Hospital Infantil en Colorado Multado por Violaciones a las Normas de Privacidad y Seguridad de HIPAA

El Departamento de Salud y Servicios Humanos de EE. UU. (HHS), a través de su Oficina de Derechos Civiles (OCR), ha impuesto una multa de $548,265 al Hospital Infantil de Colorado por violaciones de las normas de privacidad y seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Las violaciones surgieron tras dos reportes de brechas de seguridad relacionadas con ataques de phishing en 2017 y 2020.

Detalles del caso:

  • Brechas de seguridad: La primera involucró un ataque de phishing que comprometió la información protegida de salud (PHI) de 3,370 individuos debido a la desactivación de la autenticación multifactor en una cuenta de correo electrónico. La segunda incluyó tres cuentas comprometidas que expusieron la PHI de 10,840 personas, causada por errores del personal al otorgar acceso a terceros desconocidos.
  • Hallazgos de OCR:
    • No se implementó la autenticación multifactor.
    • Falta de entrenamiento adecuado al personal sobre las normas de privacidad de HIPAA.
    • No se realizó un análisis de riesgos conforme a las normas de seguridad de HIPAA.

Sanción: En junio de 2024, OCR notificó la intención de imponer una multa. El hospital renunció a su derecho a una audiencia y no disputó los hallazgos.

Lecciones y recomendaciones:
OCR recuerda a los proveedores de salud la importancia de implementar medidas de seguridad robustas para evitar incidentes similares. Algunas recomendaciones clave incluyen:

  1. Autenticación multifactor: Asegurar que solo usuarios autorizados accedan a información protegida.
  2. Cifrado de datos: Proteger la información contra accesos no autorizados.
  3. Análisis y gestión de riesgos: Incorporar estas prácticas en los procesos de negocio regularmente.
  4. Capacitación del personal: Entrenar al equipo en sus responsabilidades específicas para proteger la privacidad y seguridad de la información.
  5. Auditorías regulares: Revisar y monitorear las actividades de los sistemas de información.

Recursos útiles:

Mensaje de OCR: “El correo electrónico sigue siendo una de las principales puertas de entrada para los ciberataques. Las entidades de atención médica deben identificar riesgos, proteger cuentas de correo y capacitar a su personal para proteger la información de salud,” afirmó Melanie Fontes Rainer, directora de OCR.

Si crees que tus derechos de privacidad han sido violados, puedes presentar una queja en: HHS OCR Complaints.

Proteger la información de salud es una responsabilidad compartida. No subestimemos los riesgos y sigamos reforzando nuestras medidas de seguridad.

Sobre 7Cyber PR

Ayudamos a las organizaciones a lograr la transformación mediante tecnología en la nube, automatización y estrategia.

Facebook-f Instagram Linkedin-in

Publicaciones recientes

Pregunta por la implementación de nuestros 7 pilares, buscamos maximizar la seguridad y eficiencia operativa, reducir al mínimo los riesgos y asegurar una respuesta ágil y efectiva ante cualquier incidente de seguridad.

Recursos

Horarios

  • Lunes - Viernes:
  • 8:00AM - 5:00PM
  • Sábado - Domingo:
  • Cerrado

Contactos

Únete al club

¡Reciba recomendaciones y noticias de ciberseguridad!

Política de privacidad
|
Términos y Condiciones
Facebook-f Instagram Linkedin-in