La atención sanitaria es uno de los sectores más atacados por actores maliciosos, con un número de... Las infracciones aumentan constantemente año tras añoA pesar de los riesgos de seguridad comunes que afectan a los entornos de atención médica y de las numerosas violaciones de datos que aparecen en los titulares, el sector de la salud sigue sin contar con los recursos necesarios para defenderse del creciente número de ciberataques.
A principios de enero de 2025La HIPAA propuso un conjunto de actualizaciones a su marco de normas de seguridad de la HIPAA para proporcionar regulaciones de seguridad más granulares. Este es un cambio muy necesario para la industria, ya que obligará a todas las organizaciones de atención médica a abordar sus riesgos de seguridad de frente. Pero seamos honestos: si bien los cambios propuestos en la HIPAA son un paso en la dirección correcta, están lejos de ser una solución completa, y muchas de las nuevas pautas desafiarán a las organizaciones con recursos insuficientes para cumplirlas.
¿Por qué el marco HIPAA agrega nuevas regulaciones?
La regla de seguridad HIPAA Desde su creación, la HIPAA ha sufrido algunas revisiones importantes, la más reciente a principios de la década de 2000. Desde entonces, solo se han aplicado actualizaciones menores al marco, ninguna de las cuales ha supuesto un gran avance desde una perspectiva de seguridad. Además, las directrices de seguridad HIPAA actuales eran más recomendaciones que requisitos en el marco.
En resumen, era hora de revisar las pautas de seguridad, especialmente las relacionadas con seguridad de identidadTambién vale la pena señalar que las actualizaciones no surgieron de la nada: fueron una respuesta directa al creciente número de ataques en la industria de la salud en los últimos años. El denominador común de los ataques en este sector fue el uso de credenciales comprometidas y ataques no detectados. movimiento lateral.
Como resultado de esta continua y exitosa violación de los datos de los proveedores de atención médica, los reguladores de HIPAA emitieron un mensaje contundente y claro: Suficiente es suficiente.
Estas nuevas directrices propuestas tienen como objetivo abordar la falta de controles y posturas de seguridad en el sector. También son una seria llamada de atención para una industria que lucha por mantenerse al día con las mejores prácticas de seguridad.
Principales cambios propuestos al marco HIPAA
El 6 de enero de 2025, el Departamento de Salud y Servicios Humanos (HHS) presentó una propuesta integral para actualizar el marco HIPAA, lo que marca un paso significativo hacia la mejora de la seguridad y la privacidad de la información médica electrónica protegida (ePHI).
De acuerdo con Anuncio de la OCRLa norma propuesta busca “mejorar la ciberseguridad y proteger mejor el sistema de salud de EE. UU. de un número creciente de ciberataques” y “alinear mejor la Regla de Seguridad con las mejores prácticas modernas en ciberseguridad”.
Veamos más de cerca las directrices propuestas que abordan específicamente seguridad de identidad en el marco actualizado de reglas de seguridad HIPAA.
1. Credenciales comprometidas y Ministerio de Asuntos Exteriores
Para todos los puntos de acceso a la información sanitaria electrónica protegida (ePHI), las organizaciones deberán implementar MFA protección. Esta medida tiene como objetivo mitigar los riesgos asociados a credenciales comprometidas, reduciendo el acceso no autorizado.
2. Respuesta al incidente
Tras las actualizaciones propuestas, todas las políticas, procedimientos, planes y análisis relacionados con la respuesta a incidentes deben documentarse por escrito. Las entidades cubiertas deben desarrollar un plan integral de respuesta a incidentes, que incluya procedimientos para informar incidentes y restaurar sistemas dentro de las 72 horas posteriores a una infracción. Además, las organizaciones deben realizar pruebas de seguridad anuales para garantizar la eficacia de los controles de seguridad de la organización.
3. El análisis de riesgos
Para realizar análisis de riesgos de seguridad, el HHS propuso requisitos más detallados que incluyen mantener una evaluación escrita que revise un inventario de activos y un mapa de la red, identifique amenazas potenciales a la información médica protegida (PHI) y evalúe el nivel de riesgo de cada amenaza. Las organizaciones se beneficiarán de este enfoque proactivo al comprender y mitigar mejor las amenazas y los riesgos de seguridad.
4. Inventario de activos
Las organizaciones de atención médica deberán desarrollar un inventario de activos y un mapa de red que haga un seguimiento del movimiento de la información médica protegida electrónica (ePHI) en sus sistemas. Este requisito de mapeo integral ayudará a identificar configuraciones incorrectas y riesgos de seguridad, lo que garantizará que todos los activos estén adecuadamente protegidos contra el acceso no autorizado.
5. Cifrado
Toda la información médica protegida debe estar cifrada tanto en reposo como en tránsito, lo que refleja un cambio hacia prácticas de cifrado obligatorias en lugar de recomendaciones opcionales. Este cambio destaca la importancia fundamental de proteger la información confidencial del paciente contra el acceso no autorizado durante el almacenamiento y la transmisión.
6. Análisis de vulnerabilidades y pruebas de penetración
Las organizaciones deberán realizar análisis de vulnerabilidades cada seis meses y realizar pruebas de penetración al menos una vez al año. Estas evaluaciones serán fundamentales para identificar debilidades en las medidas de seguridad antes de que puedan ser explotadas por actores maliciosos.
7. Auditorías de cumplimiento
Las entidades sujetas a la normativa deben realizar una auditoría de cumplimiento al menos una vez al año para verificar que los controles técnicos se implementan de manera eficaz. Las organizaciones deben documentar esta auditoría para demostrar que han cumplido con los estándares de seguridad actualizados.
8. Entrenamiento de conciencia de seguridad
La norma propuesta incluye nuevos requisitos de capacitación para los miembros del personal en relación con la identificación y notificación de incidentes de seguridad, el acceso seguro a los sistemas electrónicos y la comprensión de las políticas de la HIPAA. Al acceder a los sistemas informáticos, la capacitación debe completarse en un plazo de 30 días y debe renovarse anualmente.
La dura verdad para las organizaciones de atención médica
Si bien estas actualizaciones son importantes, también resaltan los desafíos que enfrentan los proveedores de atención médica con recursos insuficientes. Cumplir con estas regulaciones requiere la cantidad adecuada de recursos (equipo de TI e inversiones) en tecnología y procesos con los que muchos proveedores de atención médica tienden a tener dificultades. El incumplimiento del nuevo marco propuesto por HIPAA podría generar sanciones regulatorias, así como las consecuencias de una violación de la seguridad. Al implementar controles de seguridad más estrictos y mejorar su postura de seguridad general, las organizaciones de atención médica pueden tomar medidas proactivas para alinearse con las nuevas pautas de seguridad propuestas por HIPAA, que exigen medidas de seguridad más estrictas y amplias.
Un enfoque de seguridad proactivo facilitará el cumplimiento
Los cambios propuestos al marco HIPAA son un paso necesario para ayudar a la industria de la salud en su lucha contra los cibercriminales. Al abordar los diferentes riesgos y amenazas de seguridad en el sector, HIPAA proporciona una hoja de ruta clara para reducir el riesgo. Sin embargo, lograr el cumplimiento requerirá un esfuerzo significativo, en particular para las organizaciones con recursos insuficientes. Los proveedores de atención médica deben adoptar un enfoque proactivo en materia de seguridad y actuar ahora para adaptarse a estos cambios, asegurándose de que no solo cumplan con las normas, sino que también sean resilientes.
¿Quieres saber más sobre cómo Silverfort ¿Puede ayudarle a cumplir con los requisitos de HIPAA? Programar una llamada con uno de nuestros expertos o Mire nuestro seminario web a pedido para asegurarse de que su organización esté preparada, protegida y en cumplimiento.