Redes

Lista de verificación de cumplimiento de HIPAA y herramientas para usar

Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La Ley de Responsabilidad de Portabilidad de Seguros de Salud existe desde hace un par de décadas para ayudar a proteger los datos personales de los pacientes. Hoy, analizaremos en profundidad la HIPAA y revisaremos un puñado de herramientas que pueden ayudarlo a obtener o mantener su certificación HIPAA.

Comenzaremos explicando brevemente qué es HIPAA y luego profundizaremos en algunos de los aspectos más importantes del estándar y discutiremos algunas de sus reglas principales. A continuación, presentaremos nuestra lista de verificación de cumplimiento de HIPAA. Una lista de tres pasos que debe seguir para lograr y mantener el cumplimiento de HIPAA. Y finalmente, revisaremos algunas herramientas que puede usar para ayudarlo en sus esfuerzos de cumplimiento de HIPAA.

Explicación de la HIPAA

La Ley de Portabilidad y Responsabilidad de Seguros de Salud, o HIPAA, se introdujo en 1996 para regular el manejo de datos médicos. El principio subyacente era salvaguardar los datos personales de los usuarios del sistema de salud. Más precisamente, se ocupa de la información médica protegida (PHI) y la información médica protegida electrónicamente (ePHI). Cuando se promulgaron, se establecieron estándares para toda la industria para el manejo de datos, la ciberseguridad y la facturación electrónica.

Su principal objetivo era, y sigue siendo, garantizar que los datos médicos personales se mantengan confidenciales y solo puedan acceder a ellos quienes necesiten acceder a ellos. Concretamente, significa que todos los registros de pacientes mantenidos por una organización de salud deben estar protegidos contra el acceso de personas o grupos no autorizados. Si bien no es la única regla asociada con HIPAA, esta es, con mucho, la más importante y la idea subyacente es proteger los datos médicos del uso malintencionado o fraudulento.

En nuestra era de sistemas distribuidos y computación en la nube, los puntos de acceso potenciales a los datos médicos son numerosos, lo que hace que su protección sea un tema complejo. En pocas palabras, todos los recursos y sistemas físicos y virtuales deben estar completamente protegidos contra posibles ataques para proteger por completo los datos del paciente. El estándar especifica qué prácticas deben implementarse pero, lo que es más importante, requiere la construcción de una infraestructura de red hermética.

Además, cualquier organización que no mantenga los datos protegidos a salvo se enfrenta a graves consecuencias financieras. Se pueden aplicar multas de hasta $ 50,000 por día por malas prácticas con un límite anual de $ 1.5 millones. Esto es suficiente para hacer un hueco enorme en el presupuesto de cualquier organización. Y para complicar aún más las cosas, cumplir con las regulaciones no es solo una cuestión de completar algunos formularios. Deben tomarse medidas concretas para proteger los datos de forma eficaz. Por ejemplo, se debe demostrar la gestión proactiva de vulnerabilidades.

En las siguientes secciones, entraremos en mayor detalle sobre los elementos principales del cumplimiento de la HIPAA con el objetivo de ayudarlo a darle el mayor sentido posible a este complejo asunto.

La regla de privacidad

En el contexto de la tecnología de la información, la parte más importante de HIPAA es la Regla de Privacidad. Especifica cómo se puede acceder y manejar ePHI. Por ejemplo, exige que todas las organizaciones de atención médica, proveedores de planes de salud y socios comerciales (más sobre esto más adelante) de las entidades cubiertas tengan procedimientos establecidos para proteger activamente la privacidad de los datos del paciente. Esto significa que todas y cada una de las entidades, desde el proveedor original hasta los centros de datos que contienen los datos y los proveedores de servicios en la nube que los procesan, deben proteger los datos. Pero no se detiene allí, un socio comercial también puede referirse a cualquier contratista que ofrezca servicios a la organización antes mencionada que también debe cumplir con la HIPAA.

Si bien está claro que el requisito básico de HIPAA es proteger los datos del paciente, hay otro aspecto. Las organizaciones también deben respaldar los derechos que tienen los pacientes sobre esos datos. Concretamente, hay tres derechos específicos bajo HIPAA que deben preservarse. El primero es el derecho a autorizar (o no) la divulgación de su sPHI. El segundo es el derecho a solicitar (y obtener) una copia de sus registros médicos en cualquier momento. Y finalmente, está el derecho de los pacientes a solicitar correcciones a sus registros.

Para desglosarlo aún más, la Regla de privacidad de HIPAA establece que se requiere el consentimiento del paciente para divulgar datos de ePHI. En el caso de que un paciente solicite acceso a sus datos, las organizaciones tienen 30 días para responder. No responder a tiempo puede dejar a una empresa expuesta a responsabilidades legales y posibles multas.

La regla de seguridad

La regla de seguridad de HIPAA es una subsección de la regla anterior. Describe cómo la ePHI debe administrarse desde el punto de vista de la seguridad. Básicamente, esta regla establece que las empresas deben ” implementar las medidas de seguridad necesarias ” para proteger los datos de los pacientes. Lo que hace que esta regla sea una de las más complejas de administrar y cumplir es la ambigüedad que se deriva de los términos “salvaguardas necesarias”. Para que sea un poco más fácil de administrar y cumplir, esta regla de HIPAA se divide en tres secciones principales: salvaguardas administrativas, salvaguardas técnicas y salvaguardas físicas. Veamos qué conlleva cada uno.

Salvaguardias administrativas

Según la Regla de seguridad de HIPAA, las salvaguardas administrativas se definen como “acciones administrativas, y políticas y procedimientos para gestionar la selección, desarrollo, implementación y mantenimiento de medidas de seguridad para proteger la información médica electrónica”. Además, la norma establece que la gestión de la conducta de la fuerza laboral también forma parte de esta responsabilidad. Hace que las organizaciones sean responsables de las acciones de sus empleados.

Las salvaguardas administrativas indican que las organizaciones deben implementar procesos administrativos para controlar el acceso a los datos de los pacientes, así como proporcionar cualquier capacitación que permita a los empleados interactuar con la información de forma segura. Se debe designar a un empleado para administrar las políticas y procedimientos de HIPAA a fin de administrar la conducta de la fuerza laboral.

Salvaguardias físicas

Si bien las salvaguardias administrativas tenían que ver con procedimientos y procesos, el requisito de salvaguardia física es diferente. Se trata de asegurar las instalaciones donde se manejan o almacenan los datos de los pacientes y los recursos que acceden a dichos datos. El control de acceso es el aspecto más importante de esta sección de la especificación HIPAA.

En pocas palabras, lo que necesita es tener medidas para controlar el acceso al lugar donde se procesan y almacenan los datos del paciente. También necesita proteger aquellos dispositivos donde los datos se procesan y almacenan contra el acceso no autorizado, utilizando métodos como la autenticación de dos factores, por ejemplo, y necesita controlar y / o el movimiento de dispositivos dentro y fuera de la instalación.

Salvaguardias técnicas

Esta sección trata sobre las políticas y procedimientos técnicos asociados con la protección de los datos del paciente. Hay varias formas en que se pueden proteger estos datos, incluidas, entre otras, la autenticación, los controles de auditoría, los informes de auditoría, el mantenimiento de registros, el control de acceso y los cierres de sesión automáticos, solo por nombrar algunas de ellas. Además, se deben tomar medidas para garantizar que los datos siempre se mantengan seguros, sin importar si se almacenan en un dispositivo o se mueven entre sistemas o entre ubicaciones.

Para identificar los factores de riesgo y las amenazas a la seguridad de los datos ePHI, se debe completar un ejercicio de evaluación de riesgos. Y no solo eso, se deben tomar medidas concretas para abordar los riesgos y / o amenazas que se identifiquen. El aspecto de las salvaguardias técnicas de HIPAA es probablemente el más complejo y es un área donde la asistencia de un consultor de cumplimiento de HIPAA calificado puede ayudar a cualquier organización a garantizar que no quede piedra sin remover.

La regla de notificación de infracciones

La siguiente regla importante de la especificación HIPAA es la regla de notificación de incumplimiento. Su propósito es especificar cómo deben responder las organizaciones a las violaciones de datos u otros eventos de seguridad. Entre otras cosas, establece que, en caso de violación de datos, las organizaciones deben notificar a las personas, los medios de comunicación o la Secretaría de Salud y Servicios Humanos.

El rol también define lo que constituye una infracción. Se describe como “un uso o divulgación no permitidos bajo la regla de privacidad que compromete la seguridad o privacidad de la información médica protegida”. La regla también establece que las organizaciones tienen hasta 60 días para notificar a las partes necesarias. Va incluso más allá al requerir que dicha notificación indique qué identificadores personales fueron expuestos, la persona que usó los datos expuestos y si los datos simplemente fueron visualizados o adquiridos. Además, la notificación también debe especificar si el riesgo o daño se ha mitigado y cómo.

Otra parte integral de la regla de notificación de infracciones se refiere a los informes. Las pequeñas infracciones, las que afectan a menos de 500 personas, deben informarse anualmente a través del sitio web de Salud y Servicios Humanos. Las infracciones más importantes, las que afectan a más de 500 pacientes, también deben informarse a los medios de comunicación. Con tales requisitos, rápidamente se vuelve obvio que la clave para el éxito de sus esfuerzos de cumplimiento de HIPAA es monitorear de cerca las infracciones.

Nuestra lista de verificación de cumplimiento de HIPAA

OKAY. Ahora que hemos cubierto las bases de lo que es HIPAA y cuáles son sus requisitos principales, hemos compilado una lista de verificación de los distintos pasos que una organización debe tomar para lograr o mantener su estado de cumplimiento. Como hemos indicado anteriormente, se recomienda encarecidamente contratar la ayuda de un profesional experimentado en cumplimiento de HIPAA. No solo haría el proceso mucho más fácil y menos estresante, sino que también deberían poder auditar exhaustivamente sus prácticas y procesos de seguridad e identificar áreas que pueden beneficiarse de las mejoras.

1. Complete una evaluación de riesgos

El primer elemento de esta breve lista de verificación, lo primero que debe hacer cualquier persona al prepararse para el cumplimiento de la HIPAA es una evaluación completa de sus riesgos actuales y su estado de preparación. La razón por la que debe hacer eso primero es que su estado actual dictará qué pasos adicionales deberán tomarse para lograr el cumplimiento. Una evaluación de riesgo global que determinará cómo se manejan los datos de PHI y ePHI le permitirá descubrir cualquier brecha en sus políticas y procedimientos de seguridad.

Este es el primer lugar donde un consultor externo haría maravillas. Primero, por lo general vendrá con una vasta experiencia en la preparación para el cumplimiento de HIPAA pero, y quizás lo más importante, verá las cosas desde un punto de vista diferente. Además, ese consultor tendrá un conocimiento profundo de los diversos requisitos de HIPAA y cómo se aplican a su situación específica.

Una vez que se complete la fase de evaluación de riesgos, se le dejará una lista de recomendaciones para ayudarlo a lograr el cumplimiento. Puede pensar en esa lista como una lista de tareas pendientes de los próximos pasos. No podemos enfatizar lo suficiente lo importante que es este paso. Será, más que nada, el factor más determinante del éxito.

2. Corregir los riesgos de cumplimiento y perfeccionar los procesos

El segundo paso es mucho más sencillo que el primero. Lo que debe hacer a continuación es seguir todas las recomendaciones del primer paso y abordarlas. Este es el paso en el que deberá cambiar sus procesos y procedimientos. Es probable que aquí encuentre la mayor resistencia de los usuarios. El grado de resistencia, por supuesto, variará dependiendo de qué tan cerca estuviste inicialmente, cuántos cambios se deben hacer y la naturaleza exacta de esos cambios.

Es una buena idea abordar primero el problema menor del cumplimiento. Por ejemplo, implementar medidas básicas como capacitar a su personal en prácticas básicas de ciberseguridad o enseñarles cómo usar la autenticación de dos factores debería ser fácil y puede ayudarlo a comenzar con bastante rapidez y sin problemas.

Una vez que haya completado las tareas fáciles, a continuación, debe establecer objetivos de remediación, ya que lo ayudarán a priorizar las tareas restantes. Por ejemplo, si los resultados de los primeros pasos muestran que necesita implementar algún tipo de informe de cumplimiento, aquí es donde comenzaría a buscar una herramienta con informes de cumplimiento automatizados. Esta es otra área en la que un consultor externo puede ahorrarle mucho dolor al brindarle información valiosa sobre los cambios que debe implementar para lograr el cumplimiento.

3. Gestión de riesgos continua

Es posible que se sienta tentado a pensar que lograr el cumplimiento de la HIPAA es un trato único y que una vez que lo obtiene, lo tiene. Desafortunadamente, esto no puede estar más lejos de la verdad. Si bien lograr el cumplimiento es un esfuerzo único, mantenerlo es un esfuerzo diario. Deberá gestionar el riesgo de forma continua y asegurarse de que los datos del paciente estén seguros y no se hayan accedido a ellos ni se hayan manipulado de forma no autorizada.

Concretamente, querrá ejecutar análisis de vulnerabilidades con regularidad. También deberá estar atento a los registros del sistema para detectar cualquier signo de actividad sospechosa antes de que sea demasiado tarde. Aquí es donde los sistemas automatizados serán más útiles. Mientras que un consultor externo fue su mejor activo durante las dos primeras fases, las herramientas de software son ahora lo que necesita. Y hablando de herramientas de software, tenemos algunas que nos gustaría recomendar.

Algunas herramientas para ayudar con el cumplimiento de HIPAA

Varios tipos de herramientas pueden ayudarlo con sus esfuerzos de cumplimiento de HIPAA. Dos de ellos son particularmente útiles. En primer lugar, las herramientas de auditoría y gestión de la configuración pueden garantizar que la configuración de sus sistemas cumpla con los requisitos de HIPAA o cualquier otro marco normativo. Pero también pueden vigilar constantemente la configuración de su equipo y asegurarse de que no se realicen cambios no autorizados que cualquier cambio autorizado no infrinja el cumplimiento. Nuestra lista incluye un par de estas herramientas.

Otro tipo útil de herramienta en el contexto del cumplimiento de HIPAA se ocupa de la detección de violaciones de datos. Para ello, los sistemas de gestión de eventos e información de seguridad (SIEM) le proporcionarán la tranquilidad que se merece y se asegurarán de que se le notifique rápidamente en caso de que ocurra algo sospechoso. Nuestra lista también incluye algunas herramientas SIEM.

1. Monitor de configuración del servidor SolarWinds (PRUEBA GRATUITA)

Cuando se trata de monitorear y auditar las configuraciones del servidor, lo que necesita es el Monitor de configuración del servidor SolarWinds o SCM . Este es un producto poderoso y fácil de usar que está diseñado para proporcionar un seguimiento de los cambios en el servidor y las aplicaciones en su red. Como herramienta de resolución de problemas, puede brindarle la información necesaria sobre los cambios de configuración y sus correlaciones con la desaceleración del rendimiento. Esto puede ayudarlo a encontrar la causa raíz de algunos problemas de rendimiento causados ​​por cambios de configuración.

  • PRUEBA GRATUITA: Monitor de configuración del servidor SolarWinds
  • Enlace de descarga oficial: https://www.solarwinds.com/server-configuration-monitor/registration

La configuración de supervisión de SolarWinds servidor es una herramienta basada en agentes, con el agente desplegado en cada ser monitoreado servidor. La ventaja de esta arquitectura es que el agente puede seguir recopilando datos incluso cuando el servidor está desconectado de la red. Luego, los datos se envían a la herramienta tan pronto como el servidor vuelve a estar en línea.

En cuanto a características, este producto no deja nada que desear. Además de lo que ya se mencionó, esta herramienta detectará automáticamente los servidores que son elegibles para monitoreo. Viene con perfiles de configuración listos para usar para los servidores más comunes. La herramienta también le permitirá ver inventarios de hardware y software e informar sobre ellos también. Puede integrar fácilmente SCM en su solución de monitoreo de sistemas gracias a la plataforma Orion de SolarWinds. Esta es una gran herramienta que puede usarse para monitorear su servidor físico y virtual local, así como su entorno basado en la nube.

Los precios del Monitor de configuración del servidor SolarWinds no están disponibles. Deberá solicitar una cotización formal de SolarWinds. Sin embargo, está disponible para descargar una versión de evaluación de 30 días .

2. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)

Cuando se trata de información de seguridad y gestión de eventos,

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba