Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosPlantilla
Plantilla de Evaluación de Riesgos HIPAA

Plantilla de Evaluación de Riesgos HIPAA

Introducción

El análisis de riesgos es el problema más agudo de cumplimiento de HIPAA que investiga el Departamento de Salud y Servicios Humanos (HHS) para la Oficina de Derechos Civiles (OCR). Un análisis inexacto o incompleto puede llevar a graves violaciones de seguridad y a severas penalizaciones monetarias.

Pero el análisis de riesgos puede ser difícil de implementar, especialmente si su departamento de TI no cuenta con el personal o el tiempo suficiente. La plantilla de evaluación de riesgos proporcionada aquí puede ayudarle a realizar una auditoría completa y precisa de sus riesgos de seguridad de ePHI para que pueda establecer las medidas de mitigación apropiadas.

¿Qué es una evaluación de riesgo HIPAA?

Una evaluación de riesgo HIPAA ayuda a las organizaciones a determinar y evaluar las amenazas a la seguridad de la información de salud protegida electrónica (ePHI), incluyendo el potencial de divulgación no autorizada como lo requiere la Regla de Privacidad.

Si su organización crea, recibe, mantiene o transmite ePHI, incluso utilizando un sistema certificado de registro de salud electrónico (EHR), debe evaluar sus riesgos de seguridad para asegurarse de que ha tomado las mejores medidas posibles para proteger su ePHI. Una vez que identifique esos riesgos, debe implementar salvaguardias administrativas, físicas y técnicas para mantener el cumplimiento con la Norma de Seguridad HIPAA.

A medida que las entidades de atención médica trabajan para lograr el cumplimiento de HIPAA, las herramientas de análisis de riesgos y gestión de riesgos pueden ser invaluables; a menudo te permiten proteger la confidencialidad, integridad y disponibilidad de tu ePHI de manera más efectiva y eficiente de lo que podrías con procesos manuales.

Adaptando una evaluación de riesgos a su organización

Los requisitos de evaluación de riesgos de HIPAA le permiten adaptar la evaluación al entorno y circunstancias de su organización, incluyendo:

  • El tamaño, la complejidad y las capacidades de su organización
  • La infraestructura técnica, el hardware y las capacidades de seguridad de su organización
  • La probabilidad y la criticidad de los riesgos potenciales para ePHI
  • El costo de las medidas de seguridad

Especificaciones de implementación: requeridas versus direccionables

Una evaluación de riesgo HIPAA contendrá muchas especificaciones de implementación, que son instrucciones detalladas para cumplir con un cierto estándar. Algunas son obligatorias, mientras que otras son abordables:

  • Las especificaciones requeridas documentan las políticas o procedimientos que cada entidad cubierta y sus asociados comerciales deben implementar. Un ejemplo de esto es el análisis de riesgos.
  • Las especificaciones abordables no son opcionales, pero las organizaciones tienen la flexibilidad de elegir los procesos o controles adecuados para cumplirlas. Por ejemplo, la gestión de contraseñas es una especificación abordable, ya que existen múltiples formas de garantizar que solo personas de confianza accedan a tus sistemas. Una de ellas es usar autenticación multifactor.

No puedes negarte a adoptar una especificación de implementación basándote únicamente en el costo.

Terminología clave

Aquí están las definiciones de términos comunes a HIPAA, adaptados de NIST 800-30:

  • ePHI (información protegida de salud electrónica) — Datos sobre la salud, tratamiento o facturación de un paciente que podrían identificar a dicho paciente. ePHI es PHI en forma electrónica; tiene los mismos requisitos de confidencialidad que todo el PHI, pero la facilidad de copiar y transmitir ePHI requiere salvaguardias especiales para prevenir violaciones.
  • Vulnerabilidad — Un defecto o debilidad en los procedimientos de un sistema de seguridad, diseño, implementación de controles internos que podría ser activado accidentalmente o explotado intencionalmente, resultando en una violación de la seguridad o incumplimiento de la política de seguridad.
  • Amenaza — La posibilidad de que una fuente de amenaza active accidentalmente o explote intencionadamente una vulnerabilidad específica.
  • Riesgo — Se refiere al riesgo relacionado con TI. El riesgo describe el impacto neto en el negocio basado en la probabilidad de que una amenaza específica active una vulnerabilidad particular. Incluye factores como la responsabilidad legal y la pérdida de misión.
  • Análisis de riesgos (o evaluación de riesgos) — El proceso de identificar todos los riesgos para la seguridad del sistema, la probabilidad de que causen daños y las medidas de protección que pueden mitigar ese daño. Es una parte de la gestión de riesgos.
  • Gestión de riesgos — El proceso de implementar medidas y prácticas de seguridad para reducir adecuadamente los riesgos y vulnerabilidades a un grado razonable para el cumplimiento.

Pasos en el análisis de riesgos

NIST 800-30 detalla los siguientes pasos para una evaluación de riesgo compatible con HIPAA:

Paso 1. Determine el alcance del análisis.

Un análisis de riesgos considera toda la ePHI, independientemente del medio electrónico utilizado para crear, recibir, mantener o transmitir los datos, o de la ubicación de los mismos. Cubre todos los riesgos y vulnerabilidades razonables a la confidencialidad, integridad y disponibilidad de su ePHI.

Paso 2. Reúna información completa y precisa sobre el uso y divulgación de ePHI.

Este proceso incluye:

  • Revisando proyectos pasados y existentes
  • Realizando entrevistas
  • Revisando la documentación
  • Utilizando otras técnicas de recolección de datos según sea necesario
  • Documentando todos los datos recopilados

Es posible que ya haya completado este paso para cumplir con la Regla de Privacidad de HIPAA, aunque no fuera directamente obligatorio.

Paso 3. Identificar amenazas y vulnerabilidades potenciales.

Mire los datos recopilados y considere qué tipos de amenazas y vulnerabilidades existen para cada pieza de información.

Paso 4. Evalúe sus medidas de seguridad actuales.

Documente las medidas que ya ha implementado para mitigar los riesgos a su ePHI. Estas medidas pueden ser técnicas o no técnicas:

  • Las medidas técnicas incluyen el hardware y el software del sistema de información, como el control de acceso, la autenticación, el cifrado, el cierre de sesión automático y los controles de auditoría.
  • Las medidas no técnicas incluyen controles operativos y de gestión, como políticas, procedimientos y medidas de seguridad física o ambiental.

Luego analice si la configuración y el uso de esas medidas de seguridad son apropiados.

Paso 5. Determine la probabilidad de ocurrencia de la amenaza.

Evalúe la probabilidad de que una amenaza active o explote una vulnerabilidad específica. Considere cada combinación posible de amenaza y vulnerabilidad, y clasifíquelas según la probabilidad de un incidente. Los métodos de calificación comunes incluyen etiquetar cada riesgo como Alto, Medio y Bajo, o proporcionar un peso numérico que exprese la probabilidad de ocurrencia.

Paso 6. Determine el impacto potencial de la ocurrencia de amenazas.

Considere los posibles resultados de cada amenaza de datos, tales como:

  • Acceso o divulgación no autorizados
  • Pérdida o corrupción permanente
  • Pérdida temporal o indisponibilidad
  • Pérdida del flujo de efectivo financiero
  • Pérdida de activos físicos

Estime el impacto de cada resultado. Las medidas pueden ser cualitativas o cuantitativas. Documente todos los impactos razonables y las valoraciones asociadas con cada resultado.

Paso 7. Determine el nivel de riesgo.

Analice los valores asignados a la probabilidad de ocurrencia de cada amenaza y el impacto. Asigne el nivel de riesgo basado en el promedio de las probabilidades e impactos asignados.

Paso 8. Identificar las medidas de seguridad apropiadas y finalizar la documentación.

Identifique las posibles medidas de seguridad que podría utilizar para reducir cada riesgo a un nivel razonable. Para cada medida, considere:

  • La efectividad de la medida
  • Requisitos legislativos o reglamentarios para la implementación
  • Requisitos de políticas y procedimientos organizacionales

Documente todos los hallazgos para completar su evaluación de riesgos.

Plantilla de Evaluación de Riesgos HIPAA

A continuación se presenta una plantilla de evaluación de riesgos HIPAA con una descripción y un ejemplo para cada sección. Esta es una plantilla general que deberá adaptar a las necesidades específicas de su organización. Todos los nombres de empresas y personales utilizados en esta plantilla son ficticios y se utilizan únicamente como ejemplos.

1. Introducción

Explique el motivo del documento.

Este documento describe el alcance y enfoque de la evaluación de riesgos para Allied Health 4 U, Inc. (en adelante denominada Allied Health 4 U). Incluye el inventario de datos de la organización, la determinación de amenazas y vulnerabilidades, las medidas de seguridad y los resultados de la evaluación de riesgos.

1.1 Propósito

Explique por qué necesita una evaluación de riesgos.

El propósito de la evaluación de riesgos es identificar áreas de riesgo potencial, asignar responsabilidades, caracterizar las actividades y sistemas de mitigación de riesgos, y guiar los procedimientos de acción correctiva para cumplir con el Estándar de Seguridad HIPAA.

1.2 Alcance

Documente el flujo de datos de pacientes dentro de su organización. Describa todos los componentes del sistema, elementos, ubicaciones de los sitios de campo, usuarios (incluido el uso de una fuerza laboral remota) y cualquier detalle adicional sobre el sistema EHR.

Documente y defina sus sistemas de TI, componentes e información, incluyendo medios extraíbles y dispositivos de computación portátiles.

El alcance de este documento incluye los procesos técnicos, físicos y administrativos que rigen toda la ePHI recibida, creada, mantenida o transmitida por Allied Health 4 U.

El objetivo es evaluar y analizar el uso de recursos y controles, tanto planificados como implementados, para eliminar, mitigar o gestionar la explotación de vulnerabilidades por amenazas internas y externas al sistema de registros de salud electrónicos (EHR).

Allied Health 4 U satisface las necesidades de pacientes y profesionales en Medical City en Regency Park, IL. El centro médico relacionado proporciona el firewall de internet primario y la seguridad física básica para la instalación. La organización proporciona todas las demás necesidades tecnológicas y de seguridad para Allied Health 4 U, Inc.

Allied Health 4 U utiliza laptops, tabletas y PCs de escritorio para acceder al ePHI de los pacientes. El acceso remoto desde fuera de Allied Health 4 U está estrictamente prohibido. Tres servidores se encuentran en una sala de servidores cerrada con vigilancia por video activada.

2. Enfoque de Evaluación de Riesgos

Defina los métodos que utiliza para realizar la evaluación de riesgos.

Allied Health 4 U realiza la evaluación de riesgos inventariando todos los dispositivos físicos y datos electrónicos creados, recibidos, mantenidos o transmitidos por la organización; entrevistando a usuarios y administradores del sistema de historias clínicas electrónicas; y analizando los datos del sistema para determinar posibles vulnerabilidades y amenazas al sistema.

2.1 Participantes

Identifique a los participantes, como todo el personal de TI y la gerencia, responsables de o que interactúan con el EHR. Incluya una lista de nombres y roles de los participantes, como Chief Information Officer o Asset Owner.

El oficial de seguridad de ePHI y el Equipo de Gestión de Riesgos son responsables de mantener y ejecutar el análisis de riesgos de seguridad de ePHI y el proceso de gestión de riesgos para Allied Health 4 U.

  1. Director de Información: Bradley Gray, MD
  2. Oficial de Cumplimiento: Jean Parker, MD
  3. Equipo de Evaluación de Riesgos: William Brown, Takisha Lutrelle y Lili Obrador

2.2 Técnicas utilizadas para recopilar información

Enumere los métodos utilizados para identificar e inventariar los datos de ePHI, dispositivos físicos, procesos y procedimientos.

Las siguientes técnicas se utilizan para recopilar información para la evaluación de riesgos:

  • Entrevistas con el Director de Información, el equipo de Gestión de Riesgos, usuarios
  • Revisión de Documentación — Políticas y procesos de TI, informes de amenazas y vulnerabilidades, informes de incidentes, documentos de clasificación de información.
  • Visitas al sitio — Ubicación de Regency Park, cualquier ubicación futura

2.3 Desarrollo y Descripción de la Escala de Riesgo

Describa cuándo se realizan las evaluaciones de riesgo, la matriz de nivel de riesgo en uso, cómo se determinan los riesgos y una clasificación de riesgo con al menos tres niveles.

Allied Health 4 U realiza evaluaciones de riesgo en los siguientes momentos:

  • Después de las actualizaciones de software al EHR
  • Después de la implementación de nuevo hardware, software o firmware
  • Después de un informe de una violación de datos

Utilice la siguiente matriz de riesgo para determinar la escala del riesgo:

Impacto

Bajo (0.1)

Medio (0.5)

Alto (1.0)

Probabilidad de amenaza

Bajo (5)

5 X 0.1 = 0.5

5 X 0.5 = 2.5

5 X 1.0 = 5

Mediano (25)

25 X 0.1 = 2.5

25 X 0.5 = 12.5

25 X 1.0 = 25

Alto (50)

50 X 0.1 = 5

50 X 0.5 = 25

50 X 1.0 = 50

Escala de riesgo:

  • ALTO: >25 a 50
  • MEDIO: >5 a 25
  • BAJO: >0.5 a 5

3. Caracterización del sistema

Identifique los límites del sistema de TI en consideración y los recursos e información que componen el sistema. La caracterización establece el esfuerzo del alcance de la evaluación de riesgos, muestra la vía de autorización o acreditación y proporciona información sobre la conectividad, responsabilidad y soporte.

El sistema EHR de Allied Health 4 U está compuesto por todos los portátiles, ordenadores de sobremesa, tabletas, servidores y la ePHI contenida en ellos.

3.1 Información relacionada con el sistema

Proporcione información relacionada y una breve descripción del entorno de procesamiento.

Nombre del sistema

Allied Health 4 U EHR

Propietario del sistema

Allied Health 4 U, Inc.

Ubicación física

123 Main Street, Dept D, Regency Park, IL

Función empresarial principal

Almacenamiento de información sanitaria

Descripción y componentes

Sistema EHR, servidor, escritorios, portátiles, tabletas, servidores, software

Interfaces y límites

Interfaz de usuario en cada dispositivo, conexión interna vía WiFi, conexión externa mediante cable

Sensibilidad de datos

Alto

Clasificación y categorización general de la sensibilidad de TI

Alto, Crítico

3.2 Usuarios del sistema

Describa quién utiliza el sistema, incluyendo detalles sobre la ubicación del usuario y el nivel de acceso.

Tipo de datos


Descripción


Nivel de Sensibilidad

ePHI

Información electrónica protegida de salud

Alto

Procedimientos médicos

Copias de los procedimientos realizados al paciente

Bajo

Resultados de las pruebas

Laboratorio, Radiología

Alto

Inventario de EPP

Inventario de equipo de protección personal

Bajo

Datos de facturación

Información de seguros y facturación

Alto

4. Amenazas y vulnerabilidades

Enumere todas las amenazas y vulnerabilidades creíbles del sistema que se está evaluando. A menudo, puede proporcionar una breve descripción aquí y presentar los resultados detallados en un apéndice o una hoja de cálculo separada.

4.1 Identificación de amenazas

Desarrolle un catálogo de amenazas razonablemente anticipadas. Su mayor preocupación son las amenazas humanas provenientes de ex-empleados, criminales, proveedores, pacientes o cualquier otra persona con motivación, acceso y conocimiento del sistema.

Fuente de amenazas

Acción de amenaza

Empleado descontento

Modificación no autorizada de los datos de facturación

Hacker

Divulgación amenazada de ePHI para rescate

Terremoto

Daño o pérdida de energía en los componentes de EHR

4.2 Identificación de vulnerabilidades

Enumere todas las vulnerabilidades del sistema técnicas y no técnicas que las amenazas potenciales podrían desencadenar o explotar. Incluya políticas y procedimientos incompletos o en conflicto, salvaguardias insuficientes (tanto físicas como electrónicas) y otros defectos o debilidades en cualquier parte del sistema.

Allied Health 4 U identifica las siguientes vulnerabilidades:

Vulnerabilidad

Descripción

Sistema de supresión de incendios a base de agua en la oficina y el centro de TI

Los rociadores de agua activados podrían provocar cortocircuitos eléctricos en los componentes del sistema EHR

El cortafuegos de EHR permite acceso entrante

Un usuario podría acceder al EHR desde fuera de las instalaciones de Allied Health 4 U y Medical City

4.3 Medidas de seguridad

Documente y evalúe la efectividad de todos los controles técnicos y no técnicos que están o serán implementados para mitigar el riesgo.

Proteger

Control

Salvaguarda técnica: Contraseñas seguras

Controle el acceso al sistema EHR.

Salvaguarda administrativa: Sanciones

Defina y aplique las sanciones apropiadas, para que los empleados comprendan las consecuencias de no cumplir con las políticas y procedimientos de seguridad.

Salvaguardia física: Oficinas cerradas con llave

Mantenga las instalaciones cerradas con llave fuera del horario comercial para prevenir la entrada no autorizada con el fin de acceder o destruir componentes o registros.

5. Resultados de la evaluación de riesgos

Describa las observaciones (las vulnerabilidades y las amenazas que pueden desencadenarlas), mida cada riesgo y ofrezca recomendaciones para la implementación de controles o acciones correctivas. Los resultados detallados suelen presentarse mejor en un apéndice o una hoja de cálculo separada.

Número de observación

100011

Riesgo (par vulnerabilidad/amenaza)

Acceso de empleado despedido no revocado

Current control measures

Enviar notificación al departamento de TI en la fecha de separación

Probabilidad con controles existentes

Alto

Impacto con los controles existentes

Alto

Nivel de riesgo inicial

Alto

Recommended action or control measure

Technical safeguard: Automate revocation of system access upon employee termination

Residual risk level

Low

Implementation method

Sysadmin configures automated access revocation tied to employee termination in the HR system

Supervisor

Jane Smith

Start date

January 15, 2021

Target end date

Target end date

Date controls implemented

February 10, 2021

6. Historial de Revisiones

Realiza un seguimiento de todos los cambios en tu evaluación de riesgos HIPAA.

Version

Published

Author

Description

1.0

01/01/2020

Jane Smith

Original

1.1

06/01/2020

Bill Jones

Modification

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management