Arjun Premkumar
Arjun Premkumar

Comercializador de productos

La Ley de Responsabilidad y Portabilidad del Seguro de Salud, también conocida como HIPAA, es un estándar de cumplimiento  que se implementó después de que se digitalizó toda la información relacionada con la salud. El quid de la ley es garantizar que toda la información de salud protegida electrónica sensible (ePHI) tenga acceso restringido y seguro.

Conformidad HIPAA para redes

Varios aspectos de su red determinan su cumplimiento con los estándares HIPAA. Analicemos en detalle algunos de estos componentes importantes:

1. Cambios de configuración en dispositivos de red

Las configuraciones de dispositivos de red dictan cómo se comportan y se comunican sus dispositivos de red dentro de su red. Para acomodar el aumento repentino de la carga que las redes de las instituciones de salud están presenciando durante la pandemia de COVID-19, los administradores de red deben realizar cambios continuos en las configuraciones.

Un cambio de configuración defectuoso puede hacer que la red sea vulnerable, otorgando a usuarios no autorizados acceso a información confidencial, lo que constituye una violación de los estándares de HIPAA. Como ejemplo, si las contraseñas de los dispositivos de red no están encriptadas, cualquier usuario no autorizado puede leer estas contraseñas y obtener acceso a las bases de datos que almacenan información confidencial. Por lo tanto, los cambios de configuración deben revisarse antes y después de que se hayan cargado en los dispositivos para evitar tales violaciones de datos. 

2. Cambios en las reglas de firewall

HIPAA exige que las reglas de firewall se configuren de manera que solo los dispositivos de los usuarios autorizados puedan acceder a datos confidenciales como ePHI. A modo de ejemplo, un empleado que trabaja en un escritorio en un hospital solo puede requerir acceso a su correo electrónico o portales web específicos del hospital, que no contienen datos confidenciales. Las reglas de firewall se pueden configurar específicamente para que este empleado les otorgue acceso solo a estos sitios web mientras hace que todos los demás sitios web sean inaccesibles. Esta restricción reducirá la posibilidad de que el empleado interactúe con usuarios sospechosos o descargue software malicioso.

En los casos en que ciertos empleados están autorizados a acceder a ePHI, los administradores de red pueden configurar reglas para permitir que las computadoras de estos empleados lleguen a los servidores que contienen dicha información confidencial. Además, los cortafuegos admiten mecanismos de autenticación basados ​​en identidad en los que los usuarios tendrán que proporcionar información que solo ellos conocen para acceder a ePHI, lo que hace que la información confidencial sea aún más segura.

HIPAA ha relajado algunas de sus reglas a la luz de la pandemia en curso. Esto probablemente ha hecho que varios administradores de red cambien sus reglas de firewall. Pero si el impacto de tales cambios no se analiza antes de que se implementen, los usuarios no autorizados pueden ingresar a la red de la organización de atención médica y acceder a información confidencial.

3. Registros de firewall

Los registros del cortafuegos contienen información sobre los usuarios que iniciaron sesión, los archivos a los que accedieron y los cambios realizados en las bases de datos. Estos registros tienen que ser monitoreados para analizar el comportamiento del tráfico y garantizar que el tráfico sea de usuarios autorizados. Si los registros no se analizan de forma rutinaria, los usuarios malintencionados se escaparán sin ser vistos, tendrán acceso gratuito a bases de datos que contienen ePHI y cometerán delitos como alterar los registros de salud por fraude de seguros o incluso robo de identidad.

Las organizaciones de atención médica deben incorporar mecanismos para analizar la actividad en bases de datos que contienen datos confidenciales como ePHI. HIPAA también exige que estos registros se conserven por un mínimo de seis años, por lo que los administradores de la red deben asegurarse de que los registros que extrajeron estén almacenados de forma segura para fines de auditoría.

4. Configuraciones de VPN

En lugar de modificar las reglas del firewall, los administradores de red pueden configurar VPN para acceso restringido a información confidencial. Una VPN garantizará que todas las transferencias de datos se realicen a través de túneles encriptados para que no se produzca una violación de datos a través de dispositivos conectados a la red.

Si un administrador sospecha una violación de datos en cualquier momento, puede apagar inmediatamente la VPN para bloquear el acceso a toda la información confidencial, que contiene la posible violación de datos.

5. Copia de seguridad segura de ePHI

Los estándares HIPAA requieren que se respalde todo ePHI en caso de que se produzca un desastre en la red. Los administradores pueden encriptar y almacenar todos los datos de ePHI en servidores externos para garantizar la máxima seguridad. En tiempos de un desastre de red, donde los servidores principales de la organización se vuelven inaccesibles, los usuarios pueden acceder a estos servidores de respaldo fuera del sitio y recuperar todos los datos esenciales. Una VPN puede garantizar que el acceso a estos servidores esté restringido.

Dichos planes de recuperación ante desastres son cruciales para cumplir con los estándares HIPAA. Además, dado que las organizaciones de atención médica requieren una alta disponibilidad de red ahora más que nunca para combatir esta pandemia, los servidores de respaldo son críticos para garantizar la continuidad operativa.

En las grandes redes de hospitales, sería difícil para los administradores monitorear y auditar todos estos componentes. Pero con las herramientas adecuadas, los administradores pueden analizar y auditar fácilmente el tráfico, las reglas del firewall, los registros y los cambios en la configuración de la red para detectar anomalías e implementar medidas correctivas.

ManageEngine Network Configuration Manager y ManageEngine Firewall Analyzer son herramientas que pueden ayudarlo a cumplir con los estándares HIPAA. Puede programar comprobaciones de cumplimiento de rutina y generar informes intuitivos para fines de auditoría interna y externa.

¡Comience su prueba gratuita de Firewall Analyzer  ahora!
Aparte de monitoreo de ancho de banda, ITOM también tiene soluciones para agilizar  supervisión de la red ,  monitoreo de servidor ,  monitoreo de aplicaciones ,  la seguridad y el cumplimiento de cortafuegos ,  gestión de direcciones IP y la gestión puerto del switch . En verdad, esto hace que las soluciones ITOM sean una opción ideal para más de 1 millón de administradores de TI en todo el mundo.

Visitas: 40

ARTICULOS RELACIONADOS

Soluciones para la continuidad de tu negocio durante el trabajo remoto

Optimizar el trabajo remoto y preservar la continuidad del negocio.

cibersecurity it security trabajo remoto Seguir leyendo keyboard_arrow_right
May 2021 Visitas: 25

Un día en la vida de un analista SOC

Es responsable de mantener la seguridad ante los delitos cibernéticos.

edr malware siem Seguir leyendo keyboard_arrow_right
Mar 2021 Visitas: 25

Cómo la supervisión del ancho de banda VPN ayuda a retener la productividad remota de la fuerza laboral

El brote de COVID-19 ha arrodillado a empresas de todo el mundo. Para sobrevivir, las organizaciones a lo largo de las verticales están desplegando trabajo ...

Seguir leyendo keyboard_arrow_right
Oct 2020 Visitas: 32

COMENTARIOS