Las organizaciones de salud están adoptando las muchas ventajas de la computación en la nube, incluida su escalabilidad, rentabilidad y flexibilidad. Si bien la nube hace que el almacenamiento y el uso compartido de archivos sea fácil y conveniente, sus riesgos de seguridad son lo suficientemente numerosos como para dar lugar a la categoría CASB. Sin embargo, antes de implementar una solución, es importante comprender cómo las regulaciones de la industria afectan la adopción de la nube y qué buscar al seleccionar un proveedor de servicios de almacenamiento en la nube.

Si su negocio debe ser compatible con HIPAA, estas 10 preguntas para garantizar el cumplimiento de HIPAA pueden salvarle algunos jefes importantes en el futuro.

  1. ¿Su proveedor de nube tiene implementadas las políticas correctas?

Un proveedor de servicios en la nube debe tener un programa que cumpla con políticas y procedimientos de seguridad específicos según lo estipulado por HIPAA. Una de esas políticas es un Acuerdo de Asociación Comercial (BAA) que establece un conjunto específico de pautas para el cumplimiento de HIPAA para todas las partes, incluidos los subcontratistas, que participan en el almacenamiento de datos. Con un BAA, los proveedores de la nube y todas las partes asociadas son responsables en caso de pérdida o robo de datos. Asegúrese de que todas las empresas que manejan sus datos firmen un BAA.

  1. ¿Tienen un personal dedicado para el cumplimiento de HIPAA?

Su proveedor de servicios en la nube debe tener empleados dedicados que trabajen en el lugar para garantizar que se cumplan las regulaciones de HIPAA. De esta manera, puede tener la tranquilidad de saber que su proveedor de servicios en la nube trabaja las 24 horas del día para supervisar el cumplimiento y ofrecer un alto nivel de seguridad constante.

  1. ¿Cuál es el proceso de cifrado de los datos?

Su proveedor debe garantizar que la transferencia de datos hacia y desde la nube esté encriptada y sea segura. HIPAA dicta que el cifrado FIPS-140-2 está implementado para cualquier ePHI (información de salud protegida por medios electrónicos) que esté en tránsito. También debe haber un cifrado para los datos que están en reposo en las SAN (redes de área de almacenamiento), en los controladores locales y en las copias de seguridad en los discos duros.

  1. ¿Tienen controles de acceso?

Prevenir a los hackers no solo implica el cifrado. Las medidas también deben estar en su lugar para evitar cualquier intervalo interno. Las llaves maestras y las identificaciones electrónicas son dos formas en las que el proveedor podría garantizar la seguridad y limitar el acceso a los datos. Las exploraciones biométricas, como las huellas dactilares o las exploraciones oculares, son cada vez más populares entre las empresas de tecnología, y eso es algo bueno para los clientes.

  1. ¿Ofrecen copias de seguridad fuera del sitio?

HIPAA también requiere que se realicen copias de seguridad seguras fuera del sitio. Esta es la clave para mantener la seguridad de los datos en caso de que ocurra algo catastrófico que pueda ocasionar la pérdida o el robo.

  1. ¿Qué procesos de formación de conciencia de seguridad tienen implementados?

Los proveedores de la nube necesitan evaluar constantemente los procedimientos para asegurarse de que estén operando dentro de las regulaciones de HIPAA. Los proveedores necesitan un programa estructurado y actualizado para garantizar que sus empleados y clientes estén familiarizados con todos los posibles problemas de seguridad. Estos programas también deberán actualizarse a medida que cambien las regulaciones de HIPAA. El error humano es una de las fuentes principales de las brechas de seguridad, por lo que es importante que el proveedor que seleccione entienda la importancia de la capacitación continua.

  1. ¿Qué credenciales o certificaciones adicionales tienen?

El cumplimiento de HIPAA nunca está garantizado, sin embargo, tener otras calificaciones puede recorrer un largo camino para ayudar a los clientes a sentirse seguros. Las buenas preguntas que debe hacer a su posible proveedor de servicios en la nube deben incluir donde tengan certificaciones adicionales, tales como:

– Cumplimiento de SOX

– Cumplimiento de PCI DSS.

– SSAE-16

– SAS70 tipo II

  1. ¿Cómo cumplen con los estándares de cifrado de datos?

Como se mencionó anteriormente, los proveedores deben cifrar los datos en tránsito hacia y desde la nube para que estén seguros. Esto también significa mantenerse al día con los últimos estándares de encriptación y no quedarse atrás de las mejores prácticas de la industria. La seguridad y el cifrado están probablemente en la parte superior de su lista de inquietudes, así que asegúrese de que esta pregunta sea una parte importante de la conversación.

  1. ¿Tienen un plan de recuperación de desastres?

Ya sea que se trate de un desastre natural o hecho por el hombre, cualquier proveedor de servicios administrados debe contar con un plan para lidiar con la recuperación de datos para cumplir con los requisitos. Esto debe estar bien documentado y su personal debe tener acceso inmediato para que los procesos y procedimientos adecuados puedan ponerse en acción de inmediato. Pida una copia del plan de recuperación de desastres de un proveedor como parte de su proceso de evaluación.

  1. ¿Mantienen auditorías internas regulares?

HIPAA observa de cerca si está realizando o no auditorías periódicas de sus propias vulnerabilidades, aunque la definición de ‘regular’ no está explicada. Se recomiendan revisiones internas mensuales y trimestrales, así como evaluaciones periódicas y anuales de terceros. Como parte de sus procesos de evaluación, pregunte sobre el calendario de auditoría interna de sus posibles socios proveedores. Una vez que haya seleccionado un proveedor de servicios en la nube, solicite que se le notifique cada vez que se realice una auditoría interna. Si eso no sucede al menos cada trimestre, considere solicitarlo.

Los avances e innovaciones tecnológicas, como los servicios en la nube, son una gran ventaja para muchas empresas, incluida la industria de la salud. Sin embargo, las ventajas conllevan un mayor riesgo de amenazas cibernéticas para los datos del paciente. Para las organizaciones y los proveedores de servicios administrados con lo que sea que trabajen, es vital asegurarse de que todas las medidas de seguridad y los requisitos de HIPAA estén en su lugar.

Dejar respuesta

Please enter your comment!
Please enter your name here