelo de Processo iterativo- SAM, role life cycle, role Gerir sistemas
al. 2002 36 ciclo de vida incremental engineering, security baseados em funções
de funções administration, distributed
system management, process
model, ESM
Legenda: PAM - Privileged Access Management, IAM - Identity and Access Management, RAD
- Rapid Application Development, IT - Information Technology, SAM - Security Administration
Manager, ESM - Enterprise Security Management
Estabelecer uma base sólida para gerir e proteger contas privilegiadas ajuda
as organizações a serem mais escaláveis e flexíveis a adotar novas
tecnologias. Esta construção passa pelo treino e consciencialização na área
de cibersegurança para quem usa e é responsável por contas privilegiadas.
Devem-se também procurar ferramentas que ajudem a automatizar a
descoberta contínua de contas privilegiadas, o armazenamento de senhas
num “vault” seguro, a rotação automática de senhas de forma regular, a
monitorização e relato da atividade das contas privilegiadas, otimizando as
funcionalidades oferecidas pela solução PAM.
A sensibilidade dos dados é semelhante entre os dois setores, uma vez que
ambos lidam com informações sensíveis que necessitam de ser protegidas.
No setor empresarial, essa informação inclui propriedade intelectual,
dados financeiros, informações de clientes e estratégias de negócio. No
setor da saúde, os dados confidenciais dos pacientes, registos clínicos e
informações pessoais são considerados informação altamente sensível e
com necessidade de proteção.
2. Complexidade do Ambiente: Diferente entre setores
7. Discussão
A escolha de uma solução para implementação, independentemente do
seu contexto, como por exemplo a apresentada no presente estudo, deve
ser baseada nas necessidades de cada negócio. As organizações devem
fazer uma avaliação de risco antes de tomar uma decisão de forma a gerir
expectativas, custos e qualidade de resposta em relação a esse
investimento. Uma solução também pode ser determinada por
regulamentos, como o RGPD e a HIPAA que apresentam regras que
devem ser seguidas de forma a manter a conformidade. Os hospitais
devem ter sistemas que separam privilégios e protegem as informações
dos pacientes, como os princípios básicos de segurança de privilégios
mínimos e segmentação de funções. Esta problemática é solucionada, ou
pelo menos mitigada, através da adoção de soluções PAM no setor da
saúde, para além da adoção de sistemas apropriados de deteção e
prevenção de intrusão que devem estar já implementados e
adequadamente monitorizados mantendo a segurança das infraestruturas
protegidas e operacionais.
8. Conclusões e
recomendações
9. Trabalho futuro
O presente trabalho abre caminho para mais investigação na
implementação da gestão de acessos privilegiados na área da saúde, sendo
necessário aprofundar casos de estudo existentes com implementação de
soluções de Privileged Access Management.
10. Referências
[4] Alshehri, S., & Raj, R. K. (2013). Secure access control for health
information sharing systems. 2013 IEEE International Conference
on Healthcare Informatics.
[9] Bauer, L., Cranor, L. F., Reeder, R. W., Reiter, M. K., & Vaniea, K.
(2009). Real life challenges in access-control management.
Proceedings of the SIGCHI Conference on Human Factors in
Computing Systems.
[11] Bhaskaran, K., Hernandez, M., Laredo, J., Luan, L., Ruan, Y.,
Vukovic, M., Driscoll, P., Miller, D., Skinner, A., Verma, G.,
Vivekanandan, P., Chen, L., & Gaskill, G. (2012). Privileged identity
management in enterprise service-hosting environments. 2012
IEEE Network Operations and Management Symposium.
[13] Calvillo, J., Román, I., Rivas, S., & Roa, L. M. (2011). Privilege
management infrastructure for virtual organizations in healthcare
grids. IEEE Transactions on Information Technology in
Biomedicine: A Publication of the IEEE Engineering in Medicine
and Biology Society, 15(2), 316–323.
https://doi.org/10.1109/TITB.2010.2104160
[14] Carson, J. (2019). The Evolution from Password Managers to
Privileged Access Management. In Which is right for you? Thycotic
Cyber Security Blog.
[19] Chen, Y., & Xu, H. (2013). Privacy management in dynamic groups:
Understanding information privacy in medical practices.
Proceedings of the 2013 Conference on Computer Supported
Cooperative Work.
[20] Choe J, Yoo SK. Web-based secure access from multiple patient
repositories. Int J Med Inform [Internet]. 2008;77(4):242–8.
Available from: http://dx.doi.org/10.1016/j.ijmedinf.2007.06.001
[21] Coats, B., & Acharya, S. (2013). The forecast for electronic health
record access: Partly cloudy. Proceedings of the 2013 IEEE/ACM
International Conference on Advances in Social Networks Analysis
and Mining.
94
[24] Fang, L., Yin, C., Zhu, J., Ge, C., Tanveer, M., Jolfaei, A., & Cao, Z.
(2020). Privacy protection for medical data sharing in smart
healthcare. ACM Transactions on Multimedia Computing
Communications and Applications, 16(3s), 1–18.
https://doi.org/10.1145/3408322
[25] Ferraiolo, D. F., Sandhu, R., Gavrila, S., Kuhn, D. R., &
Chandramouli, R. (2001). Proposed NIST standard for role-based
access control. ACM Transactions on Information and System
Security, 4(3), 224–274. https://doi.org/10.1145/501978.501980
[26] Ferraiolo, D., & Barkley, J. (1997). Specifying and managing role-
based access control within a corporate intranet. Proceedings of the
Second ACM Workshop on Role-Based Access Control - RBAC
’97.
[27] Ferreira, A., Cruz-Correia, R., Antunes, L., & Chadwick, D. (2007).
Access control: how can it improve patients’ healthcare? Studies in
Health Technology and Informatics, 127, 65–76.
[29] Helms, E., & Williams, L. (2011). Evaluating access control of open
source electronic health record systems. Proceeding of the 3rd
Workshop on Software Engineering in Health Care - SEHC ’11.
[30] Hernandez, J., McKenna, L., & Brennan, R. (2021). TIKD: A
trusted integrated knowledge dataspace for sensitive healthcare data
sharing. 2021 IEEE 45th Annual Computers, Software, and
Applications Conference (COMPSAC).
[34] Jaferian, P., Botta, D., Hawkey, K., & Beznosov, K. (2009). A case
study of enterprise identity management system adoption in an
insurance organization. Proceedings of the Symposium on
Computer Human Interaction for the Management of Information
Technology.
[35] Jin, J., Ahn, G.-J., Hu, H., Covington, M. J., & Zhang, X. (2009).
Patient-centric authorization framework for sharing electronic
health records. Proceedings of the 14th ACM Symposium on Access
Control Models and Technologies.
[36] Kern, A., Kuhlmann, M., Schaad, A., & Moffett, J. (2002).
Observations on the role life-cycle in the context of enterprise
security management. Proceedings of the Seventh ACM Symposium
on Access Control Models and Technologies.
[43] Lee, K., Jiang, Z., Kim, S., & Kim, S. (2005). Security policy
management for healthcare system network. Proceedings of 7th
International Workshop on Enterprise Networking and Computing
in Healthcare Industry, 2005. HEALTHCOM 2005.
[44] Liu, Vicky & Caelli, William & Smith, Jason & May, Lauren & Lee,
Min & Ng, Zi & Foo, Jin & Li, Weihao. (2010). A secure
architecture for Australia's index based e-health environment. 7-16.
[45] MacGahan, T., Johnson, C., Rodriguez, A., von Ronne, J., & Niu, J.
(2017). Provable enforcement of HIPAA-compliant release of
medical records using the history aware programming language.
Proceedings of the 22nd ACM on Symposium on Access Control
Models and Technologies.
[48] Nagarani, C., & Kousalya, R. (2021). A flexible access control with
user revocation in fog-enabled cloud computing. 2021 6th
International Conference on Inventive Computation Technologies
(ICICT).
[53] Qiao, R., Luo, X.-Y., Zhu, S.-F., Liu, A.-D., Yan, X.-Q., & Wang,
Q.-X. (2020). Dynamic autonomous cross consortium chain
mechanism in e-healthcare. IEEE Journal of Biomedical and Health
Informatics, 24(8), 2157–2168.
https://doi.org/10.1109/JBHI.2019.2963437
[55] Rizvi, S. Z. R., Fong, P. W. L., Crampton, J., & Sellwood, J. (2015).
Relationship-based access control for an open-source medical
records system. Proceedings of the 20th ACM Symposium on
Access Control Models and Technologies.
[56] Saidi, H., Labraoui, N., Ari, A. A. A., Maglaras, L. A., & Emati, J. H.
M. (2022). DSMAC: Privacy-aware decentralized self-management
of data access control based on blockchain for health data. IEEE
Access: Practical Innovations, Open Solutions, 10, 101011–101028.
https://doi.org/10.1109/access.2022.3207803
[57] Schaad, A., Moffett, J., & Jacob, J. (2001). The role-based access
control system of a European bank: A case study and discussion.
Proceedings of the Sixth ACM Symposium on Access Control
Models and Technologies.
[61] Taweel, A., Speedie, S., Tyson, G., Tawil, A. R. H., Peterson, K., &
Delaney, B. (2011). Service and model-driven dynamic integration of
health data. Proceedings of the First International Workshop on
Managing Interoperability and Complexity in Health Systems.
[64] Walkowski, D. (2019). What is the CIA Triad? F5 Labs web page.
[65] Wang, Q., & Jin, H. (2012). An analytical solution for consent
management in patient privacy preservation. Proceedings of the 2nd
ACM SIGHIT International Health Informatics Symposium.
[67] Weaver, A. C., Dwyer, S. J., Snyder, A. M., Van Dyke, J., Hu, J.,
Chen, X., Mulholland, T., & Marshall, A. (2004). Federated, secure
trust networks for distributed healthcare it services. IEEE
International Conference on Industrial Informatics, 2003. INDIN
2003. Proceedings.
[68] Weitzman, L., Dean, S. E., Meliksetian, D., Gupta, K., Zhou, N., &
Wu, J. (2002). Transforming the content management process at
Ibm.com. Case Studies of the CHI2002|AIGA Experience Design
FORUM.
100
[69] Wilikens, M., Feriti, S., Sanna, A., & Masera, M. (2002). A context-
related authorization and access control method based on RBAC:
Proceedings of the Seventh ACM Symposium on Access Control
Models and Technologies.
[70] Wu, G., & Wang, Y. (2020). The security and privacy of blockchain-
enabled EMR storage management scheme. 2020 16th International
Conference on Computational Intelligence and Security (CIS).
[71] Wu, S.-W., Cheng, P.-H., Chiang, W.-C., Lin, J.-K., & Lai, J.-S.
(2011). Categorized level management agent with forest-based data
structures for accessing personal health records. TENCON 2011 -
2011 IEEE Region 10 Conference.
[72] Ying, Z., Si, Y., Ma, J., Liu, X., & Xu, S. (2020). FHPT: Fine-grained
EHR sharing in E-healthcare cloud with hidden policy and
traceability. GLOBECOM 2020 - 2020 IEEE Global
Communications Conference.
[73] Zaghloul, E., Zhou, K., & Ren, J. (2020). P-MOD: Secure privilege-
based multilevel organizational data-sharing in cloud computing.
IEEE Transactions on Big Data, 6(4), 804–815.
https://doi.org/10.1109/tbdata.2019.2907133