Mimecast Logo
Obtenga una cotización

    ¿Cumple Microsoft Teams la HIPAA?

    La HIPAA protege los datos sanitarios y garantiza la privacidad/seguridad. Para lograr la conformidad de Teams con la HIPAA, siga los pasos clave: encriptación, control de acceso, auditoría, supervisión y políticas de retención.
    Garantizar el cumplimiento de la HIPAA
    ¿Cumple Microsoft Teams la HIPAA?
    Garantizar el cumplimiento de la HIPAA
    Descripción general

    ¿Cumple Microsoft Teams la HIPAA? - Introducción

    La HIPAA, o Ley de Portabilidad y Responsabilidad del Seguro Médico, es un conjunto de normas establecidas por el gobierno estadounidense para proteger la información sanitaria sensible y garantizar la privacidad y seguridad de los datos médicos de los pacientes. La HIPAA se aplica a entidades como los proveedores de asistencia sanitaria, los planes de salud y cualquier empresa satélite que maneje información sobre la salud de los pacientes.

    La HIPAA está diseñada para regular el uso y la divulgación de la información sanitaria protegida (PHI) y abarca elementos como:

    • Protección de la información sanitaria de las personas, incluida la información demográfica, el historial médico y cualquier otra información relacionada con la salud de una persona o los servicios sanitarios recibidos.
    • Límites sobre el uso y la divulgación de la PHI por parte de los proveedores sanitarios, los planes de salud, los centros de intercambio de información sanitaria y sus socios comerciales.
    • Requisitos para la protección y seguridad de la PHI, incluidas las salvaguardas técnicas, administrativas y físicas para evitar el acceso, uso o divulgación no autorizados.
    • Derechos de las personas a acceder y controlar su PHI, incluido el derecho a obtener copias de sus historiales médicos, solicitar correcciones y presentar quejas si creen que se han violado sus derechos.
    • Aplicación de la normativa HIPAA por parte del Departamento de Salud y Servicios Humanos (HHS), incluidas las sanciones por incumplimiento, como multas y cargos penales.

    Así pues, para las empresas y organizaciones del sector sanitario, cualquier herramienta y software que se utilice para compartir datos de pacientes debe cumplir la HIPAA, y Microsoft Teams no es una excepción. De hecho, saber si Microsoft Teams cumple con la HIPAA es una preocupación común entre muchas organizaciones sanitarias y sus asociados que utilizan la plataforma para comunicarse con el personal o compartir de otro modo la información de los pacientes.

    La buena noticia es que Microsoft Teams puede cumplir la HIPAA si se configura correctamente y se vincula a un acuerdo de asociación empresarial (BAA) con la empresa. Sin embargo, es importante recordar que para mantener el cumplimiento de la HIPAA también es necesario impartir formación sobre concienciación en materia de seguridad y supervisar el comportamiento de los usuarios para garantizar que los miembros del personal puedan utilizar la plataforma de forma segura y protegida. Además, usted es responsable de garantizar que existan los controles y mecanismos de información adecuados para cumplir los requisitos de la HIPAA.

    Consecuencias del incumplimiento de la HIPAA con Microsoft Teams

    El incumplimiento de las directrices de seguridad de la HIPAA puede acarrear graves consecuencias, con multas de hasta 250.000 dólares, dependiendo de la gravedad del incidente. Por este motivo, configurar Microsoft Teams para el cumplimiento de la HIPAA es crucial para las operaciones diarias de cualquier organización cubierta por la ley, así como para aquellos asociados que manejen datos de pacientes en nombre de su organización.

    Así pues, para ayudar a su organización a trabajar en pos de los elevados estándares de seguridad de los datos y confidencialidad de los pacientes que establece la ley, exploramos los factores que determinan el cumplimiento de la HIPAA para Microsoft Teams y analizamos cómo configurar la plataforma para cumplir correctamente los requisitos de la HIPAA establecidos. Siga leyendo para saber más.

     

    Conformidad.jpg

     

    Los 5 principales riesgos de la HIPAA en Microsoft Teams

    Utilizar Microsoft Teams de forma que cumpla la HIPAA implica formar a los usuarios sobre los pasos de seguridad adecuados para proteger la información confidencial. He aquí los principales riesgos del comportamiento humano para la seguridad de los datos:

    • Acceso no autorizado: El riesgo de que personas no autorizadas accedan a información sensible dentro de Microsoft Teams, ya sea a través de cuentas de usuario comprometidas o de configuraciones de seguridad laxas.
    • Compartir archivos de forma insegura: La posibilidad de que se compartan archivos confidenciales de forma inadecuada, lo que puede dar lugar a un acceso no autorizado o a la exposición accidental de información sanitaria protegida (PHI).
    • Pérdida o fuga de datos: El riesgo de pérdida o filtración de datos debido a procedimientos inadecuados de copia de seguridad, borrado accidental o configuración insegura de uso compartido externo dentro de Teams.
    • Integraciones de terceros: Las integraciones con aplicaciones de terceros dentro de Microsoft Teams pueden introducir posibles vulnerabilidades o incumplimientos de la normativa HIPAA si dichas aplicaciones no cumplen las normas de seguridad necesarias.
    • Permisos de usuario inadecuados: Una gestión inadecuada de los permisos de usuario y de los controles de acceso dentro de Teams, que da lugar a que usuarios no autorizados tengan acceso a la PHI o a otra información confidencial. Formar a los empleados en las mejores prácticas de cumplimiento de la HIPAA, hacer hincapié en el intercambio seguro de archivos y educarles sobre los riesgos asociados a las integraciones de terceros son también pasos vitales. Por último, las empresas deben establecer procedimientos sólidos de copia de seguridad y recuperación en caso de catástrofe para evitar la pérdida y fuga de datos.

    Cómo garantizar el cumplimiento de la HIPAA en Microsoft Teams

    Garantizar el cumplimiento de la HIPAA para Microsoft Teams requiere varios pasos, y necesitará tanto configurar los ajustes de seguridad de la plataforma como establecer un acuerdo de asociación empresarial (BAA) con Microsoft. A continuación, cubrimos cada uno de ellos con más detalle para que su organización pueda trabajar en el cumplimiento de la HIPAA y garantizar la seguridad de los datos de los pacientes.

    Configurar los ajustes de seguridad de Microsoft Teams

    El primer paso para que Microsoft Teams cumpla la HIPAA es asegurarse de que el software está configurado correctamente. Esto requiere múltiples cambios en la configuración de la aplicación para permitir el cifrado de datos, el control de acceso, la auditoría y la supervisión, así como la configuración de las políticas de retención para permitir el archivo completo de los datos compartidos en la plataforma.

    Para ello, debe activar los siguientes ajustes y asegurarse de que estén siempre en uso:

    • Habilite el cifrado de datos: Microsoft Teams utiliza el cifrado para proteger los datos en tránsito y en reposo. Debe asegurarse de que la encriptación está activada para todas las comunicaciones y el almacenamiento de datos.
    • Controle el acceso a los datos: El acceso a los datos sensibles debe restringirse únicamente a los usuarios autorizados. Puede configurar los Equipos para permitir el acceso sólo a los usuarios que hayan sido autentificados y limitar el acceso a canales o archivos específicos.
    • Imponga políticas de contraseñas: Puede configurar políticas de contraseñas para exigir contraseñas seguras, cambios periódicos de contraseña y bloqueos de cuentas tras un número determinado de intentos fallidos de inicio de sesión.
    • Implemente la auditoría y la supervisión: Debe configurar las capacidades de auditoría y supervisión para realizar un seguimiento de las actividades de los usuarios y detectar las infracciones de seguridad.
    • Configurar políticas de retención: Las políticas de retención se utilizan para conservar o eliminar datos en los equipos en función de criterios específicos, como la antigüedad de los datos o el tipo de datos. Este cambio es fundamental para la seguridad y el archivo de datos en Microsoft Teams.

    Es importante recordar que, aunque estos cambios son relativamente sencillos, para cumplir plenamente la HIPAA necesitará un auditor que supervise elementos como el comportamiento de los usuarios y exporte los datos cuando sea necesario. Por lo general, se tratará de un profesional de la ciberseguridad o de un miembro del personal formado en los requisitos de la HIPAA para el correo electrónico y las comunicaciones.

    Celebrar un BAA con Microsoft

    Para cumplir la normativa HIPAA, los usuarios de Microsoft Teams deben firmar un acuerdo de asociación empresarial (BAA) con Microsoft. Un BAA es un contrato que define las responsabilidades de Microsoft como socio empresarial y de la organización sanitaria como entidad cubierta. También garantiza que Microsoft aplicará las medidas de seguridad adecuadas para proteger los datos de los pacientes que maneje en nombre de la organización sanitaria.

    Para suscribir un BAA con Microsoft for Teams, debe ponerse en contacto con su equipo de ventas o de atención al cliente y solicitar un BAA. Una vez firmado el BAA, Microsoft se compromete a cumplir la normativa HIPAA y a aplicar las medidas de seguridad adecuadas para proteger los datos de los pacientes procesados por Teams.

    Otras aplicaciones de Microsoft Teams en el sector sanitario

    Además de la plataforma básica Microsoft Teams, en el sector sanitario se utilizan ampliamente otras aplicaciones de Microsoft Teams, como la aplicación móvil Teams, Teams Rooms y Teams Live Events. Para garantizar el cumplimiento de la HIPAA con estas aplicaciones, las organizaciones sanitarias deben tomar medidas similares para configurar sus parámetros de seguridad y suscribir un BAA con Microsoft.

    Los pasos pueden variar en función de la aplicación y del caso de uso, pero en general, las mismas prácticas recomendadas se aplicarán a todas las aplicaciones de Microsoft Teams. Además, independientemente de la aplicación concreta que se utilice, los usuarios deben ser siempre cautelosos a la hora de compartir información sanitaria confidencial.

    Por último, es importante tener en cuenta que incluso con las medidas de seguridad adecuadas, ninguna tecnología es completamente infalible cuando se trata de violaciones de la ciberseguridad. Las organizaciones sanitarias también deben proporcionar formación y educación continuas a sus empleados para asegurarse de que comprenden sus responsabilidades a la hora de salvaguardar los datos de los pacientes y cumplir la normativa HIPAA.

    Reflexiones finales: ¿Cumple Microsoft Teams la HIPAA?

    Microsoft Teams puede lograr el cumplimiento de la HIPAA cuando se configura adecuadamente, se combina con un BAA firmado y se apoya en una sólida formación de concienciación sobre ciberseguridad. Estos elementos son esenciales para garantizar que la plataforma se utiliza de forma segura y conforme a las normas de la HIPAA.

    Las medidas proactivas, como la supervisión periódica, el archivo de datos y la supervisión del comportamiento de los usuarios, son fundamentales para mantener la conformidad. Sin estas medidas, la plataforma sigue siendo tan conforme como cualquier otra herramienta de comunicación que proporcione la infraestructura para el cumplimiento de la HIPAA pero que requiera la diligencia del usuario para cumplir las normas.

    Para obtener más información sobre el cumplimiento de la HIPAA y la ciberseguridad para su organización, póngase en contacto con un miembro del equipo de Mimecast hoy mismo. Además, explore nuestra sección de recursos para obtener ideas y consejos sobre temas de ciberseguridad y ciberresiliencia.

    Preguntas frecuentes adicionales sobre el cumplimiento de la HIPAA por parte de Microsoft Teams

    ¿Cumple Teams la HIPAA desde el primer momento?

    No, Teams no cumple la HIPAA desde el primer momento. Las organizaciones deben configurar y utilizar Teams de forma que cumpla los requisitos de la HIPAA. Esto implica implantar controles de seguridad, formar a los usuarios sobre las mejores prácticas de privacidad y seguridad, y supervisar y actualizar periódicamente la configuración de seguridad.

    ¿Es Microsoft Teams seguro para la información confidencial?

    La información sanitaria protegida (PHI), la información de identificación personal (PII) y los datos del sector de las tarjetas de pago (PCI) se consideran información confidencial. El tratamiento de estos tipos de información requiere a menudo el cumplimiento de requisitos legales y reglamentarios.

    En los equipos, es importante asegurarse de que el acceso a dichos datos esté limitado a las personas autorizadas y de que existan controles de seguridad, codificación y restricciones de acceso adecuados para protegerlos de divulgaciones o infracciones no autorizadas. Algunas medidas que las organizaciones pueden adoptar para proteger la información confidencial en Microsoft Teams incluyen la formación periódica de los empleados sobre las mejores prácticas de privacidad y seguridad y la implantación de salvaguardas como la autenticación de dos factores (2FA), la autenticación multifactor (MFA) o el inicio de sesión único (SSO).

    Recursos relacionados

    Resources_05.jpg
    Email Collaboration Threat Protection

    Gartner® Cuadrante Mágico™ para la seguridad del correo electrónico

    Analyst Report
    Resources_29.jpg
    Email Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_38.jpg
    Email Collaboration Threat Protection

    El coste y el riesgo de los ataques por correo electrónico: Mimecast frente a la competencia

    Infographic
    Back to Top