Auto-Evaluación de Cumplimiento HIPAA

Esta auto-evaluación está diseñada como una Prueba Rápida de Cumplimiento con HIPAA, que tanto médicos como administradores de oficina pueden hacer sin conocimiento de Tecnología o necesidad de consultar a un técnico. La falla en cualquiera de estas pruebas es un indicador claro de que usted necesita realizar una Evaluación de Riesgos adecuada (HIPAA Risk Assessment) en su organización.

Sin embargo, es importante que comprenda que aprobar todas las preguntas no significa que cumple totalmente con las normas, esto simplemente indica que no tiene violaciones evidentes que requieran atención inmediata.

Instrucciones: Realice cada prueba y seleccione SÍ o NO

Manual de Politicas y Procedimientos de HIPAA

Escenario: Si lo auditan, esto es probablemente lo primero que le pedirán los auditores... Si no puede producirlo, la conversación se pondrá fea. Entre otras condiciones, sus políticas y procedimientos deben estar por escrita y comunicarse a todos los empleados.

Prueba de Cumplimiento: Pídale al administrador de su oficina que encuentre el manual y al menos a otro médico o empleado en su práctica para que presente su copia en los próximos 30 minutos. Si no lo pudo encontrar o reproducir, Marque NO abajo.

Recuperación de Desastres o Continuidad de Negocio

Escenario: Se sorprenderá de la cantidad de empresas y oficinas que realizan copias de seguridad y nunca las prueban. Como parte de los requisitos de la regla de seguridad de HIPAA con respecto a las copias de seguridad y la recuperación de desastres CFR 164.308 (7) (ii) (B), no solo se requiere que realice copias de seguridad, sino que también verifique que los datos estén recuperable en dichas copias de seguridad.
Prueba de Cumplimiento: Piense en la última vez que su técnico de tecnología le mostró (en realidad demostró) una restauración de servidor "completa" desde sus datos de respaldo hasta demostrar que funciona. Una restauración "completa" representa el peor de los casos, donde el servidor falla, el disco duro muere, hay fuego o agua daños, y no tiene más remedio que reemplazar el hardware. Si fue hace más de 6 meses, marque NO abajo

Router / Firewall

Escenario: Routers / Firewalls de nivel de consumidor (marcas como Linksys, Belkin o Netgear, Xfinity, UBee ...) comprados en tiendas de suministros de oficina, no brindan la protección adecuada para evitar intrusiones o accesos no autorizados a su red desde el mundo exterior, y le dan cero visibilidad de los intentos de intrusión. En resumen, no cumplen con los criterios de cumplimiento de HIPAA. Un pirata informático podría estar golpeando su "router" durante días, hasta que finalmente lo penetre, mientras usted no se da cuenta. Por el contrario, un "router" compatible con HIPAA le enviaría alertas en cuestión de segundos después de detectar un comportamiento sospechoso y usted pueda controlar el ataque e implementar contramedidas.
Prueba de Cumplimiento: La forma más fácil de verificar esto es buscar marcas de consumo (como las anteriores). ¿Qué busca? Un dispositivo de pie de aproximadamente 6” x  6” x 2 ”, tal vez con una o más antenas Wi-Fi, a diferencia de un dispositivo montado en rack o computadora de escritorio. Este suele ser la primera o segunda unidad en línea conectada a la línea de servicio de banda ancha proporcionada por su ISP. ¿Tienes algo así? ¡Seleccione NO!

Dispositivos protegidos con contraseña luego de un perido de inactividad

Escenario: Todos los dispositivos electrónicos que puedan contener ePHI deben estar protegidos con contraseña y, cuando corresponda,la pantalla debe bloquearse luego de un periodo de inactividad. Estos dispositivos incluyen, pero no se limitan a: computadoras de escritorio, laptops, servidores, tabletas, teléfonos celulares, máquinas de fax, escáneres y fotocopiadoras.
Incluso los teléfonos móviles básicos se pueden utilizar para enviar mensajes de texto. Todos lo estamos haciendolo ahora, por conveniencia. Y a medida que crece nuestra confianza y seguridad, tarde o temprano ePHI se infiltra en esos intercambios aparentemente inocentes.
Prueba de Cumplimiento: Pídale ayuda a un colega y hágalo usted también. Cada uno de ustedes encuentre o tome prestados CINCO dispositivos diferentes de entre los tipos de dispositivos enumerados anteriormente (es decir, 1 máquina de fax, 1 tableta, 1 teléfono celular ...) que normalmente no usa y déjelos a un lado, o asegúrese de que el dispositivo haya estado inactivo durante "X" minutos. (Donde "X" es el tiempo de espera de pantalla estándar que ha estipulado en sus políticas de seguridad escritas). Después del tiempo de inactividad, ahora intente ganar acceso a los datos almacenados en el dispositivo ... un archivo, una imagen, un texto, un correo electrónico, etc. Si alguno de ustedes puede acceder a uno de los 10 dispositivos, marque NO abajo

Control de Acceso Físico al Cuarto de Servidores

Escenario: ¿El acceso a su cuarto de servidores está restringido por algún tipo de seguridad física? Esto podría ser cualquier cosa en el espectro de una puerta cerrada con acceso controlado y documentado con cerradura... a una tarjeta, código o escaneo biométrico.

Cualquier acceso no autorizado al servidor físico donde reside ePHI, podría fácilmente resultar en el robo de datos. Por ejemplo, un delincuente podría clonar físicamente la unidad de disco o podría copiar información a medios móviles, o simplemente robar el servidor mismo.

Prueba de Cumplimiento: Instruya a un miembro del personal no autorizado la misión de ingresar en secreto al cuarto de servidores y tocar un servidor físico en los próximos 30 minutos por cualquier medio posible, excepto rompiendo la cerradura. Escriba esta solicitud por correo electrónico, para que tenga una prueba documentada de sus intenciones. Si la persona pudo acceder los servidores marque NO abajo.

Cifrado de Datos ePHI almacenados fuera de la oficina o en la nube

Escenario: Los datos externos no cifrados son un riesgo. Si alguien logra acceso, los datos se pueden acceder facilmente, incluso si tiene contraseñas en los archivos. El cifrado es mucho más sofisticado: todos los datos se codifican y se vuelven inútiles, a menos que tenga las claves originales. Grandes empresas que dependen del almacenamiento en la nube de compañías como Amazon AWS, Azure y Google, cifran todos sus datos de forma predeterminada, y la mayoría de ellos no tienen la restricciones regulatorias que enfrentan las entidades cubiertas por HIPAA.
Prueba de Cumplimiento: si tiene un servicio de respaldo en la nube o fuera del lugar de trabajo, consulte los términos de su servicio de resguardo administrado. O si realiza copias de seguridad localmente, antes de moverlos fuera de la oficina o empresa en medios extraíbles, verifique las especificaciones técnicas de los productos de respaldo que utiliza y asegurese que los datos estén cifrados. Marque NO abajo si su dispositivo de almacenamiento no cifra los datos.

Detección de Rogue Apps por Wi-Fi

Escenario: Existen numerosas técnicas que los piratas informáticos pueden utilizar para engañar a los usuarios de Wi-Fi para que "revelen" sus credenciales. Una forma es crear un Wi-Fi "Falso" que se parece al Wi-Fi "Real", con la esperanza de que los usuarios se conecten a este sin darse cuenta y no al "Real". Muchas de estas técnicas se frustran fácilmente si los puntos de acceso (AP) Wi-Fi oficiales en su red "saben" qué AP son "oficiales" y cuáles no, y pueden tomar medidas para detectar y desactivar "WI-FI Falsos". Esto es algo estándar en Wi-Fi a nivel empresarial, pero no es así en la mayoría de los equipos de Wi-Fi para pymes o de consumo.
Prueba de Cumplimiento: es fácil activar un "punto de acceso personal" (es decir, un punto de acceso Wi-Fi virtual) en su teléfono inteligente o tableta ... la forma más fácil es compartir su servicio de datos móviles con otros dispositivos que no tienen acceso a Internet, por ejemplo, si está de viaje. Así es como se hace en iOS y Android: Encienda un punto de acceso Wi-Fi en un teléfono inteligente o tableta y asígnele un nombre de red (SSID) igual que uno de los SSID que tiene transmitiendo en su red oficial. Si lo rechaza, eso es lo que quieres, selecciona SI. De lo contrario, acerque otro dispositivo a su teléfono inteligente, si su dispositivo prefiere conectarse a él, debido a la señal más fuerte y se conecta al SSID de su teléfono, acaba de conectarse a un AP "Rogue". Lo siento, ¡Marque NO!

Alternamente, puede verificar las "hojas de datos" para ver la marca y el modelo de los AP que usa, y busque el término para "detección de AP maliciosos", "Rogue AP Detection" o este acrónimo: WIPS / WIDS, la marca distintiva de detección de puntos de acceso no autorizados y otros mecanismos importantes de detección y mitigación de intrusiones inalámbricas.

Eliminación de Dispositivos Electrónicos

Escenario: ¿Sabía usted que las fotocopiadoras, las máquinas de fax y los escáneres tienen disco de almacenamiento? Entonces, cuando usted decida devolverlo al suplidor, vénderlo, donarlo o botarlo, debe borrar el disco duro o destruirlo. Si no lo hace, puede estar violando HIPAA. Esta es solo una forma inusual de violar la Ley HIPAA sin siquiera saberlo. Se supone que usted debe tener un proceso formal o Política para Desechar Dispositivos Electrónicos para educar a sus empleados y proporcionar un marco para garantizar que los discos duros se limpian de una manera consistente con los estándares del Departamento de Defensa antes de ser eliminados.

Prueba de Cumplimiento: Pídale a un empleado o compañero que le diga el procedimiento oficial en su consultorio para disponer o eliminar dispositivos electrónicos. Si desconoce o falla en mencionar el objetivo de “limpiar el disco”, Marque NO!

Asociados de Negocios (BA)

Escenario: Su Practica u Oficina debe tener con todos los subcontratistas un acuerdo de "Asociados de Negocio" (BA) que establezca formalmente los 10 términos y condiciones con respecto a los usos permitidos y manejo de los datos ePHI intercambiados entre las partes. Uno de estos estipula que el BA también tiene que implementar el mismo tipo de políticas que usted para proteger los datos de ePHI y cumplir con la regla de seguridad de HIPAA.
Prueba de Cumplimiento: Pídale al administrador de su oficina que encuentre copias firmadas de todos sus contratos con Asociados de Negocios (BA) en un plazo de 30 minutos. Si tiene subcontratistas para los que no puede encontrar un BA firmado, marque NO y luego emita el acuerdo... esto es fácil de arreglar usted mismo.

Dispositivos de Almacenamiento Móviles

Escenario: Los medios portátiles en forma de DVD, tarjetas de memoria y "USB Drives" son muy peligrosos. Se pierden o se extravían fácilmente y por consecuencia, pueden caer en las manos equivocadas.

En la era de la computación en la nube, realmente no hay una buena razón para permitir que los datos ePHI se almacenen en medios portátiles. La mejor práctica es hacer que los puertos USB y las unidades de DVD sean solo de lectura, o deshabilitarlos por completo.

Prueba de Cumplimiento: Pruebe al menos dos computadoras portátiles o de escritorio al azar, además de la suya, para ver si es posible grabar un DVD o copiar archivos en una unidad USB. Además, si tiene un servidor EMR / EHR en las instalaciones y tiene credenciales para iniciar sesión en la computadora, intente las mismas dos pruebas. Si puede grabar un DVD o grabar archivos en un USB sin impedimentos (es decir, sin que se le pida o se le dé una clave de cifrado), marque NO.

USTED HA COMPLETADO LA AUTO-EVALUACION

Para obtener los resultados de esta Auto-Evaluación debe estar de acuerdo con el Relevo de Responsabilidad y hacer clic en el botón de "Enviar". Gracias

Relevo de Responsabilidad - Esta auto-evaluación es para propositos informativos y se compone de preguntas generales sobre las medidas que su organización debe tener para afirmar que cumple con HIPAA. No se considera como asesoramiento legal. Completar con éxito esta lista de verificación no certifica que usted o su organización cumple con HIPAA.

Si desea informacón de como podemos ayudarlo a encaminar su organzación en la ruta del Cumplimiento con HIPAA o necesita ayuda para completar la Auto-Evaluación de Cumplimiento, complete el formulario abajo y uno de nuestro asociados se comunicara con usted.

Tecnología sin limites...

Tel. 787-425-5111     email info@digibound.com