Nuevas normas de seguridad de la HIPAA: Mejora de la ciberseguridad sanitaria

El Departamento de Salud y Servicios Humanos de Estados Unidos (HHS) ha dado pasos decisivos en respuesta al alarmante aumento de las filtraciones de datos sanitarios al proponer importantes actualizaciones de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios de 1996 (HIPAA). Las nuevas normas HIPAA de la Oficina de Derechos Civiles (OCR) del HHS pretenden reforzar las defensas de ciberseguridad de las organizaciones sanitarias y proteger los datos sensibles de los pacientes.

Por qué son necesarios estos cambios

El sector sanitario se ha convertido en uno de los principales objetivos de los ciberdelincuentes debido a la naturaleza sensible de los datos de los pacientes y a los incentivos económicos para los atacantes. Según un informe de 2024 de la empresa de ciberseguridad Sophos, el 67% de las organizaciones sanitarias sufrieron ataques de ransomware, un fuerte aumento desde el 34% en 2021. Vulnerabilidades explotadas, credenciales comprometidas y correos electrónicos maliciosos fueron identificados como las principales causas detrás de estos incidentes.

Los ciberataques a las organizaciones sanitarias no sólo suponen pérdidas económicas, sino que se han convertido en cuestiones de vida o muerte. Por tanto, la urgencia de hacer frente a estas amenazas es innegable. La Organización Mundial de la Salud (OMS) ha calificado estas amenazas de problemas mundiales críticos, destacando su potencial para interrumpir servicios que salvan vidas. Las actualizaciones propuestas de la HIPAA reflejan un esfuerzo proactivo para mitigar los riesgos y mejorar la resistencia ante los cambiantes retos cibernéticos.

Qué incluyen las nuevas actualizaciones de la HIPAA

Las nuevas normas de la HIPAA tienen por objeto proteger mejor su información sanitaria electrónica (ePHI), crear defensas más sólidas contra amenazas como el ransomware y, lo que es más importante, mantener la confianza que usted deposita en sus proveedores de asistencia sanitaria.

Algunas de las disposiciones más destacadas son:

Auditorías anuales de ciberseguridad

• Realice auditorías de seguridad cada 12 meses para identificar y corregir las deficiencias de seguridad.
• Revisar los inventarios de activos tecnológicos y los mapas de red para detectar vulnerabilidades.

Mayor protección de datos

• Cifre la información sanitaria electrónica protegida (ePHI) tanto en reposo como en tránsito para salvaguardar los datos sensibles.
• Implanta la autenticación multifactor (MFA ) para asegurar el acceso al sistema. MFA significa que necesitas algo más que una contraseña para iniciar sesión, como un código enviado a tu teléfono o un escáner de huella dactilar. Esto hace que sea mucho más difícil para alguien entrar en una cuenta, incluso si tienen la contraseña.

Análisis y pruebas periódicas

• Realice análisis de vulnerabilidades al menos cada seis meses.
• Realice pruebas de penetración anuales para simular escenarios de ataque reales.

Protocolos de copia de seguridad y recuperación

• Establecer controles técnicos para una copia de seguridad y recuperación de datos eficaces.
• Restaure los sistemas y datos perdidos en las 72 horas siguientes a un incidente.

Segmentación de la red

• Introduzca la segmentación de la red para limitar la propagación de programas maliciosos y restringir el acceso no autorizado.

Protección antimalware

• Implantar y mantener actualizadas las soluciones antimalware.
• Elimine el software superfluo para minimizar los riesgos de seguridad.

Medidas proactivas de cumplimiento y resistencia

En respuesta a las nuevas normativas, las organizaciones sanitarias deben aplicar medidas proactivas de ciberseguridad para garantizar tanto el cumplimiento como la resistencia. Una estrategia eficaz es adoptar soluciones de parcheado en vivo, como KernelCare Enterprise.

KernelCare Enterprise ofrece parches automatizados y sin reinicios para las principales distribuciones de Linux para empresas, lo que permite a las organizaciones sanitarias abordar las vulnerabilidades de inmediato, sin reinicios, tiempos de inactividad ni interrupciones. Este enfoque es especialmente crítico en la sanidad, donde el tiempo de actividad del sistema repercute directamente en la atención al paciente y la eficiencia operativa.

Al integrar los parches activos en sus marcos de ciberseguridad, las organizaciones pueden alinearse con el enfoque de la HIPAA de minimizar las vulnerabilidades al tiempo que mantienen operaciones sin problemas. Esto no solo garantiza el cumplimiento de las normas en evolución, sino que también protege la ePHI y refuerza la confianza entre los pacientes y las partes interesadas.

Conclusión

Las actualizaciones propuestas de la normativa HIPAA suponen un importante paso adelante en el refuerzo de la ciberseguridad de las organizaciones sanitarias. Con la norma final prevista para dentro de 60 días, es crucial que los proveedores actúen con rapidez. Implementar el cifrado, adoptar la autenticación multifactor (MFA) y rediseñar las arquitecturas de red son medidas clave para salvaguardar los datos confidenciales de los pacientes. Estos cambios van más allá del cumplimiento de los requisitos: reflejan el compromiso de proteger la seguridad de los pacientes en un entorno de amenazas cada vez más complejo.

La fuente de este artículo incluye una historia de TheHackerNews.

Resumen

Nombre del artículo

Nuevas normas de seguridad de la HIPAA: Mejora de la ciberseguridad sanitaria

Descripción

Explore las nuevas normas de la HIPAA destinadas a impulsar la ciberseguridad sanitaria con una mayor protección de la ePHI, cifrado y auditorías de cumplimiento.

Autor

Rohan Timalsina

Nombre del editor

TuxCare

Logotipo de la editorial