Atención médica, HIPAA/HITECH, Los ciberataques específicos de la industria se disparan, pero proteger la PHI de robos y desastres naturales es fundamentalMarianne Kolbasuk McGee (HealthInfoSec) • 23 de agosto de 2024 Imagen: Getty Images A pesar de un aluvión aparentemente interminable de ciberataques que afectan al sector de la atención médica, las amenazas físicas contra los datos de los pacientes siguen siendo un peligro, dijo un regulador federal de EE. UU. Ver también: Navegador empresarial que respalda la atención médica y la resiliencia cibernética Desde 2020 hasta 2023, el Departamento de Salud y Servicios Humanos recibió más de 50 informes de infracciones importantes que afectaron a un total de 1 millón de personas relacionadas con vulneraciones de información médica protegida no segura que involucraban equipos informáticos robados y dispositivos relacionados, dijo la Oficina de Derechos Civiles del HHS en un aviso el miércoles. Eso es una mejora con respecto a hace menos de una década, cuando las infracciones que involucraban dispositivos perdidos y robados que contenían datos de pacientes sin cifrar dominaban las infracciones importantes publicadas en el sitio web de la herramienta de notificación de infracciones HIPAA de la OCR del HHS. Pero aún son demasiados, dijeron los reguladores. Solo el 7% de los tomadores de decisiones de seguridad de datos están preocupados por las violaciones debido a equipos perdidos o robados, a pesar de que estos representan el 17% de las violaciones, dijo HHS OCR, refiriéndose a los hallazgos de Forrester Research en su informe, El estado de la seguridad de datos, 2023. Si bien los incidentes de piratería dominan las principales violaciones de datos de salud, las entidades cubiertas por HIPAA y sus socios comerciales no deben aflojar en su seguridad física, incluidos los controles de acceso a las instalaciones. Las instalaciones desbloqueadas podrían atraer a delincuentes, quienes, en su prisa por huir de la escena, «también podrían destruir estructuras físicas o componentes electrónicos necesarios para la energía o refrigeración de los dispositivos, o dañar la infraestructura necesaria para la conectividad de la red, todo lo cual puede introducir demoras y costos adicionales para recuperarse completamente», dijeron los reguladores. Problemas «abordables» El estándar de control de acceso a las instalaciones de la Regla de seguridad HIPAA consta de cuatro especificaciones de implementación «abordables»: operaciones de contingencia, plan de seguridad de la instalación, procedimientos de control de acceso y validación y registros de mantenimiento. Las especificaciones de implementación abordables requieren que las entidades reguladas por la HIPAA evalúen si una especificación de implementación es una protección razonable y apropiada en su entorno y, de ser así, la implementen, dijo la agencia. Las cuatro especificaciones de implementación abordables para la seguridad física son: Las operaciones de contingencia deben incluir planes para responder a emergencias u otros sucesos, como inundaciones, que dañen los sistemas que contienen ePHI. Los planes de seguridad de las instalaciones deben incluir políticas y procedimientos para proteger sus instalaciones y equipos del acceso físico no autorizado, la manipulación y el robo. Los procedimientos de control de acceso y validación deben involucrar el acceso a las instalaciones en función del rol o la función de un individuo, incluido el control de visitantes y el acceso al software para pruebas y revisiones. Los registros de mantenimiento deben documentar la información relacionada con las reparaciones y modificaciones realizadas a los componentes físicos de una instalación relacionados con la seguridad. «Implementar controles de acceso a las instalaciones es análogo a asegurar su hogar. Antes de cerrar las entradas de su hogar, no ha asegurado eficazmente su hogar; de manera similar, sin controles de acceso a las instalaciones adecuados, no ha asegurado completamente su ePHI», dijo la OCR del HHS. Además, a medida que las condiciones climáticas se vuelven más extremas y los desastres naturales más frecuentes, las organizaciones reguladas probablemente deberían evaluar la resiliencia física de sus instalaciones, dijo la agencia. Sujeto a cumplimiento La OCR del HHS recordó a las entidades reguladas por la HIPAA que están sujetas a posibles acciones de cumplimiento si la falta de implementación de los controles de acceso a las instalaciones conduce a una violación de PHI. Una posible falla en la implementación de los controles de acceso a las instalaciones contribuyó a un acuerdo de HIPAA de $3.5 millones por parte de la agencia en 2018 con Fresenius Medical Care Holdings a raíz de cinco infracciones separadas informadas por la organización de atención médica de Massachusetts en 2012 (ver: Multa de $3.5 millones por cinco pequeñas infracciones de 2012). Tres de esos incidentes, que afectaron a un total de 366 personas, involucraron equipos robados de las instalaciones de FMC. La ePHI comprometida incluía nombres, fechas de admisión, días y horas de tratamientos, fechas de nacimiento, números de Seguro Social, números de teléfono y direcciones. Entre otras posibles violaciones de la HIPAA, la investigación de la OCR del HHS sobre las infracciones citó el fracaso de FMC para implementar políticas y procedimientos para proteger sus instalaciones y equipos del acceso no autorizado, la manipulación y el robo, dijo la agencia. Desafortunadamente, muchas organizaciones de atención médica tienen una tendencia a centrarse en los riesgos de seguridad que involucran puntos de procesamiento y almacenamiento centralizados, lo que requiere inversiones significativas de tiempo y esfuerzo, «a menudo a expensas de la colaboración necesaria y transparente con las funciones de seguridad física», dijo Wes Morris, director sénior de servicios de consultoría en la consultora de privacidad y seguridad Clearwater. Como parte de sus propios riesgos de seguridad de acceso a las instalaciones, las entidades reguladas deben considerar los riesgos planteados por terceros, dijo. «Cuando las instalaciones son administradas por una parte externa, como un propietario en un espacio alquilado, las entidades cubiertas y los socios comerciales deben tratar a los propietarios como lo harían con cualquier otro proveedor externo con alta probabilidad de acceso incidental a PHI verificando sus controles de seguridad física y su cadena de proveedores para limpieza, mantenimiento y seguridad física», dijo Morris. URL de la publicación original: https://www.databreachtoday.com/los-federales-al-sector-de-la-salud-no-escatiman-en-seguridad-física-a-26131