Datos seguros en tránsito

HIPAA requiere diferentes cosas del software de encriptación dependiendo de si está ‘en reposo o ‘en tránsito.

En reposo: los datos están inactivos, almacenados en un disco duro o SSD, o en un dispositivo como una tableta. Los datos deben estar protegidos por criptografía avanzada, seguridad de disco completo/disco virtual y encriptado de dispositivos móviles (cuando aplique).

En tránsito: movimiento entre un remitente y un destino, como por correo electrónico, transmisión a la nube o entre un servidor y un dispositivo móvil.

El cumplimiento de HIPAA es posible gracias a medidas como AES-256, casi imposible de ser quebrantada por ataques por fuerza bruta y aprobada para el manejo de datos confidenciales por el gobierno de EE. UU. TLS (Transport Layer Security o Capa de seguridad de transporte) es otro protocolo para la transmisión segura de datos, como HTTPS, correo electrónico o mensajería instantánea. También utiliza AES-256, combinado con otras medidas de seguridad. OpenPGP (Pretty Good Privacy) y S/MIME también cumplen con HIPAA pero tienen requisitos de administración de claves públicas que muchos encuentran laboriosos de usar en comparación con AES-256 y TLS 1.2.

La recomendación común es que los sistemas seguros utilicen el encriptado AES-256 para los datos en reposo y TLS para los datos en tránsito. Sin embargo, este no es el principio y el fin de todas sus medidas de seguridad. Es importante identificar y mitigar las debilidades en su cumplimiento de seguridad HIPAA.

• Fuerza laboral y capacitación (ingeniería social): es un cliché porque es cierto: los humanos son el eslabón más débil en la ciberseguridad, y esto no es diferente en la industria de la salud
• Dispositivos perdidos o robados: como se mencionó anteriormente, las computadoras portátiles, unidades flash, teléfonos u otros dispositivos perdidos que contienen ePHI pueden requerir pagos de siete cifras.
• Socios externos: cualquier proveedor externo de TI o nube que maneje ePHI debe tener la misma dedicación a los estándares de seguridad técnica que el proveedor de salud o el servicio con el que trabaja.
• Sistemas/servidores de correo electrónico no seguros: si alguien en su organización todavía usa clientes o servidores de correo electrónico no seguros, apáguelos.
• Encriptado débil: los avances en la tecnología informática, especialmente en la computación cuántica, significan que los antiguos estándares de cifrado que durante mucho tiempo se consideraron suficientemente seguros pueden, de hecho, ser peligrosamente porosos para los ciberdelincuentes modernos.
• Claves y certificados de encriptado estancados: las claves de encriptado que se utilizan más allá de la vida útil recomendada por NIST, o después de una filtración de datos, pueden poner en peligro a las organizaciones.

Las garantías técnicas de HIPAA pueden ser confusas porque los requisitos de encriptación se denominan ‘accesibles. La redacción para el encriptado de PHI es vaga: “…las entidades deben implementar un mecanismo para cifrar la PHI cuando lo consideren apropiado”.

En este contexto, ‘accesibles’ significa que se debe implementar una salvaguarda o una alternativa equivalente, o bien debe documentarse una razón justificable por la cual no se empleó la salvaguarda. Por ejemplo, las comunicaciones internas a través de un servidor interno protegido por un firewall pueden no presentar ningún riesgo de fuentes externas para la integridad de la PHI. Sin embargo, la comunicación que contiene la ePHI que deja a una entidad protegida por firewalls debe tratarse ahora con una protección accesible.

Las entidades solo pueden transmitir ePHI por correo electrónico a través de redes abiertas si esa información está adecuadamente protegida. Se debe realizar un análisis de riesgos para encontrar los riesgos para la confidencialidad, integridad y disponibilidad de la ePHI, de modo que se pueda diseñar un plan de gestión de riesgos para reducir esos riesgos a un nivel apropiado.

El encriptado universal de mensajes es un método común de gestión de riesgos, aunque se pueden utilizar niveles de protección equivalentes en lugar del encriptado.

Además de las computadoras portátiles y las unidades flash perdidas o robadas, los dispositivos móviles personales en el lugar de trabajo pueden debilitar la integridad de la PHI. Alrededor de 4 de cada 5 profesionales de la salud usan una tableta para gestionar el flujo de trabajo. Prohibir el uso de dispositivos no encriptados en las organizaciones de salud provocaría una interrupción masiva de la comunicación además de otros aspectos de la industria de la salud.

Las plataformas de mensajería segura ofrecen una posible solución a este problema, ya que cumplen con los requisitos de encriptado de HIPAA al cifrar la PHI tanto en reposo como en tránsito. Las comunicaciones que contienen PHI no se pueden descifrar si se interceptan o se accede a ellas sin autorización. Las soluciones de mensajería segura no solo cumplen con los requisitos de cifrado de correo electrónico de HIPAA, sino también con los requisitos de control de acceso, controles de auditoría, controles de integridad y autenticación de ID. Esta solución es mucho más útil que los localizadores, ya que permite compartir información médica (incluidas imágenes) de forma segura.

A medida que avanza la tecnología y el delito cibernético se vuelve más sofisticado, la necesidad de cumplir con las normas HIPAA y otras leyes para proteger la información en tránsito de salud protegida de los pacientes solo se volverá más marcada.

#KingstonIsWithYou