HIPAA: Protegiendo la Privacidad y Seguridad de la información médica con AWS

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) es una legislación fundamental en el ámbito de la salud en Estados Unidos. Promulgada en 1996, HIPAA establece estándares nacionales para proteger la información médica sensible de los pacientes. Esta ley no solo garantiza la confidencialidad de los datos de salud, sino que también proporciona a los pacientes un mayor control sobre su información médica personal. En un mundo cada vez más digitalizado, HIPAA juega un papel crucial en el equilibrio entre la eficiencia en la atención médica y la protección de la privacidad del paciente.

A continuación, exploraremos en detalle los aspectos más importantes de HIPAA, incluyendo sus principales reglas, quiénes deben cumplirla y cómo implementar sus requisitos de manera efectiva.

Cómo Configurar un Entorno HIPAA Compliant en AWS: Guía Paso a Paso

La configuración de un entorno HIPAA compliant en Amazon Web Services (AWS) requiere una planificación cuidadosa y una implementación meticulosa de diversas medidas de seguridad. Esta guía detallada te llevará a través de los pasos necesarios para crear una infraestructura en la nube que cumpla con los requisitos de HIPAA, protegiendo así la información de salud protegida (PHI) de tus pacientes o clientes.

Paso 1: Configuración de una Red Virtual Privada (VPC) Segura

La base de tu infraestructura HIPAA compliant será una VPC bien configurada:

  • Crea una nueva VPC en la región de AWS de tu elección.
  • Configura al menos dos subredes: una pública para recursos que necesitan acceso a internet y una privada para recursos que contienen PHI.
  • Implementa un Internet Gateway para la subred pública.
  • Configura una instancia NAT Gateway o una instancia NAT para permitir que los recursos en la subred privada accedan a internet de forma segura.
  • Configura las tablas de enrutamiento para dirigir el tráfico adecuadamente entre las subredes.

Paso 2: Implementación de Controles de Acceso Robustos

Utiliza AWS Identity and Access Management (IAM) para establecer un control de acceso granular:

  • Crea grupos de IAM para diferentes roles (por ejemplo, administradores, desarrolladores, auditores).
  • Asigna políticas de permisos a estos grupos siguiendo el principio de mínimo privilegio.
  • Crea usuarios individuales y asígnalos a los grupos apropiados.
  • Habilita la autenticación multifactor (MFA) para todos los usuarios, especialmente para cuentas con acceso a PHI.
  • Implementa una política de contraseñas fuerte, requiriendo longitud mínima, complejidad y rotación periódica.

Paso 3: Encriptación de Datos Sensibles

La encriptación es un requisito fundamental de HIPAA:

  • Utiliza AWS Key Management Service (KMS) para gestionar tus claves de encriptación.
  • Configura la encriptación en reposo para todos los servicios que almacenan PHI, como Amazon S3, Amazon RDS y Amazon EBS.
  • Implementa encriptación en tránsito utilizando TLS para todas las comunicaciones que involucren PHI.
  • Para Amazon S3, habilita el cifrado del lado del servidor (SSE) con claves gestionadas por AWS (SSE-S3) o con claves gestionadas por el cliente a través de KMS (SSE-KMS).

Paso 4: Configuración de Logs y Auditoría

Implementa un sistema robusto de logging y auditoría:

  • Habilita AWS CloudTrail para registrar todas las acciones realizadas en tu cuenta de AWS.
  • Configura Amazon CloudWatch Logs para recopilar y almacenar logs de tus aplicaciones y servicios.
  • Utiliza Amazon Athena o Amazon CloudWatch Logs Insights para analizar tus logs en busca de actividades sospechosas.
  • Implementa alertas en CloudWatch para notificar sobre eventos de seguridad críticos.

Paso 5: Implementación de Backup y Recuperación de Desastres

Asegura la continuidad del negocio y la protección de datos:

  • Configura AWS Backup para realizar copias de seguridad regulares de tus datos críticos y PHI.
  • Implementa una estrategia de retención de backups que cumpla con los requisitos de HIPAA (mínimo 6 años).
  • Prueba regularmente tus procedimientos de restauración para garantizar la integridad de los backups.
  • Considera la implementación de una arquitectura multi-región para alta disponibilidad y recuperación de desastres.

Paso 6: Seguridad de Red Avanzada

Refuerza la seguridad de tu red:

  • Implementa AWS Web Application Firewall (WAF) para proteger tus aplicaciones web contra ataques comunes.
  • Utiliza AWS Shield para protección contra ataques DDoS.
  • Configura grupos de seguridad y listas de control de acceso a la red (NACLs) para controlar el tráfico entre subredes y desde/hacia internet.
  • Considera el uso de AWS Network Firewall para un control aún más granular del tráfico de red.

Paso 7: Monitoreo Continuo y Gestión de Vulnerabilidades

Mantén tu entorno seguro a lo largo del tiempo:

  • Implementa Amazon GuardDuty para la detección continua de amenazas.
  • Utiliza AWS Security Hub para obtener una visión centralizada de tu postura de seguridad.
  • Realiza escaneos regulares de vulnerabilidades utilizando Amazon Inspector o herramientas de terceros.
  • Mantén todos los sistemas y software actualizados con los últimos parches de seguridad.

Paso 8: Formación y Concienciación

La seguridad es responsabilidad de todos:

  • Proporciona formación regular sobre seguridad y cumplimiento de HIPAA a todo el personal que tenga acceso a sistemas con PHI.
  • Desarrolla y mantén políticas y procedimientos claros para el manejo de PHI en el entorno de AWS.
  • Realiza simulacros de respuesta a incidentes para asegurar que tu equipo esté preparado para manejar posibles brechas de seguridad.

Conclusiones y Recursos Adicionales

Configurar un entorno HIPAA compliant en AWS es un proceso continuo que requiere atención constante y mejoras. Recuerda que el cumplimiento de HIPAA no es solo una cuestión técnica, sino también organizativa. Mantén una comunicación abierta con tu equipo legal y de cumplimiento para asegurar que todas las medidas implementadas satisfacen los requisitos regulatorios.

Para mantenerte actualizado y profundizar en aspectos específicos, te recomendamos consultar regularmente la documentación oficial de AWS sobre HIPAA y asistir a webinars y eventos de AWS centrados en seguridad y cumplimiento en el sector salud.

Recuerda, la configuración de un entorno HIPAA compliant es solo el primer paso. El mantenimiento continuo, la auditoría regular y la adaptación a nuevas amenazas y requisitos regulatorios son esenciales para garantizar el cumplimiento a largo plazo y la protección efectiva de la información de salud de tus pacientes o clientes.

seguridad_para_familias

Webinar – Seguridad para familias

En esta ocasión quiero compartir el vídeo de un webinar que realicé a finales de año (Seguridad para familias) para colaborar con mis amigos de Alzago. Ellos tienen una academia orientada a niños en la que enseñan ofimática, programación, robótica, … y me llamaron tras recibir varias consultas de los padres interesándose por temas de seguridad ahora que sus pequeñuelos se iniciaban en temas tecnológicos, Internet y demás.

Yo, que tengo dos hijas, tenía ganas de hacer algo así y poder ayudar a concienciar a otros padres que, a menudo, se sienten demasiado confusos en estos temas. La tecnología avanza muy rápido y los riesgos están acechando, por lo que enseñar la forma de utilizarla de forma segura se hace cada día más importante.

Para la realización de esta presentación se ha utilizado material original y recursos de INCIBE (https://www.incibe.es), la iniciativa Internet Segura for Kids (https://www.is4k.es) y a la Oficina de Seguridad del Internauta (https://www.osi.es/es) sin que ellos aporten ningún tipo de participación ni opinión.

Uso seguro de Internet para los pequeños de la casa

A continuación os dejo el webinar, al que podéis acceder también desde mi canal de Youtube:

Accede a los recursos

La presentación la podéis descargar del repositorio oficial de SecurityInside, concretamente en este enlace.

Bonus track

Durante la ronda de preguntas, surgió la necesidad de ahondar un poco más en otros temas. Os dejo aquí una serie de enlaces de interés que os servirán para añadir más información:

Pero hay mucha más información, por lo que os recomiendo navegar por esos tres portales y aprender junto a vuestros pequeños. A ellos les encantará y será muy divertido para pasar un rato en familia.

Resumiendo, yo me lo pasé bien y creo que ha servido para aclarar un poco las ideas tanto a familiares como a amigos. Espero que también os pueda servir de ayuda a todos vosotros.

¡Saludos!

SecurityInside Live: CISO Day 2020

Todos sabemos la importancia del flujo de información dentro de una industria tan cambiante y retadora como la de la ciberseguridad. Si eres CISO, CIO, responsable de ciberseguridad, experto en la materia, investigador o hacker… serás bienvenido a CISO Day 2020, un evento centrado en el responsable de la ciberseguridad corporativa.

Si recuerdas, ya hemos hablado en este blog otras veces de la importancia del CISO, en este evento se profundiza en su importancia desde varios puntos de vista.

CISO DAY 2020 basa su agenda en 6 niveles fundamentales de la ciberseguridad: Estratégico (CISO), Analítico (Ciberinteligencia), Institucional (INCIBE), Innovador (CyberStartup), Security (Proveedores) y Técnico (Hacking).

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

SID2020

SecurityInside Live: Día de Internet Segura 2020

El Día de Internet Segura, “Safer Internet Day” (SID, por sus siglas en inglés) es un evento promovido por la red INSAFE/INHOPE con el apoyo de la Comisión Europea, que se celebra cada mes de febrero con el objetivo de promover un uso seguro y positivo de las tecnologías digitales, especialmente entre niños y jóvenes. El SID se celebra el segundo día de la segunda semana del segundo mes del año y reúne a millones de personas de todo el mundo para impulsar cambios positivos y concienciar acerca de la seguridad en Internet, organizando distintos eventos y actividades.

Leer más

Software Defined Perimeter

SDP – Software Defined Perimeter: 10 motivos por los que es interesante

Hoy os traigo el resultado de mi actualización en relación a las soluciones SDP (Software Defined Perimeter) con las que me he encontrado hace poco, espero que os resulte interesante.

Como mucho de vosotros sabéis, las redes privadas virtuales (VPN) basadas en perímetro se despliegan para proporcionar acceso a empleados o terceros a las redes de la empresa. Hasta hace poco tiempo, este era uno de los mecanismos habituales para mantener un acceso remoto seguro.

Este tipo de conexiones son muy utilizadas debido al creciente (y maravilloso) auge tanto de los entornos cloud como del teletrabajo (con empleados que trabajan desde casa, en cafeterías o aeropuertos).

Sin embargo, el daño que se deriva de las intrusiones en la red es tan grande que los inconvenientes de los servicios VPN basados en el perímetro se están haciendo más tangibles que nunca. En este contexto, las empresas están empezando a considerar alternativas como las soluciones SDP (Perímetro Definido por Software), que aprovechan el paradigma de confianza cero.

¿Pero, qué es SDP?

La premisa de la arquitectura de red empresarial tradicional es crear una red interna separada del mundo exterior por un perímetro fijo que consiste en una serie de funciones de firewalls que bloquean la entrada de los usuarios externos, pero que permiten la salida de los usuarios internos.

Los perímetros fijos tradicionales ayudan a proteger los servicios internos de las amenazas externas mediante técnicas sencillas para bloquear la visibilidad y la accesibilidad desde el exterior del perímetro a las aplicaciones y la infraestructura internas. Pero las debilidades de este modelo de perímetro fijo tradicional son cada vez más problemáticas debido a la popularidad de los dispositivos gestionados por los usuarios y los ataques de phishing, que proporcionan un acceso no fiable dentro del perímetro, y a que el SaaS y el IaaS extienden el perímetro a Internet.

sdp_different_users

Los perímetros definidos por software tratan estos problemas dando a los propietarios de las aplicaciones la habilidad de desplegar perímetros que retienen el valor del modelo tradicional de invisibilidad e inaccesibilidad, pero que pueden ser desplegados en cualquier lugar (en Internet, en la nube, en un CPD, en la red corporativa privada, …)

Me interesa, ¿cómo funciona esto del SDP?

La arquitectura del SDP consta de dos componentes: Los Hosts SDP y los Controladores SDP que pueden iniciar o aceptar conexiones. Estas acciones se gestionan mediante interacciones con los controladores SDP a través de un canal de control (ver figura 1). Así, en un perímetro definido por software, el plano de control está separado del plano de datos para permitir una mayor escalabilidad. Además, todos los componentes pueden ser redundantes para una mayor disponibilidad.

Software Defined Perimeter Architecture

Figura 1: La arquitectura del Perímetro Definido por Software consiste en dos componentes: Hosts SDP y Controladores SDP

El marco SDP tiene el siguiente flujo de trabajo (ver figura 2).

  1. Uno o más controladores SDP se ponen en línea y se conectan a los servicios opcionales de autenticación y autorización adecuados (por ejemplo, PKI, huellas digitales de dispositivos, geolocalización, SAML, OpenID, OAuth, LDAP, Kerberos, autenticación multifactorial y otros servicios similares).
  2. Se ponen en línea uno o más Hosts SDP de aceptación. Estos hosts se conectan y se autentican con los Controladores. Sin embargo, no reconocen la comunicación de ningún otro Host y no responderán a ninguna petición no proporcionada.
  3. Cada uno de los Host SDP de inicio que se pone en línea se conecta y se autentica con los Controladores SDP.
  4. Después de autentificar el Host SDP de inicio, los Controladores SDP determinan una lista de Hosts de aceptación a los que el Host de inicio está autorizado a comunicarse.
  5. El Controlador SDP indica a los Hosts SDP aceptantes que acepten la comunicación del Host Iniciador, así como cualquier política opcional requerida para las comunicaciones cifradas.
  6. El controlador SDP proporciona al host SDP iniciador la lista de hosts de aceptación, así como las políticas opcionales necesarias para las comunicaciones cifradas.
  7. El Host SDP iniciador inicia una conexión VPN mutua con todos los Hosts de aceptación autorizados.
Software_Defined_Perimeter_Workflow

Figura 2: Flujo de trabajo de la arquitectura del perímetro definido por el software

 

10 razones de esta tendencia que está tomando fuerza

  1. Problemas de seguridad con las VPN tradicionales

Las empresas se han expuesto más a las violaciones de datos. Los empleados que trabajan a distancia, así como la migración a la nube, son factores que complican la protección efectiva del perímetro de la red. Los servicios tradicionales de VPN son demasiado indulgentes, lo que permite al personal acceder a muchas más áreas de la red de las que necesitan para su trabajo diario. Como resultado, estos recursos asumen una visibilidad injustificada y se vuelven más susceptibles de ser comprometidos.

  1. Acceso remoto y aislamiento de la red sin confianza

Desde el punto de vista de la seguridad, las soluciones SDP tienen una serie de ventajas sobre la VPN. En primer lugar, no existen zonas de confianza en este escenario. Un administrador de TI debe definir claramente y conceder privilegios de usuario para acceder a aplicaciones específicas. A los dispositivos de los usuarios se les asignan conexiones «punto a punto». El resto de los recursos de la red están aislados y permanecen completamente inaccesibles. Algunas soluciones SDP permiten la autenticación continua así como la verificación de usuarios y/o dispositivos a nivel de paquetes, utilizando una tecnología de red basada en ID. Todo el tráfico de la red se registra para su posterior auditoría y análisis.

  1. Los inconvenientes de utilizar una VPN

Todo empleado que haya utilizado una VPN empresarial anteriormente sabe que estos servicios funcionan de forma lenta y poco fiable. Si está utilizando aplicaciones dispersas geográficamente, se sentirá frustrado por tener que conectarse o desconectarse todo el tiempo y hacer un seguimiento de la ubicación a la que se está conectando cuando acceda a una aplicación que necesita.

  1. SDP: basta con conectarse una vez para acceder a todo lo que necesita

Con la solución SDP adecuada, los usuarios finales conectados pueden acceder a las aplicaciones necesarias independientemente de su ubicación. Las soluciones basadas en navegadores que no utilizan agentes de software facilitan el acceso a los empleados que utilizan dispositivos personales, así como a los contratistas, socios y clientes.

  1. Dolor de cabeza de los administradores

En el caso de la migración a la nube, la gestión de la VPN se complica. Los administradores de TI tienen que configurar y coordinar las políticas de VPN y cortafuegos en diferentes ubicaciones geográficas. Esto, a su vez, dificulta la prevención de accesos no autorizados.

  1. Discrepancias en la configuración

Las VPNs necesitan ser configuradas por separado en cada centro de datos y en la nube. Con SDP, los administradores pueden añadir un recurso de red a la plataforma una vez y, a continuación, gestionar todas las políticas en la nube de forma centralizada. Una ventaja más de utilizar soluciones SDP totalmente basadas en la nube es que muy pocos elementos están sujetos a una configuración y mantenimiento adicionales cuando se concede el acceso dentro de un centro de datos o una nube privada virtual. Todas las actividades, incluidas las relacionadas con la seguridad, se realizan en la nube.

  1. Escalado costoso

A medida que las organizaciones añaden nuevos usuarios y aumentan el número de servicios cloud que aprovechan, gastan mucho más en VPNs y cortafuegos. La razón se reduce a la necesidad de adquirir licencias adicionales y dispositivos más potentes.

  1. El potencial de un crecimiento desenfrenado

Si una organización utiliza una solución de SDP basada en la nube, la expansión no es casi nunca un problema. No importa cuántos usuarios estén conectados y cuántas aplicaciones necesiten, este servicio permite un escalado gradual en la nube sin necesidad de equipos costosos.

  1. Flexible pero no gratuito

Las VPNs proporcionan flexibilidad ya que pueden conectar múltiples puntos finales distribuidos geográficamente, centros de datos y nubes privadas virtuales. Sin embargo, se necesitan recursos significativos y gastos crecientes para establecer y mantener estas conexiones.

  1. Conecte todo sin complicaciones

Las soluciones SDP permiten a las empresas proporcionar a sus empleados acceso a recursos informáticos específicos de la empresa sin necesidad de aumentar los requisitos de control y los gastos.

Conclusiones

El profundo conocimiento de los mecanismos de acceso remoto seguro incentiva a las organizaciones que están migrando a la nube a desplegar soluciones SDP. Estos servicios implementan una política de acceso a la red personalizada para los usuarios y los recursos de forma individual. Estos recursos permanecen invisibles para los usuarios no autorizados, lo que reduce la superficie potencial de ataque. La orientación al cliente de las soluciones SDP hace que sean más fáciles de controlar, aplicables en todos los ámbitos, adecuadamente protegidas y flexibles. Estas características superan los beneficios de los servicios VPN tradicionales por lo que no os extrañe que veamos esta tecnología mucho más en un futuro cercano.

 

Fuentes:

https://en.wikipedia.org/wiki/Software_Defined_Perimeter

https://www.vectoritcgroup.com/tech-magazine/cybersecurity/el-modelo-sdp-desbanca-a-las-soluciones-vpn/

https://www.perimeter81.com/blog/network/5-reasons-why-you-need-to-replace-your-vpn-with-sdp/

https://www.metanetworks.com/sdp-vs-vpn-5-reasons-to-make-the-switch/