HIPAA for dummies – Seguridad en entorno sanitario (I)

Desde que estoy en Accenture, he trabajado en diferentes proyectos y clientes de un tamaño mucho mayor a lo que me había encontrado hasta ahora. He trabajado con grandes bancos, multinacionales IT, operadores de telecomunicaciones, … y uno muy interesante: un gran cliente del entorno sanitario.

Dentro de este tipo de clientes, me he topado con algo que tampoco conocía. El gran control sobre los datos sensibles sanitarios en E.E.U.U., es un punto que se lleva muchas horas dentro de la seguridad de un proyecto. Entender, clasificar y defender correctamente este tipo de información es crucial…

Cuando arranqué mi primer proyecto de este tipo, me enfrenté por primera vez con la Health Insurance Portability and Accountability Act of 1996, HIPAA para los amigos. Con esta serie de entradas, trato de hacer un resumen de todo lo aprendido en este tiempo, espero que os sirva si os llega algún proyecto con este requisito:

¿Por qué se creó HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) se creó principalmente con el objetivo de modernizar el flujo de infomación relativa a la atención médica, hablamos de todo tipo de información mantenida por centros médicos e industrias de seguros de salud. Dicha información debe protegerse contra fraude, robo y fuga (en cuanto a portabilidades de personas con condiciones preexistentes).

Cuando se aprobó la Ley en 1996, solo requería que el Secretario de Salud y Servicios Humanos (HSS) propusiera normas para proteger la información de salud identificable individualmente. El primer conjunto de estándares no se publicó hasta 1999, y las primeras propuestas para la Regla de Privacidad solo surgieron en el año 2000.

La legislación HIPAA ha evolucionado significativamente desde entonces. No solo se ha modificado el lenguaje de la Ley para abordar los avances en tecnología, sino que el alcance de la Ley se ha ampliado para abarcar a los Asociados Comerciales, proveedores de servicios externos que realizan una función en nombre de una Entidad Cubierta por HIPAA que implica el uso o divulgación de información de salud protegida (PHI).

Health Insurance Portability and accountability act

Las regulaciones de HIPAA están controladas por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los EEUU. Los Procuradores Generales del Estado también pueden tomar medidas contra las Entidades Cubiertas y los Asociados Comerciales que no cumplan con HIPAA. Tanto OCR como los Fiscales Generales del Estado tienen la autoridad de imponer sanciones financieras a las Entidades Cubiertas y a los Asociados Comerciales por violaciones de la HIPAA.

¿Cuál es el propósito de HIPAA?

Además del propósito original de HIPAA, la forma en que se implementa cambia constantemente para adaptarse a los avances tecnológicos y los cambios en las prácticas de trabajo, lo que ha resultado en nuevas amenazas para la privacidad del paciente y la seguridad de los PHI. Para entender esto es importante tener en cuenta que la legislación original de HIPAA se redactó ocho años antes de que Facebook surgiera y once años antes del lanzamiento del primer iPhone.

Por lo tanto, desde la Regla de Privacidad original, ha habido una serie de nuevas Reglas de HIPAA, además de que OCR ha emitido una guía frecuente sobre cómo las Entidades Cubiertas y los Asociados Comerciales deben abordar temas como las políticas BYOD o computación en la nube.

Gran parte del lenguaje original de HIPAA ha permanecido inalterado porque, a pesar del cambiante panorama tecnológico, fue escrito para cubrir una gran cantidad de escenarios diversos. Por lo tanto, si una Entidad cubierta es un centro médico que mantiene registros de pacientes o una compañía de seguros que transfiere los derechos de atención médica de una persona que está cambiando de trabajo, el propósito de HIPAA sigue siendo el mismo que en 1996.

HIPAA también es neutral en tecnología y no favorece una forma de abordar una vulnerabilidad de seguridad sobre otra, siempre que el mecanismo introducido para corregir una falla o vulnerabilidad esté sujeto a una evaluación de riesgos y se registre la razón para implementarlo en lugar de una medida específica.

Entendiendo HIPAA «for dummies»

De forma rápida y sencilla, se detallan a continuación los dieciocho identificadores personales que podrían permitir que se identifique a una persona. Cuando estos identificadores personales se combinan con datos de salud, la información se conoce como «Información de salud protegida» o «PHI». Cuando se almacena o comunica electrónicamente, el acrónimo «PHI» está precedido por una «e», es decir, «ePHI».

Nombres o parte de nombres Cualquier otra característica de identificación única
Identificadores geográficos Fechas directamente relacionadas con una persona
Detalles del número de teléfono Detalles del número de fax
Detalles de las direcciones de correo electrónico Detalles de la Seguridad Social
Números de registros médicos Números de beneficiarios de seguros de salud
Detalles de cuenta bancaria Certificado o números de licencia
Detalles de la matrícula del vehículo Identificadores del dispositivo y números de serie
Webs URLs Detalles de la dirección IP
Huellas dactilares, retina y huellas de voz Cara completa o cualquier imagen fotográfica comparable

La conclusión principal para el cumplimiento de HIPAA es que cualquier empresa o individuo que entre en contacto con PHI debe promulgar y aplicar políticas, procedimientos y salvaguardas apropiadas para proteger los datos. Las infracciones de la HIPAA ocurren cuando no se han promulgado y aplicado políticas, procedimientos y salvaguardas apropiadas, incluso cuando una persona no autorizada no ha revelado o accedido a la PHI.

Las violaciones habituales de HIPAA suelen estar relacionadas con:

  • Falta de análisis de riesgo adecuados
  • Falta de capacitación integral de los empleados
  • Acuerdos inadecuados de socios comerciales
  • Divulgaciones inapropiadas de PHI
  • La ignorancia de la regla mínima necesaria
  • No informar infracciones dentro del plazo prescrito

Algunas violaciones de HIPAA son delitos accidentales, por ejemplo, dejar un documento que contiene PHI en un escritorio a la vista de cualquier persona que pase. Sin embargo, OCR no considera que la ignorancia sea una excusa adecuada para las violaciones de HIPAA.

En próximos programas…

Espero que esta introducción a HIPAA os haya parecido interesante, sobre todo si os enfrentáis a un proyecto que tenga que estar sujeto a esta regulación. En breve continuaré ampliando información de este tema, no te lo pierdas!

35 enlaces básicos para ser un experto en Azure Security Services

Entre las labores diarias de mi rol en Accenture Security, tengo que proponer y utilizar todo tipo de servicios de seguridad nativos de las diferentes nubes con las que trabajo (os recuerdo que pertenezco al equipo Cloud Security). De hecho, esta semana he tenido que trabajar en un proyecto que requería el uso de los Azure Security Services, lo que me ha movido a preparar esta entrada.

Con la rapidez a la que AWS, Azure y GCP crecen en servicios generales y de seguridad, es complicado mantenerse actualizado. Sin embargo, en mi caso, es parte de mis obligaciones estar al tanto de las soluciones para poder ofrecer las mejores opciones a los proyectos en los que participo.

Por eso, me gustaría crear tres entradas para las tres nubes principales en las que tener a mano esta información tan interesante. Así que, sin demora, arrancamos con Azure:

Seguridad general de Azure

Servicio DESCRIPCIÓN
Azure Security Center Solución de protección que proporciona administración de la seguridad y protección avanzada contra amenazas para cargas de trabajo en la nube híbrida.
Azure Key Vault Almacén de secretos seguro para las contraseñas, las cadenas de conexión y otra información que necesita para mantener sus aplicaciones en funcionamiento.
Registros de Azure Monitor Servicio de supervisión que recopila datos de telemetría y otros datos, y proporciona un motor de lenguaje de consultas y análisis para proporcionar información detallada sobre sus aplicaciones y recursos. Puede utilizarse solo o con otros servicios como Security Center.
Documentación de Azure Dev/Test Lab Servicio que ayuda a los desarrolladores y evaluadores a crear rápidamente entornos de Azure al tiempo que se optimizan los recursos y se controlan los costos.

Seguridad para almacenamiento

Servicio DESCRIPCIÓN
Azure Storage Service Encryption Característica de seguridad que permite cifrar automáticamente los datos en Azure Storage.
Documentación de StorSimple Solución de almacenamiento integrada que administra las tareas de almacenamiento entre los dispositivos locales y el almacenamiento en la nube de Azure.
Cifrado del lado de cliente y Almacén de claves de Azure para el Almacenamiento de Microsoft Azure Solución de cifrado en lado de cliente que cifra los datos en aplicaciones de cliente antes de cargarlos en Azure Storage. También descifra los datos mientras se descargan.
Firmas de acceso compartido, Parte 1: Descripción del modelo SAS Una firma de acceso compartido ofrece acceso delegado a recursos en la cuenta de almacenamiento.
Acerca de las cuentas de Azure Storage Método de control de acceso para Azure Storage que se utiliza para la autenticación cuando se accede a la cuenta de almacenamiento.
Introducción a Almacenamiento de archivos de Azure en Windows Tecnología de seguridad de red que habilita el cifrado de red automático para el protocolo de uso compartido de archivos Bloque de mensajes del servidor (SMB).
Análisis de Azure Storage Tecnología de generación y registro de métricas para los datos de la cuenta de almacenamiento.

Seguridad de bases de datos

Servicio DESCRIPCIÓN
Azure SQL Firewall Característica de control de acceso de red que protege frente a ataques basados en red a una base de datos.
Cifrado de nivel de celda de Azure SQL Tecnología de seguridad de base de datos que proporciona cifrado en un nivel más pormenorizado.
Cifrado de conexión de Azure SQL Para proporcionar seguridad, SQL Database controla el acceso con reglas de firewall que limitan la conectividad por dirección IP, con mecanismos de autenticación que requieren a los usuarios que demuestren su identidad y con mecanismos de autorización que limitan a los usuarios el acceso a datos y acciones específicos.
Always Encrypted (Database Engine) Protege la información confidencial, como números de tarjetas de crédito o números de identificación nacionales (por ejemplo, números de la seguridad social de EE. UU.), almacenados en bases de datos de Azure SQL Database o SQL Server.
Cifrado de datos transparente de Azure SQL Característica de seguridad de base de datos que cifra el almacenamiento de una base de datos completa.
Auditoría de Azure SQL Database Característica de auditoría de bases de datos que realiza un seguimiento de eventos de bases de datos y los escribe en un registro de auditoría de su cuenta de Azure Storage.

Administración de identidades y acceso

Servicio DESCRIPCIÓN
Control de acceso basado en rol de Azure Característica de control de acceso diseñada para que los usuarios accedan únicamente a los recursos necesarios en función de sus roles dentro de la organización.
Azure Active Directory Repositorio de autenticación basado en la nube que admite un directorio en la nube de varios inquilinos y varios servicios de administración de identidades en Azure.
Azure Active Directory B2C Servicio de administración de identidades que permite controlar la manera en que los clientes se registran, inician sesión y administran sus perfiles al usar las aplicaciones de Azure.
Azure Active Directory Domain Services Una versión en la nube y administrada de Active Directory Domain Services.
Azure Multi-Factor Authentication Aprovisionamiento de seguridad que utiliza diferentes formas de autenticación y comprobación antes de permitir el acceso a información protegida.

Copia de seguridad y recuperación ante desastres

Servicio DESCRIPCIÓN
Azure Backup Servicio de Azure que se usa para realizar copias de seguridad y restaurar los datos en la nube de Azure.
Azure Site Recovery Servicio en línea que replica las cargas de trabajo que se ejecutan en máquinas físicas y virtuales desde un sitio principal a una ubicación secundaria para poder recuperar los servicios después de un error.

Redes

Servicio DESCRIPCIÓN
Grupos de seguridad de red Característica de control de acceso basado en la red que utiliza una tupla de 5 elementos para permitir o denegar las decisiones.
Acerca de VPN Gateway Dispositivo de red que se usa como un punto de conexión VPN para permitir el acceso entre entornos locales a las redes virtuales de Azure.
Introducción a Puerta de enlace de aplicaciones Equilibrador de carga de aplicación web avanzado que puede enrutar en función de la dirección URL y realizar descargas SSL.
Firewall de aplicaciones web (WAF) Una característica de Application Gateway que ofrece una protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad más habituales.
Equilibrador de carga de Azure Equilibrador de carga de red para aplicaciones TCP/UDP.
Información técnica de ExpressRoute Vínculo WAN dedicado entre las redes locales y las redes virtuales de Azure.
Azure Traffic Manager Equilibrador de carga de DNS global.
Habilitación del proxy de la aplicación de Azure AD Servidor front-end de autenticación usado para proteger el acceso remoto a las aplicaciones web hospedadas en los entornos locales.
Azure Firewall Se trata de un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network.
Azure DDoS Protection Junto con los procedimientos recomendados de diseño de aplicaciones, constituyen una defensa frente a los ataques DDoS.
Puntos de conexión de servicio de red virtual Estos extienden el espacio de direcciones privadas de la red virtual y la identidad de la red virtual a los servicios de Azure mediante una conexión directa.

Fuente: https://docs.microsoft.com/es-es/azure/security/azure-security-services-technologies

SecurityInside Live: OpenExpo Europe 2019

OpenExpo Europe es el mayor Congreso y Feria Profesional sobre Innovación Tecnológica Empresarial en Europa.

Reune en Madrid a más de 3.500 personalidades del sector, profesionales de todas las industrias, comunidades, principales empresas nacionales e internacionales, decision makers, asociaciones, fundaciones e instituciones, perfiles técnicos, expertos y usuarios de todos los niveles para informarse sobre las últimas tendencias, servicios y herramientas, aumentar la red de contactos, oportunidades de empleo, generar leads y negocios y, conocer de ante mano, todos los beneficios de las tecnologías de innovación abierta.

OpenExpo Europe sigue evolucionando año tras año ofreciendo a las empresas la información más actualizada sobre la transformación empresarial, las tendencias dentro del sector de IT y las últimas innovaciones.

Un día entero de conferencias, casos de éxito empresarial, keynote speakers, talleres prácticos, mesas redondas, demos y muchas otras actividades.

Y, en esta ocasión, además me tienes a mí dando la charla «Open Source Security on AWS»

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

En esta ocasión no hay acceso por streaming ni tampoco se graban las sesiones. Voy a intentar grabarla por mi cuenta para que la tengáis y os la compartiré en el blog.

Leer más

SecurityInside Live: CISO Day 2019

Todos sabemos la importancia del flujo de información dentro de una industria tan cambiante y retadora como la de la ciberseguridad. Si eres CISO, CIO, responsable de ciberseguridad, experto en la materia, investigador o hacker… serás bienvenido a CISO Day 2019, un evento centrado en el responsable de la ciberseguridad corporativa.

Si recuerdas, ya hemos hablado en este blog otras veces de la importancia del CISO, en este evento se profundiza en su importancia desde varios puntos de vista.

CISO DAY 2019 basa su agenda en 6 niveles fundamentales de la ciberseguridad: Estratégico (CISO), Analítico (Ciberinteligencia), Institucional (INCIBE), Innovador (CyberStartup), Security (Proveedores) y Técnico (Hacking).

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

SecurityInside Live: AWS Summit 2019

Tanto si eres nuevo en la nube o un usuario experimentado, no pierdas la ocasión de descubrir las últimas novedades Cloud en el Summit AWS de Madrid. Este evento gratuito está diseñado para presentar a nuevos clientes todas las funcionalidades sobre la plataforma AWS, y ofrecer a los clientes existentes información sobre las mejores prácticas de arquitectura y nuevos servicios.

Viene a ser algo así como la versión para mayores del taller que tuve el placer de presentar en el evento CyberCamp relativo a las mejores prácticas de seguridad en entornos AWS.

El Keynote del AWS Summit de Madrid lo presentará Mai-Lan Tomsen Bukovec, Vice President and General Manager de AWS. Durante su discurso de apertura, presentará las últimas novedades sobre las soluciones de AWS y podrás escuchar grandes historias de éxito de clientes AWS. Después del Keynote, podrás escoger entre diferentes sesiones dependiendo de tus intereses.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más