Acerca de los Informes de Cumplimiento HIPAA
La regla de seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de Estados Unidos incluye una serie de garantías de seguridad física, administrativa y técnica que las organizaciones en los Estados Unidos deben respetar para garantizar que la información electrónica protegida de salud (EPHI) sea confidencial. Las organizaciones del cuidado de la salud usan de forma rutinaria diferentes aplicaciones de TI para facturación, pagos, toma de decisiones clínicas y administración del flujo de trabajo. A medida que la información personal y confidencial pasa a través de redes, entre proveedores de servicios de salud, empleadores y compañías de seguro, las organizaciones deben proteger estos datos para cumplir con la ley HIPAA.
Todas las entidades regidas por la ley HIPAA deben cumplir con la Regla de seguridad. En general, las normas, requisitos y las especificaciones de implementación de HIPAA aplican a las siguientes entidades regidas por la ley:
- Proveedores de cuidados de la salud regidos por esta ley — Cualquier proveedor de servicios médicos u otros servicios o suministros del cuidado de la salud que transmita información en forma electrónica en relación con una transacción para la cual HHS ha adoptado un estándar.
- Planes de salud — Cualquier plan individual o grupal que brinde o pague el costo de servicios de cuidado de la salud (por ejemplo, un asegurador que ofrece planes de salud y los programas Medicare y Medicaid).
Para obtener más información acerca de quién está regido por HIPAA, consulte:
- La Oficina de Derechos Civiles (OCR) — www.hhs.gov/ocr/hipaa
- Los CMS (Centros para Servicios de Medicare y Medicaid) — www.cms.hhs.gov, consulte Regulaciones y Pautas
La regla de seguridad de HIPAA consta de una cantidad de garantías en diferentes áreas:
- Administrativa
- Física
- Técnica
Cada grupo de garantías incluye una cantidad de normas, que generalmente incluyen una cantidad de especificaciones de implementación que son requeridas o direccionables. Si se requiere una especificación de implementación, la entidad regida por la ley debe implementar políticas y/o procedimientos que cumplan con la especificación de implementación requerida. Si una especificación de implementación es direccionable, entonces la entidad regida por la ley debe evaluar si es una garantía razonable y adecuada en el entorno de esa entidad.
La Regla de seguridad requiere que una entidad regida por esta ley documente los fundamentos para la toma de muchas de sus decisiones con respecto a la seguridad.
Muchas de las garantías administrativas y técnicas de HIPAA son amplias y generales en su redacción y no especifican la implementación técnica fuera de las prácticas seguras, como autenticación de usuario, auditorías y generación de registros regulares y administración y respuesta frente a incidentes. Debido a los orígenes de privacidad de HIPAA, las garantías de seguridad también hacen hincapié en el cifrado de datos.
WatchGuard aborda estas normas específicas de cumplimiento de HIPAA:
La especificación de implementación de Identificación de Usuario Único establece que una entidad cubierta debe: “Asignar un nombre y número únicos para identificar y rastrear la identidad del usuario”. La identificación del usuario es una forma de encontrar a un usuario en particular de un sistema de información, generalmente por nombre o número. Un identificador de usuario único permite a una entidad rastrear la actividad de un usuario en particular cuando el usuario inicia sesión en un sistema de información. Permite a una entidad hacer responsables a los usuarios sobre las funciones llevadas a cabo en sistemas de información con EPHI cuando inician sesión en estos sistemas.
Cuando esta especificación de implementación es una medida de seguridad razonable y adecuada para una entidad regida por la ley, la entidad debe: “Implementar un mecanismo para cifrar y descifrar información electrónica protegida de salud”.
El estándar de Controles de Auditoría requiere a una entidad regida por la ley: “Implementar hardware, software y/o mecanismos de procedimiento que registren y examinen la actividad en sistemas de información que contengan o utilicen información electrónica protegida de salud”.
Es importante señalar que la Regla de seguridad no identifica a los datos que deben recolectarse por los controles de auditoría y con qué frecuencia se deben revisar los informes de auditoría. Una entidad regida por esta ley debe considerar sus factores organizativos y análisis de riesgos, como la infraestructura técnica actual, las capacidades de seguridad del hardware y software, para determinar controles de auditoría razonables y adecuados para sistemas de información que contengan o utilicen EPHI.
Para asegurarse de que todos los usuarios cumplan con la política de seguridad, es útil controlar con regularidad a los clientes más activos y a los clientes que tienen bloqueadas las acciones que infringen la política de seguridad.
Se pueden utilizar VNP de Sucursal para cifrar el tráfico entre las diferentes ubicaciones. Se pueden utilizar Mobile VPN para garantizar que los empleados remotos estén conectados de forma segura a la oficina o ubicación de cuidado de la salud. Se debe revisar la configuración del Firebox con regularidad para verificar que los VPN estén configurados para todas las ubicaciones especificadas en la política de seguridad de la empresa.
1. Mecanismo para Autenticar la Información Electrónica de Salud Protegida (A) — § 164.312(c)(2)
“Implementar procedimientos para verificar que una persona o entidad que busca acceso a información electrónica de salud protegida sea la que dice ser”. En general, la autenticación garantiza que las personas sean quienes dicen ser antes de permitirles el acceso a EPHI.
1. Controles de Integridad (A) — § 164.312(e)(2)(i)
Cuando esta especificación de implementación es una medida de seguridad razonable y adecuada para una entidad regida por la ley, la entidad debe: “Implementar medidas de seguridad para garantizar que la información electrónica protegida de salud que sea transmitida de forma electrónica no se modifique indebidamente sin que se detecte hasta el momento de su eliminación”.
2. Encryption (Cifrado) (A) — § 164.312(e)(2)(ii)
Cuando esta especificación de implementación es una medida de seguridad razonable y adecuada para una entidad regida por la ley, la entidad debe: “Implementar un mecanismo para cifrar información electrónica protegida de salud cuando sea que se considere apropiado”.
Además del uso de VPN para proporcionar seguridad a las conexiones entre ubicaciones, las organizaciones que deben cumplir con las reglas de HIPAA deben considerar la función SMTP TLS que puede utilizarse para garantizar que los mensajes de correo electrónico enviados entre dos servidores de correo electrónico que admiten TLS estén cifrados.
Las entidades cubiertas deben: “Implementar políticas y procedimientos para abordar los incidentes de seguridad”.
Puede configurar Fireware para enviar notificaciones y alarmas en respuesta a eventos de seguridad que se producen en la red.
La especificación de implementación de Respuestas y Generación de Informes indica que las entidades regidas por la ley deben: “Identificar y responder a incidentes de seguridad supuestos o conocidos; mitigar, en la medida de lo posible, los efectos perjudiciales de los incidentes de seguridad conocidos por la entidad cubierta; y documentar incidentes de seguridad y sus resultados”.
Los informes de WatchGuard incluyen varios informes predefinidos que proporcionan información que lo ayudará a asegurarse de que su red cumple con las normas de la HIPAA. Estos informes están incluidos en el grupo Informes de cumplimiento.
| Estándar | Informe Relacionado | Descripción del Informe |
|---|---|---|
| Identificador de Usuario Único (R) — § 164.312(a)(2)(i) | Autenticación de Usuario Denegada | Lista detallada de usuarios con autenticación denegada Incluye fecha, hora y motivo de la falla de autenticación |
| Estándar § 164.312(b) — Controles de Auditoría | Rastro de Auditoría | Lista detallada de los cambios de configuración auditados para un Firebox, con el nombre del usuario que hizo cada cambio. |
| Mecanismo para Autenticar la Información Electrónica de Salud Protegida (A) — § 164.312(c)(2) | Autenticación de Usuario Denegada | Lista detallada de los usuarios a los que se les negó autenticación Incluye la fecha, la hora y el motivo de la falla de autenticación |
| Procedimientos ante Incidentes de Seguridad — § 164.308(a)(6) Respuesta y Creación de Informes (R) — § 164.308(a)(6)(ii) |
Alarmas | Registros de todas las alarmas |
Ver Informes de Cumplimiento HIPAA en Dimension
Puede ver los informes de cumplimiento HIPAA de WatchGuard Dimension o programar los informes para exportarlos en un archivo PDF. Para más información, consulte Ver Informes y Programar Informes de Dimension.
Ver Informes de Cumplimiento HIPAA en WatchGuard Cloud
Puede ver los informes de cumplimiento HIPAA de WatchGuard Cloud o programar los informes para exportarlos en un archivo PDF. Para más información, consulte Informe de Cumplimiento HIPAA y Programar Informes en WatchGuard Cloud.
Generar Informes de Cumplimiento HIPAA del Report Manager
Para controlar su red y verificar que cumple con las normas de la HIPAA, puede generar los informes relacionados para cada requisito.
- Desde el WSM Report Server, cree un programa de informes que incluya los Informes de Cumplimiento requeridos.
Para obtener información detallada, consulte Configurar los Ajustes de la Generación de Informes. - Conectar a WatchGuard WebCenter para Ver informes de Cumplimiento en Report Manager.