Requisitos y estándares clave de Data Security Posture Management de HIPAA

Cada organización, independientemente del sector de mercado o del tamaño del negocio, debe asegurar sus datos para minimizar la data leakage y otros incidentes de seguridad. La importancia de la data security en el sector sanitario se ve acentuada por la necesidad de cumplir con la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). Este artículo describe estrategias y tácticas de protección de datos que las organizaciones sanitarias pueden utilizar para comply with the key provisions of HIPAA, y explora las amenazas más comunes a la seguridad de los datos en el sector sanitario.

Reglas de privacidad y seguridad de datos HIPAA

Antecedentes

Los profesionales técnicos en organizaciones de salud son responsables de proteger la información sanitaria contra amenazas de seguridad y riesgos de seguridad. Tanto los hackers externos como los internos malintencionados están constantemente intentando acceder a la información de salud protegida electrónicamente (e-PHI), generalmente por ganancias financieras de la venta de la información, robo de identidad o chantaje. La información de salud protegida comprende toda la información que se relaciona con la salud pasada, presente o futura de una persona o su condición (mental o física). Esto incluye datos sobre los servicios médicos prestados, pagos por atención médica y beneficios del seguro de salud.

HIPAA fue promulgada en 1996 para obligar a las organizaciones de atención médica a mejorar su seguridad de datos. Incluye múltiples requisitos que rigen cómo las organizaciones de atención médica deben trabajar con la información de salud. Por ejemplo, deben proteger la privacidad de la información personal de salud restringiendo el uso o divulgación de esa información sin la autorización del paciente.

HIPAA incluye dos componentes clave: la Regla de Privacidad y la Regla de Seguridad.

Regla de privacidad

La Regla de Privacidad de HIPAA regula quién puede tener acceso a la PHI y cómo puede ser utilizada y divulgada. Los requisitos clave son los siguientes:

• Debe implementar políticas y procedimientos que restrinjan el acceso y uso de la información de salud protegida basándose en los roles de los empleados. La información de salud protegida no debe ser accesible para ningún empleado que no necesite acceso, como un gerente de oficina o un seguridad
• Debe implementar políticas y procedimientos que limiten el uso y divulgación de la PHI al mínimo necesario. Por ejemplo, si una compañía de seguros necesita el nombre de una persona, el número de Seguro Social y detalles de su procedimiento médico más reciente, la norma de privacidad le exige no enviar todo el historial médico de la persona.
• Debe obtener la autorización por escrito de una persona antes de divulgar su información de salud protegida. Por ejemplo, si planea enviar información de salud personal a una compañía farmacéutica, necesita obtener primero la autorización por escrito de la persona.

Existen posibles sanciones civiles y penales por no cumplir con la Norma de Privacidad de HIPAA. Aunque algunos estados tienen sus propias normas, HIPAA es un requisito federal que prevalece sobre las normas estatales en conflicto. Las entidades cubiertas bajo HIPAA no solo incluyen a proveedores de atención médica como hospitales y residencias de ancianos, sino también a planes de salud (compañías de seguros de salud, HMOs, etc.) y casas de compensación de atención médica (entidades que procesan información de salud que reciben de otras entidades).

Regla de Seguridad HIPAA

La Norma de Seguridad HIPAA exige a las organizaciones de atención médica proteger la ePHI utilizando salvaguardias administrativas, físicas y técnicas apropiadas. Específicamente, la Norma de Seguridad requiere que las entidades cubiertas hagan lo siguiente:

• Asegure la confidencialidad, integridad y disponibilidad de toda la e-PHI que crean, reciben, mantienen o transmiten. Esta regla requiere que asegure la confidencialidad, integridad y disponibilidad de los datos (CIA, o el “CIA triad”). Veamos los componentes de la regla individualmente:
  • Confidencialidad. Puede ayudar a garantizar la confidencialidad mediante la implementación de controles de seguridad como listas de control de acceso (ACLs) y cifrado. El cifrado proporciona una seguridad y confidencialidad mayores que las ACLs. Otros controles de seguridad o software a menudo se superponen a las ACLs y al cifrado; estos pueden incluir software de gestión de configuración, software de monitoreo y alertas, y software de auditoría.
  • Integridad. La integridad de los datos significa que los datos no han sido alterados. Por ejemplo, si un ataque de intermediario intercepta y altera los datos antes de enviarlos a su destino original, los datos no tienen integridad. Una forma de asegurar la integridad es utilizar una firma digital o un hash. Para los datos almacenados en bases de datos, es necesario garantizar la integridad de la entidad, la integridad referencial y el dominio
  • Disponibilidad. A veces las personas olvidan que la disponibilidad es un elemento clave de la seguridad de los datos. Para garantizar que las personas puedan acceder a los datos que necesitan, las organizaciones pueden implementar diversas soluciones, como la replicación del centro de datos principal a un centro de datos secundario. Los balanceadores de carga, el hardware redundante y otras estrategias también pueden ayudar a asegurar una alta disponibilidad.

• Identifique y proteja contra amenazas razonablemente anticipadas a la seguridad o integridad de la información protegida. Esta norma requiere cierta interpretación. Muchas organizaciones se inclinan por el lado de la precaución e incluyen tantas amenazas como sea posible, llegando incluso a incluir toda su cadena de suministro o a restringir el uso de dispositivos móviles en ciertas áreas de sus instalaciones. Esta estricta interpretación ayuda a asegurar que cumplen con los requisitos de la norma de seguridad. En cualquier caso, las amenazas razonables ciertamente incluyen la modificación indebida de datos, el acceso no autorizado a datos y datos Estas y otras amenazas se discuten con más detalle más adelante en este artículo.
• Protéjase contra usos o divulgaciones no permitidos que sean razonablemente previsibles. Esta norma también está abierta a interpretación. ¿Es razonable anticipar que un empleado pueda revelar información de salud protegida a un amigo del paciente? ¿Podría un médico informar algunos registros de pacientes o detalles de salud del paciente a los medios si se trata de una celebridad? Esta norma podría requerir que considere tales casos.
• Asegure el cumplimiento por parte de su fuerza laboral. Esta regla cubre algunas de las salvaguardias administrativas necesarias para adherirse a la Regla de Seguridad. Para garantizar el cumplimiento, necesita educar a su fuerza laboral. Ellos deben entender a un alto nivel qué es HIPAA y el papel que juegan en el cumplimiento, así como las políticas y procedimientos de seguridad de su organización. Se necesita capacitación repetida a lo largo del año para asegurar que los empleados aprendan sobre nuevos requisitos o métodos. Asegúrese también de implementar pruebas regulares, y hacer seguimiento con capacitación adicional para las personas que lo necesiten.

Regla de Aplicación de HIPAA

Más allá de la Regla de Privacidad y la Regla de Seguridad, también debe estar familiarizado con la HIPAA Enforcement Rule, que se refiere al cumplimiento, investigaciones y sanciones.

HITECH Act

La Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) amplía el alcance de HIPAA. Promueve el uso de registros de salud electrónicos, aumenta la responsabilidad por incumplimiento, regula la notificación de brechas y exige que ciertos asociados comerciales de organizaciones cubiertas por HIPAA cumplan con HIPAA.

Estrategias para el cumplimiento de HIPAA

Claramente, HIPAA compliance es una empresa compleja y los riesgos de fracaso son altos. Hay múltiples recursos que pueden ayudarte a lograr y mantener un entorno de TI compatible con HIPAA, como HIPAA Software.

El Instituto Nacional de Estándares y Tecnología (NIST) establece estándares nacionales y ofrece recursos gratuitos de seguridad informática, como marcos de trabajo como el NIST Cybersecurity Framework. Su guía introductoria puede ayudar a su organización a cumplir con la Regla de Seguridad de HIPAA.

La Health Information Trust Alliance (HITRUST) es una organización sin fines de lucro cuya misión es ayudar a las organizaciones a proteger sus datos sensibles. Su Common Security Framework (CSF) es un marco que facilita a las organizaciones el cumplimiento de HIPAA y otras leyes, y ofrece buena interoperabilidad con otros marcos y estándares. Aunque HIPAA no es un estándar certificable, las organizaciones de atención médica pueden obtener la certificación de HITRUST.

Las mayores amenazas para la seguridad de los datos de salud

La industria de la salud enfrenta muchas de las mismas amenazas a la seguridad de los datos que otros sectores. La principal diferencia es que para las organizaciones de salud, los datos de salud suelen ser el objetivo final, en lugar de secretos comerciales o registros financieros. Aquí están las principales amenazas e incidentes de seguridad potenciales:

• Violación de datos. En general, cuando alguien accede a información sin autorización, se trata de una violación de datos, ya sea que la persona sea un insider con intenciones maliciosas, un hacker o simplemente un empleado excesivamente curioso. Sin embargo, los siguientes casos de divulgación de PHI no se consideran violaciones de datos bajo HIPAA:
  • Una persona accede o utiliza accidentalmente la PHI “de buena fe y dentro del ámbito de su autoridad” y no divulga la PHI de una manera no permitida por la HIPAA Privacy Rule.
  • Una persona autorizada divulga accidentalmente la PHI con otra persona autorizada en la misma organización y no divulga la PHI de una manera que no cumple con la Regla de Privacidad.
  • Una persona autorizada divulgó datos a alguien de manera indebida pero cree de buena fe que no podrán retener la información.

Cuando las organizaciones descubren una violación de datos, deben proporcionar una notificación de la violación según lo especificado por la Regla de Notificación de Violación de HIPAA.

• Exfiltración de datos. La exfiltración de datos es la copia de información a una ubicación no autorizada. La mayoría de los casos de exfiltración de datos implican copiar datos a una ubicación no autorizada fuera de la organización. Otros términos comunes para esto son fuga de datos y exfiltración de datos. La regla de notificación de violación de datos se aplica tanto a la exfiltración de datos como a la violación de datos.
• Ataques de ransomware. El ransomware es un tipo de software malicioso que te niega el acceso a una computadora o a los datos en esa computadora mediante el cifrado de los datos. Para recuperar tus datos, debes pagar un rescate o restaurar desde una copia de seguridad. Los pagos de rescate a menudo se organizan a través de monedas digitales imposibles de rastrear, como Bitcoin. Según la investigación de Coveware, el sector sanitario ocupó el tercer lugar entre las industrias más atacadas por el ransomware en 2019. Esta situación probablemente no cambiará para mejor, ya que los atacantes comprenden que la urgencia de restaurar los datos necesarios para el tratamiento médico significa que es más probable que se les pague. Sin embargo, pagar el rescate no garantiza que realmente recibirás una clave de descifrado; por lo tanto, la mejor estrategia para asegurarte de poder recuperarte de los ataques de ransomware es tener copias de seguridad fuera de línea.

• Otras amenazas cibernéticas. Una variedad de otras amenazas cibernéticas ponen en riesgo a las organizaciones de salud. Mientras que muchos ataques buscan robar datos electrónicos de salud, otros intentan tomar dispositivos, sistemas o servicios. Las organizaciones de salud son objetivos principales para todo tipo de ataques cibernéticos, ya que, como se mencionó anteriormente, la falta de disponibilidad de sistemas o datos cruciales puede llevar no solo a multas y daños a la reputación, sino también a resultados de salud deficientes e incluso pérdida de vidas. La adopción de nuevas tecnologías amplía la superficie de ataque; en particular, la seguridad en la nube es una preocupación cada vez más importante para el sector de la salud.

Conclusión

Algunas organizaciones de atención médica dependen de equipos de TI internos para manejar la mayoría de sus necesidades técnicas, mientras que otras confían en proveedores de servicios o vendedores de productos para implementar o apoyar sus iniciativas de gestión de seguridad. No importa qué estrategia elijas, para proteger adecuadamente la PHI y cumplir con HIPAA, necesitas asegurarte de que tanto tú como todos tus asociados de negocios estén tomando las medidas requeridas para minimizar el riesgo de que la información de salud sea divulgada, robada o cifrada de manera inapropiada.