Seguridad

Cómo configurar G Suite para el cumplimiento de HIPAA

Puede usar G Suite y cumplir con HIPAA, pero deberá dedicar algún tiempo a configurar los ajustes de la consola de administración.

hipaagsuite

Si está en el sector de la salud y quiere usar servicios en la nube, está bien.Esta es una versión abreviada del Departamento de Salud y Servicios Humanos de los EE. UU. (HHS) Pautas de HIPAA y computación en la nube.

La versión más larga y detallada es que una organización que necesita cumplir con HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos) puede optar por utilizar un CSP (Proveedor de Servicios en la Nube) para almacenar ePHI (Información de Salud Electrónica Protegida) siempre que la organización y el CSP Firma el BAA (Acuerdo de Asociación Comercial). Esta es una buena noticia para las organizaciones de atención médica que adoptaron Google Apps en 2013, cuando Google se ofreció por primera vez a firmar el BAA.

Por supuesto, su organización no puede simplemente registrarse en G Suite, registrarse G Suite HIPAA BAAe invoque la finalización del cumplimiento de HIPAA. Su administrador de G Suite aún debe seguir varios pasos para proteger su configuración.Como establece el documento del HHS, «… algunos controles de acceso, como la autenticación o la identificación única del usuario, pueden ser responsabilidad del cliente, mientras que otros, como el cifrado, pueden ser responsabilidad del CSP. [cloud services provider] socio de negocios. » Google es responsable, y tú también.

LEER  Por qué la computación en la nube ayudará a impulsar el mercado de seguridad de punto final a $ 27.8 mil millones para 2025

Debe personalizar la configuración de G Suite para cumplir con HIPAA. Asegúrese de leer la guía de implementación de Google, Cumplimiento de HIPAA y protección de datos con Google Apps, para ayudarle a elegir la configuración adecuada. En mi experiencia, las siguientes decisiones y configuraciones a menudo se pasan por alto.

1. Identifique quién en la organización está manejando la PHI

En una gran organización de atención médica, es posible que haya hecho esto como parte de un proceso anterior de gestión de riesgos o HIPAA. Pero debe pensar detenidamente en la pregunta: «¿Quién tiene acceso a la PHI?» En una oficina de práctica única o pequeña, podrían ser todos los miembros de la organización.

Consulte: Plan de comunicaciones de TI: aumentar la conciencia de seguridad con correos electrónicos regulares (Tech Pro Research)

2. Decida si necesita crear una unidad organizativa para el cumplimiento de HIPAA

G Suite le permite inhabilitar servicios para grupos de personas en función de las unidades organizativas. Por ejemplo, puede optar por «activar» el acceso a Blogger solo para las personas que no administran la PHI.Para esto lo harás Crear una unidad organizativa– diga, «usuario no PHI» – luego Pon a todos en esa unidad Quién no tiene acceso a la PHI. (Nota: si todos manejan PHI, es posible que no necesite una unidad organizativa para fines de cumplimiento de HIPAA).

a add

3. Ver todos los demás servicios de Google

Inicie sesión en su consola de administración de G Suite (https://admin.google.com), vaya a Aplicaciones, luego vaya a otros servicios de Google. Para modificar la configuración del servicio, seleccione el menú vertical de tres puntos a la derecha, luego seleccione Desactivado, Activado para algunas organizaciones o Activado para todos.

  • Seleccione Desactivado para los servicios que nadie en su organización necesita.
  • Para los servicios que desea brindar solo a aquellos que no manejan PHI, seleccione Habilitar para algunas organizaciones y luego seleccione la unidad (o unidades) organizacionales que creó que no manejan PHI.
  • Para permitir que todos accedan al servicio, seleccione Habilitar para todos.

bapps

4. Revise algunas aplicaciones principales de G Suite

Piense detenidamente en los contactos, los grupos y las conversaciones o los lugares de reunión. Google no permite que las personas usen PHI en ninguno de estos servicios. Puede optar por habilitar estos servicios siempre que las personas no usen PHI en ellos. Asegúrese de comunicar y confirmar que todos entiendan que la PHI nunca está permitida en ninguna de estas aplicaciones. (Nota: Google+ se ha convertido recientemente en una aplicación principal. Tiendo a pensar en ella como Contactos, Grupos y Conversaciones/Hangouts. Si su organización no la usa, deshabilítela. Si usa Google+, asegúrese de mantenerla Cualquiera sale PHI.)

5. Configure los ajustes del servicio principal

A continuación, revise y configure los siguientes ajustes administrativos para cada una de las aplicaciones principales (en > Aplicaciones > G Suite > luego seleccione Aplicaciones):

  • calendario
  • Drive y Documentos
  • Correo
  • sitio web

Consulta la de Google Pautas de implementación de HIPAARecomienda configuraciones específicas para revisar para proteger los datos de su organización. Muchas configuraciones determinan las opciones de uso compartido y visibilidad predeterminadas para archivos, archivos adjuntos, páginas del sitio y calendarios y eventos de calendario.

Consulte: Creación de un plan de evaluación de riesgos de TI para pymes (Tech Pro Research)

6. Protege tu dispositivo

La guía del HHS establece que puede acceder a los datos de CSP desde un dispositivo móvil, «… siempre que existan las medidas de seguridad físicas, administrativas y técnicas apropiadas para proteger la confidencialidad, integridad y disponibilidad de ePHI en dispositivos móviles y en la nube, y proporcionados por proveedores de servicios de terceros han establecido BAA apropiados para dispositivos y/o nubes que pueden acceder a e-PHI». El documento enlaza con una página Varias pautas estándar de seguridad móvil.

En la práctica, esto significa que también puede usar las herramientas de G Suite Administre y asegure sus dispositivos móviles, además. Te sugiero:

Por supuesto, el objetivo de todo esto es hacer lo que sea necesario para proteger la PHI. A diferencia de hace unos años, utilizar un proveedor de servicios en la nube para almacenar datos confidenciales ya no es una novedad.

¿Qué piensas?

¿Qué personalizaciones, cambios o adiciones ha realizado en G Suite para el cumplimiento de HIPAA?

LEER  Cómo transferir LastPass a Bitwarden

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba