13 cosas que todo MSP de servicios gestionados ( MSP saber sobre la HIPAA

Junio 1, 2017
Doug Barney
HIPAA, Proveedor de servicios gestionados (MSP)

Conocer la HIPAA no sólo es importante para el trabajo sanitario: es un requisito absoluto.

Debe demostrar que cumple con la HIPAA. Un MSP realizar ningún trabajo relacionado con la HIPAA sin cumplir con dicha normativa. La buena noticia es que, una vez obtenida la certificación, podrá optar a contratos relacionados con la HIPAA y, al contar con las credenciales y los conocimientos necesarios, podrá cobrar una tarifa superior por sus servicios.

1. Las sanciones son graves.

Todas las grandes empresas del sector sanitario conocen la HIPAA. No les queda otra. Son las más afectadas por la normativa y las que tienen más probabilidades de ser objeto de auditorías frecuentes. Las empresas más pequeñas no siempre están preparadas para afrontar los riesgos. Pero las sanciones son más que graves.

A continuación se enumeran solo algunas de las multas impuestas en Estados Unidos en los últimos años:

  • Affinity Health Plan pagó 1,2 millones de dólares por no haber borrado los discos duros de sus fotocopiadoras de última generación antes de devolverlas a la empresa que se las había alquilado.
  • WellPoint no protegió adecuadamente una base de datos sanitaria en línea y tuvo que pagar 1,7 millones de dólares.
  • El Massachusetts Eye and Ear Infirmary no encriptó los ordenadores portátiles de los médicos y fue sancionado con una multa de $1.5 millones de dólares.
  • Phoenix Cardiac Surgery publicó la cita de un paciente en un calendario en línea y pagó $100,000 dólares.
  • Un Walgreens de Indiana violó la intimidad de una sola paciente y le pagó $1.44 millones de dólares.
  • Un hospicio con sede en Idaho perdió una laptop debido a un robo. La multa fue de $50,000 dólares.
  • Una consulta médica de Phoenix envió datos de pacientes a través de un correo electrónico no seguro y fue multada con 100 000 dólares.
  • Una práctica pediátrica en Massachusetts perdió una unidad flash y acordó pagar una multa de $150,000 dólares
  • Otra laptop robada en Boston resultó en que el médico tuviera que pagar $1 millón de dólares.
  • La pérdida de una unidad de copia de seguridad le costó 1,7 millones de dólares al Departamento de Salud del Estado de Alaska.

Esto sólo araña la superficie. El FSS mantiene una extensa lista de infracciones.

2. La encriptación es tu amiga.

La HIPAA exige que todos los datos de información médica protegida (PHI) que se transmitan por vía electrónica estén protegidos, lo que se consigue mejor mediante un cifrado robusto. De hecho, si los datos están cifrados de forma segura, el MSP el cliente quedan prácticamente a salvo de sanciones en caso de que se produzca una filtración de esos datos o de que un dispositivo perdido ya esté cifrado.

3. Los MSPs son responsables cuando los clientes infringen la HIPAA.

Los clientes se conocen como entidades cubiertas y, por definición, son responsables de cumplir todos los aspectos de la HIPAA. Los MSP que trabajan con el sector sanitario se denominan asociados comerciales y son tan responsables como el propio cliente.

4. Es probable que a sus clientes potenciales no les importe la HIPAA tanto como a usted.

Los hospitales muy grandes y otras grandes organizaciones sanitarias se toman en serio la HIPAA. Y son los que más recursos tienen para cumplir rigurosamente con la HIPAA, invertir en la tecnología necesaria para garantizar el cumplimiento y formar a su personal. Por desgracia, a la mayoría de las consultas pequeñas no les preocupa mucho la HIPAA: nunca han sido objeto de una auditoría y no esperan que eso ocurra.

Tu tarea consiste en convencerlos de lo contrario. Deben saber que una multa por incumplimiento de la HIPAA podría tener consecuencias económicas devastadoras y arruinar la confianza entre ellos y sus pacientes, lo que supondría un verdadero golpe para su negocio. Las organizaciones sanitarias más pequeñas son las que más necesitan los servicios MSP , ya que no están tan estrechamente vinculadas a las grandes compañías de seguros y a los hospitales.

5. La evaluación de seguridad es el primer paso importante en un proyecto de cumplimiento MSP .

En algunos casos, un MSP realizar una evaluación básica de seguridad para convencer a un cliente potencial del sector sanitario de que el cumplimiento de la HIPAA es realmente importante y de que necesita ayuda externa para lograrlo. Una vez que el cliente se haya interesado, una evaluación de seguridad en profundidad definirá qué hay que cambiar de inmediato, qué nuevas tecnologías deben implementarse y cómo MSP , como la gestión remota de equipos (RMM) y la gestión de autenticación y acceso, pueden ayudar a cumplir con la HIPAA. Con una oferta lo suficientemente amplia, podrás vender «Cumplimiento como servicio» al sector sanitario y, con suerte, a otros sectores.

6. Vale la pena documentarse.

Las normas de la HIPAA exigen que los MSP, como asociados comerciales, documenten las medidas de protección que se aplican a la ePHI. Estos documentos deben entregarse a todo el personal y este debe comprender su significado.

7. Necesita un Acuerdo de Colaboración Empresarial (Business Associate Agreement, BAA) de la HIPAA.

La Regla Final Ómnibus de la HIPAA exigía que los Asociados Comerciales obtuvieran BAA con sus clientes, la entidad cubierta. Básicamente, este acuerdo estipula que el asociado comercial se compromete a cumplir todas las normas de la HIPAA y a mantener a salvo la ePHI.

8. El cifrado es un aspecto confuso de las normas, pero de todos modos hay que pecar de precavido.

El cifrado es un área en la que la HIPAA no es completamente explícita. En su lugar, el HHS habla de hacer "lo que sea razonable y apropiado" para proteger la ePHI, y luego dice:

Para cumplir las normas que contengan especificaciones de aplicación abordables, la entidad cubierta realizará una de las siguientes acciones para cada especificación abordable:

  • Aplicar las especificaciones de aplicación direccionables
  • Aplicar una o varias medidas de seguridad alternativas para lograr el mismo objetivo
  • No aplicar ni una especificación de aplicación direccionable ni una alternativa

En esencia, esto significa que las entidades del sector sanitario o los analistas de negocios deben encontrar una forma eficaz de proteger los datos. Uno de los mayores problemas es el de los datos en tránsito. En este caso, la única forma de garantizar que los datos estén protegidos es cifrarlos de forma segura. Así pues, aunque la HIPAA no exige específicamente el cifrado, este es el único método razonable y viable para cumplir con los requisitos de la HIPAA de que la información médica protegida electrónica (ePHI) esté siempre protegida.

9. Por qué quieres encriptación de todos modos.

Lo más probable es que su evaluación de riesgos, incluso en una fase temprana, exigiera el cifrado. Eso lo convierte en una necesidad. El cifrado puede evitarle problemas. Muchas multas de la HIPAA se deben a la pérdida o el robo de dispositivos que contienen ePHI. La buena noticia es que no hay multas por dispositivos perdidos o robados si el dispositivo está cifrado; ni siquiera tiene que denunciarlo.

10. La evaluación de riesgos es tu amiga.

Esta es otra gran idea codificada por la normativa general de la HIPAA. La evaluación es obligatoria para las entidades cubiertas y los asociados comerciales.

La evaluación abarca:

  • Políticas de seguridad relacionadas con la HIPAA
  • Análisis de vulnerabilidades, riesgos y amenazas al sistema
  • Un plan para proteger y asegurar la ePHI independientemente de dónde se encuentre

11. Debe disponer de un plan de respuesta ante incidentes de seguridad (SIRP).

Además, como requisito imprescindible de la HIPAA, el SIRP detalla y documenta las medidas que se tomarán en caso de una violación de la seguridad u otros incidentes de seguridad. Parte de esto consiste en realizar un seguimiento de los incidentes de seguridad, con la esperanza de demostrar que no se han producido ataques exitosos. En caso de un ataque o una violación (incluso si solo se trata de un intento), debe documentar lo que ocurrió y la gravedad del incidente. Las organizaciones con más de 500 empleados, pacientes o socios deben informar del incidente al HHS.

12. Un MSP la mejor defensa en caso de una auditoría.

Una auditoría consiste en examinar una organización sanitaria para asegurarse de que cumple la normativa. El objetivo es definir el estado de la organización y ver qué medidas son necesarias para mejorar el rendimiento. Se supone que estas auditorías son anuales. La mayoría de las organizaciones sanitarias, incluso las grandes, no suelen estar preparadas para gestionar una auditoría, con toda su complejidad.

Un MSP perfectamente preparado para una auditoría, ya que MSP implementado todas las medidas de seguridad necesarias. El MSP todos los registros de eventos y MSP informes sobre quién accedió a qué y cuándo a través de la supervisión y gestión remotas (RMM).

13. Las salvaguardias y los controles de acceso requieren un nuevo enfoque de la autenticación y la gestión de accesos.

Uno de los mayores problemas, de hecho, el quid de la cuestión de la HIPAA, es asegurarse de que sólo aquellos con la debida autoridad pueden acceder a la ePHI y a los sistemas que la contienen. Las políticas y procedimientos de gestión del acceso a la información son fundamentales para bloquear el acceso no autorizado a la ePHI y a otros datos sanitarios.

Descargar el ebook "Guía del profesional de TI para minimizar el riesgo de cumplimiento sanitario" para descubrir las funcionalidades esenciales de un sistema de gestión de TI que le ayudará a garantizar que se satisfacen sus necesidades de cumplimiento.

Acerca del autor
Doug Barney fue el editor fundador de Redmond Magazine, Redmond Channel Partner, Redmond Developer News y Virtualization Review. Doug también fue editor ejecutivo de Network World, redactor jefe de AmigaWorld y redactor jefe de Network Computing.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

La verificación de copias de seguridad ahora es más inteligente: presentamos la verificación de capturas de pantalla con tecnología de IA

En una época marcada por ciberataques constantes, la complejidad de las infraestructuras y las crecientes expectativas de los clientes, ya no basta con disponer simplemente de copias de seguridad. Copias de seguridadSeguir leyendo

Leer la entrada del blog

Plantillas para informes QBR: Elabora informes QBR siempre profesionales con plantillas estandarizadas

Si alguna vez has elaborado una revisión trimestral de negocios (QBR) desde cero —una y otra vez—, ya sabes loSeguir leyendo

Leer la entrada del blog

Miércoles de 1 minuto: La historia de cómo convertir los conocimientos de la comunidad en MSP

Descubre la historia detrás de «1 Minute Wednesday» y cómo los conocimientos compartidos por la comunidad están ayudando a los MSP a alcanzar la madurez operativa, crecer de forma más inteligente y triunfar juntos.

Leer la entrada del blog