Análisis de riesgos HIPAA para la salud digital: navegando por la IA, las fusiones y adquisiciones y la diligencia debida de los proveedores

Los análisis de riesgos de seguridad (SRA) de la HIPAA deben ser la base del cumplimiento de la ciberseguridad de todas las empresas de salud digital. Mucho más que un simple ejercicio de marcar casillas, un SRA completo ayuda a identificar y mitigar los riesgos y vulnerabilidades de la información sanitaria protegida electrónica (ePHI), reduce la probabilidad de costosas infracciones y demuestra buena fe ante el escrutinio regulatorio. En el panorama actual de la salud digital, en rápida evolución, en el que las herramientas basadas en la inteligencia artificial, las fusiones y adquisiciones y un ecosistema de proveedores en expansión amplifican la complejidad de la ciberseguridad, el SRA es su primera línea de defensa. Las recientes medidas de aplicación de la Oficina de Derechos Civiles (OCR) dejan claro que los SRA inadecuados tienen graves consecuencias financieras y para la reputación.

Por qué las SRA son importantes para las empresas de salud digital

Según lanorma de seguridad de la HIPAA, las entidades reguladas por la HIPAA deben «realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad» de la ePHI. Esta medida de protección administrativa sirve de base para todos los controles de seguridad posteriores (administrativos, físicos y técnicos) y sirve como prueba de cumplimiento durante una auditoría o investigación. La realización de una SRA exhaustiva dará como resultado que las entidades reguladas por la HIPAA:

• Mapeo de flujos de PHI: se realizará un seguimiento de la ePHI en todas las plataformas, como la telesalud o el portal del paciente, el motor de análisis de IA, el almacenamiento en la nube y las integraciones de terceros.
• Cuantificación de amenazas: cuestiones como el ransomware, los errores internos y las configuraciones incorrectas se clasificarán según su probabilidad e impacto.
• Priorizar la corrección: los recursos se pueden asignar donde más se necesitan, ya sea para cifrado, controles de acceso, corrección de vulnerabilidades u otros fines.

Enfoque sobre la aplicación de la ley por parte de la OCR

Omitir o escatimar en su SRA es, a ojos de la OCR, equivalente a una ceguera deliberada. Desde que lanzó su «Iniciativa de análisis de riesgos» a finales de 2024, la OCR ha convertido las SRA en un punto central de la aplicación de la ley, y hasta ahora ha resuelto nueve casos por deficiencias en las SRA:

El incumplimiento de la obligación de realizar un análisis de riesgos según la Norma de Seguridad de la HIPAA deja a las entidades sanitarias vulnerables a ciberataques, como el ransomware. Saber dónde se almacena su ePHI y conocer las medidas de seguridad implantadas para proteger esa información es esencial para cumplir con la HIPAA. La OCR creó la Iniciativa de Análisis de Riesgos para aumentar el número de investigaciones completadas y destacar la necesidad de prestar más atención y cumplir mejor con este requisito de la Norma de Seguridad. (Director de la OCR, 31 de octubre de 2024)

La iniciativa de análisis de riesgos de la OCR ha dado lugar a importantes acuerdos, que oscilan entre los 10 000 y los 350 000 dólares estadounidenses:

• Radiología del Noreste (NERAD): Una brecha en el servidor del Sistema de Archivo y Comunicación de Imágenes (PACS) para almacenar, recuperar, gestionar y acceder a imágenes radiológicas motivó la investigación que dio lugar a un acuerdo de 350 000 dólares estadounidenses y un periodo de supervisión de dos años por parte de la OCR. La investigación de la OCR reveló que «NERAD no había llevado a cabo un análisis de riesgos preciso y exhaustivo para determinar los riesgos y vulnerabilidades potenciales de la ePHI en los sistemas de información de NERAD».
• Health Fitness Corporation: La OCR inició una investigación tras recibir cuatro informes de infracciones en un periodo de tres meses por incidentes en los que Health Fitness Corporation actuó como socio comercial de una entidad cubierta. El problema era un software web mal configurado que expuso la ePHI durante varios años. La OCR señaló que Health Fitness Corporation no llevó a cabo un análisis de riesgos exhaustivo hasta varios años después de que se descubriera la vulnerabilidad. El resultado fue un acuerdo de 227 816 dólares estadounidenses y un periodo de supervisión de dos años por parte de la OCR.

Estas medidas ponen de relieve que las SRA obsoletas o incompletas pueden traducirse en sanciones sustanciales, así como en una supervisión indeseada por parte de la OCR de las prácticas de privacidad y seguridad de una empresa durante un período de varios años.

La integración de la IA sube el listón

La IA está transformando la salud digital al optimizar los diagnósticos, automatizar la comunicación con los pacientes y personalizar la atención médica. Los sistemas de IA también introducen riesgos únicos, como ataques que pueden manipular entradas o filtrar datos de entrenamiento que contienen información médica protegida (PHI). Tenga en cuenta que su plataforma de IA puede incorporar datos de registros médicos electrónicos, dispositivos portátiles y registros clínicos, lo que multiplica los vectores de violación.

Una empresa de salud digital que utilice sistemas de IA debe incluir esas plataformas e integraciones en la SRA. Las empresas deben identificar dónde se entrenan los modelos, cómo se almacenan o transmiten los datos y si las API de IA de terceros cumplen con los estándares de seguridad de la empresa. 

Diligencia debida en fusiones y adquisiciones: evite heredar pasivos

Las fusiones y adquisiciones en el sector de la salud digital están aumentando rápidamente. Sin embargo, adquirir una empresa objetivo que no haya tomado en serio la obligación de realizar una SRA periódica y mitigar los riesgos y vulnerabilidades identificados puede suponer una carga de vulnerabilidades heredadas y desencadenar un escrutinio regulatorio. Durante la diligencia debida:

• Revisar la SRA del objetivo: Asegurarse de que el objetivo haya realizado una SRA periódicamente y que esta haya cubierto todas las plataformas, sistemas, integraciones y relaciones con proveedores de ePHI.
• Evaluar el historial de correcciones: verificar que los riesgos y vulnerabilidades identificados se hayan abordado con prontitud.
• Descubra proyectos ocultos de IA: Las herramientas piloto de IA pueden procesar información médica protegida (PHI) sin las garantías adecuadas si el objetivo no las incluyó en el SRA.

Tras el cierre, integra la infraestructura adquirida en el ciclo SRA de toda la empresa para ayudar a subsanar cualquier deficiencia en la organización.

Diligencia debida del proveedor: ampliando su perspectiva del riesgo

Su plataforma de salud digital depende de un amplio ecosistema de proveedores, pero estos pueden ser su eslabón más débil. Los acuerdos con socios comerciales son necesarios, pero no suficientes. En su SRA:

• Proveedores de inventario por acceso a información médica protegida (PHI): desde la gestión del ciclo de ingresos hasta el apoyo a la toma de decisiones mediante inteligencia artificial, clasifique a los proveedores según la sensibilidad y la cantidad de PHI que procesan.
• Evaluar las posturas de seguridad: revisar el SRA de cada proveedor, los resultados de las pruebas de penetración y las certificaciones (por ejemplo, HITRUST, ISO 27001, etc.).
• Supervisar continuamente: Actualice su modelo de amenazas cada vez que se amplíe el alcance del servicio de un proveedor, por ejemplo, al añadir nuevos módulos de análisis de IA.

Pasos prácticos para fortalecer su SRA

1. Revisar y seguir las directrices de la OCR: La OCR ofrece directrices sobre cómo llevar a cabo una SRA, incluyendoConceptos básicos sobre análisis y gestión de riesgos yDirectrices sobre análisis de riesgos. 
2. Adopte un marco probado: utiliceNIST SP 800-66 Rev. 2,NIST SP 800-30 o ISO 27005 para estructurar su evaluación.
3. Cree escenarios de IA: realice ejercicios de equipo rojo con sus modelos y valide los flujos de trabajo de gestión de datos.
4. Integración de fusiones y adquisiciones e información sobre proveedores: Reúna equipos multifuncionales (jurídico, TI, seguridad, cumplimiento normativo, etc.) durante las transacciones y las revisiones de proveedores.
5. Corrección de documentos: Mantenga registros claros de las SRA realizadas y actualizadas, los planes de mitigación de riesgos y las fechas de implementación.
6. Automatizar la supervisión: implementar herramientas de gestión de información y eventos de seguridad (SIEM), escáneres de vulnerabilidades y detección de anomalías basada en inteligencia artificial.

Conclusión

Para las empresas de salud digital, un análisis sólido de los riesgos de seguridad de la HIPAA es más que un requisito normativo: es una gestión estratégica de los riesgos. Al mapear de forma proactiva los flujos de ePHI, detectar vulnerabilidades impulsadas por la IA, examinar los objetivos de fusiones y adquisiciones y evaluar rigurosamente a los proveedores, estará en mejores condiciones para adelantarse a las amenazas y minimizar la exposición a la aplicación de la OCR. Invierta ahora en su SRA porque, en el ámbito de la salud digital, la prevención es mucho menos costosa que la reparación.

Para obtener más información sobre IA, telemedicina, telesalud, salud digital y otras innovaciones sanitarias, incluyendo el equipo, las publicaciones y la experiencia representativa, póngase en contacto con cualquiera de los autores o con cualquiera de los socios o asesores sénior delGrupo de Ciberseguridad y Privacidad de Datosodel Grupo de Práctica Sanitaria de Foley.