Proteja los datos de sus pacientes y su reputación.

Tecnológica informática es un componente crítico de sus operaciones del negocio. Un fallo de seguridad podría causar un daño significativo a su organización, a sus clientes y a sus pacientes.

Además, tanto los leyes Health Insurance Portability and Accountability Act (HIPAA) y Health Information Technology for Economical and Clinical Health (HITECH) requieren que las organizaciones de la asistencia médica cumplir con las normas federales al manipular y transmitir los datos del paciente.

Un programa de seguridad de la información eficaz depende tanto de tecnología y prácticas operativas. Tecnología tal como servidores, componentes de la red, y aplicaciones requiere implementación segura para reducir las vulnerabilidades y proteger la información confidencial, así como cumplir con los mandatos HIPAA y HITECH para la seguridad.

Quien lo necesita

Hay dos componentes principales de HIPAA para entender en lo que respecten a sus obligaciones de seguridad de la información. Estos componentes son conocidos comúnmente como la Privacy Rule (la regla de privacidad) y la Security Rule (la regla de seguridad).

Estas reglas se aplican a las "entidades cubiertas” (tal como se definen en 45 C.F.R. § 160.103), que incluyen:

  • Los planes de salud (por ejemplo, las compañías de aseguramiento médico, Organizaciones del Mantenimiento de la Salud (HMO), planes de salud para empleadores, programas del gobierno)
  • Centros de intercambio de información de salud (es decir, aquellas organizaciones que procesan información sobre la salud que reciben de otras organizaciones)
  • Proveedores de atención médica que transmiten información de salud de forma electrónica en relación con cierta información financiera y transacciones administrativas, tales como la facturación electrónica y la recaudación de transferencias (por ejemplo, médicos, clínicas, psicólogos, dentistas, quiroprácticos, hogares de ancianos, farmacias)

Estas reglas también se extienden a los contratistas independientes, conocidos como "asociados del negocio,” quienes tienen acceso a información individualmente identificable de la salud o a ellos quienes realizan ciertas funciones y actividades.

Privacy Rule

La regla de privacidad regula el uso y la revelación de Protected Health Information (PHI) (información médica protegida), tanto en papel como en formato electrónico. Los EE.UU. Departamento de Salud y Servicios Humanos (HHS) establece que la regla de privacidad requiere:

  • Notificar a los pacientes sobre sus derechos de privacidad y cómo su información puede ser utilizada
  • La adopción y aplicación de procedimientos de privacidad para su consulta, hospital, o plan
  • Capacitar a los empleados para que entiendan los procedimientos de privacidad
  • Designar una persona para ser responsable de asegurarse de que los procedimientos de privacidad sean adoptados y darles seguimientos
  • Asegurar los registros de pacientes que tienen información individualmente identificable de la salud de modo que no están disponibles fácilmente para aquellos que no los necesitan

Security Rule

La regla de seguridad especifica las salvaguardias administrativas, físicas y técnicas que deben estar en su lugar para asegurar la confidencialidad, integridad y disponibilidad de Electronic Protected Health Information (EPHI o e-PHI) (información médica protegida de forma electrónica).

Específicamente, las entidades cubiertas deben (tal como se definen en 45 C.F.R. § 164.306(a)):

  • Garantizar la confidencialidad, integridad y disponibilidad de toda la e-PHI que crean, reciben, mantienen o transmiten
  • Identificar y proteger contra amenazas razonablemente previstos contra la seguridad o integridad de la información
  • Proteger contra los usos no permitidos o revelaciones que son razonablemente esperados
  • Velar por el cumplimiento de la fuerza de trabajo

HITECH

La ley HITECH extiende, como parte de la ley HIPAA, los requisitos de seguridad para socios de negocios, y aumenta los requisitos de notificación cuando PHI está violada o divulgada.

  • En respuesta a los casos de infracciones que afecten a más de 500 individuos, organizaciones deben notificar a las personas afectadas, al HHS y a los medios.
  • En respuesta a los casos de infracciones que afecten a menos de 500 individuos, organizaciones deben notificar al HHS anualmente.

Que hacemos

Para demostrar el cumplimiento con las leyes HIPAA y HITECH, Sikich trabaja con su equipo para:

  • Facilitar una evaluación de riesgo para identificar el impacto de riesgos potenciales y medidas implementadas,
  • Realizar una auditoría de TI especializada para comparar la organización frente a los requisitos de las leyes HIPAA/HITECH para identificar las lagunas con su cumplimiento actual,
  • Proveer orientación de remediación para ayudarle a cumplir sus obligaciones de la privacidad y la seguridad, y
  • Crear una notificación sobre violaciones forense para establecer procedimientos adecuados y los requisitos para reportando en caso de una violación de datos.

Nuestra evaluación cubre las siguientes áreas:

Salvaguardias administrativas

  • Proceso de gestión de seguridad
  • Responsabilidad de seguridad asignado
  • Seguridad de la fuerza laboral
  • Gestión de acceso a información
  • Conciencia y formación de seguridad
  • Procedimientos de incidentes de seguridad
  • Plan de contingencia
  • Evaluación de los requisitos
  • Contratos de negocios asociados y otros arreglos

Salvaguardias de seguridad física

  • Controles de acceso a las instalaciones
  • Uso de las estaciones de trabajo
  • Seguridad de las estaciones de trabajo
  • Controles de los dispositivos y los audiovisuales

Salvaguardias técnicas

  • Controles de acceso
  • Controles auditorías
  • Controles de integridad
  • Autenticación de personas y/o entidades
  • Seguridad de transmisión

Políticas, procedimientos y requisitos de documentación

  • Políticas y procedimientos de seguridad por escrito
  • Recuerdos por escrito de las acciones, actividades o evaluaciones requeridas
  • Opiniones y actualizaciones

Al término de la evaluación, vamos a presentar un informe final que describe los requisitos de HIPAA/HITECH y su conformidad con los requisitos específicos aplicables a su organización.

Blog: Lista de deseos de un hácker

Como “techies” y entusiastas de la seguridad, parte de la "diversión" que tenemos en el trabajo está lanzando alrededor de escenarios de ataque y se desafían entre sí con el riesgo de la situación. Esta vez comenzó con:

"Si yo robo datos de la pista de tarjeta de crédito, puedo hacer compras enormes (y tal vez puedo cambiarlas para dinero)."

"Si yo robo datos de PIN, puedo obtener dinero en efectivo directamente."

"Si yo robo datos relacionados a la salud en grandes cantidades de la oficina de un médico, lo más rentable que puedo hacer es..."

Mientras mi buzón tenía docenas de respuestas, algunas de mis favoritas eran:

  • Vender los datos a compañías mercadeas o farmacéuticas para comercialización elegida como objetivo.
  • Con registros de la información de prescripción, averiguar donde el paciente consigue sus medicinas y aparecer en la farmacia como el paciente y comprar las medicinas para vender en el mercado negro (o simplemente vender los datos allí).
  • Chantajear o extorsionar al paciente si tiene alguna condición médica o historia que es potencialmente embarazosa o perjudicial para su vida (por ejemplo, lesión sufrida mientras que conducir intoxicado, tratamiento para ETS, etc.).
  • Poner a Pastebin para el lulz.
  • Crear identidades falsas con la información para vender a los inmigrantes ilegales.

Leer más »

Conozca sus requisitos de seguridad de las leyes HIPAA/HITECH.

Todo lo que necesita es su nombre y su número de teléfono o correo electrónico para obtener más información acerca de nuestros servicios y experiencia. Si desea, también podrá enviar detalles adicionales después de enviar su información aquí.