Para comenzar, haga clic en aceptar a continuación para abrir el panel de administración de cookies. A continuación, toque o haga clic en el botón Personalización para activar la función de chat y, a continuación, en Guardar.
Si usted está interesado en la seguridad de los datos para las organizaciones de salud, una cosa que puede preguntarse es por qué las regulaciones y la responsabilidad legal juegan un papel tan importante al influir en las tecnologías de datos en tránsito por las que opta su organización. Uno de los mayores factores de estrés en torno a las TI para el sector de la salud es la importancia del cumplimiento de las normas de seguridad de datos, como la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (más conocida como HIPAA o Healthcare Insurance Portability and Accountability Act).
HIPAA tiene tres reglas fundamentales para proteger a los pacientes y su información:
Regla de privacidad: información y documentación de salud protegida
Regla de notificación de infracciones: cómo las organizaciones informan las infracciones de seguridad a las autoridades y los pacientes
Regla de seguridad: establece estándares de seguridad para el almacenamiento y transmisión de información de salud protegida (protected health information o PHI)
Estas reglas garantizan que las organizaciones asuman la responsabilidad de la confidencialidad y la seguridad de ePHI (PHI electrónica), así como de anticipar y proteger de las amenazas a estos datos. Sin embargo, no especifican un protocolo, tecnología o estándar en particular para hacerlo. Esto se debe a que, a medida que evolucionan las amenazas de ciberseguridad, también deben evolucionar las tecnologías de seguridad HIPAA. En lugar de especificar qué protocolos de encriptado eran necesarios, un paso que habría socavado la eficacia de la ley al vincularla a tecnologías específicas, la legislación simplemente estipuló la solidez y confiabilidad de los estándares de seguridad que se deben utilizar para proteger ePHI. Esto se hizo con el asesoramiento del NIST (Instituto Nacional de Ciencia y Tecnología), para que la ley sea vigente también en el futuro. Las entidades pueden elegir la solución más adecuada a sus circunstancias y aplicarla a su sistema.
HIPAA requiere diferentes cosas del software de encriptación dependiendo de si está ‘en reposo o ‘en tránsito.
En reposo: los datos están inactivos, almacenados en un disco duro o SSD, o en un dispositivo como una tableta. Los datos deben estar protegidos por criptografía avanzada, seguridad de disco completo/disco virtual y encriptado de dispositivos móviles (cuando aplique).
En tránsito: movimiento entre un remitente y un destino, como por correo electrónico, transmisión a la nube o entre un servidor y un dispositivo móvil.
El cumplimiento de HIPAA es posible gracias a medidas como AES-256, casi imposible de ser quebrantada por ataques por fuerza bruta y aprobada para el manejo de datos confidenciales por el gobierno de EE. UU. TLS (Transport Layer Security o Capa de seguridad de transporte) es otro protocolo para la transmisión segura de datos, como HTTPS, correo electrónico o mensajería instantánea. También utiliza AES-256, combinado con otras medidas de seguridad. OpenPGP (Pretty Good Privacy) y S/MIME también cumplen con HIPAA pero tienen requisitos de administración de claves públicas que muchos encuentran laboriosos de usar en comparación con AES-256 y TLS 1.2.
La recomendación común es que los sistemas seguros utilicen el encriptado AES-256 para los datos en reposo y TLS para los datos en tránsito. Sin embargo, este no es el principio y el fin de todas sus medidas de seguridad. Es importante identificar y mitigar las debilidades en su cumplimiento de seguridad HIPAA.
Fuerza laboral y capacitación (ingeniería social): es un cliché porque es cierto: los humanos son el eslabón más débil en la ciberseguridad, y esto no es diferente en la industria de la salud
Dispositivos perdidos o robados: como se mencionó anteriormente, las computadoras portátiles, unidades flash, teléfonos u otros dispositivos perdidos que contienen ePHI pueden requerir pagos de siete cifras.
Socios externos: cualquier proveedor externo de TI o nube que maneje ePHI debe tener la misma dedicación a los estándares de seguridad técnica que el proveedor de salud o el servicio con el que trabaja.
Sistemas/servidores de correo electrónico no seguros: si alguien en su organización todavía usa clientes o servidores de correo electrónico no seguros, apáguelos.
Encriptado débil: los avances en la tecnología informática, especialmente en la computación cuántica, significan que los antiguos estándares de cifrado que durante mucho tiempo se consideraron suficientemente seguros pueden, de hecho, ser peligrosamente porosos para los ciberdelincuentes modernos.
Claves y certificados de encriptado estancados: las claves de encriptado que se utilizan más allá de la vida útil recomendada por NIST, o después de una filtración de datos, pueden poner en peligro a las organizaciones.
Las garantías técnicas de HIPAA pueden ser confusas porque los requisitos de encriptación se denominan ‘accesibles. La redacción para el encriptado de PHI es vaga: “…las entidades deben implementar un mecanismo para cifrar la PHI cuando lo consideren apropiado”.
En este contexto, ‘accesibles’ significa que se debe implementar una salvaguarda o una alternativa equivalente, o bien debe documentarse una razón justificable por la cual no se empleó la salvaguarda. Por ejemplo, las comunicaciones internas a través de un servidor interno protegido por un firewall pueden no presentar ningún riesgo de fuentes externas para la integridad de la PHI. Sin embargo, la comunicación que contiene la ePHI que deja a una entidad protegida por firewalls debe tratarse ahora con una protección accesible.
Las entidades solo pueden transmitir ePHI por correo electrónico a través de redes abiertas si esa información está adecuadamente protegida. Se debe realizar un análisis de riesgos para encontrar los riesgos para la confidencialidad, integridad y disponibilidad de la ePHI, de modo que se pueda diseñar un plan de gestión de riesgos para reducir esos riesgos a un nivel apropiado.
El encriptado universal de mensajes es un método común de gestión de riesgos, aunque se pueden utilizar niveles de protección equivalentes en lugar del encriptado.
Además de las computadoras portátiles y las unidades flash perdidas o robadas, los dispositivos móviles personales en el lugar de trabajo pueden debilitar la integridad de la PHI. Alrededor de 4 de cada 5 profesionales de la salud usan una tableta para gestionar el flujo de trabajo. Prohibir el uso de dispositivos no encriptados en las organizaciones de salud provocaría una interrupción masiva de la comunicación además de otros aspectos de la industria de la salud.
Las plataformas de mensajería segura ofrecen una posible solución a este problema, ya que cumplen con los requisitos de encriptado de HIPAA al cifrar la PHI tanto en reposo como en tránsito. Las comunicaciones que contienen PHI no se pueden descifrar si se interceptan o se accede a ellas sin autorización. Las soluciones de mensajería segura no solo cumplen con los requisitos de cifrado de correo electrónico de HIPAA, sino también con los requisitos de control de acceso, controles de auditoría, controles de integridad y autenticación de ID. Esta solución es mucho más útil que los localizadores, ya que permite compartir información médica (incluidas imágenes) de forma segura.
A medida que avanza la tecnología y el delito cibernético se vuelve más sofisticado, la necesidad de cumplir con las normas HIPAA y otras leyes para proteger la información en tránsito de salud protegida de los pacientes solo se volverá más marcada.
#KingstonIsWithYou
Pregunte a un experto
La planificación de la solución correcta requiere una comprensión de los objetivos de seguridad de su proyecto. Permita que los expertos de Kingston lo orienten.
Exige el cifrado de los datos confidenciales, a través de la designación de un director de seguridad, los programas de ciberseguridad y la adopción de ciberpolíticas.
¿Qué nos deparará 2021 en materia de tecnologías y tendencias? ¿Qué predicen sobre el futuro los miembros de KingstonCognate y los expertos del sector?
Tener un espacio de trabajo exclusivo, establecer prioridades y eliminar distracciones son solo algunas de las formas de aumentar la productividad desde casa.
La importancia de que las empresas consideren los ingresos, las ganancias y los riesgos como iguales en las organizaciones para garantizar la reducción de riesgos en la seguridad de los datos y la seguridad cibernética. Lea este artículo del experto de la industria, Bill Mew, quien le brindará más información sobre este tema.
¿Qué estrategias pueden usar las organizaciones para proteger mejor los datos de los clientes en un mundo posterior a la RGPD con la naturaleza en constante evolución de las amenazas de seguridad cibernética? Kingston agrupó el conocimiento de algunos de los comentaristas más experimentados del Reino Unido en seguridad cibernética para analizar cómo ha cambiado la protección de datos desde la introducción de la GDPR.
En nuestro libro electrónico "Los desafíos en la seguridad de la fuerza laboral móvil", le pedimos a tres expertos de la industria que proporcionaran información sobre la seguridad de los datos, el trabajo remoto y las preguntas y desafíos que enfrentan las organizaciones hoy y en el futuro.
Por ejemplo, el aeropuerto de Heathrow en Londres (30 de octubre de 2017) usa dispositivos USB sin encriptar para su almacenamiento fuera de la nube. Desafortunadamente, no estaban normalizados en dispositivos USB encriptados.
