Guía de cumplimiento de la HIPAA para los containers y la nube
No es necesario ser un experto en cumplimiento o seguridad en la nube para haber oído hablar de la HIPAA, la principal ley sobre privacidad de la información sanitaria en Estados Unidos. Prácticamente cualquier persona que haya recibido asistencia sanitaria en los Estados Unidos ha oído hablar de la HIPAA y tiene una idea general de lo que hace.
Sin embargo, el cumplimiento de la HIPAA en los modernos entornos basados en la nube o en containers, sigue siendo un reto incluso para desarrolladores y equipos de TI con experiencia. A pesar de que la HIPAA tiene más de dos décadas de antigüedad, o quizás debido a ello, ofrece escasas directrices específicas sobre cómo las organizaciones deben garantizar la privacidad de los datos sanitarios que gestionan en la nube o a través de containers. Pero sí impone una serie de obligaciones de seguridad y cumplimiento de alto nivel que las empresas deben cumplir si utilizan containers o la nube.
Con el fin de ayudar a los equipos a desenvolverse en el complejo panorama de la HIPAA dentro del actual contexto de la computación nativa de la nube, en este artículo explicamos qué es la HIPAA y qué mejores prácticas se recomiendan para garantizar el cumplimiento de la HIPAA en la nube y en entornos de containers.
Como veremos, aunque la ambigüedad de los requisitos técnicos de la HIPAA significa que no hay reglas fijas sobre cómo diseñar y configurar exactamente los entornos de nube y containers, resulta bastante fácil diseñar estrategias de cumplimiento que apliquen las normas de seguridad y privacidad de la HIPAA en la mayoría de los modernos entornos nativos de la nube.
¿Qué es la HIPAA?
La Ley de Portabilidad y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act o HIPAA) es una ley federal estadounidense creada para proteger la privacidad de la información sanitaria sensible. Según esta ley, las empresas están obligadas a proteger la privacidad de los datos personales relacionados con la asistencia sanitaria.
La HIPAA entró en vigor en 1996, pero se ha ampliado varias veces desde entonces mediante la introducción de “reglas” adicionales que establecen obligaciones no incluidas en la ley HIPAA original. Para los equipos de TI y los desarrolladores, la norma más importante de la HIPAA es la Regla de Privacidad, que comenzó a aplicarse en 2003. La Regla de Privacidad define tipos específicos de “Información Personal de Salud” (Personal Health Information o PHI) que las organizaciones deben proteger para cumplir con los requisitos de privacidad de datos de la HIPAA.
La PHI (y la PHI electrónica, o ePHI, el término más utilizado para referirse a la PHI que se almacena digitalmente) incluye datos como los nombres y las direcciones físicas de los pacientes, las direcciones IP, los números de cuenta y (en particular) “cualquier otro número, característica o código de identificación únicos”. Esta última terminología implica que las protecciones de privacidad de la HIPAA se extienden ampliamente para incluir cualquier tipo de datos digitales (como cadenas de agentes de usuario, datos del historial de navegación o entradas de registro) que podrían vincularse a usuarios individuales.
¿A quién se aplica la HIPAA?
Determinar a qué organizaciones se aplica la HIPAA es una cuestión compleja. La HIPAA ha recibido algunas críticas por carecer de una definición precisa de las entidades a las que se aplica y de los tipos de medios (electrónicos, orales o en papel) que están sujetos a la normativa de la HIPAA si tienen que ver con la PHI. La evaluación de la aplicabilidad de la HIPAA es aún más complicada en situaciones que incluyen organizaciones asociadas o proveedores que pueden tener acceso a datos sanitarios que han sido recopilados por una organización diferente.
Debido en parte a esta ambigüedad, una de las mejores prácticas es interpretar que la HIPAA tiene implicaciones muy amplias. Si su empresa almacena o procesa cualquier tipo de datos que puedan interpretarse razonablemente como PHI, lo mejor es que asuma que la HIPAA le es aplicable. Aunque su empresa no pertenezca al sector sanitario, o los datos que recopile o gestione no tengan una finalidad explícitamente relacionada con la asistencia sanitaria, es mejor aplicar la HIPAA que ignorarla y descubrir más tarde que los organismos reguladores le consideran sujeto a la HIPAA y le imponen una multa como resultado de su incumplimiento.
Tenga en cuenta también que, aunque la HIPAA es una ley estadounidense y técnicamente no se aplica a las organizaciones con sede fuera de los Estados Unidos, el gobierno federal establece que la normativa HIPAA se mantienen vigente en situaciones en las que las organizaciones almacenan datos fuera de los Estados Unidos si las organizaciones tienen sede en este país.
¿Cuáles son los costes del incumplimiento de la HIPAA?
Las multas de la HIPAA por incumplimiento varían mucho, desde 100 dólares hasta 50.000 dólares por infracción. La multa máxima anual es de 1,5 millones de dólares, pero los reguladores pueden imponer multas durante varios años.
No son pocas las sanciones por inclumplimiento de la HIPAA que han costado a los infractores grandes cantidades de dinero. Hasta la fecha, la mayor ha sido una multa de 16 millones de dólares, que se impuso a Anthem en 2018.
Mejores prácticas de cumplimiento de la HIPAA para la nube
Recordemos que la HIPAA se introdujo en la década de 1990, y la mayoría de las principales ampliaciones del marco normativo datan de principios de la década de 2000. Por lo tanto, la HIPAA se redactó antes de que se generalizara la computación en la nube y prácticamente no ofrece ninguna orientación técnica específica para el cumplimiento en entornos basados en la nube. El gobierno federal ofrece algunas directrices de alto nivel para garantizar el cumplimiento de la HIPAA en la nube, pero se centran principalmente en cómo interpretar el papel de un proveedor de nube en la gestión de la PHI de la HIPAA en lugar de explicar exactamente cómo configurar y proteger los servicios en la nube para el cumplimiento de la HIPAA.
No obstante, existen diversas prácticas recomendadas para ayudar a las empresas a cumplir con los requisitos de la HIPAA. A continuación presentamos las más importantes para los entornos de nube modernos.
Utilice una nube que cumpla con la HIPAA
En primer lugar, las organizaciones deben asegurarse de utilizar un proveedor de nube pública que cumpla con la HIPAA. En general, todas las principales nubes públicas actuales cumplen con la HIPAA, aunque debe asegurarse de que los servicios específicos de la nube que utiliza también lo hagan.
Cabe esperar que los servicios en la nube más comunes, como las VMs y el almacenamiento, cumplan con la HIPAA. Pero es posible que los servicios más desconocidos, o los que implican arquitecturas híbridas complejas, no cuenten con una garantía de pleno cumplimiento de la HIPAA (sobre todo si la mayor parte de las responsabilidades de seguridad recaen en los clientes, como es el caso de los entornos de nube híbrida).
Sin embargo, independientemente del grado de cumplimiento de la HIPAA por parte de su proveedor de nube, recuerde que los modelos de responsabilidad compartida en la nube dictan que los clientes son responsables de garantizar el cumplimiento de todos los datos o aplicaciones que los clientes desplieguen en la nube. En la mayoría de los casos, los proveedores de nube solo certifican que su infraestructura subyacente en la nube cumple con la HIPAA, pero no garantizan (ni siquiera insinúan) que las workloads que usted decida ejecutar en sus nubes vayan a cumplir automáticamente con la HIPAA.
Elija la región de la nube adecuada
Aunque la HIPAA no prohíbe el almacenamiento de PHI en servidores en la nube ubicados fuera de los Estados Unidos, el gobierno federal ha emitido unas directrices que sugieren que si las empresas deciden almacenar datos en ubicaciones geográficas en las que hay “un aumento documentado de intentos de piratería informática u otros ataques de malware”, deben tomar medidas para hacer frente a estos riesgos.
Estas directrices no especifican qué lugares están sujetos a estos riesgos. Aun así, el enfoque más sencillo para el cumplimiento de la HIPAA es simplemente almacenar los datos en regiones de la nube con sede en los Estados Unidos.
Utilice el control de acceso a la nube
Una mejor práctica fundamental para proteger la PHI en la nube es utilizar marcos de control de acceso a la nube, como las herramientas de IAM de su nube, para restringir qué usuarios y aplicaciones pueden acceder a los datos.
Anonimice la PHI en la nube
La anonimización de datos es otra técnica útil para reducir los riesgos de privacidad de la HIPAA. La anonimización no elimina completamente estos riesgos, ya que los datos que en teoría son anónimos a veces se pueden desanonimizar. Aun así, la anonimización de los datos en la nube mitiga algunos riesgos de la HIPAA.
Utilice la gestión del ciclo de vida de los datos en la nube y el control de versiones
La mayoría de los proveedores de nube ofrecen herramientas de gestión del ciclo de vida de los datos que pueden eliminar automáticamente los datos basándose en las reglas que usted defina. Considere la posibilidad de utilizar la gestión del ciclo de vida para eliminar los datos después de un determinado período de tiempo con el fin de limitar la cantidad de PHI que almacena en la nube.
También puede configurar el control de versiones de los datos en algunos servicios de almacenamiento en la nube. Esto es útil desde el punto de vista del cumplimiento, ya que facilita la recuperación de versiones anteriores de los datos en caso de que la PHI esté dañada por algún motivo.
Cumplimiento de la HIPAA para containers
Si utiliza containers para desplegar aplicaciones, es posible que desee considerar algunas mejores prácticas adicionales para lograr el cumplimiento de la HIPAA.
Escanee las imágenes de containers
El escaneo de imágenes de containers le ayuda a detectar malware y vulnerabilidades en las imágenes de containers que los atacantes podrían utilizar para obtener acceso no autorizado a los datos de PHI que puedan existir en un entorno de containers.
Utilice herramientas RBAC para containers
Las herramientas de IAM en la nube pueden restringir los controles de acceso a los servicios de containers en la nube en general, pero no son tan granulares o extensibles como las herramientas RBAC específicas para containers, como RBAC de Kubernetes y los contextos de seguridad. En el caso de que estén disponibles, utilice estos últimos tipos de recursos para aplicar protecciones de seguridad adicionales a sus entornos en containers.
Registros de auditoría
En los entornos de Kubernetes, los registros de auditoría pueden alertarle de posibles brechas. Los registros de auditoría también le ayudan a demostrar el cumplimiento de los requisitos de seguridad, lo cual puede ser útil para ciertos fines de cumplimiento de la HIPAA. Recopile y analice los datos de los registros de auditoría con regularidad, o mejor aún, de forma continua.
Proteja los datos de los containers
En algunos casos, la PHI en los entornos de containers puede encontrarse en varios lugares. Es posible que esta información se origine en los containers que la recopilan o procesan, pero que luego se traslade a volúmenes de almacenamiento o a los sistemas de archivos del host. También es posible que los datos definidos como PHI terminen en los registros, que a su vez pueden originarse en los containers y luego ser trasladados a una ubicación externa por un agregador de registros.
Esto significa que, especialmente en los entornos de containers, debe conocer las complejidades de su arquitectura de almacenamiento y asegurarse de que la PHI esté encriptada y protegida mediante controles de acceso, independientemente de dónde se almacene. Lo importante es que no proteja la PHI en containers y luego olvide proteger sus volúmenes de datos, o viceversa.
Conclusión
El cumplimiento de la HIPAA es un tema bastante complejo, especialmente en la era de la nube. Los reguladores dejan muchos puntos a la interpretación en lo referente a cómo llevar a la práctica los principios de la HIPAA en entornos nativos de la nube.
Sin embargo, la buena noticia es que la HIPAA lleva en vigor el tiempo suficiente como para que hayan surgido una serie de mejores prácticas para la nube y los containers relacionadas con el cumplimiento de la HIPAA. Aunque los reguladores no especifican exactamente cómo lograr el cumplimiento de la HIPAA en la nube, las mejores prácticas básicas para hacerlo son lo suficientemente claras una vez que se conoce qué tipos de datos protege la HIPAA y cómo gestionar esos datos de la manera más segura en entornos basados en la nube y containers.