Logotipo de Trellix
¿Por qué Trellix?
Plataforma
Servicios
Partners
Recursos
Acerca de
Primeros pasos
¿Ha sufrido un ataque?
Soporte
Póngase en contacto con nosotros
Menú principal
¿POR QUÉ TRELLIX?
¿Por qué Trellix? Ventajas de Trellix frente a la competencia La ventaja de Trellix Platform Certificaciones y conformidad
INTELIGENCIA DE AMENAZAS
Advanced Research Center Trellix Insights Informes de amenazas Últimos artículos de blog
Menú principal
FUNCIONES DE LA PLATAFORMA
Acerca de nuestra plataforma Trellix Wise Motor
CATEGORÍAS DE PRODUCTOS
Endpoint Security Data Security Network Security Threat Intelligence Email Security Security Operations View All Products
SOLUCIONES
Detección y respuesta al ransomware Estrategia de confianza cero (Zero-Trust) Inteligencia artificial y operaciones de seguridad CISO Sector público Seguridad para elecciones
Menú principal
SERVICIOS PROFESIONALES
Trellix Thrive Servicios MDR ( Managed Detection and Response) Servicios para soluciones Servicios de consultoría en ciberseguridad
EDUCACIÓN Y FORMACIÓN
Servicios educativos Cursos de formación
Menú principal
NUESTRA RED
Presentación para partners Security Innovation Alliance OEM & Embedded Alliances Servicios prestados por los partners
PORTAL DE PARTNERS
Inicio de sesión en el portal de partners de Trellix Conviértase en partner
PARTNERS ESTRATÉGICOS
Amazon Servicios web (AWS) Google Cloud Telefónica Tech
Menú principal
CENTRO DE RECURSOS
Biblioteca de recursos Historias de clientes Concienciación sobre la seguridad Temas
APRENDER
Seminarios web Semanalmente Serie de charlas técnicas Visitas guiadas por productos
INICIO DE SESIÓN
Inicio de sesión en Trellix Trellix Hive Developer Portal Marketplace
Menú principal
EMPRESA
Acerca de Trellix Equipo directivo Reconocimientos el sector Experiencias de los clientes Oportunidades de empleo
MEDIOS DE COMUNICACIÓN
Notas de prensa Últimas Noticias Blogs Acceder a la sala de prensa
CONECTAR
Eventos Contáctenos

¿Qué es la regla de seguridad y la regla de privacidad de HIPAA?

Definición Consecuencias Propietarios de las directivas Conformidad Solicitar una demostración

El Congreso de los Estados Unidos promulgó la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) en 1996 con el propósito original de mejorar la eficiencia y la eficacia del sistema de atención médica de los Estados Unidos. Con el tiempo, se agregaron varias reglas a HIPAA que se centran en la protección de la información confidencial de los pacientes.

Las entidades reguladas por la HIPAA incluyen planes de salud, centros de compensación de atención médica y cualquier proveedor de atención sanitaria que transmita electrónicamente información, como reclamaciones de salud, coordinación de beneficios y autorizaciones de derivación. Las entidades reguladas comprenden personas, organizaciones e instituciones, incluidas las instituciones de investigación y los organismos gubernamentales.

En 2013, la regla general, basada en la ley de tecnologías de la información sanitaria para la salud económica y clínica (HITECH), por sus siglas en inglés), amplió la ley HIPAA a los socios comerciales que pueden incluir abogados, contratistas de TI, contables e incluso servicios en la nube.

Consecuencias del incumplimiento

HIPAA requiere que las entidades reguladas, incluidos los socios comerciales, implementen protecciones técnicas, físicas y administrativas para la información sanitaria protegida (PHI). Estas medidas de seguridad tienen por objeto proteger no solo la privacidad, sino también la integridad y la accesibilidad de los datos.

La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. sanciona las infracciones no penales de HIPAA. El incumplimiento puede resultar en multas que oscilan entre 100 y 50 000 dólares por infracción "de la misma disposición" por año.

Muchas resoluciones de la OCR por infracciones de la HIPAA han terminado en multas de más de 1 millón de dólares. La sanción más importante a septiembre de 2016 era de 5,5 millones de dólares, impuesta a Advocate Health Care, como consecuencia de varias infracciones que afectaron a un total de 4 millones de personas.

Además de las sanciones civiles, las personas y organizaciones pueden ser responsables penalmente al obtener o divulgar la información de salud protegida a sabiendas, con falsos pretextos o con la intención de utilizarla con fines comerciales o maliciosos. Los delitos penales en el marco de la HIPAA son competencia del Departamento de Justicia de EE. UU. y pueden acarrear hasta 10 años de prisión, además de cuantiosas multas.

Las reglas de privacidad y seguridad

La regla de privacidad de la HIPAA establece estándares para proteger los registros médicos de los pacientes y otra información sanitaria. Especifica qué derechos tienen los pacientes sobre su información y requiere que las entidades reguladas protejan esa información. La regla de privacidad, fundamentalmente, aborda cómo se puede utilizar y divulgar la información sanitaria protegida. Como un subconjunto de la regla de privacidad, la regla de seguridad se aplica específicamente a la información de salud protegida electrónica o ePHI.

La regla de seguridad exige las siguientes protecciones:

Técnicas

Se define como la tecnología, las directivas y los procedimientos para el uso de la tecnología que protegen de forma colectiva información ePHI y controlan el acceso a ella.

Los estándares de protección técnica incluyen:

  • Acceso: se refiere a la capacidad o los medios para leer, escribir, modificar y comunicar los datos e incluye archivos, sistemas y aplicaciones. Los controles deben incluir identificadores de usuario únicos y cierres de sesión automáticos, y podrían incluir procedimientos de acceso durante emergencias, así como cifrado de datos.
  • Controles de auditoría: se refiere a los mecanismos para registrar y examinar las actividades relacionadas con ePHI dentro de los sistemas de información.
  • Integridad: requiere directivas y procedimientos para proteger los datos de la alteración o destrucción de forma no autorizada.
  • Autenticación: requiere la verificación de la identidad de la entidad o persona que quiere acceder a los datos protegidos.

Físicas

Definidas como medidas físicas, directivas y procedimientos para proteger los sistemas electrónicos de información y los equipos y edificios relacionados de los peligros naturales o medioambientales y de las intrusiones no autorizadas.

Los estándares de protección física incluyen:

  • Control de acceso a instalaciones: se trata de directivas y procedimientos para limitar el acceso a las instalaciones que albergan sistemas de información. Los controles podrían incluir operaciones de contingencia para restaurar los datos perdidos, un plan de seguridad de la instalación, procedimientos para controlar y validar el acceso según el rol y las funciones de una persona, y registros de mantenimiento de las reparaciones y modificaciones de la seguridad de la instalación.
  • Uso de estaciones de trabajo: aborda el uso empresarial adecuado de las estaciones de trabajo, que puede ser cualquier dispositivo informático electrónico o medios electrónicos almacenados en el entorno inmediato. Por ejemplo, es posible que la estación de trabajo que procesa la facturación de pacientes solo se utilice sin otros programas que se ejecuten en segundo plano, como un navegador.
  • Seguridad de estaciones de trabajo: requiere la implementación de protecciones físicas para las estaciones de trabajo que acceden a ePHI. Si bien la regla de uso de la estación de trabajo describe cómo se puede usar una estación de trabajo que contenga ePHI, el estándar de seguridad de la estación de trabajo dicta cómo se deben proteger físicamente las estaciones de trabajo del acceso no autorizado, lo que puede incluir mantener la estación de trabajo en una sala segura accesible solo por personas autorizadas.
  • Controles de dispositivos y soportes: se requieren directivas y procedimientos para la eliminación de hardware y medios electrónicos que contengan ePHI dentro y fuera de la instalación. La norma aborda la eliminación y reutilización de soportes, el mantenimiento de registros de todos los movimientos de soportes y la copia de seguridad/almacenamiento de datos.

Administrativas

Definidas como acciones administrativas, directivas y procedimientos para gestionar la selección, el desarrollo, la implementación y el mantenimiento de medidas de seguridad para proteger ePHI y gestionar la conducta de los empleados relacionada con la protección de ePHI.

Más de la mitad de la regla de seguridad de HIPAA se centra en las protecciones administrativas. Los estándares incluyen:

  • Proceso de gestión de la seguridad: incluye directivas y procedimientos para prevenir, detectar, contener y corregir violaciones de la seguridad. Una parte fundamental de este estándar es realizar un análisis de riesgos e implementar un plan de gestión de riesgos.
  • Responsabilidad de seguridad asignada: requiere un oficial de seguridad designado que sea responsable de desarrollar e implementar directivas y procedimientos.
  • Seguridad de la plantilla: se refiere a las directivas y procedimientos que rigen el acceso de los empleados a ePHI, incluidas la autorización, supervisión, autorización y terminación.
  • Gestión del acceso a la información: se centra en restringir el acceso innecesario e inapropiado a ePHI.
  • Concienciación y formación sobre seguridad: requiere la implementación de un programa de formación para concienciar en materia de seguridad para la totalidad de empleados de la entidad cubierta.
  • Procedimientos de respuesta a incidentes de seguridad: incluye procedimientos para identificar los incidentes y notificar a las personas adecuadas. Un incidente de seguridad se define como “el intento o el acceso no autorizado, el uso, la divulgación, la modificación o la destrucción de información o la interferencia con las operaciones del sistema de un sistema de información”.
  • Plan de contingencia: requiere planes para las operaciones de copia de seguridad de datos, recuperación ante desastres y modo de emergencia.
  • Evaluación: requiere una evaluación periódica de los planes y procedimientos de seguridad implementados para garantizar la conformidad permanente con la regla de seguridad de HIPAA.
  • Acuerdos comerciales y de asociados: requiere que todas las entidades reguladas tengan acuerdos o contratos por escrito para sus proveedores, contratistas y otros partners comerciales que crean, reciben, mantienen o transmiten ePHI en nombre de la entidad cubierta por HIPAA.

Garantizar la conformidad con HIPAA

HIPAA se diseñó para ser flexible y escalable para cada entidad cubierta y a medida que la tecnología evoluciona con el tiempo, en lugar de ser prescriptiva. Cada organización debe determinar cuáles son las medidas de seguridad razonables y apropiadas en función de su propio entorno.

Aunque algunas soluciones pueden ser costosas, el Departamento de Salud y Servicios Humanos (HHS) advierte que el coste no debe ser el único factor decisivo. El HHS hace énfasis en realizar evaluaciones de riesgos e implementar planes para reducir y gestionar los riesgos.

Si bien la regla de seguridad es tecnológicamente neutra, lo que significa que no requiere un tipo específico de tecnología de seguridad, el cifrado es una de las mejores prácticas. Un gran número de infracciones de datos HIPAA notificadas al OCR son consecuencia del robo y la pérdida de dispositivos no cifrados.

En los dos o tres últimos años, cada vez son más los incidentes provocados por ciberataques. Cifrar los datos protegidos los hace inutilizables para las partes no autorizadas, tanto si la violación se debe a la pérdida o robo del dispositivo como a un ciberataque. Como nota al margen, los datos cifrados que se pierden o roban no se consideran una violación de datos y no requieren notificación según la ley HIPAA.

A medida que aumenta la adopción de la nube por parte de las organizaciones, también deben considerar cómo afecta el uso de los servicios en la nube a la conformidad con la regla de seguridad de HIPAA y explorar soluciones de seguridad en la nube de terceros, como un CASB. Un servicio en la nube que gestiona ePHI es un socio empresarial en el marco de la HIPAA y, por tanto, debe firmar un acuerdo empresarial que especifique la conformidad. Sin embargo, la diligencia debida (y la responsabilidad final) recae en la entidad cubierta, incluso si un tercero causa la violación de datos.

El reconocimiento óptico de caracteres no solo investiga las infracciones notificadas, sino que también ha puesto en marcha un programa de auditoría. En los últimos años, tanto el número de compensaciones de la HIPAA como las multas no han dejado de aumentar. Las infracciones que dieron lugar a multas van desde infecciones de malware y falta de firewalls hasta no llevar a cabo evaluaciones de riesgos ni ejecutar los adecuados acuerdos con socios comerciales.

Según el HIPAA Journal, la violación de datos media de la HIPAA cuesta a una organización 5,9 millones, sin contar las multas impuestas por la OCR. Aunque las multas de la OCR pueden ascender a millones de dólares, el incumplimiento puede tener otras consecuencias, tales como pérdida de negocios, costes de notificación de infracciones y demandas de las personas afectadas, así como costes menos concretos, tales como daños a la reputación de la organización.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Awareness