Más de 52 millones de personas tuvieron su información de salud privada expuesta en 2022 en más de 700 violaciones, según un análisis de Healthcare Dive. Esto es un aumento drástico en comparación con los 6 millones de personas afectadas en 2010, el primer año completo en que se disponía de datos sobre violaciones en el sector de la salud.
Afortunadamente, hay pasos que puede tomar para evitar contribuir a las estadísticas de violaciones de datos. Una evaluación de riesgos HIPAA es un paso crucial para cualquiera que busque cumplir con la HIPAA y mejorar la seguridad de su información sensible.
A continuación, profundizamos en qué incluye una evaluación de riesgos y cómo realizarla. Salte a nuestra lista de verificación de evaluación de riesgos HIPAA para una hoja de referencia práctica.
¿Qué es una evaluación de riesgos HIPAA?
Una evaluación de riesgos HIPAA es un requisito que ayuda a las organizaciones a identificar, priorizar y gestionar posibles violaciones de seguridad. Esta evaluación es una auditoría interna que examina cómo se almacena y protege la PHI. Ayuda a las empresas a identificar debilidades y mejorar la seguridad de la información.
La Regla de Seguridad HIPAA requiere que las entidades cubiertas y los socios comerciales realicen evaluaciones de riesgos para mantener la información de salud protegida (PHI) segura.
¿Por qué son importantes las evaluaciones de riesgos HIPAA?
Muchos pacientes tienen su información de salud almacenada electrónicamente. Por lo tanto, el riesgo de una violación de su ePHI, o información de salud protegida electrónicamente, es muy real.
Las organizaciones deben evaluar regularmente su postura de seguridad para detectar debilidades y mantener proactivamente la información de los pacientes segura. Una evaluación de riesgos es una forma de hacerlo y es un requisito para cumplir con la HIPAA.
El incumplimiento de las regulaciones de HIPAA puede resultar en multas costosas, una reputación dañada y, en algunos casos, incluso sanciones penales. Realizar evaluaciones de riesgos regulares puede ayudarlo a evitar violaciones de HIPAA y mantener la información segura.
Cómo realizar un análisis de riesgos HIPAA en 6 pasos
Es importante tener en cuenta que no hay una “forma correcta” de hacer un análisis de riesgos HIPAA.
La HIPAA no proporciona instrucciones específicas sobre cómo hacer una evaluación de riesgos, porque reconoce que cada empresa es diferente.
Sin embargo, hay varios elementos que deben considerarse en cada evaluación de riesgos.
1. Definir el alcance
El alcance de su evaluación de riesgos tomará en cuenta todos los riesgos potenciales para la PHI. Piense no solo en dónde se almacena la PHI (electrónicamente o físicamente), sino también en los dispositivos en los que se almacena la ePHI.
El Departamento de Salud y Servicios Humanos (HHS) proporciona algunas preguntas para hacer durante la etapa de delimitación:
- ¿Ha identificado la PHI dentro de su organización?
- ¿Cuáles son las fuentes externas de PHI? Por ejemplo, ¿los proveedores crean, reciben, mantienen o transmiten PHI?
- ¿Cuáles son las amenazas humanas, naturales y ambientales para los sistemas de información que contienen PHI?
Al definir el alcance, también debe documentar dónde se almacena, recibe, mantiene y transmite la PHI.
2. Identificar debilidades potenciales
Las organizaciones también deben identificar y documentar vulnerabilidades que podrían resultar en una violación de la PHI.
Esto se puede hacer revisando proyectos pasados o actuales, realizando entrevistas con el personal que maneja PHI y revisando la documentación.
3. Monitorear la efectividad de las medidas de seguridad
Las empresas también deben evaluar las medidas de seguridad implementadas para proteger la PHI. Todas las salvaguardas deben ser documentadas.
Las prácticas de seguridad actuales deben medirse en relación con los requisitos de seguridad descritos en la Regla de Seguridad de HIPAA. Cualquier brecha o medida utilizada incorrectamente debe ser reevaluada.
4. Determinar y asignar niveles de riesgo
Después de identificar los riesgos potenciales, las organizaciones pueden predecir la probabilidad de ocurrencia de la amenaza y el impacto estimado.
Las organizaciones a menudo usan una escala del 1 al 5 para medir la probabilidad y el impacto, donde 1 significa muy poco probable y 5 significa muy probable. Para el impacto, 1 podría significar insignificante y 5 podría significar severo.
5. Priorizar riesgos según probabilidad e impacto potencial
Cuando todas las amenazas han sido medidas por impacto y probabilidad, las organizaciones pueden priorizar las amenazas.
El nivel de riesgo es más alto cuando es probable que ocurra una amenaza y tendrá un impacto significativo en el negocio. Una vez priorizados, los riesgos deben ser documentados junto con las medidas implementadas para mitigarlos.
6. Revisar y actualizar su análisis de riesgos regularmente
Una vez que haya completado una evaluación de riesgos e implementado cualquier medida de seguridad que faltaba o no existía, puede respirar un poco más tranquilo.
El HHS instruye que una evaluación de riesgos sea revisada y actualizada periódicamente según sea necesario.
Aunque HIPAA no tiene un requisito sobre la frecuencia con la que debe realizar una evaluación de riesgos, los expertos recomiendan que se realicen anualmente o cada dos años.
Lista de verificación de evaluación de riesgos de HIPAA
Hemos creado una lista de verificación para ayudarlo a guiarse a través del proceso de evaluación de riesgos de HIPAA. Puede descargarla a continuación.
Cómo Secureframe puede ayudar con el cumplimiento de HIPAA
Trabajar con una empresa como Secureframe facilita determinar qué PHI maneja y cómo se mueve a través de su organización, lo cual es un complemento crucial para una evaluación de riesgos.
También podemos ayudarte a evaluar tus medidas de seguridad e identificar debilidades para proporcionar una imagen clara de tu postura de seguridad.
Para obtener más información sobre cómo Secureframe puede ayudarte a lograr y mantener el cumplimiento de HIPAA, solicita una demostración.
Preguntas frecuentes
¿Quién está obligado a realizar una evaluación de riesgos de HIPAA?
Tanto las entidades cubiertas como los asociados comerciales de las entidades cubiertas están obligados a realizar una evaluación de riesgos de HIPAA.
Una entidad cubierta incluye proveedores de planes de salud, proveedores de atención médica y centros de compensación de atención médica. Los asociados comerciales incluyen empresas de software con acceso a PHI, empresas de transcripción médica, abogados y contadores.
¿Qué frecuencia se requiere para realizar una evaluación de riesgos de HIPAA?
HIPAA no especifica con qué frecuencia deben realizarse las evaluaciones de riesgos, pero sí establece que se deben realizar análisis “regulares” de las salvaguardas.
Muchas organizaciones optan por realizar una evaluación de riesgos anual, pero puedes determinar la mejor práctica para tu organización según las circunstancias de tu entorno.
¿Cuáles son las salvaguardas técnicas y no técnicas?
Las salvaguardas técnicas son parte del hardware y software que mantienen segura la ePHI. Los ejemplos incluyen métodos de cifrado, autenticación y cierre de sesión automático.
Las salvaguardas no técnicas son controles de gestión y operaciones para ayudar a capacitar a las personas sobre las mejores prácticas relacionadas con PHI. Estos incluyen directrices, medidas de responsabilidad y medidas de seguridad física.