Seguridad y tecnologías de la información en el sector sanitario: un cuestionario sobre el cumplimiento de la HIPAA

26 de agosto de 2014
Amy Newman
HIPAA

Como proveedor MSP el mercado actual, es probable que hayas oído hablar del acrónimo «HIPAA». Si alguno de tus clientes es un proveedor de servicios sanitarios, una cámara de compensación o una empresa que maneja información sanitaria protegida en formato electrónico (ePHI), es casi seguro que hayas oído hablar del cumplimiento de la HIPAA.

La HIPAA, o Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios, es un conjunto de normas de Estados Unidos que se aplican a todas las personas que tienen acceso a los datos y/o redes que contienen ePHI. Si usted sólo gestiona una red para un cliente que maneja ePHI, y aunque nunca acceda a la información, seguirá contando como "asociado comercial" según la ley, está legalmente obligado a cumplirla y puede ser considerado responsable en caso de violación de datos.

Esto significa que, si prestas servicios a clientes del sector sanitario o tienes intención de hacerlo, debes cumplir con la HIPAA. Aunque la HIPAA es una ley estadounidense, muchos países cuentan con normativas similares con requisitos análogos.

Esto nos lleva a una pregunta clave: ¿qué exige el cumplimiento de la HIPAA en materia de seguridad informática y gestión de identidades y accesos?

Afortunadamente, he resumido las respuestas a esta pregunta en una lista de sencillas preguntas de sí o no que puede plantear a su cliente. Si la respuesta es negativa, considéralo una mala señal.

Políticas y procedimientos de seguridad

Es necesario establecer políticas para gestionar y resolver todas las infracciones de seguridad. Puede plantear a sus clientes preguntas como:

  • ¿Saben sus empleados qué sanciones conllevan las infracciones de seguridad?
  • ¿Existen sanciones internas para los empleados que incumplan los procedimientos de seguridad?
  • ¿Saben todos tus usuarios qué hacer en caso de incidentes o problemas de seguridad?
  • ¿Existe algún procedimiento para documentar, hacer un seguimiento y resolver los problemas o incidentes de seguridad?
  • ¿Hay alguien encargado de revisar todos los registros, informes y archivos de seguridad?
  • ¿Hay algún responsable de seguridad encargado de gestionar las contraseñas y de aplicar una política de seguridad eficaz?
  • ¿Ha realizado alguna vez un análisis de riesgos?

Gestión de accesos

El acceso a la ePHI debe estar restringido a aquellos que tienen permiso para acceder a ella. Puede hacer a sus clientes preguntas como

  • ¿Dispone de medidas para autorizar o supervisar el acceso a la ePHI?
  • ¿Existen procesos para determinar la validez del acceso a la ePHI?
  • En caso de cese del empleado, ¿se bloquea su acceso a la ePHI?

Formación sobre sensibilización en Security

La HIPAA exige que se establezca un programa de formación en materia de seguridad para todo el personal. Puede plantear a sus clientes preguntas como:

  • ¿Se recuerda periódicamente a los empleados las cuestiones relacionadas con la seguridad?
  • ¿Organizas reuniones sobre la importancia de la seguridad de las contraseñas, el software y la informática?
  • ¿Son conscientes sus empleados del proceso que rodea al software malicioso?
  • ¿Dispone de procedimientos para la revisión periódica de los intentos de inicio de sesión?
  • ¿Se comprueba en esos procedimientos si hay discrepancias o problemas?
  • ¿Ha establecido procedimientos para controlar, gestionar y proteger las contraseñas?

El peor escenario posible

Debe existir un plan para la protección y el uso de la ePHI en caso de emergencia o catástrofe. Debe plantear a sus clientes preguntas como:

  • ¿Existen planes probados y revisados para casos de emergencia?
  • ¿Se han analizado las aplicaciones y los datos necesarios para estos planes de emergencia?
  • En caso de catástrofe (I.T.E.O.A.D.), ¿se pueden hacer o recuperar copias de la ePHI?
  • I.T.E.O.A.D… ¿Se puede restaurar o recuperar toda la información médica protegida (ePHI)?>
  • I.T.E.O.A.D... ¿Estará protegida su ePHI?
  • I.T.E.O.A.D... ¿Pueden completarse las funciones empresariales críticas relacionadas con la ePHI?

Contratos para asociados comerciales

Los contratos de asociado comercial son fundamentales tanto para los ITSP como para los MSP implicados que trabajan en el ámbito sanitario. Aunque no firmar un acuerdo puede proporcionar una ligera protección frente a la responsabilidad legal, detallar y firmar las obligaciones y responsabilidades acordadas puede proporcionar una protección significativamente mayor en caso de investigación, auditoría o infracción. La documentación es clave a la hora de protegerse.

Protección tecnológica y física

Deben establecerse procedimientos que limiten el acceso físico a las instalaciones y equipos que albergan datos de ePHI. Además, es igual de importante que los procedimientos garanticen que sólo puedan acceder a la ePHI los empleados que tengan permiso para ello.

Como profesional de TI, es tu responsabilidad garantizar que el acceso a las aplicaciones y a los datos que contienen información médica protegida (ePHI) se limite únicamente a los usuarios autorizados. Es aquí donde la autenticación cobra una importancia fundamental.

Un método que puede comentar con su cliente es la denominada autenticación multifactorial (MFA). Con la MFA, los usuarios inician sesión con una contraseña y un factor de seguridad adicional, como un escaneo de huella dactilar o un código de un solo uso generado por una aplicación móvil segura. El elevado nivel de seguridad de la MFA también permite a las empresas explorar otras soluciones de productividad y seguridad, como el inicio de sesión único (SSO), que permite que una única credencial dé acceso a otros servicios. Para muchas empresas que deben cumplir con la normativa HIPAA, la autenticación multifactorial y el inicio de sesión único son soluciones cómodas y prácticas para muchos de sus problemas de cumplimiento normativo.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

VSA de Kaseya garantiza el cumplimiento de la HIPAA por parte de Methodist Healthcare Ministries

Muchos sectores cuentan con normas de cumplimiento, pero pocos son tan estrictos como la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996Seguir leyendo

Leer la entrada del blog

13 cosas que todo MSP de servicios gestionados ( MSP saber sobre la HIPAA

Conocer la HIPAA no solo es importante para trabajar en el sector sanitario, sino que es un requisito imprescindible. Debes poder demostrar que cumples con la HIPAA. UnSeguir leyendo

Leer la entrada del blog