Nuevas reglas de HIPAA exigen MFA y cifrado para ePHI—¿Está su organización lista?

La Regla de Seguridad de HIPAA está recibiendo una gran actualización, una de las más importantes en años. El 27 de diciembre de 2024, la Oficina de Derechos Civiles (OCR) propuso nuevos requisitos de ciberseguridad diseñados para proteger la información de salud protegida electrónica (ePHI) ante la creciente ola de ciberamenazas.

Estas actualizaciones se publicaron el 6 de enero de 2025, dando inicio a un periodo de comentarios públicos de 60 días. Después del periodo de comentarios, la OCR revisará la retroalimentación, modificará la regla propuesta si es necesario y la finalizará para su aprobación regulatoria. Una vez aprobada y publicada, la regla incluirá una fecha de entrada en vigor y un cronograma de cumplimiento. Si no hay retrasos importantes, la regla final podría llegar a finales de 2025 o principios de 2026. Incluirá una fecha de entrada en vigor y una fecha límite de cumplimiento (a menudo de 6 a 24 meses después de su publicación).

Los cambios buscan establecer una mayor protección de datos y expectativas de cumplimiento más claras. Esto se suma a la aplicación obligatoria de medidas de seguridad críticas.

Estas medidas incluyen: 

• Autenticación multifactor (MFA) para todos los sistemas que acceden a ePHI
• Cifrado de ePHI en reposo y en tránsito
• Inventarios de activos tecnológicos y mapeo de la red para rastrear el movimiento de ePHI
• Requisitos más rigurosos y detallados de análisis de riesgos

Para los líderes de seguridad de datos, deberán demostrar que la ePHI está debidamente protegida, dondequiera que exista y en todo momento. Sin embargo, muchas organizaciones carecen de visibilidad de sus datos y de quién los está accediendo.

Así que la pregunta es: ¿cómo proteges y demuestras el cumplimiento si no sabes dónde está tu ePHI? No puedes proteger lo que no sabes que existe y no puedes aplicar MFA si no sabes quién está accediendo a la ePHI.

Desglosando los nuevos requisitos de seguridad de HIPAA

1. Ahora se requiere la Autenticación Multifactores (MFA)

MFA ya no es una recomendación: es un requisito obligatorio para cualquier sistema que otorgue acceso a ePHI. Esto aplica a sistemas locales (on‑prem), en la nube y de terceros usados por entidades cubiertas y asociados de negocios.

Lo que necesitas hacer:

• Implementa MFA en todas las cuentas que acceden a ePHI
• Supervisa el acceso en busca de actividad sospechosa
• Aplicar control de acceso basado en roles para limitar el acceso innecesario

Cómo ayuda Cyera: Para aplicar MFA, primero debes descubrir y clasificar tus datos para entender dónde reside tu ePHI. Con este conocimiento, proporcionado por las capacidades de descubrimiento y clasificación de Cyera junto con nuestro módulo de Identidad, puedes obtener claridad sobre dónde se encuentra tu ePHI y quién—o qué—tiene acceso a ePHI.

2. Se debe aplicar cifrado en reposo y en tránsito

El cifrado es una práctica recomendada en la industria, pero ahora es un requisito explícito bajo HIPAA. La ePHI debe cifrarse de forma predeterminada, ya sea estructurada, semiestructurada o no estructurada.

Si bien no se especifica explícitamente el tipo de cifrado, debe ser razonable y adecuado, como:

• Aplicar cifrado AES-256 para los datos en reposo
• Uso de cifrado TLS 1.2+ para datos en tránsito
• Garantizar que la nube y terceros cumplan con las políticas de cifrado

El último punto mencionado arriba implica una mayor diligencia debida al trabajar con terceros. Esto dará lugar a cambios en los procesos, incluidos las evaluaciones de riesgos de terceros, así como la actualización del lenguaje contractual para garantizar el manejo adecuado de los datos.

Cómo ayuda Cyera: comprender dónde reside tu ePHI es el primer paso para verificar el cifrado. La solución de DSPM de Cyera ofrece una visibilidad profunda de tus almacenes de datos, proporcionando metadatos detallados para ayudarte a evaluar medidas de seguridad críticas, incluido el cifrado.

La visibilidad del cifrado puede variar según el sistema de almacenamiento. Para datos locales (on‑premises), el cifrado puede ser matizado: aunque una matriz de almacenamiento pueda cifrar el disco, esto no necesariamente significa que los datos en sí estén cifrados. El cifrado a nivel de disco protege principalmente contra el robo físico, más que asegurar los datos en reposo. Cyera te ayuda a navegar estas complejidades, garantizando que tus medidas de cifrado cumplan con los estándares de seguridad y cumplimiento.

3. Las organizaciones deben rastrear todos los activos tecnológicos y el movimiento de datos

La nueva regla introduce otro requisito importante: todas las organizaciones deben mantener un inventario actualizado de todos los activos tecnológicos que procesan, almacenan o transmiten ePHI. Esto incluye crear un mapa de la red que rastree el movimiento de la ePHI entre los sistemas internos y los socios externos.

Este requisito es similar al cumplimiento de PCI, donde las organizaciones deben documentar claramente la arquitectura y los componentes del entorno de datos del tarjetahabiente. Bajo las nuevas reglas de HIPAA, las entidades cubiertas ahora deben establecer un entorno bien definido de titular/procesador de datos de ePHI.

La clave es garantizar que la ePHI solo se almacene, procese o transmita dentro de este entorno designado y documentado. Si la ePHI sale de este entorno controlado hacia un área “fuera de alcance” dentro de la empresa, ese entorno también debe cumplir con los mismos requisitos mínimos de seguridad establecidos en la norma y queda sujeto a auditoría.

Lo que necesitas hacer:

• Identifica y documenta todos los sistemas, dispositivos y aplicaciones que almacenan o procesan ePHI
• Mapea cómo se mueve la ePHI a través de los entornos internos y externos
• Revisa y actualiza este inventario al menos una vez al año o después de cambios importantes

Cómo ayuda Cyera: Con el paso de los años, muchas organizaciones han perdido el rastro de sus datos más sensibles, incluida la ePHI. Cyera resuelve esto. Al conectarse a tus fuentes de datos, Cyera descubre, inventaria y clasifica automáticamente los datos con alta precisión, a escala y con rapidez, incluso los datos en la sombra que quizá no sepas que existen. Mediante el uso de IA, Cyera incluso puede identificar tipos de datos de ePHI que son exclusivos de tu negocio, de formas que los métodos tradicionales, como las Expresiones Regulares (RegEx) y la coincidencia de patrones, simplemente no pueden.

4. El análisis de riesgos debe ser más integral

HIPAA siempre ha requerido evaluaciones de riesgos, pero la nueva regla significa que una evaluación genérica de seguridad ya no será suficiente. La nueva regla exige evaluaciones más detalladas de las ciberamenazas, vulnerabilidades y salvaguardas específicas para proteger la información de salud electrónica protegida (ePHI).

Lo que tienes que hacer:

• Revisa tu inventario de activos tecnológicos y el mapa de tu red
• Identifica todas las amenazas realistas a la confidencialidad, integridad y disponibilidad de la ePHI
• Evaluar vulnerabilidades en sistemas y redes electrónicas
• Determine niveles de riesgo según la probabilidad y el impacto potencial

Esta no es una auditoría de una sola vez; también requiere monitoreo continuo y mitigación de riesgos para mantener el cumplimiento.

Cómo ayuda Cyera: Cyera ofrece evaluaciones detalladas de riesgo de datos al descubrir, clasificar y evaluar la madurez de tu seguridad de datos frente a controles de gobernanza, privacidad, seguridad y cumplimiento. Con la evaluación, identificamos riesgos y brindamos información más profunda sobre la efectividad de los controles críticos de seguridad de datos. La evaluación incluye una valuación de madurez virtual dirigida por un CISO que aprovecha el Modelo Integrado de Madurez de Capacidades (CMMI) para ayudarte a entender tu postura de seguridad de datos en relación con HIPAA y otros marcos regulatorios.

5. Las medidas de seguridad direccionables deben justificarse

HIPAA permite cierta flexibilidad mediante medidas de seguridad "direccionables" (a veces llamadas controles compensatorios). Esto significa que los requisitos mínimos de control pueden cumplirse mediante diversos enfoques, incluyendo el diseño, la arquitectura o una combinación de controles complementarios que trabajen juntos para cumplir o superar las normas regulatorias. La nueva regla deja claro que las organizaciones deben documentar por completo su razonamiento para la medida alternativa y proporcionar una justificación detallada.

Lo que necesitas hacer:

• Asegúrate de documentar exhaustivamente cualquier desviación de los controles de seguridad estándar
• Identificar medidas de seguridad alternativas aceptables cuando sea necesario
• Prepárate para defender tus decisiones de seguridad en auditorías

Cómo ayuda Cyera: Cyera ofrece metadatos detallados sobre tus almacenes de datos, incluido qué medidas de seguridad están—o no—implementadas. Esto, junto con el servicio de evaluación de riesgos de datos, aporta claridad a la implementación de controles alrededor de la ePHI.

Una postura sólida de seguridad de datos simplifica el cumplimiento

Los nuevos requisitos de HIPAA reflejan un cambio: las organizaciones de atención médica deben elevar su programa de seguridad de datos. Las organizaciones que adoptan un enfoque centrado en los datos agilizarán el cumplimiento de HIPAA mientras reducen la exposición a brechas, multas y daños a la reputación.

¿Está su organización lista para estos cambios de HIPAA? Ahora es el momento de evaluar cómo rastrea, asegura y aplica protecciones a la ePHI. Solicite una demostración hoy para ver cómo Cyera puede ayudar.