Las nuevas normas HIPAA exigen la autenticación multifactor y el cifrado para la información médica electrónica protegida (ePHI): ¿está preparada su organización?

Feb 24, 2025
Share

La Regla de Seguridad de HIPAA está recibiendo una importante actualización, una de las más grandes en años. El 27 de diciembre de 2024, la Oficina de Derechos Civiles (OCR) propuso nuevos requisitos de ciberseguridad diseñados para proteger la información de salud protegida electrónicamente (ePHI) de la creciente ola de amenazas cibernéticas.

Estas actualizaciones se publicaron el 6 de enero de 2025, dando inicio a un período de comentarios públicos de 60 días. Tras este período, la OCR revisará las opiniones recibidas, modificará la norma propuesta si es necesario y la finalizará para su aprobación regulatoria. Una vez aprobada y publicada, la norma incluirá una fecha de entrada en vigor y un cronograma de cumplimiento. Si no hay retrasos importantes, la norma final podría estar lista a finales de 2025 o principios de 2026. Incluirá una fecha de entrada en vigor y un plazo de cumplimiento (generalmente entre 6 y 24 meses después de la publicación).

Los cambios tienen como objetivo establecer una mayor protección de datos y expectativas de cumplimiento más claras. Esto se suma a la aplicación obligatoria de medidas de seguridad críticas.

Estas medidas incluyen:

  • Autenticación multifactor (MFA) para todos los sistemas que acceden a la información médica electrónica protegida (ePHI).
  • Cifrado de información médica electrónica protegida (ePHI) en reposo y en tránsito.
  • Inventarios de activos tecnológicos y mapeo de redes para rastrear el movimiento de información médica electrónica protegida (ePHI).
  • Requisitos de análisis de riesgos más rigurosos y detallados

Para los responsables de la seguridad de datos, es fundamental demostrar que la información médica electrónica protegida (ePHI) está debidamente protegida en todo momento y lugar. Sin embargo, muchas organizaciones carecen de visibilidad sobre sus datos y quién accede a ellos.

Entonces, la pregunta es: ¿Cómo se protege y se demuestra el cumplimiento si no se sabe dónde se encuentra la información médica electrónica protegida (ePHI)? No se puede proteger lo que se desconoce su existencia ni se puede aplicar la autenticación multifactor (MFA) si no se sabe quién accede a la ePHI.

Desglosando los nuevos requisitos de seguridad de HIPAA

1. Ahora se requiere la autenticación multifactor (MFA).

La autenticación multifactor (MFA) ya no es una recomendación, sino un requisito indispensable para cualquier sistema que otorgue acceso a información médica electrónica protegida (ePHI). Esto se aplica a sistemas locales, en la nube y de terceros utilizados por entidades cubiertas y socios comerciales.

Lo que debes hacer:

  • Implementar la autenticación multifactor (MFA) en todas las cuentas que acceden a información médica electrónica protegida (ePHI).
  • Supervisar el acceso para detectar actividades sospechosas.
  • Implementar un control de acceso basado en roles para limitar el acceso innecesario.

Cómo ayuda Cyera: Para implementar la autenticación multifactor (MFA), primero debe descubrir y clasificar sus datos para comprender dónde reside su información médica electrónica (ePHI). Con este conocimiento, proporcionado por las capacidades de descubrimiento y clasificación de Cyera junto con nuestro módulo de identidad, puede obtener claridad sobre dónde reside su ePHI y quién (o qué) tiene acceso a ella.

2. El cifrado debe aplicarse tanto en reposo como en tránsito.

El cifrado es una práctica recomendada en la industria, pero ahora es un requisito explícito según la HIPAA. La información médica electrónica protegida (ePHI) debe estar cifrada por defecto, ya sea estructurada, semiestructurada o no estructurada.

Aunque el tipo de cifrado no se especifica explícitamente, debe ser razonable y apropiado, como por ejemplo:

  • Aplicación del cifrado AES-256 para datos en reposo
  • Utilizar el cifrado TLS 1.2+ para los datos en tránsito.
  • Garantizar que la nube y los terceros cumplan con las políticas de cifrado.

El último punto mencionado anteriormente implica una mayor diligencia debida al trabajar con terceros. Esto conllevará cambios en los procesos, incluidas evaluaciones de riesgos de terceros, así como la actualización del lenguaje contractual para garantizar un manejo adecuado de los datos.

Cómo ayuda Cyera: Entender dónde reside su información médica electrónica protegida (ePHI) es el primer paso para verificar el cifrado. DSPM Esta solución proporciona una visibilidad profunda de sus almacenes de datos, ofreciendo metadatos detallados para ayudarle a evaluar las medidas de seguridad críticas, incluido el cifrado.

La visibilidad del cifrado puede variar según el sistema de almacenamiento. En el caso de datos locales, el cifrado puede ser complejo: si bien una matriz de almacenamiento puede cifrar el disco, esto no implica necesariamente que los datos en sí estén cifrados. El cifrado a nivel de disco protege principalmente contra el robo físico, en lugar de proteger los datos en reposo. Cyera le ayuda a gestionar estas complejidades, garantizando que sus medidas de cifrado cumplan con los estándares de seguridad y cumplimiento normativo.

3. Las organizaciones deben realizar un seguimiento de todos los activos tecnológicos y del movimiento de datos.

La nueva normativa introduce otro requisito importante: todas las organizaciones deben mantener un inventario actualizado de todos los activos tecnológicos que procesan, almacenan o transmiten información médica electrónica protegida (ePHI). Esto incluye la creación de un mapa de red que registre el movimiento de la ePHI entre los sistemas internos y los socios externos.

Este requisito es similar al cumplimiento de PCI, donde las organizaciones deben documentar claramente la arquitectura y los componentes del entorno de datos del titular de la tarjeta. Según las nuevas normas HIPAA, las entidades cubiertas deben establecer un entorno bien definido para el titular y el procesador de datos ePHI.

La clave reside en garantizar que la información médica electrónica (ePHI) se almacene, procese o transmita únicamente dentro de este entorno designado y documentado. Si la ePHI sale de este entorno controlado y se encuentra en un área "fuera del alcance" de la empresa, dicho entorno también deberá cumplir con los mismos requisitos mínimos de seguridad establecidos en la normativa y estará sujeto a auditoría.

Lo que debes hacer:

  • Identifique y documente todos los sistemas, dispositivos y aplicaciones que almacenan o procesan información médica electrónica protegida (ePHI).
  • Mapea cómo se mueve la información médica electrónica (ePHI) a través de entornos internos y externos.
  • Revise y actualice este inventario al menos anualmente, o después de cambios importantes.

Cómo ayuda Cyera: Con el paso de los años, muchas organizaciones han perdido el rastro de sus datos más sensibles, incluyendo la información médica electrónica protegida (ePHI). Cyera resuelve este problema. Al conectarse a sus fuentes de datos, Cyera descubre, inventaría y clasifica automáticamente los datos con alta precisión, a gran escala y con rapidez, incluso los datos ocultos cuya existencia desconoce. Mediante el uso de IA, Cyera puede incluso descubrir tipos de datos ePHI exclusivos de su negocio de maneras que los métodos tradicionales, como las expresiones regulares (RegEx) y la coincidencia de patrones, simplemente no pueden.

4. El análisis de riesgos debe ser más exhaustivo.

HIPAA Si bien siempre se han requerido evaluaciones de riesgos, la nueva normativa implica que una evaluación genérica de riesgos de seguridad ya no será suficiente. La nueva normativa exige evaluaciones más detalladas de las ciberamenazas, vulnerabilidades y medidas de seguridad específicas para la protección de la información sanitaria electrónica protegida (ePHI).

Lo que debes hacer:

  • Revise su inventario de activos tecnológicos y el mapa de su red.
  • Identificar todas las amenazas realistas a la confidencialidad, integridad y disponibilidad de la información médica electrónica protegida (ePHI).
  • Evaluar las vulnerabilidades en sistemas y redes electrónicas.
  • Determinar los niveles de riesgo en función de la probabilidad y el impacto potencial.

Tampoco se trata de una auditoría que se realiza una sola vez; requiere un seguimiento continuo y la mitigación de riesgos para mantener el cumplimiento.

Cómo ayuda Cyera: Cyera ofrece evaluaciones detalladas de riesgos de datos mediante el descubrimiento, la clasificación y la evaluación de la madurez de la seguridad de sus datos en relación con los controles de gobernanza, privacidad, seguridad y cumplimiento. Con la evaluación, identificamos los riesgos y proporcionamos información más profunda sobre la eficacia de los controles críticos de seguridad de datos. La evaluación incluye una evaluación de madurez virtual dirigida por el CISO, que utiliza un Modelo Integrado de Madurez de Capacidades (CMMI) para ayudarle a comprender su postura de seguridad de datos en relación con HIPAA y otros marcos regulatorios.

5. Las medidas de seguridad direccionables deben estar justificadas.

La HIPAA permite cierta flexibilidad mediante medidas de seguridad "adaptables" (a veces denominadas controles compensatorios). Esto significa que los requisitos mínimos de control pueden cumplirse mediante diversos enfoques, como el diseño, la arquitectura o una combinación de controles complementarios que trabajen conjuntamente para cumplir o superar las normas reglamentarias. La nueva norma deja claro que las organizaciones deben documentar exhaustivamente el razonamiento que justifican la medida alternativa y proporcionar una justificación detallada.

Lo que debes hacer:

  • Asegúrese de que cualquier desviación de los controles de seguridad estándar esté debidamente documentada.
  • Identificar medidas de seguridad alternativas aceptables cuando sea necesario.
  • Prepárese para defender sus decisiones de seguridad en las auditorías.

Cómo ayuda Cyera: Cyera ofrece metadatos detallados sobre sus almacenes de datos, incluyendo las medidas de seguridad implementadas (o no). Esto, junto con el servicio de evaluación de riesgos de datos, aporta claridad a la implementación de sus controles en torno a la información médica electrónica protegida (ePHI).

Una sólida postura de seguridad de datos simplifica el cumplimiento.

Los nuevos requisitos de HIPAA reflejan un cambio: las organizaciones de atención médica deben mejorar su programa de seguridad de datos. Las organizaciones que priorizan los datos simplificarán el cumplimiento de HIPAA y reducirán la exposición a filtraciones, multas y daños a su reputación.

¿Está su organización preparada para estos cambios de HIPAA? Ahora es el momento de evaluar cómo realiza el seguimiento, protege y aplica medidas de seguridad a la información médica electrónica protegida (ePHI). Solicita una demostración hoy mismo. para ver cómo Cyera puede ayudar.

Share