En el sistema de salud moderno de hoy, los pacientes no solo confían en sus proveedores de atención médica con su salud, sino también con una gran cantidad de datos personales sensibles. Estos datos pueden incluir cualquier cosa, desde detalles de contacto hasta información de pago y registros médicos, lo que, en manos de actores malintencionados, puede llevar al robo de identidad y fraude.

Uno de los objetivos centrales de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) es mejorar la seguridad y la confidencialidad de los registros de salud de los pacientes.

Las regulaciones de HIPAA requieren que las entidades cubiertas y los asociados de negocios mantengan la seguridad y privacidad de los datos del paciente, lo que incluye rastrear la actividad del sistema de información y monitorear quién accede a los registros del paciente, cuándo y cómo. Este seguimiento se realiza a través de registros de auditoría, que actúan como registros del sistema y son necesarios para el cumplimiento de HIPAA.

Aprenda qué incluir en un registro de auditoría de HIPAA, por qué son importantes para sus programas de seguridad y privacidad, consejos para ayudarlo a comenzar y otros detalles complicados de cumplimiento a continuación.

¿Qué es un registro de auditoría HIPAA? ¿Por qué las pistas de auditoría son importantes para la seguridad y el cumplimiento?

Las Reglas de Seguridad y Privacidad de HIPAA especifican que todas las entidades cubiertas y los asociados comerciales deben implementar salvaguardas físicas, técnicas y administrativas para asegurar la información de salud protegida (PHI) y la información de salud electrónica protegida (ePHI). Parte de esas salvaguardas incluye mantener registros de auditoría que registren cómo y cuándo se crea, procesa, accede y/o comparte cualquier tipo de PHI.

Los registros de auditoría de HIPAA son registros de actividades del sistema: quién accedió a la red, cuándo, qué hicieron y qué documentos o datos del paciente vieron.

¿Por qué sería útil una larga lista de actividades del sistema para una mayor seguridad y privacidad? Los administradores de TI y los expertos en ciberseguridad pueden revisarlos para detectar tendencias y anomalías y gestionar los riesgos de manera más efectiva. Los registros de auditoría adecuados ayudan a las organizaciones a prevenir incidentes de seguridad, detectar violaciones de datos rápidamente y comprender cómo y por qué ocurrieron.

Los registros de auditoría también ayudan a las organizaciones a mantener el cumplimiento con la Regla del Mínimo Necesario de HIPAA, que exige que los proveedores de atención médica solo accedan a PHI para un propósito específico dentro de su función laboral. Los registros de auditoría establecen y rastrean los patrones de acceso normales para cada empleado y asociado comercial. Estos patrones y tendencias facilitan la detección de anomalías que podrían indicar cuándo un usuario está abusando de los derechos de acceso o si un usuario no autorizado está intentando acceder a un sistema, aplicación o archivo.

Los registros de auditoría se utilizan típicamente para:

• Forense: Después de un incidente de seguridad o una violación de datos, una organización necesita comprender cuándo y cómo ocurrió para contenerlo y reducir su impacto. Los registros de auditoría permiten a las organizaciones identificar lo que sucedió y los eventos que lo precedieron.
• Prueba de cumplimiento: Los registros de auditoría son necesarios para cumplir con muchos estándares de seguridad, incluido HIPAA. Demuestran que una organización es capaz de investigar cualquier violación de datos o acceso no autorizado que pueda ocurrir y también proporcionan evidencia de cumplimiento en caso de una auditoría externa.
• Recuperación ante desastres: En caso de pérdida de datos o inoperabilidad del sistema, los registros de auditoría se pueden usar para ayudar en los esfuerzos de recuperación y prevenir que el problema vuelva a ocurrir.

Requisitos de HIPAA: Qué incluir en un registro de auditoría HIPAA

Los registros de auditoría deben cubrir todos los dispositivos electrónicos y aplicaciones dentro de la red de tu organización de salud. Esto incluye computadoras, dispositivos móviles, bases de datos, servidores internos y aplicaciones en la nube como el correo electrónico y el intercambio de archivos.

El cumplimiento de HIPAA requiere tres tipos de registros de auditoría:

• Registros de auditoría de aplicaciones monitorean la actividad de los usuarios en aplicaciones, incluyendo aplicaciones de estación de trabajo y en la nube. Los registros monitorean cómo se crean, ven, comparten y eliminan los archivos.
• Registros de auditoría a nivel de sistema registran eventos a nivel de sistema, como apagados y reinicios, autorización y autenticación de usuarios, y acceso a datos por usuarios específicos.
• Registros de auditoría de usuarios rastrean la actividad del usuario, como el acceso a PHI, y cualquier comando del sistema operativo ejecutado por el usuario.

Las entidades cubiertas y los asociados de negocios también están obligados a registrar actividades específicas dentro de sus registros de auditoría. Estos incluyen:

• Intentos de inicio de sesión (tanto exitosos como fallidos)
• Cualquier cambio en las bases de datos que almacenen ePHI
• Agregar o eliminar usuarios
• Agregar, eliminar o cambiar permisos de acceso de usuarios
• Acceso de usuarios a archivos, bases de datos o directorios
• Registros de cortafuegos que muestran intentos de conexión dentro o fuera del perímetro de seguridad del sistema
• Registros de anti-malware

Las organizaciones también deben mantener registros de auditoría separados para registrar el acceso a archivos y registros en papel.

¿Cuánto tiempo deben conservarse los registros de auditoría HIPAA?

Toda la documentación de cumplimiento de HIPAA, incluidos los registros de auditoría, debe ser conservada por al menos seis años. Sin embargo, algunos estados tienen requisitos de retención propios que son más largos que seis años. Las organizaciones de salud deben cumplir con el requisito que sea más estricto.

Según el Departamento de Salud y Servicios Humanos de EE.UU. (HHS), los registros deben almacenarse en formato bruto durante al menos 6-12 meses, después de lo cual se pueden almacenar en un formato comprimido.

Comenzando con los registros de auditoría de HIPAA

Para ayudar a las organizaciones de atención médica a navegar las salvaguardas especificadas en la Regla de Seguridad de HIPAA, incluidos los requisitos de registro de auditoría, el Instituto Nacional de Estándares y Tecnología (NIST) publicó la Publicación Especial 800-66.

NIST 800-66 incluye una serie de preguntas que las organizaciones pueden usar para guiar su enfoque a la creación y mantenimiento de registros de auditoría compatibles con HIPAA:

• ¿Dónde se almacena la ePHI dentro de los sistemas de información y dónde existen vulnerabilidades?
• ¿Qué actividades, procesos o aplicaciones hacen que la ePHI sea más vulnerable?
• ¿Quién es el responsable de establecer un proceso de registro de auditoría?
• ¿Cómo se revisarán los registros, por quién y con qué frecuencia?
• ¿Con qué frecuencia se informarán los resultados a los interesados y por quién?
• ¿Cómo se informará cualquier actividad sospechosa o incidentes de seguridad confirmados?
• ¿Cómo procederán las investigaciones de seguridad y cómo se utilizarán los registros de auditoría en esas investigaciones?
• ¿Cómo pueden los administradores de sistemas proteger mejor la integridad de los registros de auditoría?
• ¿Dónde se almacenarán los registros de auditoría, por cuánto tiempo y cómo se eliminarán de forma segura?

Para ayudarlo a comenzar, hemos creado un registro de auditoría de muestra poblado con campos clave para rastrear. La muestra también incluye una lista de documentación de cumplimiento de HIPAA que puede querer almacenar con sus registros de auditoría para referencia rápida, incluidos evaluaciones de riesgo, acuerdos con socios comerciales y políticas clave como una política de seguridad de la información y política de privacidad.

Cómo Secureframe puede ayudar con el cumplimiento de HIPAA

Nuestra plataforma de automatización de seguridad y privacidad hace que sea fácil determinar qué ePHI maneja y cómo fluye a través de su organización, lo cual es crucial para un programa sólido de seguridad y privacidad y el cumplimiento continuo de HIPAA.

También podemos ayudarle a evaluar sus salvaguardas de seguridad y controles de auditoría, completar un análisis de riesgos e identificar debilidades para proporcionar una imagen clara de su postura de seguridad y privacidad.

Para obtener más información sobre cómo Secureframe puede ayudarlo a lograr y mantener el cumplimiento de HIPAA, solicite una demostración hoy.