“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Requisitos de cumplimiento de la HIPAA: Qué es y quiénes deben cumplirla
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Introducción
En el área de salud es fundamental que se garantice la privacidad de la información electrónica de los pacientes. Para ayudar a proteger los historiales médicos, se han creado leyes federales que establecen una serie de estándares normativos que se deben aplicar por las empresas y organizaciones. Una de ellas es la HIPAA.
¿De qué manera ayuda a proteger la información médica el estándar HIPAA? ¿Cuáles son las sanciones que establece? A continuación te lo explicamos.
¿Qué es la norma HIPAA?
The Health Insurance Portability and Accountability Act o la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA por sus siglas en inglés) es una legislación creada en 1996 para la protección de datos confidenciales de pacientes médicos.
Esta ley federal estadounidense fue promulgada por el Departamento de Salud y Servicios Humanos (HHS) para garantizar que las empresas y las organizaciones sanitarias protejan los datos personales de los pacientes o la información médica protegida (PHI) frente a infracciones de privacidad, mala gestión interna o filtraciones de datos.
Las infracciones de la HIPAA más comunes son:
- Fuga de datos por falta de protección adecuada de la PHI o robo con fines personales.
- Acceso no autorizado a la información médica electrónica del paciente (ePHI)
- Divulgación de información contenida en los historiales médicos.
- Falta de formación o deficiencias de los empleados que manejan la PHI
- Falta de notificación de la infracción.
- No se cuenta con las salvaguardas físicas, técnicas y administrativas necesarias.
- ¿Quiénes deben cumplir con la HIPAA?
Cualquier entidad cubierta, es decir, centro de cuidado de la salud, proveedores de servicios de atención médica y planes de salud o seguro médico que transmitan vía electrónica una información médica deben velar por el cumplimiento de la HIPAA.
Los socios comerciales que hayan tenido acceso a la información personal de los pacientes y brinden soporte a las entidades cubiertas, también deben cumplir con la HIPAA.
Los socios comerciales deben firmar un acuerdo (business associate agreements o BAA) con las entidades cubiertas en el que garantizan la salvaguarda de la información médica y especifican cuál es el límite de su uso y divulgación.
Requisitos básicos para el cumplimiento de la norma HIPAA
La Oficina de Inspectoría General del Departamento de Servicios Humanos de los EE. UU. (OIG) creó el programa «Siete elementos del cumplimiento eficaz», con el objetivo de orientar a las organizaciones sobre cómo garantizar la privacidad y la seguridad de la información médica.
Los requisitos de cumplimiento de la norma HIPAA son:
- Implementación: establecer y dejar por escrito cuáles son las políticas de seguridad, procedimientos y estándares de conducta.
- Orientación: designar a un funcionario y a un comité de cumplimiento.
- Entrenamiento: desarrollar actividades de formación tanto teóricas como prácticas sobre el resguardo de la información de salud protegida (PHI).
- Comunicación: establecer líneas de comunicación que sean eficaces.
- Monitoreo: realizar auditorías y monitoreo interno.
- Disciplina: velar por el cumplimiento de las medidas de seguridad y dejar claro cuáles son las consecuencias en caso de no hacerlo.
- Investigar: detectar las infracciones y averiguar cuáles pueden ser los correctivos que se deben poner en marcha para que no se repita.
Además de estos siete elementos, la privacidad y seguridad de la información médica depende también de la creación de un sistema de clasificación de datos que permita cumplir con la ley de forma segura y garantizar la confidencialidad de la PHI.
Una manera de clasificar los datos es mediante intervalos que permitan poner en orden la información a partir de características previamente definidas. Algunos de los tipos de intervalos que se pueden aplicar son:
- Intervalos manuales: implica que un ser humano revise todos los datos y los organiza siguiendo un orden en particular. Es un buen sistema para un conjunto de datos pequeños, pero puede ser complicado con informaciones grandes.
- Intervalos definidos: la información se puede dividir en paquetes o grupos según una característica específica. Por ejemplo, según la cantidad de caracteres.
- Intervalos iguales: los datos se dividen en un número específico de grupos, de manera uniforme.
- Quantiles: se establece una cantidad de valores de datos por un tipo de clase.
- Descansos naturales: hay programas que determinan por sí mismos dónde ocurren grandes cambios en los datos y eso sirve como indicador para dividirlos.
- Intervalos geométricos: por cada categoría de clase se permite el mismo número de unidades.
- Intervalos de desviación estándar: se establecen valores numéricos para mostrar las desviaciones de cada entrada.
- Rangos personalizados: cada usuario crea un rango y lo puede cambiar en cualquier momento.
Sanciones por incumplimiento de la norma HIPAA
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos es la responsable de hacer cumplir las normas de privacidad y seguridad de la HIPAA. Además, se encarga de hacer inspecciones, revisar las quejas, educar en la materia y permitir las sanciones monetarias por violación de la ley.
El incumplimiento de la ley HIPAA implica que la empresa aparezca durante dos años en la lista pública de la OCR, conocida como The Wall of Shame (El muro de la vergüenza).
Las multas por incumplimiento de la HIPAA dependen del nivel de negligencia:
- Primer nivel. Desconocimiento de la infracción: la entidad cubierta no es consciente de haber incumplido la normativa HIPAA. Las sanciones son entre USD 100 y USD 50 000. El monto máximo por año es de USD 25 000.
- Segundo nivel. Causa razonable no relacionada con una negligencia intencionada. Hay una violación de la ley, a pesar de que existen sistemas de vigilancia. Las sanciones oscilan entre USD 1 000 y USD 50 000, y una máxima por año de USD 100 000.
- Tercer nivel. Negligencia intencionada corregida en un plazo de 30 días después de descubierta: la infracción se comete con la intención de vender y beneficiarse financieramente o usar de manera maliciosa la información médica de una persona. Los correctivos se deben tomar en 30 días. Este nivel incluye sanciones entre USD 10 000 y USD 50 000 por cada infracción y un máximo por año de USD 250 000.
- Cuarto nivel. Negligencia intencionada no corregida dentro de 30 días: las consecuencias de la infracción así como los sistemas de protección violados no son corregidos en el tiempo impuesto. Las sanciones pueden ser hasta de USD 1 500 000 cada año.
Cualquier organización debe establecer un control de acceso para que solo el personal autorizado pueda manejar la PHI. Además, tiene que incluir un plan para eliminar de los navegadores y dispositivos móviles de los empleados la PHI.
Para garantizar de manera más eficiente la confidencialidad de la información, las organizaciones se pueden guiar por el Reglamento General de Protección de Datos de la Unión Europea (GDPR). Este instrumento establece un conjunto de pautas internacionales para el manejo de los datos de forma segura, respetuosa y cuidadosa.
En Delta Protect sabemos la importancia de cumplir con cada ley a detalle. Por eso, creamos Apolo un programa en donde podrás automatizar la ciberseguridad y compliance mientras mantenemos a tu equipo de trabajo al tanto de actualizaciones. ¡Conoce más en nuestra web!
Conclusiones
Santiago Fuentes es cofundador de Delta Protect y del Mexico & Israel Tech Hub. En 2021 fue seleccionado como Mentor de ciberseguridad en Endeavor México. Ha tenido la oportunidad de vivir y entender mercados de tecnología emergentes como Shanghai, Tel Aviv, y Corea del Sur, donde desarrolló conocimientos sobre Ciencia de Datos y Finanzas Corporativas.
