Cómo verificar si su software es realmente compatible con HIPAA

Cómo verificar si su software es realmente compatible con HIPAA

El Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) es una legislación estadounidense destinada a garantizar que todos los datos privados de los pacientes médicos se mantengan seguros, protegidos y protegidos. HIPAA es aplicada por el Departamento de Salud y Servicios Humanos de los EE. UU. (HHS), y específicamente, su división de la Oficina de Derechos Civiles (OCR).

Antes del establecimiento de HIPAA, no existían leyes nacionales (federales) establecidas asociadas con la protección de los datos de los pacientes en el panorama moderno de la era de la información y los sistemas tecnológicos en evolución. A medida que se utilizaban más los sistemas de transmisión/almacenamiento electrónico, y con el aumento de los delincuentes de datos, el robo de identidad y los delitos cibernéticos, se aprobó la HIPAA para asegurarse de que las empresas que manejan información médica actuaran con la debida diligencia para proteger la información confidencial de sus pacientes.

Por lo tanto, es crucial que las empresas sepan si su empresa se encuentra bajo el paraguas legislativo de HIPAA, ya que la regulación requiere que se sigan las mejores prácticas de seguridad para garantizar la privacidad de toda la PHI del paciente. Dicho esto, todos y cada uno entidades cubiertas (proveedor de atención médica, plan de salud y/o cámara de compensación de atención médica) que traten, transmitan, almacenen o intercambien cualquier información privada que pueda identificar a un paciente médico (PHI) deben seguir las pautas estrictas definidas por HIPAA.

La PHI puede incluir registros médicos, números de tarjetas de crédito, fechas de nacimiento, números de seguro social, nombres y apellidos, direcciones, etc. El incumplimiento de las mejores prácticas estándar de la industria puede resultar en una violación de datos, que puede ser castigada con fuertes multas y otros sanciones Por ejemplo, según Revisión del hospital de Becker (2016), en los primeros siete meses de 2016, el Departamento de Salud y Servicios Humanos liquidó 15 millones de dólares en reclamaciones.

Además, según Melamedia LLC, casi 175 millones de personas se vieron afectadas por el 1.996 DE ALTA TECNOLOGÍA (Health Information Technology for Economic and Clinical Health) infracciones que ocurrieron en 2017, hasta el 17 de julio (Health Information Privacy/Security Alert, 2017). Además, según Melamedia LLC, si bien la causa principal de las violaciones de datos fue el robo de hardware informático, la mayor vulnerabilidad que se explotó fueron las redes de TI de salud (HIPAA y Breach Enforcement Statistics). Así, resistiendo Auditorías de privacidad y seguridad de HIPAA es de suma importancia para las organizaciones que manejan información privada de pacientes.

Es muy significativo e importante tener en cuenta que no solo las "organizaciones médicas" (es decir, hospitales, clínicas, consultores, prácticas privadas, etc.) deben seguir las pautas estipuladas por HIPAA, sino todos los socios comerciales que trabajan con entidades cubiertas que manejan servicios privados. datos de pacientes (incluidos los datos que, a primera vista, no parecen ser "datos médicos"), es decir, todos los datos que pueden identificar a un paciente, deben seguir ciertas reglas y ordenanzas de HIPAA, y deben garantizar la privacidad de los datos cuando se trabaja. con entidades cubiertas bajo un contrato.

También es importante tener en cuenta que HIPAA no solo se refiere a la transmisión oral de información confidencial del paciente, sino que también se refiere a sistemas de software, computadoras, dispositivos móviles, dispositivos electrónicos, redes, servidores en la nube, etc. que almacenan, transmiten e intercambian datos de pacientes. Esto es importante ya que la mayoría de las empresas médicas modernas utilizan la tecnología de la información como base subyacente para la gestión operativa, el almacenamiento de datos y las comunicaciones.

Índice
  1. Determine si su empresa utiliza software personalizado o soluciones prediseñadas
  2. Comprenda qué partes de HIPAA se aplican directamente a su software
  3. Comprobación del cumplimiento de su software con las garantías técnicas
  4. Nunca está de más tener ayuda para verificar el cumplimiento de HIPAA
  5. Lleve a cabo su diligencia debida y mitigue los costos de violación de datos

Determine si su empresa utiliza software personalizado o soluciones prediseñadas

Cuando se ha determinado que una empresa se encuentra bajo el paraguas legislativo de las regulaciones de la HIPAA, la siguiente determinación fundamental que se debe tomar es si la infraestructura de TI del software de la empresa está compuesta por soluciones de software preconstruidas o software personalizado. Si bien el resultado final debe ser el mismo (cumplimiento de las reglamentaciones de HIPAA) cuando se siguen todas las ordenanzas, la ruta hacia el cumplimiento suele ser diferente. Esto se debe a que el software personalizado difiere de las soluciones prediseñadas en muchos aspectos.

Si bien los desarrolladores crean soluciones prediseñadas para ofrecer ciertas funcionalidades en todos los ámbitos para una variedad de empresas, el software personalizado utiliza los requisitos específicos de una empresa para crear una aplicación única que tiene un conjunto particular de módulos, sistemas, funcionalidades y componentes. La naturaleza única del software personalizado hace que dichas aplicaciones sean más difíciles de evaluar cuando se trata de determinar si cumplen completamente con HIPAA.

El software personalizado será más difícil de confirmar

Determinar si un sistema de software cumple con las regulaciones de HIPAA requiere tener un conocimiento profundo de los mecanismos de seguridad y el funcionamiento interno de la aplicación, además de probar la aplicación para evaluar si existen vulnerabilidades críticas que podrían resultar en una violación de datos. Según lo anterior, el software preconstruido es más fácil de probar y, a menudo, más fácil de obtener documentación.

Además, los investigadores de seguridad a menudo han realizado pruebas de seguridad en software preconstruido, ya que dichas aplicaciones suelen ser utilizadas por varias empresas, mientras que el software personalizado, que puede ser utilizado por una sola empresa, puede no estar bien documentado o probado y, por lo tanto,, puede necesitar pruebas de seguridad especiales y auditorías por parte de un profesional.

Las soluciones preconstruidas probablemente incluirán un reclamo de cumplimiento de HIPAA

Por lo general, es más fácil determinar si las soluciones de software preconstruidas (de un tercero) cumplen con HIPAA debido a otra razón: dichos conjuntos de software a menudo incluyen un reclamo de cumplimiento de HIPAA. Esto generalmente significa que el sistema de software se desarrolló teniendo en cuenta la seguridad y, específicamente, se desarrolló para cumplir con las estrictas normas establecidas por la propia HIPAA. Sin embargo, es muy importante que las empresas recuerden que, en última instancia, la responsabilidad recae en la propia empresa para garantizar que el sistema de software cumpla verdaderamente con HIPAA, independientemente de si lo afirma el proveedor o un tercero.

Puedes leer:  Factores de autenticación: Cómo configurar la autenticación segura

Comprenda qué partes de HIPAA se aplican directamente a su software

HIPAA en sí es compuesto por una variedad de reglas que normalmente se aplican a la comunicación oral de datos privados de pacientes y al almacenamiento/transmisión electrónica de dichos datos. Las dos reglas más importantes asociadas con las regulaciones de HIPAA son la Regla de Privacidad y la Regla de Seguridad, aunque existen otras reglas en la Ley (es decir, la Regla de Cumplimiento, la Regla Omnibus, etc.). Es importante reconocer qué normas de la Ley se aplican a los sistemas informáticos/software y cómo se aplican.

La mayoría de los factores relacionados con la tecnología caen bajo la regla de seguridad de HIPAA

Según lo anterior, para software/sistemas informáticos y medios electrónicos, el Regla de seguridad es la regla de HIPAA (la Ley) la más aplicable. La regla de seguridad determina que toda la información de salud protegida electrónica/e-PHI (p. ej, historial de salud mental, pagos de salud, historial de atención médica, etc.) se administra con salvaguardas administrativas, físicas y técnicas implementadas.

Según el HHS, las entidades cubiertas deben garantizar la confidencialidad, la integridad y la disponibilidad de la e-PHI e identificar, administrar y mitigar las amenazas y los riesgos para la seguridad, la integridad y la confidencialidad de la información del paciente ( Resumen de la regla de seguridad de HIPAA ). Por lo general, las reglamentaciones establecidas en la Regla de seguridad buscan establecer un entorno seguro donde el personal autorizado tenga acceso a la información del paciente, mientras que las personas no autorizadas no, y al mismo tiempo garantizar que la información del paciente no se altere ni destruya.

Solo ciertas partes de las tres medidas de seguridad básicas se relacionan con el software

Como se señaló anteriormente, la regla de seguridad dentro de las reglamentaciones de HIPAA se compone de tres salvaguardas principales: salvaguardas administrativas, salvaguardas físicas y salvaguardas técnicas. Las salvaguardas administrativas se aplican a la gestión de la seguridad, la capacitación/auditoría del personal y la capacitación de la fuerza laboral, mientras que las salvaguardas físicas son indicativas de la protección del acceso a los sistemas informáticos y de software, incluidos los sistemas informáticos, las instalaciones, los sistemas/servidores de red, los servidores en la nube, etc.

Las salvaguardas técnicas se aplican a todos los métodos de acceso electrónico a todos los sistemas que almacenan/transmiten datos de pacientes. Según el tipo de organización médica que opere en los EE. UU, solo se aplicarán partes de las tres salvaguardas, mientras que las salvaguardas técnicas son más pertinentes para la gestión de datos de pacientes a través de software/sistemas informáticos.

Las salvaguardias administrativas se aplican al almacenamiento y la accesibilidad de los datos

Según el HHS, las salvaguardas administrativas indican lo siguiente:

  • Proceso de gestión de la seguridad
  • Personal de seguridad
  • Gestión de acceso a la información
  • Capacitación y gestión de la fuerza laboral
  • Evaluación

(Resumen de la regla de seguridad de HIPAA)

Cada uno de los anteriores corresponde a las políticas de gestión administrativa, capacitación y control de acceso que deben operar como lineamientos en las organizaciones médicas para el manejo seguro de los datos de los pacientes.

Las protecciones físicas cubren los puntos de acceso al software

Según lo anterior, el HHS estipula que las medidas de seguridad físicas se refieren a lo siguiente:

  • Acceso y control de instalaciones
  • Seguridad de estaciones de trabajo y dispositivos

(Resumen de la regla de seguridad de HIPAA)

Las salvaguardas físicas se relacionan principalmente con la gestión del acceso a sistemas informáticos/software, instalaciones, estaciones de trabajo, dispositivos, etc. que utiliza la organización médica para acceder a los datos de los pacientes.

Salvaguardias técnicas: el factor más importante contra el que comparar su software

Las salvaguardas técnicas, según el HHS, son las siguientes:

  • Control de acceso
  • Controles de auditoría
  • Controles de integridad
  • Seguridad de transmisión

(Resumen de la regla de seguridad de HIPAA)

Las salvaguardas técnicas se aplican principalmente a los sistemas de software y los mecanismos mediante los cuales se almacenan, recuperan y transmiten los datos de los pacientes. Es importante tener en cuenta que los mecanismos de seguridad específicos (arriba), que son necesarios para cumplir con la Regla de seguridad, son en última instancia pautas y no revelan los detalles sobre qué se utilizará exactamente para el cumplimiento, es decir, qué cortafuegos específicos, anti-malware, o sistemas de encriptación a utilizar, etc.

Comprobación del cumplimiento de su software con las garantías técnicas

Según lo anterior, para garantizar el cumplimiento completo de las normas y reglas de HIPAA, se debe llevar a cabo la diligencia debida para verificar minuciosamente todos los sistemas de software en uso. Esto incluye todos los sistemas de software que manejan datos de pacientes de cualquier manera, incluidos sistemas de bases de datos, sistemas de comunicación, sistemas financieros, sistemas de correo electrónico, sistemas de red, etc. Cualquier organización médica que permita a los pacientes acceder a sus registros a través de una interfaz web debe verificar minuciosamente su red. sistemas y servidores web en busca de vulnerabilidades.

Dicho esto, la verificación de los sistemas de software debe incluir algunas prácticas recomendadas, como: ponerse en contacto con los administradores del sistema, obtener comentarios de los proveedores y/o desarrolladores de los sistemas de software, obtener información sobre si el software de terceros cumple con HIPAA, obtener documentación y recomendaciones técnicas. documentos sobre los sistemas de software, e incluso comprobar el código fuente si el software es de código abierto.

Después de obtener toda la información técnica requerida sobre los mecanismos de seguridad y el funcionamiento interno del software, es importante comprender cómo se almacenan los datos a través de los sistemas de software, cómo se recuperan y cómo se transmiten. Después de eso, es importante que los sistemas de software se prueben de forma pasiva y activa para garantizar la seguridad completa de los datos.

1. Comience por comprender dónde se almacenan sus datos

El primer paso para garantizar que los sistemas de software de una organización médica cumplan con las regulaciones de HIPAA es identificar cómo se almacenan los datos de los pacientes. Esto puede incluir sistemas de almacenamiento interno (sistemas de bases de datos, servidores, etc.) o sistemas de almacenamiento externo (almacenamiento en la nube), y debe incluir una evaluación de qué tan segura es la solución de almacenamiento.

Sistema Interno Cerrado Vs Sistema en la Nube

Los sistemas de almacenamiento interno cerrado pueden incluir bases de datos, servidores internos y una variedad de estaciones de trabajo y dispositivos en una organización médica. En contraste, el almacenamiento en la nube utiliza servidores en línea que generalmente se encuentran fuera de la organización médica. Al ser un sistema de almacenamiento en línea, es importante que la red que se utiliza para almacenar los datos de los pacientes (en la nube) sea completamente segura.

Puedes leer:  La importancia de construir un portal de cliente seguro

¿Qué tan seguro es el sistema en el que se almacenan los datos?

Como se señaló anteriormente, el método mediante el cual se almacenan los datos del paciente debe ser completamente seguro, ya sea que la organización médica utilice sistemas de almacenamiento en línea, en la nube o de almacenamiento interno. Si bien el almacenamiento en la nube, cuando se implementa correctamente, es un método sólido y seguro de almacenamiento de datos, los sistemas de almacenamiento interno también pueden ser seguros cuando se implementan correctamente. Al revisar las reglas de protección técnica de HIPAA, es importante que las organizaciones médicas implementen sistemas de almacenamiento de datos que aseguren la integridad de los datos (como a través de hashing/sumas de control ), junto con los mecanismos de control de acceso adecuados. Hacer una práctica recomendada de este tipo a través de los sistemas de almacenamiento interno permite un mayor control sobre los mecanismos de seguridad, mientras que las soluciones tradicionales de almacenamiento en la nube pueden no hacerlo. Además, con las organizaciones médicas que permiten que los pacientes accedan a sus registros a través de un navegador web, se deben implementar suficientes mecanismos de autenticación y autorización, junto con el salting (y hash) de las contraseñas de los pacientes con respecto al almacenamiento de contraseñas de pacientes en una base de datos.

2. Considere las formas en que se transfieren los datos

Como se ha señalado anteriormente, según las estadísticas, la mayor vulnerabilidad asociada con los sistemas de TI médicos ha sido con respecto a los sistemas de red y servidores. Por lo tanto, la transmisión de datos a través de una red, ya sea inalámbrica o por cable, es un factor crucial para determinar si los sistemas de TI de una organización médica son realmente seguros.

¿Se utiliza el cifrado al transferir datos a través de redes abiertas?

Según lo anterior, uno de los factores más importantes asociados con la transmisión de datos a través de una red médica es si los datos están encriptados o no. Los ciberdelincuentes pueden olfatear los datos de texto sin cifrar, lo que les permite capturar y/o acceder a los datos privados de los pacientes de forma no autorizada. El cifrado de datos evita que los ciberdelincuentes puedan descifrar los datos privados en la transmisión, incluso si se capturan.

Dicho esto, las organizaciones médicas no deben utilizar estándares inalámbricos abiertos (WiFi) como la autenticación de sistemas abiertos, sino que deben usar estándares sólidos (WPA2, clave precompartida) para la autenticación de puntos de acceso y estándares de cifrado sólidos asociados con las mejores prácticas de seguridad, como AES. -256. Además, con respecto a las sumas de verificación/hashing, se deben usar funciones hash fuertes, como SHA-256. Las mejores prácticas estipulan que es mejor evitar los estándares de seguridad del sistema criptográfico/de red "rotos" como MD5, SHA-1, WEP, RC4 (algoritmo), etc.

Nunca está de más tener ayuda para verificar el cumplimiento de HIPAA

Una auditoría de seguridad exhaustiva y una verificación del cumplimiento de HIPAA no están completas sin que un profesional participe en pruebas de seguridad pasivas y activas en los sistemas de software médico, lo que ayuda a garantizar que los sistemas no tengan vulnerabilidades críticas. Tales pruebas también aseguran que los controles de seguridad estén correctamente instalados e implementados. Dicho esto, es importante que los sistemas médicos se sometan a un análisis de vulnerabilidad pasiva, que se utiliza para determinar si existen vulnerabilidades conocidas en la infraestructura de TI médica, y una prueba de penetración activa, que se utiliza para probar activamente los controles de seguridad para determinar si se puede eludir, y si se puede llevar a cabo una piratería exitosa de los sistemas de software.

Además, según las reglamentaciones de HIPAA, se debe usar un sistema de registro/auditoría de TI para monitorear todas las actividades de la red, junto con el uso de suites antimalware, firewalls y sistemas de detección de intrusos (IDS) para garantizar la seguridad completa de los datos de las redes médicas.

Además, todas las aplicaciones web y las redes deben probarse en busca de vulnerabilidades comunes, como secuencias de comandos entre sitios (XSS), inyección de SQL y otros vectores de ataque comunes que los ciberdelincuentes usan para explotar sistemas de TI débiles. Las interfaces web que permiten a los pacientes acceder a sus datos en línea también deben usar TLS, y no el estándar SSL roto.

Además, el uso de conjuntos de pruebas de seguridad específicos de HIPAA se puede implementar para probar exhaustivamente los sistemas de TI médicos, lo que ayuda a garantizar que todos esos sistemas sean seguros y cumplan con HIPAA. Un ejemplo de una herramienta de este tipo es el lanzamiento conjunto Herramienta de evaluación de riesgos de seguridad (SRA) de HIPAA.

Lleve a cabo su diligencia debida y mitigue los costos de violación de datos

HIPAA es una legislación estadounidense compleja que regula cómo se maneja, almacena y transmite la información privada de un paciente médico. La Ley estipula que todas las organizaciones de salud toman la diligencia debida para proteger la PHI (Información de Salud Protegida) de sus pacientes, incluso cuando se utilizan sistemas informáticos y de software para registrar y transmitir dicha información privada. Debido a eso, se pueden aplicar reglas específicas dentro de HIPAA a la infraestructura de software de una empresa, como la regla de seguridad de la Ley, que indica que se deben implementar ciertas medidas de seguridad.

Cuando se trata de la salvaguarda más pertinente, las salvaguardas técnicas, es muy importante que las empresas evalúen, analicen y prueben minuciosamente sus sistemas para asegurarse de que cumplen con las reglamentaciones vigentes. Junto con eso, el uso de estándares de encriptación sólidos, sistemas seguros de almacenamiento de datos y pruebas de seguridad activas y pasivas, como pruebas de penetración y escaneos de vulnerabilidad (respectivamente), puede ayudar a mitigar una filtración de datos costosa antes de que suceda, mientras se muestra la diligencia debida para cumplir. con las pautas y regulaciones de HIPAA.


Si quieres conocer otros artículos parecidos a Cómo verificar si su software es realmente compatible con HIPAA puedes visitar la categoría Seguridad.

Entradas Relacionadas 👇👇

Go up