En la última década, el sector sanitario de Estados Unidos ha experimentado un aumento continuo de la frecuencia y el costo de las violaciones de la seguridad de los datos. Prueba de ello es el aumento del 61% de las infracciones de la HIPAA entre 2019 y 2020. Lo anterior resulta en sanciones por un total de 13 millones de dólares para el sector. Entre 2020 y 2023, el costo medio de una sola violación de la seguridad de los datos sanitarios en Estados Unidos aumentó casi un 30%. Esto supone una sorprendente suma de 9,3 millones de dólares. Según la Oficina de Derechos Civiles (OCR), el sector tiene dificultades para cumplir la HIPAA.
Si usted es un gestor de seguridad que se esfuerza para que su organización cumpla la HIPAA, este blog es para usted. Descubra las normas esenciales de la HIPAA, necesarias para proteger la información médica protegida electrónica (ePHI), y evalúe su estado de cumplimiento con nuestra completa lista de control.
Requisitos de la HIPAA
La parte 164, Subparte C, de la Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) de 1996 detalla las normas de seguridad para la protección de la ePHI. Estas normas aplican a todas las entidades cubiertas y los socios comerciales según la definición de la HIPAA. Las medidas administrativas que deben aplicar las organizaciones sanitarias incluyen:
1. Establecer un proceso de gestión de seguridad
¿Recuerda la tríada de la CIA? Este modelo es la base de la seguridad de la información. Requiere que su equipo de analistas de seguridad garantice la confidencialidad, integridad y disponibilidad de la información. Con base en la tríada de la CIA, esta norma de la HIPAA exige que implemente políticas para monitorear, detectar, prevenir y mitigar las violaciones de la seguridad de la información mediante una gestión de riesgos eficaz.
La HIPAA propone usar la siguiente lista de control cuando establezca su proceso de gestión de seguridad:
∙ Evaluación de riesgos: evaluar los posibles riesgos y vulnerabilidades de la red.
∙ Gestión de riesgos: reducir la exposición al riesgo potencial de la red.
∙ Política de sanciones: evaluar el nivel de riesgo del personal que maneja ePHI.
∙ Revisión de la actividad del sistema de información: revisar la información de seguridad. Esto incluye logs de auditoría, informes de acceso y informes de incidentes.
2. Garantizar la integridad de la mano de obra
Las amenazas más peligrosas al gestionar la ePHI son las que proceden de personas con acceso a información privilegiada. Para garantizar la integridad de la información frente a las amenazas internas, esta norma de la HIPAA exige la implementación de controles específicos sobre el acceso de los usuarios, los permisos y los privilegios de los miembros de la plantilla que gestionan la ePHI.
La HIPAA le pide garantizar lo siguiente al implementar las políticas pertinentes:
∙ Autorización y supervisión: implementar un mecanismo de autenticación para autorizar a los miembros de la fuerza laboral. Esto forma parte de la estrategia de gestión de cuentas privilegiadas de la empresa.
∙ Aprobación del personal: determinar los niveles de riesgo de los miembros de la plantilla antes de asignar privilegios de acceso a los datos de la ePHI.
∙ Procedimiento de terminación: establecer medidas para denegar el acceso o poner fin a los procesos llevados a cabo por miembros no autorizados.
3. Gestión de accesos
Como su nombre indica, la HIPAA obliga a establecer políticas y procedimientos para autorizar y autenticar el acceso a todos los recursos de la red que tengan que ver con la ePHI. Se exige que compruebe la siguiente lista durante la gestión del acceso:
∙ Autorización de acceso: implementar procedimientos para autorizar el acceso a la ePHI a través de una estación de trabajo, aplicación o proceso. Esto forma parte del mecanismo de gestión de identidades privilegiadas de la compañía.
∙ Establecimiento y modificación del acceso: establecer un conjunto de procedimientos para revisar y modificar los privilegios de acceso en función de los requisitos operativos y de seguridad.
4. Gestionar incidentes de seguridad
Cualquier evento que indique una amenaza inminente se considera un incidente de seguridad. La HIPAA le exige que monitoree, registre y analice dichos incidentes de seguridad en las etapas iniciales para detectar y prevenir posibles violaciones. Para ello, tiene que cumplir la siguiente norma.
∙ Respuesta e informes: implementar un proceso definido para registrar todos los incidentes de seguridad y automatizar las respuestas al tiempo que se identifican las amenazas potenciales.
Una lista de control de la HIPAA para organizaciones sanitarias
¿Está listo para evaluar si su organización está preparada para cumplir la HIPAA? Utilice esta lista de control para averiguarlo:
∙ Dispone de una solución de seguridad que le permite monitorear toda la actividad de la red. Esto incluye los entornos on-premise y en la nube.
∙ Los técnicos de información sanitaria pueden gestionar la información de seguridad y los logs de auditoría de forma eficiente.
∙ Los analistas de TI reciben alertas instantáneas sobre las posibles violaciones de la seguridad de los datos.
∙ Los analistas pueden supervisar las actividades de los empleados y asignar puntuaciones de riesgo en consecuencia.
∙ Se aplica la autenticación de dos factores (2FA) o multifactor (MFA) para verificar a los técnicos y analistas de la información sanitaria que acceden a la ePHI.
∙ Puede gestionar fácilmente los permisos y privilegios de los usuarios en relación con la ePHI.
∙ Dispone de un plan predefinido de respuesta a incidentes.
∙ El plan de respuesta a incidentes está automatizado.
∙ Su equipo de seguridad revisa y actualiza periódicamente sus protocolos de seguridad para adaptarse a la evolución de las amenazas.
∙ Su SOC recibe formación periódica sobre las mejores prácticas de seguridad y los requisitos de cumplimiento.
Log360: vaya más allá del cumplimiento de HIPAA
A medida que evoluciona el panorama de las amenazas, defenderse de los ataques cibernéticos al tiempo que se mantiene el cumplimiento de la HIPAA es más difícil que nunca. Simplifique su estrategia con ManageEngine Log360, una solución SIEM unificada con las siguientes características:
∙ Informes out-of-the-box para el cumplimiento de HIPAA.
∙ Alertas en tiempo real para detectar las violaciones de la seguridad de los datos.
∙ Análisis de seguridad en tiempo real para estimar la exposición al riesgo en su red.
∙ Detección de amenazas avanzadas con la inteligencia de amenazas.
∙ Flujos de trabajo automatizados para una respuesta ante incidentes efectiva y eficiente.
∙ Monitoreo del riesgo de los usuarios para asignar puntuaciones de riesgo basadas en las anormalidades en el comportamiento de usuarios y entidades.
Para explorar más funciones, regístrese y reciba una demo personalizada.
