En el sexto paso dentro de las normas de seguridad de HIPAA, contamos con análisis y gestión de riesgos, donde el establecimiento de salud debe crear e implementar procedimientos que prevengan, detecten, contengan y corrijan violaciones en la seguridad de las clínicas. Para ello se debe realizar un análisis de los riesgos y su gestión.
Para que se lleve a cabo el análisis de riesgos, el establecimiento de salud debe realizar, de manera completa y veraz, de todos los posibles riesgos y vulnerabilidades a los que está sujeto, la información privada de salud de los pacientes en medios electrónicos, utilizada por el establecimiento de salud y sus empleados directos o subcontratados.
La gestión de riesgos, por otro lado, dice que debe implementar suficientes medidas de seguridad que reduzcan los riesgos y las vulnerabilidades a un nivel aceptable. La norma de seguridad no establece una forma de conducir y crear estas medidas, siendo libre de crearlas según las necesidades de cada establecimiento sanitario.
Para comprender mejor los procesos anteriores, es necesario comprender un poco más qué son la vulnerabilidad, las amenazas y los riesgos, y la relación entre estos términos:
- Vulnerabilidad: es una falla o debilidad que puede estar en un sistema de seguridad, procedimiento, diseño, implementación, o incluso en los controladores internos, que puede ser causada accidentalmente o no, y resultar en un compromiso del sistema de seguridad o violación de cualquiera de las pautas de seguridad. Esta vulnerabilidad puede ser técnica o no técnica, siendo técnicas las que involucran directamente a un sistema o software, y las no técnicas que involucran procedimientos, políticas internas, lineamientos o la falta de los mismos.
- Amenazas: son las posibilidades de que una persona o algo explote y utilice una vulnerabilidad, de forma intencionada o no. Las amenazas también pueden ser naturales, como inundaciones, vendavales, tornados, etc. Las amenazas humanas pueden incluir amenazas intencionales como virus, malware y acceso inadecuado a la información de salud. La información no intencionada se puede considerar agregando información errónea al sistema utilizado, o eliminándola y modificándola. Las amenazas del medio ambiente se refieren a la falta de luz, contaminación, productos químicos e incluso fugas.
- Riesgos: la definición de riesgo se vuelve más clara después de definir las vulnerabilidades y amenazas. Como tal, el riesgo es la unión de una vulnerabilidad que está siendo utilizada por una amenaza.
Algunos ejemplos de pasos a seguir en el análisis de riesgos son: identificar el alcance del análisis, examinar los datos y luego identificar y documentar las amenazas potenciales.
Antes de continuar, necesitamos saber: ¿usted utiliza software médico seguro para realizar sus citas? Te invitamos a descubrir Ninsaúde Apolo, un software online que se puede utilizar en una tableta, smartphone o de forma tradicional, en ordenadores. Obtenga más información en nuestro sitio web apolo.app.
Identificar y documentar amenazas y vulnerabilidades
El centro de atención médica debe centrarse en enumerar las amenazas predecibles, por ejemplo, la ubicación de la clínica determinará las amenazas existentes que pueden representar un riesgo. Un huracán es una amenaza, pero si la clínica está ubicada en una región donde este tipo de eventos climáticos no es común, esa amenaza no debe incluirse en la lista de amenazas predecibles.
Para la mayoría de las instalaciones sanitarias, las amenazas humanas son las más preocupantes, ya que pueden explotarse con frecuencia y en cualquier momento, y las amenazas humanas son empleados actuales y anteriores, piratas informáticos, competidores, delincuentes e incluso pacientes y visitantes. Cualquiera que tenga acceso, conocimiento o motivación para causar daño puede ser considerado una amenaza.
Si bien el establecimiento de salud identifica las amenazas potenciales, también debe realizar un relevamiento y documentación de las vulnerabilidades que, al ser explotadas, se convierten en riesgos. Al igual que las amenazas, las vulnerabilidades pueden ser tanto técnicas como no técnicas, asociadas con los registros electrónicos de los pacientes.
Una solución común es desarrollar una evaluación y una prueba de seguridad tanto de las estaciones de trabajo como de los servidores utilizados.
Evaluar las medidas de seguridad actuales
El objetivo de este paso es analizar los sistemas y procedimientos de seguridad implementados para mantener la seguridad de los registros y registros de los pacientes. Por ejemplo, es menos probable que la vulnerabilidad sea aprovechada por una amenaza si existen sistemas de seguridad efectivos.
Determinar la probabilidad de ocurrencia de una amenaza
Cuando se completan los pasos de análisis anteriores, el establecimiento de salud tiene toda la información para determinar:
- Las posibilidades de que ocurra una amenaza y sea explotada, así como una vulnerabilidad;
- O impacto resultante, caso o pior cenário ocorra, que é de uma ameaça e vulnerabilidade ser explorada com sucesso.
La evaluación de estos temas queda a discreción de cada establecimiento de salud, pero una sugerencia es clasificarlos en riesgo alto, riesgo medio y riesgo bajo. Como tal, la probabilidad es alta, donde hay múltiples formas en que se puede usar una vulnerabilidad y puede ser causada por una serie de deficiencias de seguridad; el riesgo medio se considera cuando hay al menos una condición de deficiencia de seguridad; y se puede considerar un riesgo bajo cuando la deficiencia de seguridad es algo simple y rápido de solucionar, como la configuración del sistema.
Determinar el impacto potencial causado por la ocurrencia de amenazas
Si una vulnerabilidad resulta ser explotada con éxito por una amenaza, esto tendrá consecuencias negativas para los pacientes y para el establecimiento de salud. Intentar medir el impacto de estas acciones debería ayudar a prevenirlas, y la forma sugerida es clasificar con métodos cualitativos y cuantitativos. Además, los resultados también deben documentarse con todos los impactos y evaluaciones potenciales, lo que ayuda si una amenaza materializa la información del paciente dañina de alguna manera.
Determine el nivel de riesgo
El siguiente paso entonces es determinar los niveles de riesgos existentes. Lo ideal aquí es construir una matriz de riesgos, utilizando los valores y la información sobre los riesgos que se obtienen de los impactos y amenazas. Esta matriz también puede contener una división de alto, medio y bajo, donde los riesgos combinados pueden cambiar las clasificaciones. Por ejemplo, un riesgo calificado como "alto" si se combina con uno calificado como "bajo" puede colocarse como un riesgo "medio".
Identificar medidas de seguridad y documentación completa
Aquí, se identificarán todas las medidas de seguridad de las instalaciones de salud, que se utilizan para minimizar los riesgos a lo que se considera un nivel aceptable y apropiado. Es necesario observar la legislación o normativa existente que se debe cumplir, la efectividad del sistema de seguridad, los requisitos de la organización, sus políticas y privacidad. Se requiere documentación de todo este proceso, pero la política de HIPAA no requiere un formato específico.
Los pasos para la gestión de riesgos se pueden resumir como:
- Desarrollar e implementar un plan de gestión de riesgos;
- Implementar medidas de seguridad;
- Evaluar y mantener las medidas de seguridad.
Fuente: HHS - Risk Assessment