El Departamento de Salud y Servicios Humanos de EE. UU. está planeando una revisión masiva de las reglas de seguridad de la Ley de Responsabilidad y Portabilidad del Seguro Médico para fortalecer los requisitos básicos de ciberseguridad para proteger la información médica protegida (PHI) electrónica. EL cambios propuestosque será publicado en el Registro Federal el 6 de enero, requeriría que las organizaciones de atención médica y otras entidades cubiertas implementen controles de seguridad como autenticación multifactor y requisitos de cifrado mejorados.
La propuesta describe los cambios más significativos a HIPAA hasta la fecha. La norma de seguridad se revisó por última vez en 2013. panorama de amenazas es diferente hoy que hace más de una década, y las violaciones contra las organizaciones de atención médica aumentaron un 102% entre 2018 y 2023, dijo la Oficina de Derechos Civiles del HHS en un comunicado de prensa. declaración. En 2023, más de 167 millones de personas vieron comprometida su información de salud, un aumento del 1.002% con respecto a 2018.
Cambios propuestos a HIPAA
Los cambios se aplicarán a los planes de salud, las cámaras de compensación de atención médica, los proveedores de atención médica, los centros de atención médica, las compañías de seguros y los asociados.
Todo está escrito: Todas las políticas, procedimientos, planes y análisis deben constar por escrito. Esto también se aplica al desarrollo de procedimientos de respuesta a incidentes más estrictos, como escribir un planes de respuesta a incidentes y planes de prueba, así como procedimientos escritos para poder restaurar los sistemas de información y datos en un plazo de 72 horas.
Inventario de activos: Las organizaciones de atención médica deberán desarrollar y mantener periódicamente un inventario de activos tecnológicos y un mapa de red para rastrear el movimiento de información médica protegida (PHI) a través de diferentes sistemas.
Análisis de riesgos: Las organizaciones sanitarias no son muy buenas analizando los riesgos de seguridad. Los cambios propuestos incluyen más detalles sobre cómo realizar un análisis de riesgos de seguridad, como evaluaciones escritas que incluyan una revisión del inventario de activos tecnológicos y el mapa de la red, identifiquen cualquier amenaza potencial a la PHI y evalúen el nivel de riesgo para cada amenaza y vulnerabilidad.
Implementar controles de seguridad: Las organizaciones de atención médica necesitarán utilizar autenticación multifactor y segmentación de red para dificultar que los sistemas de atención médica se vean comprometidos o que se produzcan violaciones de datos. Toda la información de salud personal deberá cifrarse tanto en reposo como en tránsito, lo que refleja el consenso de que el cifrado ya no es opcional. Para los sistemas que manejan PHI, los equipos de seguridad deberán buscar vulnerabilidades cada seis meses, ejecutar pruebas de penetración al menos una vez al año, implementar defensas antimalware y eliminar software innecesario de los sistemas. Estos requisitos muestran cómo pasan de las actividades recomendadas a la base mínima de seguridad que cada entidad debe cumplir.
Se requerirá que las organizaciones realicen una auditoría de cumplimiento al menos una vez cada 12 meses para garantizar que estos controles técnicos estén implementados y demostrar que las salvaguardas se han implementado al menos una vez cada 12 meses mediante una certificación escrita.
Anne Neuberger, asesora adjunta de seguridad nacional para ciberseguridad y tecnologías emergentes, dijo durante una Rueda de prensa del 27 de diciembre que los cambios en las reglas de seguridad costarán alrededor de $9 mil millones en el año uno y $6 mil millones durante los años dos al cinco. «El costo de la inacción no sólo es alto, sino que también pone en riesgo la infraestructura crítica y la seguridad de los pacientes, y genera otras consecuencias perjudiciales», afirmó Neuberger.
Las partes interesadas tienen 60 días después de la publicación de la propuesta de casi 400 páginas para enviar sus comentarios (principios de marzo de 2025). Luego, el HHS emitirá la versión final de la regla, aunque aún no se ha fijado una fecha específica, seguida de una fecha de cumplimiento de 180 días. Tampoco está claro si el trabajo para cambiar las normas de seguridad continuará bajo la nueva administración presidencial. No obstante, las organizaciones de atención médica deben revisar los requisitos propuestos y evaluar sus programas de seguridad existentes para prepararse para posibles cambios.
