Cifrado HIPAA: Requisitos, Mejores Prácticas y Software
¿Te preguntas si HIPAA requiere cifrado? Vamos a cubrir cuándo se requiere cifrado, qué tipo es el mejor y el software para mantener el cumplimiento.
¿HIPAA requiere cifrado? Sí, HIPAA requiere el cifrado de la información de salud protegida (PHI) y la PHI electrónica (ePHI) de los pacientes cuando los datos están en reposo, es decir, cuando los datos se almacenan en un disco, unidad USB, etc. Sin embargo, hay excepciones muy específicas.
Cifrado de Información de Salud del Paciente y el Panorama de Amenazas Modernas
En noviembre de 2019, un portátil y una unidad flash sin cifrar fueron robados del Centro Médico de la Universidad de Rochester (URMC). Como resultado, el URMC pagó $3 millones a la Oficina de Derechos Civiles (OCR) como parte de un acuerdo debido a posibles violaciones de los requisitos de seguridad de HIPAA.
Aunque la pérdida de PHI ya es un problema, la investigación de la OCR ilustró una falla en la implementación de seguridad en toda la organización, incluyendo la falta de un análisis de riesgos suficiente (y posteriormente reducir riesgos y vulnerabilidades) y la falta de un cifrado adecuado de dispositivos que ya había sido señalado como un problema nueve años antes.
En un mundo de transferencias electrónicas de datos y dispositivos móviles, hay docenas de formas en que la seguridad puede fallar y llevar a un incumplimiento de HIPAA. Todas estas formas apuntan a la necesidad de una implementación sólida y conforme a HIPAA.
¿Cómo Funciona el Cifrado de Datos para la Privacidad del Paciente?
El cifrado de datos para la privacidad del paciente funciona al codificar información personal identificable e información de salud protegida (PII/PHI), incluyendo texto e imágenes, de tal manera que no pueda ser leída o entendida por nadie más que aquellos con el permiso o privilegios de acceso adecuados. Para lograr esto, los datos se transforman a través de un algoritmo de cifrado usando una clave (conocida solo por las partes autorizadas). Los datos cifrados pueden entonces ser almacenados, transmitidos y accedidos de manera segura por individuos autorizados. El cifrado de datos también proporciona integridad de datos, lo que significa que puede detectar si se han realizado cambios o si algo ha sido eliminado sin autorización. Esto ayuda a prevenir violaciones de datos y asegurar la privacidad del paciente.
¿Cuáles Son los Requisitos de Cifrado de HIPAA para la Información Electrónica de Salud del Paciente?
HIPAA establece tres reglas fundamentales para proteger a los pacientes y su información:
- La Regla de Privacidad, que describe la información de salud protegida y la documentación.
- La Regla de Notificación de Violaciones, que define cómo tu organización debe reportar una violación de HIPAA a las autoridades y pacientes después de una violación de seguridad.
- La Regla de Seguridad, que establece estándares de seguridad para el almacenamiento y transmisión de ePHI.
Estos requisitos incluyen la responsabilidad de mantener la confidencialidad y seguridad de la ePHI, proteger contra amenazas a esa seguridad y, dentro de lo razonable, anticipar futuras amenazas a esa información.
Si bien estos requisitos generales informan requisitos más específicos relacionados con la administración, gestión de riesgos e implementación técnica, no especifican ningún protocolo, tecnología o estándar particular. Sin embargo, especifican que las entidades de salud deben implementar medidas de seguridad razonables para proteger la ePHI donde sea que esté, o justificar por qué no lo hacen. La idea aquí es que, a medida que la tecnología escala y las amenazas evolucionan, también deben hacerlo las tecnologías de seguridad de HIPAA (incluyendo el software de seguridad).
Entonces, la respuesta corta es que la Regla de Seguridad no especifica un protocolo de cifrado a usar, y eso puede parecer confuso al principio. Sin embargo, hay varios requisitos incorporados en la ley para especificar la fuerza y confiabilidad requeridas de un estándar de seguridad para que se use como método de asegurar la ePHI basado en recomendaciones del Instituto Nacional de Estándares y Tecnología (NIST).
Según HIPAA, el software de cifrado debe cumplir con los requisitos mínimos relevantes al estado de esa información, ya sea en reposo o en tránsito.
Cifrado—El Requisito Direccionable Necesario
El cifrado es un aspecto crítico de la Regla de Seguridad de HIPAA, que establece estándares para proteger la ePHI. Aunque el cifrado se categoriza como un requisito “direccionable”, generalmente se considera indispensable debido al aumento del riesgo de violaciones de datos y ciberataques en el entorno digital de atención médica actual.
Entendiendo la Naturaleza Direccionable del Cifrado Bajo la Regla de Seguridad de HIPAA
Bajo la Regla de Seguridad de HIPAA, el cifrado, una vez más, se considera un requisito “direccionable”. Este término podría inicialmente implicar que el cifrado es opcional, pero eso no es del todo exacto. “Direccionable” no significa descuidable. En cambio, las entidades cubiertas deben evaluar si la implementación del cifrado es razonable y apropiada dentro de su contexto específico. Si una entidad cubierta opta por no cifrar la ePHI, debe documentar la razón detrás de esta decisión e implementar una medida alternativa equivalente para proteger la ePHI.
Las Consecuencias de No Implementar Cifrado o Medidas Equivalentes
No implementar cifrado o una alternativa igualmente efectiva puede llevar a consecuencias severas, incluyendo violaciones de datos que resulten en sanciones financieras, daño reputacional y potencial daño al paciente. Además, supongamos que ocurre una violación y la OCR determina que el cifrado podría haber prevenido o minimizado la violación. En ese caso, la entidad cubierta puede ser responsable por no abordar adecuadamente este requisito de HIPAA.
En última instancia, aunque HIPAA categoriza el cifrado como un requisito “direccionable”, es prácticamente una medida necesaria en el panorama de atención médica actual. Al implementar estrategias de cifrado robustas, las organizaciones de atención médica pueden mejorar significativamente la seguridad de la ePHI, asegurando el cumplimiento de HIPAA y fomentando la confianza entre los pacientes.
Requisitos de Cifrado de HIPAA para Datos en Reposo
HIPAA establece medidas de seguridad vitales para proteger la integridad y confidencialidad de la PHI. Entre estas medidas, el cifrado de datos en reposo, particularmente los datos almacenados en dispositivos digitales, es un componente crucial. Los requisitos de cifrado de HIPAA se basan en gran medida en la Publicación Especial 800-111 del NIST, que proporciona pautas para tecnologías de cifrado de almacenamiento.
Datos en Reposo en un Entorno de Atención Médica
“Datos en reposo” se refiere al contenido almacenado en un estado estático en dispositivos digitales, como servidores, discos duros, unidades de estado sólido o dispositivos móviles como teléfonos inteligentes y tabletas. Estos datos son particularmente vulnerables al acceso no autorizado, especialmente en casos de robo de dispositivos, pérdida o eliminación inadecuada. Dada la naturaleza sensible de la PHI, asegurar los datos en reposo (y en tránsito) es primordial en entornos de atención médica para prevenir violaciones y mantener la confianza del paciente.
Publicación Especial 800-111 del NIST: Una Guía Integral para Tecnologías de Cifrado de Almacenamiento
La Publicación Especial 800-111 del NIST, titulada “Guía para Tecnologías de Cifrado de Almacenamiento para Dispositivos de Usuario Final”, es la piedra angular de los requisitos de cifrado de HIPAA para datos en reposo. Esta guía proporciona una visión integral de varias tecnologías de cifrado que pueden asegurar los datos almacenados en diferentes tipos de dispositivos.
Implementación de Tecnologías de Cifrado Avanzadas para Almacenamiento Seguro de Datos
La guía del NIST recomienda el uso de tecnologías de cifrado avanzadas para proteger los datos en reposo. Estas tecnologías, que incluyen algoritmos y técnicas criptográficas, hacen que los datos sean ilegibles sin una clave de descifrado adecuada. El cifrado de disco completo (FDE) es una técnica que cifra todos los datos en un dispositivo de almacenamiento, incluidos los archivos de usuario y del sistema. De manera similar, el cifrado de disco virtual crea un contenedor cifrado o “disco virtual” en la máquina, proporcionando una capa adicional de seguridad.
La Necesidad de Estrategias de Cifrado Robusto para Dispositivos Móviles en Atención Médica
Además de servidores y computadoras, la guía del NIST enfatiza la importancia crítica de cifrar datos en dispositivos móviles. Dada su naturaleza portátil y el riesgo asociado de robo o pérdida, los dispositivos móviles pueden plantear desafíos significativos de seguridad. Implementar métodos de cifrado robustos para estos dispositivos es esencial para prevenir el acceso no autorizado a la PHI almacenada, incluso si el dispositivo cae en manos equivocadas.
Requisitos de Cifrado de HIPAA para Datos en Tránsito
Cuando los datos están “en tránsito“, se están moviendo activamente entre un remitente y un destino. Esto puede incluir compartir PHI entre dos proveedores de atención médica a través de correo electrónico u otro software, transmitir a almacenamiento en la nube, o transmitir entre servidores centrales y dispositivos móviles.
En tránsito, HIPAA cita la Publicación Especial 800-52 del NIST “Pautas para la Selección y Uso de Implementaciones de Seguridad de la Capa de Transporte (TLS)” y la 800-77 “Guía para VPNs IPsec.” Estas publicaciones describen procedimientos adecuados para asegurar los datos.
Protocolos de Cifrado de HIPAA y Su Papel en la Protección de ePHI
Mantener un cifrado fuerte para datos en reposo en todas las computadoras y dispositivos de tu red, junto con una fuerte protección para la información en tránsito, ayudará a mantener la ePHI privada mientras demuestras al Departamento de Salud y Servicios Humanos que estás utilizando medidas de seguridad de extremo a extremo razonables y apropiadas.
Existen varias medidas conformes que pueden apoyar el cumplimiento de HIPAA, por ejemplo, el Estándar de Cifrado Avanzado (AES-256). El cifrado AES es un método simétrico establecido por el Instituto Nacional de Estándares y Tecnología de EE. UU. A través de una serie de pasos de seguridad robustos y una clave de descifrado compleja de 256 bits, este estándar es casi imposible de romper con métodos de fuerza bruta y ha sido aprobado para el manejo de datos confidenciales por el Gobierno de EE. UU.
Seguridad de la Capa de Transporte (TLS) es otro protocolo que también puede apoyar la transmisión segura de datos a través de la web mediante HTTPS, correo electrónico o mensajería instantánea. Este protocolo utiliza AES-256 más medidas de seguridad adicionales para asegurar la transferencia de datos.
OpenPGP (Pretty Good Privacy) y S/MIME son ambos conformes, pero requieren una gestión compleja de claves públicas, lo que puede resultar engorroso y demasiado lento para la mayoría de las organizaciones. AES-256 y TLS 1.2 no tienen esos problemas, por lo que Kiteworks los utiliza sobre otras medidas de seguridad.
Estas tecnologías pueden dificultar el envío de mensajes porque requieren que una organización gestione claves de seguridad públicas, y no necesariamente impiden que los mensajes de correo electrónico sean comprometidos en entornos de correo electrónico inseguros.
Como regla, un sistema seguro debe incluir cifrado AES-256 para datos en reposo y TLS para datos en tránsito. Para evitar requerir cifrado de clave pública para correos electrónicos, Kiteworks utiliza servidores de datos seguros y transmite enlaces a los usuarios. Así, en lugar de enviar datos cifrados directamente por correo electrónico, Kiteworks envía un enlace a un sitio seguro con autenticación de usuario donde el destinatario puede ver esa información de manera segura.
¿Dónde Están las Mayores Grietas en Tu Armadura de Cifrado de HIPAA y Cómo Puede el Cifrado Proteger esos Datos?
Implementa cifrado avanzado como el primer paso para asegurar el cumplimiento de HIPAA. Sin embargo, varios factores pueden socavar esa protección, abriendo problemas de incumplimiento y exponiendo datos de pacientes:
Sistemas y Servidores de Correo Electrónico No Seguros:
Tus empleados inevitablemente enviarán PHI ya sea a través de correos electrónicos o como archivos adjuntos de correo electrónico. Cuando refieren a un paciente a un médico especialista, por ejemplo, necesitan enviar registros llenos de PHI a la clínica de ese médico.
Los productos de correo electrónico seguro líderes hoy en día pueden asegurar el cumplimiento de HIPAA para todos los correos electrónicos privados y archivos adjuntos de tus empleados. Elige uno que sea tan simple como el correo electrónico normal, que no requiera que los usuarios gestionen claves, y que incluso maneje archivos de diagnóstico enormes, para que los usuarios no se sientan tentados a omitirlo en una emergencia. Asegúrate de que los pacientes, colegas y aseguradoras puedan recibir y responder de manera segura sin software especial.
Dispositivos Perdidos y Robados:
Más personal de atención médica está utilizando portátiles, tabletas y teléfonos móviles para hacer su trabajo, lo que significa manejar ePHI a través de esos dispositivos de manera regular. Un portátil robado con un disco duro sin cifrar es un gran riesgo de seguridad y un punto de incumplimiento para tu organización. Del mismo modo, los dispositivos móviles que utilizan aplicaciones no seguras pueden abrir tu organización a incumplimiento incluso si el dispositivo en sí está cifrado. Proveedores como Kiteworks ofrecen aplicaciones móviles seguras que pueden cumplir con los estándares de cifrado de HIPAA.
Personal y Capacitación:
Contraseñas débiles, malos hábitos de correo electrónico, malware descargado en dispositivos de la empresa o malos hábitos de navegación pueden abrir la puerta para que los atacantes obtengan PHI independientemente de la seguridad que use tu organización. Si bien el cifrado de HIPAA puede proteger contra algunos de estos ataques, no puede proteger contra un dispositivo perdido o robado con una clave y acceso a datos críticos de ePHI.
Rotación de Claves y Certificados de Cifrado:
La mejor seguridad del mundo no puede detener a alguien con la clave correcta. La rotación regular de claves y certificados puede hacer que tu infraestructura sea más resistente a violaciones de seguridad debido a claves comprometidas.
Socios Terceros:
Si tu organización trabaja con subcontratistas, proveedores u otros asociados, tu organización podría ser responsable por su falta de cumplimiento de HIPAA. Cuando tienes un Acuerdo de Asociación Comercial con un proveedor, es donde recae la responsabilidad cuando ocurre una violación. Kiteworks tiene un BAA permanente que entra en vigor con cualquier socio en la industria de la salud para mantener el cumplimiento de HIPAA y proteger tanto a las organizaciones como a los pacientes.
Cifrado Débil:
Computadoras, servidores y dispositivos antiguos pueden no tener las protecciones adecuadas instaladas. Si los datos se almacenan en estos dispositivos para uso de producción o solo para respaldo, estás exponiendo esos datos y tu organización a incumplimiento.
Cumple con los Requisitos de Cifrado de HIPAA para tu ePHI con Kiteworks
Las organizaciones de atención médica deben tener los estándares técnicos de seguridad adecuados para proteger la ePHI. Cifrar datos en servidores y durante la transmisión es una parte necesaria del cumplimiento de HIPAA, y esa necesidad también se extiende a los proveedores de nube e IT de terceros con los que trabajan.
Kiteworks proporciona servicios de transferencia de archivos administrados y seguridad de nivel empresarial para socios en atención médica. Kiteworks sigue todos los requisitos de HIPAA para que cualquier dato almacenado o transportado a través de nuestros sistemas, ya sea mediante transferencia de archivos, correo electrónico o almacenamiento en la nube. Esto incluye varios servicios y tecnologías conformes a HIPAA como aplicaciones móviles, transferencia segura de archivos administrada, software de firewall de contenido.
Eso significa que cuando entras en un BAA con nosotros, puedes confiar en que los datos de los pacientes están seguros y protegidos, y tu organización está en cumplimiento.
Para aprender cómo Kiteworks puede ayudarte a mantener el cumplimiento de HIPAA, programa una programa una demostración personalizada de Kiteworks hoy.