Temas Relacionados
Acerca de los Informes de Cumplimiento HIPAA
La regla de seguridad de la Ley de responsabilidad y transferibilidad de los seguros médicos de los Estados Unidos (HIPAA) incluye una serie de garantías de seguridad física, administrativa y técnica que las organizaciones en los Estados Unidos deben respetar para garantizar que la información electrónica de salud protegida (EPHI) sea confidencial. Las organizaciones del cuidado de la salud usan de forma rutinariamente varias aplicaciones de TI para la facturación, los pagos, las tomas de decisiones clínicas y la administración del flujo de trabajo. A medida que la información personal y confidencial pasa a través de redes, entre proveedores de servicios de salud, empleadores y compañías de seguro, las organizaciones deben proteger sus datos para cumplir con la ley HIPAA.
Todas las entidades regidas por la ley HIPAA deben cumplir con la Regla de seguridad. En general, las normas, requisitos y las especificaciones de implementación de HIPAA aplican a las siguientes entidades regidas por la ley:
- Proveedores de Cuidados de la Salud Regidos por esta Ley — Cualquier proveedor de servicios médicos u otros servicios o suministros del cuidado de la salud que transmita información en forma electrónica en relación con una transacción para la cual HHS ha adoptado un estándar.
- Planes de salud — Cualquier plan individual o grupal que brinde o pague el costo de servicios de cuidado de la salud (por ejemplo, un asegurador que ofrecen planes de salud y los programas Medicare y Medicaid).
Para obtener más información acerca de quién está regido por HIPAA, consulte:
- La Oficina de Derechos Civiles (OCR) — www.hhs.gov/ocr/hipaa
- Los CMS (Centros para Servicios de Medicare y Medicaid) — www.cms.hhs.gov, consulte Regulaciones y Pautas
La regla de seguridad de HIPAA consta de una cantidad de garantías en diferentes áreas:
- Administrativa
- Física
- Técnica
Cada grupo de garantías incluye una cantidad de normas, que generalmente incluyen una cantidad de especificaciones de implementación que son requeridas o direccionables. Si se requiere una especificación de implementación, la entidad regida por la ley debe implementar políticas y/o procedimientos que cumplan con la especificación de implementación requerida. Si una especificación de implementación es direccionable, entonces la entidad regida por la ley debe evaluar si es una garantía razonable y adecuada en el entorno de esa entidad.
La Regla de seguridad requiere que una entidad regida por esta ley documente los fundamentos para la toma de muchas de sus decisiones con respecto a la seguridad.
Muchas de las garantías administrativas y técnicas de HIPAA son amplias y generales en su redacción y no especifican la implementación técnica fuera de las prácticas seguras, como autenticación de usuario, auditorías y generación de registros regulares y administración y respuesta frente a incidentes. Debido a los orígenes de privacidad de HIPAA, las garantías de seguridad también hacen hincapié en el cifrado de datos.
WatchGuard aborda estas normas específicas de cumplimiento de HIPAA:
La especificación de implementación del Identificador de Usuario Único establece que una entidad regida por esta ley debe: “Asignar un nombre o número único para identificar y rastrear la identidad de un usuario”. La identificación del usuario es una forma de encontrar a un usuario en particular de un sistema de información, generalmente por nombre y/o número. Un identificador de usuario único permite a una entidad rastrear la actividad de un usuario en particular cuando el usuario inicia sesión en un sistema de información. Permite a una entidad hacer responsables a los usuarios sobre las funciones llevadas a cabo en sistemas de información con EPHI cuando inician sesión en estos sistemas.
Cuando esta especificación de implementación es una garantía razonable y adecuada para una entidad regida por la ley, la entidad debe: “Implementar un mecanismo para cifrar y descifrar información electrónica de salud protegida”.
El estándar de Controles de auditoría requieren que una entidad regida por la ley: “Implementar hardware, software o mecanismos de procedimiento que registren y examinen la actividad en sistemas de información que contengan o utilicen información electrónica de salud protegida”.
Es importante señalar que la Regla de seguridad no identifica a los datos que deben recolectarse por los controles de auditoría y con qué frecuencia se deben revisar los informes de auditoría. Una entidad regida por esta ley debe considerar sus factores organizativos y análisis de riesgos, como la infraestructura técnica actual, las capacidades de seguridad del hardware y software, para determinar controles de auditoría razonables y adecuados para sistemas de información que contengan o utilicen EPHI.
Para asegurarse de que todos los usuarios cumplan con la política de seguridad, es útil controlar con regularidad a los clientes más activos y a los clientes que tienen bloqueadas las acciones que infringen la política de seguridad.
Se pueden utilizar VNP para sucursales para cifrar el tráfico entre las diferentes ubicaciones. Se pueden utilizar Mobile VPN para garantizar que los empleados remotos estén conectados de forma segura a la oficina o ubicación de cuidado de la salud. Se debe revisar la configuración del Firebox con regularidad para verificar que los VPN estén configurados para todas las ubicaciones especificadas en la política de seguridad de la empresa.
1. Mecanismo para Autenticar la Información Electrónica Protegida de Salud (A) — § 164.312(c)(2)
“Implementar procedimientos para verificar que una persona o entidad que busca acceso a información electrónica de salud protegida sea la que dice ser”. En general, la autenticación garantiza que las personas sean quienes dicen ser antes de permitirles el acceso a EPHI.
1. Controles de Integridad (A) — § 164.312(e)(2)(i)
Cuando esta especificación de implementación es una garantía razonable y adecuada para una entidad regida por la ley, la entidad debe: “Implementar medidas de seguridad para garantizar que la información electrónica protegida de salud transmitida de forma electrónica no se modifique de forma indebida sin que se detecte hasta el momento de su eliminación”.
2. Encryption (Cifrado) (A) — § 164.312(e)(2)(ii)
Cuando esta especificación de implementación es una garantía razonable y adecuada para una entidad regida por la ley, la entidad debe: “Implementar un mecanismo para cifrar información electrónica de salud protegida siempre que se considere adecuado”.
Además del uso de VPN para proporcionar seguridad a las conexiones entre ubicaciones, las organizaciones que deben cumplir con las reglas de HIPAA deben considerar la función SMTP TLS que puede utilizarse para garantizar que los mensajes de correo electrónico enviados entre dos servidores de correo electrónico que admiten TLS estén cifrados.
Las entidades regidas por la ley deben: “Implementar políticas y procedimientos para abordar los incidentes de seguridad”.
Puede configurar Fireware XTM para enviar notificaciones y alarmas en respuesta a eventos de seguridad que se producen en la red.
La especificación de implementación Respuesta y Creación de Informes indica que las entidades cubiertas deben: “Identificar y responder a incidentes de seguridad supuestos o conocidos; mitigar, en la medida de lo posible, los efectos perjudiciales de los incidentes de seguridad conocidos para la entidad cubierta; y documentar incidentes de seguridad y sus resultados”.
Los informes de WatchGuard incluyen varios informes predefinidos que proporcionan información que lo ayudará a asegurarse de que su red cumple con las normas de la HIPAA. Estos informes están incluidos en el grupo Informes de cumplimiento.
| Estándar | Informe Relacionado | Descripción del Informe |
|---|---|---|
| Identificador de Usuario Único (R) — § 164.312(a)(2)(i) | Informe de autenticación de usuario negada | Lista detallada de los usuarios a los que se les negó autenticación Incluye la fecha, la hora y el motivo de la falla de autenticación |
| Informe de autenticación de usuario | Lista detallada de usuarios autenticados Incluye hora de inicio de sesión, hora de cierre de sesión e información del método de conexión | |
| Estándar § 164.312(b) — Controles de Auditoría | Auditar rastros | Lista detallada de los cambios de configuración auditados para un Firebox |
| Mecanismo para Autenticar la Información Electrónica Protegida de Salud (A) — § 164.312(c)(2) | Informe de autenticación de usuario negada | Lista detallada de los usuarios a los que se les negó autenticación Incluye la fecha, la hora y el motivo de la falla de autenticación |
| Procedimientos ante Incidentes de Seguridad — § 164.308(a)(6) Respuesta y Creación de Informes (R) — § 164.308(a)(6)(ii) |
WebBlocker | Registros de todas las alarmas |
| Resumen de alarmas | Reporte resumen de todas las alarmas | |
| Resumen del Intrusion Prevention Service | Todas las acciones de Intrusion Prevention | |
| Resumen de Gateway AntiVirus | Resumen de la acción de Gateway AntiVirus |
Ver Informes de Cumplimiento HIPAA en Dimension
Puede ver los informes de cumplimiento PCI de WatchGuard Dimension o programar los informes para exportarlos en un archivo PDF. Para obtener más información, consulte Ver Informes y Programar Informes
Generar Informes de Cumplimiento HIPAA del Report Manager
Para controlar su red y verificar que cumple con las normas de la HIPAA, puede generar los informes relacionados para cada requisito.
- Desde el WSM Report Server, cree un programa de informes que incluya los Informes de Cumplimiento requeridos.
Para obtener información detallada, consulte Configurar los Ajustes de la Generación de Informes. - Conectarse al WebCenter de WatchGuard para Ver informes de Cumplimiento en Report Manager.