Descargo de responsabilidad: este artículo no es una obra definitiva sobre la privacidad de los datos ni ofrece pautas jurídicas que tu empresa pueda utilizar para cumplir con las leyes de privacidad de datos como la HIPAA. Más bien proporciona información de referencia para ayudarte a comprender mejor cómo CrowdStrike ha abordado algunos aspectos jurídicos importantes. Esta información legal no supone un asesoramiento legal, caso este último en el que un abogado aplica la ley a tus circunstancias concretas, por lo que insistimos en que consultes con un abogado si deseas asesoramiento sobre tu interpretación de esta información o de su precisión. En resumen, este documento no debe considerarse como asesoramiento legal ni recomendación de ningunos conocimientos legales concretos.
Regla de seguridad HIPAA
Los Estándares de seguridad para la protección de la información médica electrónica protegida, también conocidos como "Regla de seguridad", creados según la Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA), tienen como objetivo salvaguardar la información médica protegida (PHI) de las personas en formatos electrónicos.
En la PHI se incluye información médica que puede usarse para identificar a una persona. La PHI también puede incluir información demográfica, historiales médicos, registros médicos físicos y electrónicos y detalles del seguro.
¿Qué es la regla de seguridad HIPAA?
En la regla de seguridad HIPAA se especifican estándares de seguridad para proteger la información médica personal electrónica (ePHI) de las personas que reciben, utilizan, mantienen o transmiten las entidades incluidas y sus partners comerciales.
Además de cumplir con la regla de seguridad HIPAA, las entidades incluidas y los partners comerciales también deben cumplir con los Estándares de privacidad de información médica de identificación individual, también conocida como Regla de privacidad de la HIPAA. El incumplimiento de ambas leyes puede dar lugar a diversas sanciones civiles o penales.
Más información
Lee este artículo para conocer la gran cantidad de marcos diseñados para proteger los datos confidenciales utilizados en las distintas organizaciones, garantizando que los datos se utilicen de manera segura y compatible.
Marcos de estándares y cumplimiento de protección de los datos
Para cumplir con los requisitos de la regla de seguridad HIPAA, se deben implementar medidas de seguridad administrativas, técnicas y físicas para ayudar a los proveedores de atención médica con la prevención de pérdida de datos y preservar la confidencialidad de la información médica electrónica protegida (ePHI). Analicemos más de cerca cada uno de los tipos de protección.
Medidas de seguridad administrativas
Las medidas de seguridad administrativas abordan muchos aspectos que rigen la protección de la PHI electrónica, como acciones, directivas y procedimientos internos. También especifican cómo los empleados deben gestionar la información médica de una persona. Existen nueve estándares que debemos cumplir, como se detalla a continuación.
Proceso de gestión de la seguridad
El proceso de gestión de la seguridad tiene como objetivo evitar y corregir las infracciones de seguridad a través de la implementación de directivas. Abarca las siguientes especificaciones:
- Análisis de riesgos
- Gestión de riesgos
- Directiva de sanciones
- Revisión de la actividad del sistema de información
Responsabilidad de seguridad asignada
Con responsabilidad de seguridad asignada se hace referencia a las responsabilidades del personal de ciberseguridad que implementa la regla de seguridad HIPAA y crea todas las directivas y los procedimientos que esta exige. La persona designada puede desempeñar las funciones de responsable de seguridad y del responsable de privacidad.
Seguridad del personal
Esta directiva garantiza que todos los empleados implicados tengan acceso a la ePHI. También incluye los procedimientos de autorización y terminación de la gestión de la información privada de una persona. La directiva garantiza que los usuarios y los sistemas informáticos tengan permiso para ver la ePHI.
Gestión del acceso a la información
Como ocurre con la seguridad del personal, con la gestión del acceso a la información se autoriza el acceso de los empleados a la ePHI. Sigue el principio del mínimo de privilegios, donde sólo las personas verificadas tienen acceso a los datos en un momento específico.
Formación en materia de seguridad
Las protecciones administrativas u otras directivas de ciberseguridad no tienen utilidad ninguna sin conocimientos sobre cómo aplicarlas. La formación sobre seguridad mantiene al personal médico al día sobre los procedimientos de ciberseguridad relevantes. También ayuda a definir la responsabilidad de los empleados a la hora de aplicar la regla de seguridad HIPAA. La formación suele incluir:
- Recordatorios de seguridad
- Cómo protegerse frente al software malicioso
- Monitorización de los inicios de sesión
- Gestión de contraseñas
Expert Tip
Sigue los consejos de esta guía sobre cómo crear un programa integral de formación en ciberseguridad para empleados para asegurarse de que conozcan y tengan la información actualizada sobre los procedimientos de ciberseguridad más relevantes.
Componentes de un programa de formación en materia de ciberseguridad
Procedimientos de los incidentes de seguridad
Los incidentes se definen como “intentar o lograr acceder, usar, divulgar, modificar o destruir información de forma autorizada o interferir con las operaciones del sistema en un sistema de información”. Con este estándar se definen los procedimientos para identificar y contener los incidentes de seguridad.
Plan de contingencia
El plan de contingencia es una protección administrativa que ayuda a garantizar que los datos de ePHI estén disponibles incluso cuando se produzcan emergencias (por ejemplo, incendios, vandalismo, desastres naturales o fallos del sistema). Entre los estándares del plan de contingencia se incluyen:
- Un plan de copia de seguridad de los datos
- Un plan de recuperación ante desastres
- Un plan de funcionamiento en modo de emergencia
- Procedimientos de prueba y revisión
- Análisis de importancia de los datos y las aplicaciones
Evaluación
Al proceso de monitorización y evaluación de los sistemas según la regla de seguridad se le denomina evaluación, proceso continuo en el que se supervisa el entorno que afecta a la seguridad de la ePHI.
Contratos y otros acuerdos de socios comerciales
Es posible que los partners comerciales de organizaciones que cumplan con las normas de seguridad y privacidad de HIPAA deban proporcionar garantías por escrito de protección de la ePHI.
Medidas de seguridad físicas
Las protecciones físicas gestionan el aspecto de seguridad de la información de la regla de seguridad HIPAA. Estas medidas de seguridad protegen la estructura física y los dispositivos donde almacenas la ePHI. No se trata de una estrategia universal, ya que las medidas físicas específicas dependen del tamaño de la organización y de la naturaleza de la práctica de atención médica. Por lo general, las protecciones físicas abarcan varias áreas.
Controles de acceso a las instalaciones
Se necesitan instalaciones para gestionar el acceso al lugar donde se encuentra físicamente la información del paciente. Este requisito identifica a las personas, los métodos (cerraduras de puertas, guardias de seguridad, monitorización por vídeo, etc.) y las operaciones de contingencia para controlar el acceso a las instalaciones físicas. En la directiva se incluye:
- El plan de seguridad de las instalaciones
- Los procedimientos de control y validación de accesos
- Los registros de mantenimiento
El uso de la estación de trabajo y la seguridad del dispositivo
En la seguridad de las estaciones de trabajo se tiene en cuenta el uso y la seguridad de los equipos y las herramientas del lugar de trabajo para almacenar la ePHI. Los requisitos de seguridad de HIPAA tienen en cuenta el entorno, el flujo de trabajo y el tipo de personal (si trabaja en las instalaciones o fuera de ellas) que puede acceder a la ePHI.
De manera similar, en los estándares sobre dispositivos se explica cómo gestionar los medios electrónicos y los sistemas de hardware que contengan ePHI dentro y fuera del lugar de trabajo. Como requisito fundamental, la seguridad del dispositivo gestiona la eliminación y reutilización de medios electrónicos. La eliminación de medios especifica los métodos para borrar datos, mientras que la reutilización de medios define los procedimientos para reutilizar los medios electrónicos donde se almacene ePHI.
Otros requisitos de seguridad del dispositivo son:
- Responsabilidad (registros de hardware y medios electrónicos).
- Copia de seguridad y almacenamiento (creación de copias accesibles de la ePHI).
Medidas de seguridad técnicas
Se trata del aspecto técnico de las medidas de seguridad de la regla seguridad de la HIPAA. Las medidas de seguridad técnicas protegen la tecnología que almacena los datos de los pacientes. No especifican qué soluciones tecnológicas deben utilizar las entidades, pero sí describen los aspectos específicos que las herramientas tecnológicas deben proteger.
Para implementar medidas de seguridad técnicas, es necesario abordar los siguientes estándares.
Controles de acceso y auditoría
Los controles de acceso permiten el acceso sólo a aquellas personas o programas de software a quienes se les hayan otorgado derechos de acceso. El estándar ayuda a las organizaciones a identificar y rastrear las actividades de los usuarios. Los controles de acceso también incluyen procedimientos de emergencia para recuperar la ePHI. El cierre de sesión automático (directiva para poner fin a las sesiones electrónicas) junto con los procesos de cifrado y descifrado son otros requisitos que constituyen controles de acceso.
Los controles de auditoría proporcionan informes completos sobre la actividad del software y hardware relacionado con la ePHI, lo que ayuda a las organizaciones a saber cuándo determinados usuarios acceden a ciertos archivos.
Controles de autenticación e integridad
Las medidas de seguridad técnicas también abordan la autenticación y la integridad. La autenticación garantiza que la identidad o las credenciales de un usuario sean correctas, mientras que la integridad protege la ePHI frente a alteraciones, destrucciones o corrupciones no autorizados.
Si tu organización trabaja con datos de pacientes, debe usar plataformas tecnológicas que verifiquen automáticamente la integridad de los datos, como la verificación de la suma de comprobación o las firmas digitales. En el estándar también se exige la autenticación multifactor (MFA) como forma de verificar la identidad de un usuario antes de otorgarle acceso a los sistemas internos.
Seguridad de las transmisiones
Con la seguridad de las transmisiones se protege la ePHI en movimiento. Abarca la protección del correo electrónico, del navegador y de la red de endpoints. Los principales requisitos de seguridad de la HIPAA aquí son los controles de integridad y el cifrado. Los primeros impiden la modificación de los datos mientras están en uso, mientras que con el segundo se garantiza la protección de los datos durante la transmisión mediante un código secreto.
Más información
Lee este artículo para entender mejor cuál es la importancia del cumplimiento de los datos y cómo tu organización puede asegurarse de seguir todos los estándares y normativas más actuales.
CrowdStrike y la HIPAA
Si bien implementar la regla de seguridad HIPAA supone muchas ventajas, seguir cumpliéndola puede suponer un problema para las organizaciones sanitarias y otras entidades incluidas. Entre los obstáculos se incluyen amenazas internas y externas, como lo destaca una encuesta de 2016 de HealthITSecurity.
Lo habitual es confiar implícitamente en los usuarios internos o los empleados a la hora de acceder a los sistemas y a las aplicaciones para que puedan ser más productivos, especialmente cuando trabajan de forma remota. Sin embargo, el acceso sin restricciones también abre la puerta a posibles brechas de ciberseguridad. Es más, es posible que las amenazas ni siquiera tengan malas intenciones; puede tratarse simplemente de errores. Por ejemplo, un reciente informe de investigaciones sobre brecha de datos de Verizon reveló que los empleados del sector sanitario tienen dos veces y media más posibilidades de acceder por error a datos a los que no deberían poder acceder, en lugar de usar su acceso para otros fines no adecuados.
La implementación de soluciones como CrowdStrike Falcon® puede permitir a las organizaciones de atención médica prevenir, detectar y responder a incidentes de ciberseguridad, protegiendo su ePHI frente a amenazas persistentes avanzadas (APT), ransomware y de otro tipo. Falcon combina antivirus de nueva generación (NGAV) y detección y respuesta de endpoints (EDR) para proteger los datos. Además, Falcon® Device Control puede garantizar el uso seguro y la responsabilidad del dispositivo. El control de dispositivos te permite ver el contexto de los dispositivos USB, lo que te ayuda a evitar la divulgación o manipulación no deseadas de la ePHI. Es más, incluso puedes bloquear el propio dispositivo, impidiendo el acceso no autorizado a los datos o la introducción de software malicioso. Falcon Fusion, parte de la plataforma CrowdStrike Falcon®, automatiza flujos de trabajo de respuesta a incidentes complejos, reduciendo el tiempo medio para corregir los incidentes. Las empresas también optan por adoptar firewalls compatibles con HIPAA y directivas de cifrado para una monitorización eficaz de la red.
Independientemente de las directivas internas sobre ciberseguridad, los incidentes de seguridad son inevitables. De ahí la necesidad de contar con planes de respuesta a incidentes para mitigar rápidamente los incidentes de seguridad y las brechas que incluyan ePHI. CrowdStrike Falcon® proporciona un plan de respuesta a incidentes (IR) para identificar, contener y responder a incidentes y brechas que incluyan ePHI de acuerdo con los principios de HIPAA. También ofrece conectores para integrar herramientas de gestión de eventos e información de seguridad (SIEM) con CrowdStrike Falcon®, lo que te permite rastrear datos y detectar anomalías de seguridad en tiempo real.
Por lo general, tu enfoque sobre el cumplimiento de la regla de seguridad HIPAA debe ser integral, para garantizar el cumplimiento de todos los requisitos y medidas de seguridad sin renunciar a los objetivos y objetivos comerciales de tu empresa.
Narendran es Director of Product Marketing para la protección de identidades y Zero Trust en CrowdStrike. Cuenta con más de 17 años de experiencia en la promoción de estrategias de marketing de productos y GTM en startups y empresas grandes de ciberseguridad como HP y SolarWinds. Anteriormente, fue Director of Product Marketing en Preempt Security, que fue adquirida por CrowdStrike. Narendran obtuvo un máster de ciencias en informática en la Universidad de Kiel (Alemania).
