¿Qué es la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA)?
Garantice la privacidad y seguridad de los datos sanitarios implementando los controles y medidas exigidos por la HIPAA
Garantice la privacidad y seguridad de los datos sanitarios implementando los controles y medidas exigidos por la HIPAA
La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) es una ley federal aprobada por el gobierno de Estados Unidos, diseñada para proteger la confidencialidad de la información de salud personal. Esta ley exige a las organizaciones sanitarias, a sus socios comerciales y a otras entidades (denominadas entidades cubiertas y socios comerciales) que tomen medidas para garantizar la privacidad y la seguridad de la información de salud protegida (PHI) que pueda identificar a una persona.
La HIPAA proporciona ciertos derechos a las personas y esboza las directrices para la transmisión electrónica de datos sanitarios.
El cumplimiento de la HIPAA es obligatorio para todas las entidades cubiertas, incluidos los proveedores de atención médica y sus socios comerciales. El incumplimiento de las normas de la HIPAA, o el hecho de que las organizaciones cubiertas por esta ley no protejan adecuadamente la información de los pacientes frente a una violación de los datos, puede acarrear cuantiosas sanciones económicas.
La adopción de esta norma también ofrece a las empresas las siguientes ventajas:
Una parte fundamental para garantizar el cumplimiento de la HIPAA es garantizar el cumplimiento de las medidas administrativas, técnicas y físicas establecidas en la norma de seguridad de la HIPAA.
El conjunto de soluciones de gestión de TI de ManageEngine puede ayudar a su organización a cumplir con los controles relacionados con la gestión de TI y la seguridad que se dan en estas medidas.
Medidas administrativas
Medidas físicas
Medidas técnicas
Identificar y analizar los riesgos para la información de salud protegida electrónica y mitigarlos mediante estrategias efectivas como aplicar el cumplimiento de las políticas de seguridad y monitorear regularmente la actividad del sistema para detectar y abordar los incidentes de seguridad.
Identifique las brechas de seguridad, regule el acceso y optimice los procesos de aplicación de parches. Implemente el análisis del comportamiento de usuarios y entidades (UEBA) para detectar comportamientos inusuales de los usuarios. Aplique las políticas de prevención de pérdida de datos (DLP) y consolide el control sobre las operaciones de los endpoints. Limite el acceso de los administradores, priorice los riesgos y notifique a los administradores sobre las infracciones de las políticas.
Garantizar que sólo el personal autorizado y capacitado acceda a la información sensible, mediante procedimientos para autorizar el acceso, monitorear las autorizaciones y revocar el acceso cuando sea necesario, para proteger los datos de accesos no autorizados y violaciones.
Automatice la gestión del ciclo de vida del usuario. Optimice y proteja el acceso con MFA y SSO. Autorice el acceso a la ePHI para usuarios y grupos. Revise y detecte los inicios de sesión inadecuados con los informes de inicio de sesión de los usuarios. Utilice un control de acceso basado en roles para el acceso a la ePHI. Controle las conexiones de los dispositivos, las aplicaciones y automatice los ajustes de acceso. Gestione las cuentas de usuario en múltiples plataformas. Garantice la posibilidad de auditar las modificaciones de las cuentas y habilite alertas en tiempo real.
Controlar quién tiene acceso a la información sensible implementando políticas y procedimientos para autorizar, establecer y modificar los derechos de acceso de los usuarios, garantizando que sólo las personas autorizadas puedan acceder a datos específicos.
Supervise todas las actividades de la red para obtener amplia información sobre el acceso a los datos, el abuso de privilegios, la actividad de los usuarios, y los inicios y cierres de sesión. Reciba alertas en tiempo real por SMS o correo electrónico cuando las fuentes maliciosas interactúen con su red. Conceda a usuarios o departamentos específicos acceso a archivos, carpetas y registros. Aumente la eficiencia y proteja la información implementando la MFA y el SSO. Configure las condiciones para eliminar rápidamente a los usuarios de todos los directorios vinculados y revoque todo el acceso a las aplicaciones.
Establecer procedimientos para la actualización periódica de la seguridad, la protección contra el malware, el monitoreo del inicio de sesión, la gestión de contraseñas y la notificación de incidentes de seguridad.
Automatice los parches periódicos de los dispositivos vulnerables y proteja la ePHI disponible en ellos. Identifique y contenga rápidamente los incidentes mediante un sólido monitoreo, segmentación de la red y deshabilitación de las cuentas comprometidas. Erradique el malware eliminándolo, parcheando las vulnerabilidades y analizando los vectores de ataque.
Establecer protocolos para identificar, responder, mitigar y documentar los incidentes de seguridad para garantizar que cualquier brecha o evento de seguridad se aborde oportunamente para minimizar los daños y evitar que se produzcan en el futuro.
Recopile, centralice y analice logs de diversas fuentes, como servidores, aplicaciones, dispositivos de red, entre otros. Correlacione los datos de log recopilados para detectar patrones de ataque al instante. Detecte las fuentes maliciosas que interactúan con su red correlacionando los logs con los datos sobre amenazas obtenidos de fuentes contra amenazas globales. Gestione y supervise todos los incidentes fácilmente, con un proceso definido a lo largo de todo el ciclo de vida, al configurar estados personalizados. Asigne tickets automáticamente en función de la experiencia o los grupos de técnicos para obtener resoluciones precisas y puntuales y evitar que se repitan los incidentes.
Desarrollar y mantener políticas y procedimientos para responder a emergencias del sistema, garantizando que haya copias recuperables de la ePHI, recuperación de datos, pruebas periódicas del plan de contingencia, y evaluar la criticidad de las aplicaciones y los datos para apoyar la planificación de contingencia.
Correlacione los datos de log de varias fuentes para detectar incidentes de seguridad y emergencias del sistema. Cree tickets de incidentes, asigne tareas al personal designado y supervise el progreso de la resolución de incidentes. Identifique las vulnerabilidades en toda la infraestructura de TI y priorícelas según su gravedad. Evalúe la criticidad de las aplicaciones y los datos identificando las vulnerabilidades que podrían afectar a su disponibilidad o integridad durante las emergencias. Automatice el proceso de gestión de parches para sistemas operativos, aplicaciones y software de terceros. Garantice que los sistemas están actualizados con los últimos parches de seguridad.
Realizar evaluaciones periódicas, ajustándose a los cambios que afecten a la seguridad de la ePHI, para evaluar el cumplimiento de las normas de esta subcláusula por parte de una entidad cubierta o un socio comercial.
Reciba alertas en tiempo real sobre los eventos vitales y utilice informes pre-elaborados sobre el cumplimiento de la HIPAA para facilitar las auditorías. Archive de forma eficiente los datos de log durante un periodo prolongado para satisfacer los requisitos de cumplimiento. Aborde oportunamente las amenazas a la seguridad de la ePHI, gestione los incidentes y atienda los tickets de los problemas identificados, garantizando que sólo las personas autorizadas accedan a la ePHI, y monitoreando los ajustes y la salud de la red para seguir cumpliendo con las políticas de seguridad.
Desarrollar y aplicar protocolos para el acceso a las instalaciones durante las emergencias, incluyendo medidas de seguridad para evitar la entrada no autorizada y la manipulación. Implementar controles de acceso basados en roles para el personal, incluyendo la gestión de visitantes y el acceso al software. Establecer políticas que definan los requisitos específicos de las estaciones de trabajo para el tratamiento de la información de salud protegida
Gestione de forma centralizada la seguridad de los endpoints, aplique controles de acceso a los datos de los pacientes y utilice el acceso basado en roles. Regule el acceso a la red, mejore la seguridad de los dispositivos y defina los roles de los usuarios. Aplique los protocolos de acceso a las instalaciones durante las emergencias bloqueando a distancia los endpoints o restringiendo el acceso a los datos confidenciales almacenados en ellos. Cree y centralice los documentos de la base de conocimientos para protocolos como el acceso a las instalaciones, los controles de acceso y los requisitos de las estaciones de trabajo para el manejo de PHI.
Gestionar y proteger los dispositivos físicos y los medios de almacenamiento que contengan ePHI, utilizando controles de seguimiento, eliminación, cifrado y acceso de endpoints para evitar el acceso no autorizado o la pérdida de datos garantizando la protección de la privacidad del paciente.
Gestione el ciclo de vida de los dispositivos, incluida su eliminación. Borre de forma remota los datos de un dispositivo cuando sea robado o un empleado abandone la organización. Restrinja y controle el uso de dispositivos periféricos en la red, tanto a nivel de usuario como de equipo. Utilice la gestión de permisos para configurar el navegador, el firewall y las políticas de seguridad, así como para lograr el control de acceso a archivos, carpetas y el registro. Aplique el cifrado a archivos, carpetas y discos.
Gestionar el acceso autorizado a la ePHI a través de sistemas de autenticación, autorización, cifrado, auditoría y firewall que garanticen la confidencialidad, integridad y disponibilidad de los datos, contribuyendo al cumplimiento de la normativa.
Habilite la gestión centralizada de las cuentas de usuario y las políticas de autenticación de Active Directory (AD). Aplique mecanismos de autenticación seguros, como la autenticación multifactor (MFA), para verificar las identidades de los usuarios que acceden a los sistemas o recursos de ePHI. Ajuste los derechos de acceso de los usuarios dentro de cada aplicación asignándoles los roles y permisos pertinentes de forma masiva. Permita el acceso seguro con un solo clic a una amplia gama de aplicaciones, incluyendo AWS, Google Workspace, Salesforce y Microsoft Entra ID (anteriormente Microsoft Azure AD).
Implementar hardware, software y mecanismos de procedimientos que registran y examinan la actividad en los sistemas de información que contienen o utilizan ePHI.
Detecte con precisión los cambios en los permisos de los archivos, como los archivos creados, modificados, renombrados o eliminados. Obtenga una pista de auditoría de todos los eventos en sistemas, aplicaciones y redes para identificar las áreas de riesgo. Garantice el cumplimiento con plantillas listas para auditoría. Genere varios informes basados en los inicios y cierres de sesión de los usuarios, el uso de dispositivos USB y alerte a los equipos con base en el software añadido o eliminado, las actualizaciones periódicas del antivirus y el estado de los firewalls, BitLocker y las bóvedas de archivos.
Implementar políticas para proteger la ePHI de alteraciones y destrucciones no autorizadas. Utilizar mecanismos electrónicos para verificar la integridad de la ePHI, garantizando que permanezca inalterada y protegida.
Habilite el monitoreo de archivos en tiempo real para supervisar las modificaciones y eliminaciones no autorizadas de ePHI, y reciba alertas instantáneas. Detecte con precisión cambios en los permisos de los archivos, como archivos creados, modificados, renombrados o eliminados. Aplique controles de acceso y grabación de sesiones para garantizar la seguridad de la ePHI, con pistas de auditoría para la trazabilidad.
Implementar procedimientos para evaluar si las personas o entidades que pretenden acceder a la ePHI son realmente quienes dicen ser.
Aplique mecanismos de autenticación en los endpoints, garantizando que sólo los usuarios autorizados puedan acceder a la ePHI almacenada en estos dispositivos. Habilite la gestión centralizada de las cuentas de usuario de AD y las políticas de autenticación. Aplique mecanismos de autenticación seguros, como la MFA, para verificar las identidades de los usuarios que acceden a los sistemas o recursos de ePHI.
Implementar medidas técnicas de seguridad para proteger contra el acceso no autorizado a la ePHI que se transmite a través de una red de comunicaciones electrónicas. Garantizar que la ePHI no se modifique indebidamente sin ser detectada hasta su eliminación. Implementar mecanismos para cifrar la ePHI cuando se considere apropiado.
Monitoree y regule el movimiento de datos de su empresa desde una consola centralizada para combatir los ataques internos y la pérdida de datos. Aproveche el control de acceso y transferencia de archivos basado en roles con límite de transferencia de archivos para proteger sus datos.
A continuación le mostramos cómo los distintos productos de ManageEngine pueden ayudarle a cumplir los distintos requisitos de gestión y seguridad de TI según la HIPAA. Descargue nuestra guía para obtener los detalles sobre cómo y qué sub-requisitos cumplen nuestras soluciones.
Descargue esta guía para saber cómo ManageEngine puede ayudarle a implementar controles de la HIPAA relacionados con TI.
La plena implementación de la HIPAA requiere una serie de controles de procesos, políticas, personas y tecnologías. Las soluciones mencionadas son algunas de las formas en que las herramientas de gestión de TI ayudan a cumplir los requisitos de la HIPAA. Junto con otras soluciones, procesos, personas y políticas adecuadas, las soluciones de ManageEngine ayudan a las organizaciones a cumplir con la HIPAA. Este material se proporciona únicamente con fines informativos y no debe considerarse como asesoramiento legal para garantizar el cumplimiento de la HIPAA. ManageEngine no ofrece ninguna garantía, expresa, implícita o legal, en cuanto a la información contenida en este material. Póngase en contacto con su asesor jurídico para saber cómo afecta la HIPAA a su organización y qué debe hacer para cumplirla.