Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Archive Data Protection

    10 mejores prácticas para utilizar Slack en la sanidad

    La configuración de Slack conforme a la HIPAA es crucial para proteger los datos de los pacientes

    by Emily Schwenke

    Key Points

    • Este blog se publicó originalmente en el sitio web de Aware, pero con la adquisición de Aware por parte de Mimecast, nos aseguramos de que también esté disponible para los visitantes del sitio web de Mimecast.
    • La implementación de medidas de seguridad avanzadas, como los controles de acceso basados en roles y la prevención de pérdida de datos impulsada por IA, es crucial para mantener el cumplimiento de la HIPAA en Slack.

    Slack es una herramienta popular utilizada por muchas organizaciones sanitarias para apoyar la colaboración en el lugar de trabajo a través de una amplia gama de aplicaciones versátiles. Pero, ¿es un repositorio seguro para la información sanitaria protegida (PHI)? Este post revisa las consideraciones críticas y las mejores prácticas para manejar los datos sensibles de los pacientes sin dejar de cumplir con la HIPAA.

    ¿Cómo se utiliza Slack en la sanidad?

    El uso de herramientas de colaboración en el lugar de trabajo como Slack va en aumento en el sector sanitario.

    • Gestión de reclamaciones: racionalización delas comunicaciones para mejorar los plazos de resolución y la satisfacción de los pacientes
    • Atención al paciente:reunir a médicos y enfermeras en un espacio de trabajo unificado para tomar decisiones de tratamiento más rápidas.
    • Apoyo a losequipos de investigación: coordinarlos ensayos clínicos y facilitar una comunicación fluida a los equipos de investigación.

    Aunque estos casos de uso pueden mejorar los resultados para los pacientes y los equipos médicos, es crucial actuar con cautela al manejar datos sanitarios sensibles. En todo momento, el cumplimiento de la normativa HIPAA es primordial para garantizar la seguridad y la privacidad de la información de los pacientes.

    ¿Está Slack cubierto por la HIPAA?

    Los proveedores sanitarios y otras entidades cubiertas tienen la misma obligación de proteger la PHI en Slack que en cualquier otro conjunto de datos. La naturaleza informal y conversacional de los chats de Slack puede llevar a los empleados a pensar que no tienen que tomar las mismas precauciones para salvaguardar la información de los pacientes que en otras herramientas, como el correo electrónico, y eso hace que sea esencial que las organizaciones sanitarias formen adecuadamente a los empleados sobre cómo utilizar Slack de forma segura para seguir cumpliendo la Ley de Portabilidad y Responsabilidad de los Seguros Médicos.

    Para respaldar la HIPAA, Slack ofrece una serie de funciones de seguridad y cumplimiento diseñadas para proteger la información de los pacientes. Sin embargo, la simple configuración de estos ajustes no es suficiente para obtener el cumplimiento completo de la HIPAA en Slack. En su lugar, los controles de seguridad de la información deben ir acompañados de la formación adecuada y de la aplicación de la normativa.

    ¿Existen retos a la hora de utilizar Slack en la sanidad?

    La naturaleza rápida e informal de las conversaciones en Slack puede aumentar la probabilidad de que se comparta información arriesgada o restringida dentro de sus canales. La investigación de Aware muestra que 1 de cada 17 mensajes de Slack contiene tres o más piezas de datos sensibles como PII o PHI.

    Además, los administradores de espacios de trabajo pueden encontrarse con que su visibilidad de los mensajes de Slack está restringida por la compleja estructura de Slack de canales públicos, canales privados y mensajes directos. Dependiendo del plan de Slack en uso, es posible que los administradores tengan que solicitar a Slack copias de sus propios registros. E incluso cuando los administradores tienen plena visibilidad de los mensajes de Slack, los usuarios pueden editar o borrar lo que escribieron originalmente, lo que dificulta las investigaciones sobre el cumplimiento de la HIPAA.

    Preocupaciones sobre el cumplimiento del uso de Slack para la atención sanitaria

    Más allá de los retos que plantean el comportamiento de los usuarios y la visibilidad y el control limitados de los datos confidenciales, existen más preocupaciones sobre el cumplimiento de la HIPAA que las organizaciones sanitarias y otras entidades cubiertas deben abordar en Slack.

    Prevención de la pérdida de datos

    Herramientas como Slack ofrecen innumerables formas en las que se puede acceder indebidamente a los datos, exfiltrarse o perderse. Muchos de estos casos son el resultado de accidentes o negligencias, como subir documentos confidenciales a canales públicos de Slack. Estos errores pueden agravarse si los empleados deciden borrar las pruebas de que se ha producido una infracción en lugar de denunciarla. Los infiltrados malintencionados también pueden utilizar Slack como tapadera, sincronizando archivos de la empresa con dispositivos personales y burlando los cortafuegos de seguridad en instantes.

    Hacks y brechas

    Los malos actores externos también pueden acceder a datos sensibles a través de Slack. Incluso en los lugares de trabajo que aplican la autenticación de dos factores (2FA), las cuentas de Slack pueden seguir siendo pirateadas a través de credenciales comprometidas y ataques de fatiga MFA, en los que envían repetidas solicitudes de inicio de sesión hasta que un usuario finalmente aprueba una. Una vez dentro de un entorno Slack, estos actores maliciosos pueden exfiltrar cualquier cosa de los canales a su disposición, incluida información de pacientes sin restricciones.

    Integraciones de terceros

    Incluso cuando el propio Slack está correctamente configurado y protegido para el cumplimiento de la HIPAA, las aplicaciones e integraciones de terceros conectadas a él pueden seguir creando puertas traseras a través de las cuales los datos pueden verse comprometidos. Para evitarlo, los administradores del espacio de trabajo deben examinar minuciosamente cada nueva aplicación e integración antes de su uso, e inspeccionarlas de forma rutinaria para asegurarse de que siguen cumpliendo las normas de conformidad exigidas.

    Seguridad de los dispositivos

    Una de las características más populares de Slack es su amplia gama de aplicaciones que permiten utilizarlo en múltiples dispositivos y tipos de aparatos. Sin embargo, cuando los empleados utilizan Slack en sus dispositivos personales, pueden introducir riesgos al no mantener su aplicación Slack actualizada, o incluso al extraviar el dispositivo por completo.

    10 mejores prácticas para los equipos sanitarios que utilizan Slack

    1. Aproveche las funciones nativas de seguridad de datos
     

    Comience por comprender y utilizar los controles que Slack proporciona para proteger la información sanitaria. Slack ofrece una amplia gama de opciones de seguridad y cumplimiento, como el cifrado de datos en tránsito y en reposo, MFA y el inicio de sesión único (SSO) basado en OAuth o SAML.

    2. Utilizar roles de administrador en Enterprise Grid
     

    Las entidades sanitarias deben utilizar Slack Enterprise Grid para acceder a todas las herramientas de Slack para el cumplimiento de la HIPAA, lo que también permite a los administradores acceder a controles de seguridad de nivel empresarial. Los roles de Enterprise Grid permiten a los propietarios de espacios de trabajo tomar el control granular de quién tiene acceso a datos sensibles o restringidos en Slack.

    3. Firmar un Acuerdo de Asociado Comercial (BAA)
     

    Un BAA es un contrato vinculante que describe las responsabilidades de las entidades cubiertas y sus socios en la protección de la PHI. Slack está clasificado como proveedor o socio de servicios según la HIPAA y tiene ciertas obligaciones para salvaguardar los datos sanitarios protegidos dentro de su software. Los usuarios deben tener un plan Enterprise Grid para firmar un BAA con Slack.

    4. Automatizar la retención y eliminación de datos
     

    Por defecto, Slack conserva indefinidamente los datos de los espacios de trabajo de pago. Con el tiempo, esto puede crear una biblioteca masiva repleta de datos que conllevan más riesgo que valor. Sin embargo, los usuarios gratuitos pueden encontrarse con que el límite de conservación de un año de Slack provoca la pérdida de información crítica de la empresa. Mediante la aplicación de políticas de retención granulares, la evaluación del valor de los datos de Slack para la organización y la purga automática del contenido antiguo cuando ya no sea necesario, las entidades sanitarias pueden protegerse reduciendo su responsabilidad en Slack.

    5. Utilice una herramienta DLP diseñada para apoyar el cumplimiento de la HIPAA en Slack
     

    Aunque Slack ofrece muchas funciones para ayudar a gestionar los datos dentro de su aplicación, los administradores del espacio de trabajo deberían considerar la posibilidad de implementar integraciones de prevención de pérdida de datos de terceros con la funcionalidad de apoyar aún más el cumplimiento de la HIPAA en Slack. La herramienta adecuada debe conectarse en tiempo real para identificar el incumplimiento, emitir notificaciones cuando detecte un riesgo y formar a los empleados sobre las políticas de uso aceptable a medida que se producen las infracciones.

    6. Implantar la autenticación de 2 factores
     

    Slack puede proteger las instancias del espacio de trabajo limitando los inicios de sesión a los miembros del equipo de un dominio especificado. Sin embargo, los nombres de usuario y las contraseñas pueden verse comprometidos, pirateados o robados en ataques de phishing. Implementar la autenticación de 2 factores o el inicio de sesión único puede reducir la probabilidad de que un pirata informático acceda a la cuenta de Slack de una empresa.

    7. Utilizar el control de acceso basado en roles (RBAC)
     

    Los administradores del espacio de trabajo de Slack pueden limitar aún más qué usuarios pueden ver información sensible y confidencial implementando un control de acceso basado en roles en cada etapa. Esto se puede utilizar para limitar la visibilidad dentro de Slack y restringir quién puede crear canales, añadir usuarios o conceder permisos. RBAC también debería ser una característica de cualquier herramienta de terceros conectada al espacio de trabajo que pueda ver o gestionar los datos de Slack.

    8. Implantar convenciones de nomenclatura conformes
     

    La supervisión del cumplimiento en tiempo real para Slack puede evitar la proliferación de PHI y otros datos confidenciales utilizando palabras clave y expresiones regulares para detectar el intercambio de información no autorizado. Sin embargo, los usuarios pueden tomar medidas para eludir estos controles bajo la creencia errónea de que así protegen los datos que comparten. La aplicación de convenciones de nomenclatura predefinidas puede respaldar el cumplimiento de la HIPAA haciendo que la PHI sea fácilmente identificable en Slack.

    9. Formar y reeducar rutinariamente a los empleados
     

    Sus empleados son su mayor fuente de riesgo y su primera línea de defensa cuando se trata de utilizar Slack en la sanidad. Forme a sus empleados sobre la importancia de proteger la PHI, actualice periódicamente esa formación y proporcione a los empleados las herramientas adecuadas para compartir la información confidencial con el fin de realizar su trabajo.

    10. Evite la comunicación con los pacientes a través de Slack
     

    Slack prohíbe el uso de su aplicación para compartir comunicaciones entre médicos y pacientes. Hacerlo invalidará el BAA que su organización firma con Slack y le dejará expuesto a violaciones de la HIPAA. En su lugar, las comunicaciones con los pacientes deberían limitarse a herramientas como MyChart, diseñadas específicamente para ese fin.

    Siguiendo estas prácticas recomendadas, los equipos sanitarios pueden aprovechar el poder de colaboración de Slack a la vez que mitigan los riesgos potenciales y garantizan el cumplimiento de la HIPAA.

    Cómo Aware ayuda a los equipos sanitarios a cumplir la normativa

    Aware permite a los equipos sanitarios liberar el potencial de Slack sin dejar de cumplir la ley HIPAA utilizando tecnología de IA y PNL líder en el sector para supervisar el cumplimiento de la ley HIPAA en tiempo real. La plataforma Aware se conecta a Slack a través de API nativas para una integración perfecta, proporcionando la seguridad que las entidades cubiertas necesitan sin afectar a la experiencia del usuario final. Con Aware, los profesionales sanitarios pueden:

    • Identifique de forma proactiva y en tiempo real el intercambio no autorizado de PHI
    • Instruya a los usuarios sobre el uso aceptable en tiempo real
    • Contenido restringido para evitar la visibilidad continua
    • Automatice la supervisión del cumplimiento de la HIPAA 24 horas al día, 7 días a la semana
    • Identificar más casos de PHI con menos falsos positivos
    • Conecte la información de Slack con los flujos de trabajo legales, de cumplimiento y de RR.HH.

    Aware presta apoyo a empresas, desde organizaciones sanitarias hasta ONG internacionales, en materia de privacidad de datos, cumplimiento normativo y ciberseguridad en herramientas de colaboración como Slack.

    44BLOG_1.jpg
    Up Next
    Archive Data Protection |
    Datos imprescindibles sobre Slack para 2023

    Related Articles

    Archive Data Protection
    Entender la CPRA: Proteger la información personal sensible y mantener el cumplimiento
    Archive Data Protection
    Copia de seguridad y archivo de Zoom: Una guía completa
    Archive Data Protection
    Las 10 mejores prácticas de seguridad de Slack para salvaguardar su colaboración en el lugar de trabajo

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top