Nuevas reglas de ciberseguridad HIPAA
Nos encontramos frente a un año 2025 marcado desde el inicio por sus novedades en cuanto estándares internacionales en materia de seguridad, en este caso hablamos en específico del borrador del nuevo reglamento de ciberseguridad de HIPAA propuesto por el Departamento de Salud y Servicios Humanos de los EE. UU., el cual introduce cambios significativos a fin de fortalecer la protección de la información de salud electrónica protegida (ePHI).
Recapitulemos al respecto, y para ello debemos retroceder al 27 de diciembre de 2024, fecha en la que la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. emitió una Notificación de Propuesta de Reglamentación (NPRM) para modificar la Regla de Seguridad de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA ¿Su objetivo final? fortalecer las protección cibernética de la información de salud electrónica protegida (ePHI) frente al aumento de ciberataques en el sector sanitario. Contexto de la actualización. Esta iniciativa llevada adelante por el citado organismo norteamericano halla su sustento en una serie de acontecimientos que llevaron a repensar el futuro de la seguridad de la información de salud electrónica protegida. Para comprender esto podemos mencionar algunos de los puntos más relevantes que motivaron a la presentación de la propuesta de actualización:
1. Aumento de ciberataques en el sector sanitario:
- Datos alarmantes: las brechas de seguridad en datos de salud han crecido exponencialmente, con costos promedio de $10.1 millones por incidente, más altos que en cualquier otro sector. Los ciberataques no solo afectan financieramente, sino que también pueden paralizar operaciones críticas como citas médicas, telemedicina y acceso a historiales clínicos. **- Impacto en los pacientes:**Exposición de información sensible e interrupciones en la atención médica y pérdida de confianza en el sistema.
2. Transformación digital del sector sanitario:
- En 2021, más del 96% de los hospitales y el 80% de los consultorios médicos adoptaron historiales médicos electrónicos (EHR). Aunque estos avances han mejorado la eficiencia, también aumentan las superficies de ataque al incorporar dispositivos médicos conectados, sistemas de telemedicina y flujos de trabajo digitalizados. 3. Inconsistencias en el cumplimiento de la regla actual:
- La Oficina de Derechos Civiles (OCR) identificó que muchas entidades no cumplen consistentemente con los requisitos de seguridad actuales, exponiendo datos a riesgos evitables. 4. Alineación con mejores prácticas de ciberseguridad:
- El borrador busca integrar estándares del NIST Cybersecurity Framework, HHS 405(d) Program, y Cybersecurity Performance Goals (CPG). Esto unifica las medidas bajo un marco robusto y flexible que aborda las amenazas modernas.
5. Consideraciones regulatorias:
- Justificación económica: El costo estimado de implementación inicial es de $9 mil millones, seguido de $6 mil millones anuales. Sin embargo, se espera que esto reduzca significativamente las pérdidas por ciberataques y mejore la confianza en el sistema.
- Escalabilidad y flexibilidad: Las medidas están diseñadas para ser aplicables tanto a grandes hospitales como a pequeños proveedores rurales, adaptándose a diferentes capacidades tecnológicas.
Estos cambios son de vital importancia ya que obedecen a la importancia crítica del sector sanitario, el cual fue designado como infraestructura crítica nacional por su impacto en la salud pública, la economía y la seguridad nacional.
¿Qué Podés Hacer? Para proteger a tu organización y estar al día con estos cambios, es fundamental adoptar un enfoque proactivo. Si querés saber más sobre cómo estas nuevas reglas pueden afectar a tu empresa, contactanos para una consulta con nuestro equipo.
Fuente: https://www.hipaajournal.com/hipaa-updates-hipaa-changes/
Jessica Recalde
13 de enero de 2025
