Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
¿Es Microsoft 365 compatible con HIPAA?

¿Es Microsoft 365 compatible con HIPAA?

Jul 30, 2020

Microsoft 365 puede respaldar el cumplimiento de HIPAA a través de sus controles de seguridad integrados, acuerdo de asociado comercial (BAA) y herramientas del Centro de Cumplimiento. Las entidades cubiertas deben habilitar características como el cifrado, controles de acceso, registros de auditoría y autenticación multifactor, al tiempo que garantizan que el personal siga prácticas estrictas de manejo de datos. El cumplimiento no es automático; la responsabilidad última recae en la organización de atención médica que utiliza Microsoft 365.

El cumplimiento de HIPAA en Office 365 es una preocupación creciente para un número cada vez mayor de empresas de atención médica. La sólida solución en la nube de Microsoft permite a los proveedores mantener registros y comunicarse con facilidad, pero ¿es demasiado fácil? ¿Se puede proteger realmente la información sensible si está almacenada en la nube?

La computación en la nube ha estado abriéndose camino en la industria de la salud durante varios años. Ofrece numerosos beneficios como estrategia, permitiendo a las organizaciones y proveedores de atención expandir dónde y cómo pueden utilizar la tecnología. Al facilitar a los proveedores el mantener y consultar los registros de los pacientes, incluso cuando están en movimiento, la computación en la nube mejora y simplifica la experiencia del paciente.

Contenido relacionado seleccionado:

Este cambio hacia la nube es positivo para el sector de la salud en general, pero coloca una responsabilidad adicional en los especialistas de cumplimiento y seguridad. Afortunadamente, la tarea de encontrar software en la nube compatible con HIPAA se está volviendo más fácil a medida que más proveedores y desarrolladores reconocen la demanda del mercado. Muchos proveedores de soluciones ahora han adaptado sus ofertas para satisfacer las necesidades de HIPAA de las organizaciones de atención médica.

Microsoft 365, posiblemente el servicio en la nube más utilizado, es un ejemplo destacado. Ofrece HIPAA compliance para todas las organizaciones de atención médica que tienen y usan adecuadamente un business associate agreement (BAA). En este artículo, aprenderás más sobre lo que Microsoft ha hecho para habilitar su suite 365 para cumplir con los requisitos de HIPAA y qué aspectos de la protección de datos siguen siendo responsabilidad de los proveedores.

Contenido relacionado seleccionado:

HIPAA BAA y Microsoft 365

El nivel de cumplimiento de HIPAA de cualquier solución en la nube depende del BAA de la organización usuaria. Una de las características más convenientes de Microsoft 365 para el cliente del sector salud es que proporciona un BAA como elemento estándar del servicio.

¿Qué es un BAA?

Un acuerdo de asociado comercial es un contrato entre una entidad cubierta por HIPAA (como un consultorio médico u hospital) y un negocio asociado. Tan pronto como cualquier información de salud protegida (PHI) se carga en la nube, ambas partes están automáticamente sujetas a las regulaciones de HIPAA. Por esa razón, necesitas tener un BAA en lugar con un proveedor de servicios en la nube antes de implementar cualquier solución relacionada con datos de pacientes.

¿Cómo funciona el BAA de Microsoft?

Por defecto, Microsoft ofrece su BAA como parte de sus Términos de Servicios en Línea a usuarios que son entidades cubiertas o asociados comerciales según se define en HIPAA. El BAA cubre Dynamics 365, Office 365 y algunos otros servicios en la nube.

Si está considerando a Microsoft como proveedor de soluciones, revise the BAA en detalle para asegurarse de que los servicios cubiertos y los términos del BAA satisfagan sus necesidades. Microsoft no modifica su BAA a petición del cliente, por lo que los términos deben ser suficientes tal como están escritos.

Controles de seguridad de Microsoft 365 y requisitos de HIPAA

Para confirmar que sus prácticas de seguridad están alineadas con las recomendaciones del editor oficial de HIPAA, el Departamento de Salud y Servicios Humanos de EE. UU. (HHS), Microsoft ha realizado auditorías de seguridad de la información bajo la norma ISO 27001 . Esta norma evalúa múltiples aspectos de la seguridad informática de una organización, incluido si sigue las recomendaciones del HHS.

Los resultados confirman que Office 365 incluye todos los controles de seguridad y privacidad de HIPAA necesarios para el cumplimiento. Puedes acceder a estos controles a través del Microsoft 365 Compliance Center.

El Microsoft Compliance Center

El Microsoft Compliance Center brinda a los clientes acceso a las herramientas e información que necesitan para gestionar el cumplimiento. Incluye características como:

  • Su Puntuación de Cumplimiento, una métrica basada en el riesgo que mide el progreso hacia la reducción del riesgo
  • Una tarjeta de alertas activas, que enumera sus notificaciones de seguridad y le indica dónde encontrar información más detallada
  • Una sección de Netwrix Data Classification para ayudarte a organizar adecuadamente los datos importantes
  • Una sección de informes con información sobre aplicaciones de terceros, archivos compartidos y más
  • Una sección de permisos que te permite gestionar el acceso dentro de tu organización
  • Una sección de soluciones con información detallada sobre las estrategias de cumplimiento de su organización
  • Una herramienta de protección contra la pérdida de datos para permitirle rastrear información sensible

El Compliance Center es un recurso robusto. Está disponible para todos los clientes empresariales de Microsoft, pero algunas características, como la gestión avanzada de amenazas, etiquetas de sensibilidad para la Netwrix Data Classification, algunas funcionalidades de DLP, pueden no estar disponibles a menos que se cuente con una licencia de nivel superior.

Funciones de seguridad de Microsoft 365 para HIPAA

Microsoft ofrece muchas características de seguridad para ayudar a las empresas a mantener el cumplimiento con regulaciones específicas. Aquellas particularmente relevantes para HIPAA son:

  • Acceso de mínimo privilegio: Esta característica limita el riesgo e impacto de las violaciones de datos otorgando acceso elevado solo a quienes lo necesitan.
  • Lectores de Privacidad: Microsoft recomienda que los clientes con un BAA designen representantes como HIPAA Privacy Readers, lo que les otorga acceso a las notificaciones del Message Center sobre posibles brechas que involucren información electrónica protegida de salud (ePHI).
  • Cifrado de extremo a extremo: Microsoft cifra todos los datos cuando se cargan o almacenan en los servidores de la compañía. También se cifran cuando se transfieren fuera de las instalaciones de Microsoft (cifrado en tránsito); sin embargo, cierta información, incluyendo los datos en las líneas de asunto y los campos de dirección de los correos electrónicos, no puede ser cifrada debido a los protocolos estándar de internet. Por lo tanto, Microsoft recomienda que todos los usuarios capaciten al personal para nunca incluir ePHI en las líneas To, From o Subject de un correo electrónico.
  • Prevención de Pérdida de Datos: ePHI está protegido contra la compartición con espectadores no autorizados.
  • Autenticación Multifactor: Los usuarios deben proporcionar información enviada a otro dispositivo o cuenta antes de que se les permita iniciar sesión.
  • Registros de auditoría: Los administradores pueden ver quién ha visto, abierto, compartido o eliminado documentos.
  • Copias de seguridad de datos: Esta función es necesaria bajo HIPAA para que se puedan restaurar copias exactas de ePHI cuando sea necesario.
  • Configuración de seguridad: Microsoft permite a los clientes cambiar sus configuraciones de seguridad en muchos servicios cubiertos por el BAA. Para cumplir con HIPAA, la estrategia más segura puede ser establecer los parámetros más estrictos posibles. Las instrucciones detalladas de configuración están disponibles en la guía de implementación de HIPAA de MicrosoftHIPAA implementation guide.

Cómo Microsoft maneja las violaciones de seguridad

El BAA de Microsoft establece que, en caso de una violación de seguridad, la compañía notificará a todos los administradores globales de su cuenta y a todos los usuarios que tengan la designación de Privacy Reader dentro de los 30 días.

Microsoft no notifica a sus clientes de una violación. Esa responsabilidad recae en usted bajo HIPAA, que exige a todas las entidades cubiertas notificar a las personas afectadas si una violación involucra ePHI no asegurado. Microsoft tampoco presenta ninguna notificación requerida al Secretario de HHS o a los medios.

En el caso de una violación de un posible repositorio de ePHI, Microsoft no es responsable de escanear los datos almacenados para determinar si algún ePHI ha sido realmente comprometido. Recibirá una notificación de que ha ocurrido una violación. Luego debe evaluar si algún ePHI ha sido comprometido y cuál es el grado del impacto, si lo hay.

Configuración de cumplimiento de HIPAA en Office 365: Mejores prácticas

Microsoft deja muy claro que, al final, la responsabilidad del cumplimiento de HIPAA recae en el cliente. El proveedor recomienda que todas las empresas establezcan un conjunto de procedimientos y políticas para ayudar a su personal a utilizar Office 365 de manera que apoye el cumplimiento. Aquí están algunos de los pasos más importantes a seguir durante el proceso de configuración.

1. Verifique los detalles del servicio.

  • Asegúrese de que los productos que planea usar estén dentro del alcance de Microsoft’s HIPAA Compliance Services.
  • Revise el BAA para asegurarse de que las prácticas de seguridad y privacidad incluidas cumplan con sus necesidades.

2. Establezca procedimientos de control de acceso.

  • En su Microsoft 365 Message Center, especifique sus Privacy Readers.
  • Active el seguimiento de acceso para sus administradores para que pueda ver cuándo acceden a las cuentas de usuario.

3. Proporcionar formación sobre la exclusión de PHI.

  • El personal administrativo no debe ingresar ePHI en ningún directorio, libreta de direcciones o listas de direcciones globales.
  • Ningún personal debe compartir ePHI en conversaciones de resolución de problemas o soporte con Microsoft.
  • Los usuarios no deben hacer referencia a ePHI en ningún nombre de archivo, encabezados de correo electrónico o ubicaciones de SharePoint accesibles públicamente.
  • Los usuarios no deben enviar ePHI por correo electrónico excepto a usuarios explícitamente autorizados.

4. Establezca procedimientos para la revisión de accesos.

  • Revise periódicamente el acceso de los usuarios a todos los repositorios de almacenamiento de ePHI.
  • Examine regularmente los permisos de acceso de usuario, los cambios de contraseña y las adiciones a recursos compartidos.
  • Cree un protocolo para actualizar los derechos de acceso en caso de cambios de personal.

Cómo Netwrix ayuda a los clientes de Microsoft 365

Cumplir con HIPAA no es tarea fácil, y añadir el cumplimiento relacionado con los servicios en la nube puede agotar los recursos incluso de la organización más robusta. Netwrix puede aliviar gran parte de esa carga de sus hombros con su solution for HIPAA compliance.

Sepa exactamente dónde almacena ePHI

La solución de Netwrix puede identificar los repositorios específicos de OneDrive for Business, buzones de Exchange Online y sitios de SharePoint Online en su cuenta que contienen ePHI. Este es el primer paso hacia la protección de ese ePHI contra amenazas internas y externas.

Reduzca su superficie de ataque minimizando los permisos

La solución Netwrix también puede ayudarte a asegurarte de que tienes los privilegios correctos establecidos. Puede identificar y eliminar automáticamente permisos excesivos a datos sensibles. También simplifica el proceso de revisión de acceso y comprobación de privilegios, mejorando así tus posibilidades de pasar auditorías de cumplimiento a la primera.

Identificar y responder a amenazas

Gracias a la detallada visibilidad entre sistemas, la solución de Netwrix puede identificar señales de alerta que podrían indicar amenazas internas, como intentos de acceso fallidos, escalada de privilegios y un número inusualmente alto de lecturas, y detectar signos de ransomware en progreso. Esto te permite profundizar fácilmente en actividades sospechosas para que puedas bloquear amenazas antes de que causen daños graves.

Si hay una violación, sea cual sea su origen, Netwrix puede ayudarlo a determinar la gravedad del incidente, permitiéndole cumplir con todos los requisitos para notificar a las autoridades y a los usuarios afectados.

Contenido relacionado seleccionado:

Microsoft 365 y el FAQ de Cumplimiento HIPAA

¿Hay alguna preocupación con respecto a HIPAA al usar Office 365?

Mientras revise cuidadosamente el BAA de Microsoft y comprenda el alcance de sus protecciones de seguridad y cumplimiento, confirme que dichas protecciones satisfacen sus necesidades de cumplimiento de HIPAA y tenga todos los controles de seguridad requeridos por su parte, debería tener pocas o ninguna preocupación sobre el cumplimiento de HIPAA.

Las protecciones de HIPAA en Office 365 son robustas, pero en última instancia, el cumplimiento es tu responsabilidad como entidad cubierta por HIPAA.

¿Qué plan de Microsoft Office 365 cumple con HIPAA?

Microsoft ofrece su BAA de cumplimiento HIPAA a los usuarios de Office 365 Business, Office 365 US Government y Office 365 US Government Defense. Sin embargo, las licencias de nivel inferior de estos servicios (Business Basic, Business Standard y Business Premium, por ejemplo) pueden no tener todas las características de seguridad avanzadas que deseará utilizar para mantener su cumplimiento.

Microsoft recomienda que los usuarios que buscan cumplir con HIPAA habiliten protecciones de seguridad de nivel superior. Algunas de estas protecciones, incluyendo exploradores de amenazas anti-phishing y prevención de pérdida de datos, solo están disponibles para titulares de licencias Enterprise de niveles superiores.

¿Tener un BAA con Microsoft garantiza el cumplimiento de HIPAA y la Ley HITECH?

No, un BAA no garantiza el cumplimiento. El propósito del BAA es aclarar cuáles son los requisitos de cumplimiento que corresponden al asociado comercial de HIPAA. Por ejemplo, si hay una violación en su cuenta de Microsoft Office 365, Microsoft le notificará que ha ocurrido.

Incluso bajo el acuerdo de asociación comercial más sólido, usted como cliente del servicio en la nube todavía tiene responsabilidades para mantener el cumplimiento. Necesita establecer y mantener un programa de cumplimiento interno que aborde todo lo requerido de usted como organización cubierta por HIPAA. Por ejemplo, necesita tener políticas internas, procedimientos y procesos en lugar para asegurar que su personal actúe de una manera que no viole las regulaciones de HIPAA.

El BAA de Microsoft le ayuda a adherirse a los principios de HIPAA cuando utiliza los servicios de la compañía, pero no lo hará todo por usted. Aún necesita asegurarse de que su equipo utilice Office 365 de una manera que se alinee con cada regla de HIPAA y la Ley HITECH.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad