Publicada originalmente en marzo de 2005 y revisada por primera vez en octubre de 2008, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. ha vuelto a modificar la Publicación Especial (SP) 800-66 para actualizar sus directrices de ciberseguridad para el sector sanitario.
La norma SP 800-66 se desarrolló para ayudar a las organizaciones de prestación de servicios sanitarios (HDO) a comprender la norma de seguridad de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) y proporcionar un marco para apoyar su implementación. La Norma de Seguridad de la HIPAA se aplica a cualquier organización que gestione información sanitaria protegida electrónica (ePHI), ya sea una entidad cubierta o un socio comercial (por ejemplo, un proveedor externo, un proveedor o un socio). La norma exige a las organizaciones:
- Garantizar la confidencialidad, integridad y disponibilidad de toda la ePHI que creen, reciban, mantengan o transmitan.
- Identificar y proteger contra amenazas razonablemente previstas a la seguridad o integridad de la información.
- Proteger contra usos o divulgaciones no permitidos de la ePHI que sean razonablemente previsibles.
- Garantizar el cumplimiento por parte de sus trabajadores
Esta publicación examina el alcance de las evaluaciones de riesgos de la Norma de Seguridad de la HIPAA para socios comerciales externos, alinea la guía SP 800-66 con la Norma de Seguridad e identifica las capacidades de la Plataforma de Gestión de Riesgos de Terceros Prevalent que pueden abordar los requisitos.
Disposiciones sobre socios comerciales de la Norma de Seguridad de la HIPAA
La Norma de Seguridad de la HIPAA incluye disposiciones que exigen a las entidades cubiertas realizar evaluaciones de riesgos, entre las que se incluyen:
- Análisis de riesgos (R) – 164.308(a)(1)(ii)(A): Realizar una evaluación precisa y exhaustiva de los posibles riesgos y vulnerabilidades para la confidencialidad, integridad y disponibilidad de la información sanitaria protegida en formato electrónico que obra en poder de la entidad cubierta o del socio comercial.
- Gestión de riesgos (R) – 163.308(a)(1)(ii)(B): Implementar medidas de seguridad suficientes para reducir los riesgos y vulnerabilidades a un nivel razonable y adecuado para cumplir con la Sección 164.306(a).
La Norma de Seguridad recomienda siete pasos que deben incluirse en un proceso integral de evaluación de riesgos.
1. Prepararse para la evaluación
Objetivos: Comprender dónde se crea, recibe, mantiene, procesa o transmite la ePHI. Definir el alcance de la evaluación.
Cómo ayuda Prevalent: Prevalent colabora con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real. Nuestros expertos colaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida de los riesgos de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida de la empresa.
Prevalent puede identificar relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos. Los proveedores descubiertos a través de este proceso son supervisados continuamente para detectar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para detectar sanciones o PEP.
Una vez identificadas las terceras y cuartas partes, puede aprovechar las más de 750 plantillas de evaluación predefinidas disponibles en la plataforma Prevalent para evaluar a los socios comerciales externos en función de los requisitos del NIST, la HIPAA u otros.
Asignación de capacidades prevalentes a los requisitos de la norma de seguridad HIPAA NIST SP 800-66r2
La norma NIST SP 800-66r2 presenta medidas de seguridad que son relevantes para cada estándar de la Norma de Seguridad de la HIPAA. Aquí identificamos medidas específicas para socios comerciales y asignamos capacidades prevalentes que ayudan a satisfacer los requisitos.
NOTA: Esta información se presenta únicamente a modo de orientación resumida. Las organizaciones deben revisar por su cuenta y en su totalidad los requisitos de la norma NIST 800-66r2 y la norma de seguridad HIPAA, en consulta con sus auditores.
5.1.9 Contratos de socios comerciales y otros acuerdos (§ 164.308(b)(1))
1. Identificar las entidades que son socios comerciales en virtud de la norma de seguridad de la HIPAA
Prevalent identifica las relaciones con terceros a través de una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno. Nota: Esta capacidad también se puede utilizar para abordar 5.4.1 Contratos con socios comerciales u otros acuerdos (§ 164.314(a)) – 4. Otros acuerdos; y 5. Contratos con socios comerciales con subcontratos.
Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificar los riesgos inherentes para todos los terceros y socios comerciales durante la incorporación. A partir de esta evaluación de riesgos inherentes, su equipo puede gestionar de forma centralizada a todos los socios comerciales; clasificar automáticamente a los proveedores; establecer los niveles adecuados de diligencia adicional; y determinar el alcance de las evaluaciones continuas.
2. Establecer un proceso para medir el rendimiento del contrato y rescindirlo si no se cumplen los requisitos de seguridad.
Prevalent ayuda a medir de forma centralizada los KPI y KRI de terceros para reducir los riesgos derivados de las deficiencias en la supervisión de los proveedores mediante la automatización de las evaluaciones de contratos y rendimiento.
Cuando se detecta que un tercero incumple el contrato, la plataforma automatiza las evaluaciones contractuales y los procedimientos de baja para reducir el riesgo de exposición posterior al contrato de su organización.
3. Contrato escrito u otro acuerdo
Prevalent centraliza la distribución, discusión, retención y revisión de los contratos con proveedores. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida.
Con estas capacidades, puede asegurarse de que las cláusulas correctas -como las protecciones de seguridad sobre la ePHI y la formación- están en el contrato, y de que son ejecutables y se comunican eficazmente a todas las partes interesadas.
Nota: Esta capacidad también se puede utilizar para abordar 5.4.1 Contratos con socios comerciales u otros acuerdos (§ 164.314(a)) – 1. El contrato debe estipular que los socios comerciales cumplirán con los requisitos aplicables de la norma de seguridad; y 2. El contrato debe estipular que los socios comerciales celebrarán contratos con subcontratistas para garantizar la protección de la ePHI.
5.4.1 Contratos u otros acuerdos con socios comerciales (§ 164.314(a))
3. El contrato debe prever que los asociados comerciales notifiquen los incidentes de seguridad
Además de la gestión del ciclo de vida de los contratos, Prevalent ofrece un servicio de respuesta a incidentes de terceros que permite a los equipos identificar y mitigar rápidamente el impacto de las infracciones de terceros mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a orientación sobre medidas correctivas.
Los clientes también pueden acceder a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. La base de datos incluye tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones de violación de datos de proveedores en tiempo real. Combinada con la supervisión cibernética continua, proporciona a las organizaciones una visión completa de los riesgos externos para la seguridad de la información que pueden afectar a las operaciones.
Próximos pasos para el cumplimiento de la norma de seguridad HIPAA utilizando NIST 800-66
Prevalent puede ayudar a las organizaciones a aplicar los principios de la norma NIST SP 800-66r2 para cumplir los requisitos de seguridad de la HIPAA para los socios comerciales. La plataforma de gestión de riesgos de terceros de Prevalent:
- Realiza evaluaciones exhaustivas de diligencia debida previas al contrato para calcular el riesgo inherente que los socios comerciales aportan a una relación.
- Simplifica los procesos de contratación para garantizar que se apliquen y se supervisen todos los indicadores clave de rendimiento (KPI) de los socios comerciales y las disposiciones relativas a la información médica protegida electrónica (ePHI).
- Perfiles y niveles de todos los terceros, ajustando la diligencia debida continua según la importancia crítica.
- Mapea a las cuartas partes para comprender el riesgo entre los subcontratistas.
- Añade un flujo de trabajo para automatizar el proceso de evaluación, puntuación de riesgos y corrección.
- Supervisa continuamente a los socios comerciales en lo que respecta a los riesgos cibernéticos, comerciales, reputacionales y financieros, y correlaciona los riesgos con los resultados de las evaluaciones y valida los hallazgos.
- Automatiza los procesos de respuesta ante incidentes, acelerando el tiempo de resolución.
- Incluye informes de cumplimiento y riesgos por marco o normativa.
Para obtener orientación específica sobre cómo Prevalent puede ayudar a cumplir los requisitos de la norma NIST SP 800-66r2 y apoyar la implementación de la norma de seguridad HIPAA, descargue la lista de verificación de cumplimiento completa o solicite una demostración hoy mismo.
2. Identificar amenazas realistas
Objetivos: Identificar los posibles eventos de amenaza y las fuentes de amenaza que son aplicables a la entidad regulada y su entorno operativo.
Cómo ayuda Prevalent: Prevalent realiza un seguimiento y análisis continuos de las amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.
3. Identificar las vulnerabilidades potenciales y las condiciones predisponentes
Objetivos: Utilizar fuentes internas y externas para identificar posibles vulnerabilidades. Las fuentes internas pueden incluir evaluaciones de riesgos previas, análisis de vulnerabilidades y resultados de pruebas de seguridad del sistema (por ejemplo, pruebas de penetración) e informes de auditoría. Las fuentes externas pueden incluir búsquedas en Internet, información de proveedores, datos de seguros y bases de datos de vulnerabilidades.
Cómo ayuda Prevalent: Prevalent normaliza, correlaciona y analiza la información a través de evaluaciones de riesgos internas y externas. Este modelo unificado proporciona contexto, cuantificación, gestión y apoyo para la corrección de riesgos. También valida la presencia y la eficacia de los controles internos con supervisión externa.
4.-6. Determinar la probabilidad (y el impacto) de que una amenaza explote una vulnerabilidad; determinar el nivel de riesgo.
Objetivos: Determinar la probabilidad (de muy baja a muy alta) de que una amenaza aproveche con éxito una vulnerabilidad; determinar el impacto (operativo, individual, en los activos, etc.) que podría tener en la ePHI si una amenaza aprovecha una vulnerabilidad; evaluar el nivel de riesgo (bajo, medio, alto) para la ePHI, teniendo en cuenta la información recopilada y las determinaciones realizadas durante los pasos anteriores.
Cómo ayuda Prevalent: La plataforma Prevalent le permite definir umbrales de riesgo y clasificar y puntuar los riesgos en función de su probabilidad e impacto. El mapa de calor resultante permite a los equipos centrarse en los riesgos más importantes.
7. Documentar los resultados de la evaluación de riesgos
Objetivos: Documentar los resultados de la evaluación de riesgos.
Cómo ayuda Prevalent: Con Prevalent, puede generar registros de riesgos al completar la encuesta, integrando información de monitoreo cibernético, comercial, reputacional y financiero en tiempo real para automatizar las revisiones, los informes y las respuestas de riesgos. Desde el registro de riesgos, puede crear tareas relacionadas con los riesgos u otros elementos; verificar el estado de las tareas a través de reglas de correo electrónico vinculadas a la plataforma; y aprovechar las recomendaciones y la orientación de corrección integradas.
La solución automatiza la auditoría de cumplimiento de la gestión de riesgos de terceros mediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos y la generación de informes para docenas de normativas gubernamentales y marcos industriales, incluidos NIST, HIPAA y muchos más.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
