Datos en tránsito protegidos

La HIPAA estipula diversos requisitos del software de cifrado, en función de si los datos están ‘en reposo’ o ‘en tránsito’.

En reposo: los datos están inactivos, guardados en un disco duro, un disco SSD o un dispositivo como una tableta. Los datos deberían estar protegidos mediante criptografía avanzada, protección integral del disco o disco virtual y cifrado del dispositivo móvil (si procediese).

En tránsito: los datos se mueven activamente entre un remitente y un destino, como por ejemplo por correo electrónico, una transmisión a la nube o entre un servidor y un dispositivo móvil.

El cumplimiento de la HIPAA se hace posible mediante medidas como AES-256, prácticamente imposible de quebrar mediante ataques de fuerza bruta, y homologada para el tratamiento de datos confidenciales por parte del gobierno de EE.UU. TLS (Transport Layer Security, Seguridad de la capa de transporte) es otro protocolo para la transmisión segura de datos, como HTTPS, correo electrónico o mensajería instantánea. Utiliza asimismo AES-256, combinado con otras medidas de seguridad. También OpenPGP (Pretty Good Privacy, Privacidad de la buena) y S/MIME son compatibles con la HIPAA, aunque tienen requisitos de administración pública de claves que dificultan su uso, en comparación con AES-256 y TLS 1.2.

La recomendación habitual es que los sistemas seguros utilicen el cifrado AES-256 para los datos en reposo, y TLS para los datos en tránsito. Sin embargo, las medidas de seguridad no deben limitarse solamente a esto. Es importante identificar y mitigar los puntos débiles de su protección compatible con la HIPAA.

• Personal y capacitación (ingeniería social): se ha convertido en un cliché... porque es verdad: los humanos son el eslabón más débil de la ciberseguridad, y la afirmación también es válida para el sector sanitario
• Pérdida o robo de dispositivos: como ya hemos mencionado, la pérdida de portátiles, unidades Flash, teléfonos y otros dispositivos que contienen eDSP puede conllevar indemnizaciones de siete cifras
• Colaboradores externos: cualquier proveedor externo de servicios informáticos o de alojamiento en la nube que maneje eDSP debe tener el mismo compromiso para con las normas de seguridad técnicas como el proveedor o el servicio sanitario con quien colaboren
• Sistemas/servidores de correo electrónico no protegidos: si alguna persona de su organización todavía utiliza clientes o servidores de correo electrónico no protegidos, suprímalos
• Cifrado defectuoso: los avances de la tecnología informática, en especial la cuántica, implican que las antiguas normas de cifrado consideradas suficientemente seguras pueden ser, de hecho, peligrosamente porosas para los ciberdelincuentes modernos
• Claves y certificados de cifrado obsoletos: las claves de cifrado que se utilizan más allá del ciclo de vida recomendado por NIST, o después de una vulneración de datos, pueden dejar a las organizaciones abiertas al peligro

Las protecciones técnicas previstas por la HIPAA pueden ser confusas, porque los requisitos de cifrado se denominan ‘direccionables’. El lenguaje relativo al cifrado de los DSP es vago: “…las entidades deberían implementar un mecanismo para cifrar los DSP cuando ello se considere apropiado”.

En este contexto, ‘accesible’ significa que debería implementarse una protección, o una alternativa equivalente, o bien documentar un motivo que justifique no haber utilizado la protección. Por ejemplo, las comunicaciones internas a través de un servidor interno protegido por un cortafuegos no suelen suponer un riesgo para la integridad de los DSP procedente de fuentes externas. Sin embargo, ahora las comunicaciones que contienen eDSP que salen fuera de la entidad protegida por cortafuegos deben estar sujetas a una protección direccionable.

Las entidades solamente pueden transmitir eDSP por correo electrónico a través de redes abiertas solamente si están adecuadamente protegidos. Debe realizarse un análisis de seguridad para identificar los riesgos para la confidencialidad, integridad y disponibilidad de los eDSP, de modo que debe prepararse un plan de gestión de riesgos para reducirlos hasta un nivel admisible.

El cifrado universal de mensajes es un método habitual de gestión de riesgos, aunque pueden utilizarse niveles de protección equivalentes en lugar del cifrado.

Al igual que los portátiles y unidades Flash perdidos o robados, también los dispositivos móviles personales en el lugar de trabajo pueden socavar la integridad de los DSP. Aproximadamente 4 de cada 5 profesionales sanitarios utilizan una tableta para gestionar sus flujos de trabajo. Prohibir el uso de dispositivos no cifrados en las organizaciones sanitarias podría causar enormes trastornos en las comunicaciones, así como en otros aspectos del sector.

Algunas plataformas de mensajería ofrecen una posible solución a este problema, ya que cumplen los requisitos de cifrado de la HIPAA encriptando los DSP tanto en reposo como en tránsito. Las comunicaciones que contienen DSP resultan indescifrables si son interceptadas o si acceden a las mismas personas no autorizadas. Las soluciones de mensajería seguras no solamente cumplen los requisitos de cifrado de correos electrónicos de la HIPAA, sino también los requisitos de control de acceso, control de auditoría, controles de integridad y autenticación de identidades. Esta solución es mucho más útil que los buscapersonas, ya que permiten compartir de manera segura información médica (incluyendo imágenes).

A medida que avanza la tecnología y la ciberdelincuencia se sofistica, la necesidad de cumplimiento normativo de la HIPAA y de otras leyes para proteger los datos sanitarios en tránsito de los pacientes se hará más acuciante.

#KingstonIsWithYou