Las organizaciones de salud están adoptando las muchas ventajas de la computación en la nube, incluyendo su escalabilidad, rentabilidad y flexibilidad. Mientras que la nube hace que el almacenamiento y el intercambio de archivos sean fáciles y convenientes, sus riesgos de seguridad son lo suficientemente numerosos como para dar lugar a la categoría CASB. Sin embargo, antes de implementar una solución, es importante entender cómo las regulaciones de la industria afectan la adopción de la nube y qué buscar al seleccionar un proveedor de servicios de almacenamiento en la nube.
Si su negocio debe ser compatible con HIPAA, estas 10 preguntas para asegurar el cumplimiento de HIPAA podría ahorrarle algunos dolores de cabeza importantes en el camino.
¿Su proveedor de la nube tiene las políticas correctas en su lugar?
Un proveedor de servicios en la nube debe tener un programa que cumpla con las políticas y procedimientos de seguridad específicos según lo ordenado por HIPAA. Una de estas políticas es un Acuerdo de Asociado de Negocios (BAA) que establece un conjunto específico de directrices para el cumplimiento de la HIPAA para todas las partes involucradas en el almacenamiento de datos, incluyendo subcontratistas. Con un BAA, los proveedores de nube y todas las partes asociadas son responsables en caso de pérdida de datos o robo. Asegúrese de que todas las empresas que manejan sus datos firmen un BAA.
¿Tienen un personal dedicado para el cumplimiento de HIPAA?
Su proveedor de servicios en la nube debe tener empleados dedicados trabajando en el sitio para garantizar que se cumplan las regulaciones de HIPAA. De esta manera, puede tener tranquilidad sabiendo que su proveedor de servicios en la nube trabaja todo el día para supervisar el cumplimiento y ofrece un nivel de seguridad consistentemente alto.
¿Cuál es el proceso de cifrado de datos?
Su proveedor debe garantizar que la transferencia de datos hacia y desde la nube está encriptada y segura. HIPAA dicta que el cifrado FIPS-140-2 está en su lugar para cualquier ePHI (información de salud protegida electrónica) que esté en tránsito. También debería haber un cifrado para los datos que están en reposo en SAN (redes de área de almacenamiento), en controladores locales y para copias de seguridad en discos duros.
¿Tienen controles de acceso?
La prevención de los hackers no sólo implica encriptación. También deben establecerse medidas para prevenir las infracciones internas. Las claves maestras y los identificadores electrónicos son dos maneras en que el proveedor puede proteger la seguridad y limitar el acceso a los datos. Las exploraciones biométricas, como las huellas digitales o las exploraciones oculares, son cada vez más populares entre las empresas de tecnología, y eso es algo bueno para los clientes.
¿Ofrecen backups fuera del sitio?
HIPAA también requiere que las copias de seguridad fuera de sitio estén en su lugar. Esto es clave para mantener los datos seguros en caso de algo catastrófico que podría conducir a la pérdida o robo.
¿Qué procesos de capacitación en concientización de seguridad tienen en su lugar?
Los proveedores de nube deben evaluar constantemente los procedimientos para asegurarse de que están operando dentro de las regulaciones HIPAA. Los proveedores necesitan un programa estructurado y actualizado para asegurar que sus empleados y clientes estén familiarizados con todos los posibles problemas de seguridad. Estos programas también tendrán que ser actualizados a medida que cambian los reglamentos de HIPAA. El error humano es una de las principales fuentes de infracciones de seguridad, por lo que es importante que el proveedor que seleccione comprenda la importancia de la formación continua.
¿Qué credenciales adicionales o certificaciones tienen?
HIPAA cumplimiento nunca está garantizado, sin embargo, tener otras calificaciones puede ir un largo camino para ayudar a los clientes se sienten seguros. Las buenas preguntas que debe hacer a su futuro proveedor de servicios en la nube deben incluir si tienen certificaciones adicionales como:
- Cumplimiento de SOX
- Cumplimiento PCI DSS
- SSAE-16
- SAS70 tipo II
¿Cómo cumplen los estándares de cifrado de datos?
Como se mencionó anteriormente, los proveedores deben cifrar los datos en tránsito desde y hacia la nube para que sean seguros. Esto también significa mantenerse al día con los últimos estándares de cifrado y no quedar atrás de las mejores prácticas de la industria. La seguridad y el cifrado probablemente estén en la parte superior de su lista de preocupaciones, así que asegúrese de hacer de esta pregunta una parte importante de la conversación.
¿Tienen un plan de recuperación de desastres?
Ya se trate de un desastre natural o provocado por el hombre, cualquier proveedor de servicios administrados debe tener un plan para hacer frente a la recuperación de datos con el fin de cumplir con los requisitos. Esto debe estar bien documentado y su personal debe tener acceso inmediato para que los procesos y procedimientos adecuados puedan ponerse en acción de inmediato. Pida una copia del plan de recuperación de desastres de un proveedor como parte de su proceso de evaluación.
¿Mantienen auditorías internas regulares?
HIPAA examina de cerca si está o no realizando auditorías regulares en sus propias vulnerabilidades, aunque la definición de "regular" no está explicada. Se recomiendan revisiones internas mensuales y trimestrales, así como evaluaciones periódicas y anuales de terceros. Como parte de sus procesos de evaluación, pregunte sobre el calendario de auditoría interna de sus socios potenciales. Una vez que haya seleccionado un proveedor de servicios en la nube, solicite que se le notifique cuando se realiza una auditoría interna. Si eso no sucede por lo menos cada trimestre, considere pedir eso.
Los avances tecnológicos y las innovaciones como los servicios en la nube son una gran ayuda para muchas empresas, incluida la industria de la salud. Sin embargo, las ventajas traen un mayor riesgo de amenazas cibernéticas a los datos de los pacientes. Para las organizaciones y los proveedores de servicios administrados con los que trabajan, es vital para asegurarse de que todas las medidas de seguridad y los requisitos de HIPAA están en su lugar.
Autor: Saumya Sinha
0 comentarios:
Publicar un comentario