Cloud Stability Alliance ofrece consejos para proteger …


A medida que la telesalud se vuelve más común, los expertos en seguridad abordan las preocupaciones de privacidad y seguridad de almacenar datos de salud en la nube.

La pandemia de COVID-19 ha empujado a las organizaciones de atención médica a hacer de la telesalud una prioridad principal. A medida que lo hacen, se ven obligados a enfrentar problemas de privacidad relacionados con el acceso, uso y alteración de la información, así como con la seguridad de los servicios de nube pública donde se almacenan los datos de salud.

Como explica Cloud Protection Alliance (CSA) en un nuevo informe sobre protección de datos de salud, «telemedicina» y «telesalud» no deben usarse indistintamente. El primero se refiere al diagnóstico clínico y al monitoreo por tecnología este último tiene una definición más amplia. La telesalud cubre herramientas y atención médica clínica como quioscos, aplicaciones de monitoreo de sitios web, aplicaciones móviles, dispositivos portátiles y tecnología de videoconferencia para vincular a los pacientes con los proveedores de atención médica.

Las organizaciones de atención médica (HDO) están aumentando las capacidades de telesalud, como la monitorización remota de pacientes (RPM) y la telemedicina para tratar a las personas en el hogar y reducir el riesgo de exposición tanto para los proveedores como para los pacientes. Esto continuará creciendo mucho después de la pandemia, escriben los expertos.

Se espera que la creciente dependencia de la telesalud en la nube genere riesgos de privacidad y seguridad para las instituciones de salud. La mayoría de los sistemas hospitalarios que ofrecen telesalud utilizan herramientas de videoconferencia, así como tecnologías de nube e Online, creando una gama de problemas potenciales y los exigentes equipos de seguridad analizan más de cerca su arquitectura para identificar fallas y decidir los controles.

Esta es una responsabilidad compartida entre el HDO y el proveedor de la nube. Las organizaciones de atención médica deben comprender los requisitos reglamentarios de los datos del paciente y las tecnologías que utilizan.

Se accede a los servicios de la nube pública a través de World-wide-web pública, lo que según los expertos no significa que la nube sea inherentemente segura, sino que debe considerarse en un modelo de seguridad en la nube. HIPAA requiere que los HDO mantengan protecciones administrativas, técnicas y físicas «razonables y apropiadas» para proteger la información de salud pública (PHI). Los HDO también tienen el mandato de hacer un análisis de riesgos de amenazas a la seguridad, que incluye amenazas basadas en la nube y proporciona la información necesaria para tomar decisiones basadas en riesgos.

Las organizaciones de atención médica también deben identificar los controles de seguridad que tienen implementados y asegurarse de que funcionan según lo previsto. Como parte de estas evaluaciones, el HDO debe hablar con sus proveedores de servicios en la nube sobre el gobierno, el cumplimiento, la confidencialidad, la integridad, la disponibilidad y la respuesta y gestión de incidentes. Las partes interesadas deben considerar la seguridad de extremo a extremo de los sistemas, incluidas las políticas internas para el management de acceso y el aprovisionamiento de usuarios.

La información de salud protegida está en el centro de las preocupaciones de privacidad relacionadas con la telesalud, y la aparición de ataques dirigidos contra los sistemas de información para acceder a la PHI es preocupante. La regla de privacidad de HIPAA, que regula la recopilación, el uso y la divulgación de la PHI, proporciona información para comprender mejor las implicaciones de privacidad. Obliga a las organizaciones de salud a rastrear el uso y la divulgación de la PHI y notificar a los pacientes cuando se utilizan sus datos. El RGPD de la UE, que otorga a las personas ciertos derechos cuando se utilizan datos, también puede aplicarse, dependiendo de dónde se almacene la PHI.

Las organizaciones de atención médica deben saber cómo sus proveedores en la nube manejan la retención de datos y supervisan cómo acceden y usan los datos. Si hay una violación de los datos de salud, el proveedor debe tener un program sobre cómo notificará al HDO y lanzará la respuesta al incidente. Los proveedores de la nube también deben firmar un acuerdo de socio comercial, otro requisito bajo HIPAA.

CSA también enfatiza la importancia de un programa de monitoreo continuo para garantizar que los HDO apliquen y mejoren sus operaciones de seguridad para los controles internos, así como los programas de privacidad y seguridad utilizados por un proveedor de servicios en la nube. Los expertos explican que este monitoreo se mantiene a lo largo de los ciclos de vida de los datos, las aplicaciones y los sistemas, y debe modificarse a lo largo del tiempo para lograr un conocimiento y cumplimiento continuo del riesgo. en su informe.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Kelly Sheridan es la Editora de personal de Darkish Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia primary