¿Cómo aseguro los datos del paciente a bajo costo en el consultorio de un pequeño médico?

6

Soy un solo profesional con 3 estaciones de trabajo y un servidor. ¿Cuál es la mejor manera rentable de proteger mis datos y supongo que los cifrará? El gobierno quiere que evitemos cualquier acceso no seguro a los registros de pacientes. No nos dicen cuánto debemos hacer para hacer esto y, básicamente, nos lo dejan a nosotros. Me imagino que mi mayor debilidad es que alguien me robe la computadora y la piratee. Tengo los programas con doble contraseña pero eso no detiene a un hacker. El siguiente nivel que sospecho es el cifrado, pero lo fácil que es hackear. Los practicantes solteros no podemos pagar una persona de TI como un hospital. Aprecio cualquier comentario. Gracias

    
pregunta Mark Brewer 11.10.2012 - 07:05
fuente

7 respuestas

3

También mencionaré TrueCrypt, ya que es una solución bastante simple (¡y gratis!). O, si usa Mac, use el 'FileVault' incorporado

Más allá del cifrado de archivos, también debe examinar otras áreas que podrían beneficiarse del cifrado, o suponer un riesgo para los datos: * Cifrado de correo electrónico: aquí hay un artículo de lifehacker relevante. También debe consultar las políticas / características de su cliente y proveedor de correo electrónico al respecto. * VPNs para cualquier trabajador remoto; algo como hamachi de logmein o similar. * Copias de seguridad, Dropbox, etc.: revise las políticas y las características de cifrado de cualquier copia de seguridad o programa de sincronización de archivos que utilice también.

Finalmente, sea restrictivo con los permisos de acceso / uso compartido de archivos. Rechace "Todos" de cualquier recurso compartido de Windows y, si es posible, sé que mis usuarios se resisten a esto, asegúrese de que todos los que tengan acceso a esa información tengan una contraseña segura.

Dicho esto, una solución técnica por sí sola no es suficiente; asegúrese de que sus compañeros de trabajo comprendan qué necesita ser protegido y / por qué /. (Algo que no sea 'porque el gobierno nos lo dice'). De esta manera, pueden ayudar a identificar los datos que deberían estar protegidos, pero de alguna manera se perdió su revisión inicial. También es posible que desee que firmen algunas políticas, por si acaso: uso de Internet / correo electrónico y similares: Después de todo, el cifrado no tiene sentido si el atacante conoce la clave, como un empleado descontento o despistado que envía información confidencial / protegida Datos por medios inseguros.

Tenga discusiones similares con cualquier proveedor de servicios que pueda manejar los datos confidenciales. Por ejemplo, para garantizar el cumplimiento de una regulación de privacidad local, enviamos un correo electrónico a nuestro proveedor de copias de seguridad fuera del sitio y le preguntamos: "Oigan, tenemos que ser compatibles con XXX. ¿Ustedes hacen eso?"

Hay otras cosas que me vienen a la mente, pero en este momento soy más un administrador de sistemas que un administrador de segundos (¡no por falta de intentos!), pero no quiero sobrecargarte. (Además, tengo que volver al trabajo).

    
respondido por el phil 11.10.2012 - 17:07
fuente
3

Los hospitales (como en el que trabajo) han utilizado el cifrado del disco duro para evitar la pérdida de datos de ePHI durante varios años. Si se pierde una computadora portátil / computadora / servidor / unidad / etc, pero la HIPAA y HITECH cifradas consideran que los datos están protegidos y, por lo tanto, no están sujetos a la Regla de incumplimiento provisional. Para ser honesto, como proveedor individual asumiré que está utilizando un sistema EMR / EHR alojado (informándome cuál sería útil). Como señaló correctamente, HIPAA y HITECH no estipulan cómo cifrar, sino que dicen QUÉ es necesario cifrar. La respuesta corta es que todos los datos ePHI y NPI (información no pública) deben estar cifrados (la respuesta larga es que debe realizar una evaluación de riesgos y determinar qué cifrar en función del riesgo asociado con la posible pérdida de esos datos).

En resumen, no tiene que encriptar todo si encuentra demasiado / miedo, etc. En mi experiencia con las soluciones ePHI alojadas, todos sus datos ePHI y NPI ya están encriptados y no se almacenan localmente. Eso le dejaría solo con los datos del paciente que está guardando específicamente en su PC y servidor (es). Si esos datos son los horarios de sus empleados, no se moleste con el cifrado. Si es NPI / ePHI, entonces por todos los medios cifrar. Para los sistemas Windows, BitLocker (incluido en Windows 7) le permitirá cifrar los archivos y carpetas que especifique. Que además de la protección de contraseña "doble" que menciona es más que suficiente para satisfacer a un auditor de HIPAA, en caso de que se produzca una llamada. La clave es asegurarse de que tiene pruebas de que sus datos se han cifrado en caso de incurrir en una pérdida de equipos o datos. Para ello, recomendaría una serie simple de capturas de pantalla que muestran que ha cifrado sus datos.

En caso de que sea importante como arquitecto de seguridad de la información para un hospital, este es el consejo que le daría a nuestros médicos clínicos independientes. Podría ofrecer más detalles si tuviera más detalles tuyos.

Espero que esto haya sido útil.

    
respondido por el Alex Zausner 11.10.2012 - 17:43
fuente
2

Creo que TrueCrypt es la mejor opción para usted. Es una aplicación que puede cifrar unidades enteras o contenedores de archivos. Si sus documentos críticos (es decir, datos del paciente) se componen de un directorio de archivos y "no son tan grandes", sugiero un contenedor de archivos. Si sus datos se almacenan solos en otro disco duro, le sugiero que cifre todo el disco.

Lo que haces es simplemente seleccionar la unidad que quieres cifrar, o crear un nuevo contenedor de archivos. Un contenedor de archivos se verá como cualquier otro archivo, pero debe ser tan grande como desee (debe tener espacio para todos sus datos).

Cuando tenga listo su contenedor o unidad, le pedirá una contraseña. Aquí es donde USTED define su grado de seguridad, así que elija sabiamente. Se podría escribir la contraseña si esa contraseña se ALMACENA SEGURAMENTE, es decir, sus clientes no deberían poder localizarlos. De todos modos, ingresará la contraseña para cada sesión a la que desee acceder a los datos. Esto significa que puede iniciar su computadora por la mañana, desbloquear el acceso a los archivos y dejarlo abierto, o bien puede deshabilitar el acceso ("desmontar" en la aplicación). Como esto no parece ser un requisito de seguridad de grado militar, sugiero lo primero, hacer que el sistema sea tan utilizable como lo es hoy.

Por favor, pregunte más si estoy siendo poco claro o demasiado técnico acerca de algo.

RECUERDE A LA COPIA DE SEGURIDAD ANTES DE CIFRAR

Por supuesto, la copia de seguridad debe eliminarse; para esto, puede buscar programas de "eliminación segura", como Secure Shredder incluido con Spybot Search & Destruir (modo avanzado)

Tenga en cuenta que TrueCrypt es gratuito y de código abierto, lo que es realmente genial. Si puede pagarlo, debe donar parte del dinero que ahorró al no ir con un servicio pagado. (No estoy con TrueCrypt;))

    
respondido por el Henning Klevjer 11.10.2012 - 08:18
fuente
2

Puede cifrar su disco duro para evitar que se vean comprometidos los ataques de su máquina, pero no creo que esto sea suficiente para cumplir con los requisitos básicos de HIPPA (en los EE. UU.). También debe proporcionar una forma de auditar todo el acceso a la PHI, y no se habla de si todavía lo hace o no.

Mirar en una pequeña EMR puede hacerte la vida más fácil a largo plazo. Esta solución no solo será más segura (y será más probable que cumpla con las regulaciones gubernamentales de salud), sino que también será más segura para el futuro. ¿Qué sucede si necesita enviar esa PHI a otro proveedor de atención médica? Esto implicaría mucho trabajo para usted porque tendría que descifrar los datos localmente, volver a cifrarlos de una manera en que la organización participante pueda descifrarlos y enviarlos. Y EMR puede simplificar ese flujo de trabajo por usted.

Para aquellos interesados en preguntas como estas, la Healthcare Industry SE sería una Buen recurso en el futuro.

    
respondido por el Oleksi 11.10.2012 - 16:14
fuente
2

Tengo experiencia con Medisoft y Soapware que he implementado en el mismo escenario de oficina que el suyo, excepto que tienen 2 servidores. ¿Qué estás usando para EHR / EMR? Si va a invertir dinero en algo, debe ser la protección de la información de su paciente y la posibilidad de compartirla con farmacias / hospitales / médicos, etc. Las empresas como Soapware ofrecen soluciones en la nube que pueden ofrecerle seguridad con sus datos de paciente. Ya que solo está utilizando el software de cliente en las estaciones de trabajo de su oficina y la base de datos se encuentra en los servidores en la nube de las empresas. El otro beneficio de esto es que cubren todo lo que sale mal, por lo que no necesitaría soporte de TI interno para solucionar los problemas en esta área.

    
respondido por el Darkmatter 11.10.2012 - 17:14
fuente
0

El método más sencillo sería utilizar el cifrado de disco completo AES de 128 bits + buenas contraseñas + tiempos de espera de bloqueo de PC. Esto tiene la ventaja adicional de cifrar todos los archivos temporales y la papelera de reciclaje, por lo que realmente no necesita una destructora de archivos segura.

Una cosa que debes recordar es asegurarte de que los médicos no se lleven los archivos a casa para trabajar, esto ya sucedió en el Reino Unido antes con el NHS y los archivos militares y luego les robaron sus computadoras portátiles .

    
respondido por el Inverted Llama 11.10.2012 - 11:47
fuente
0

Realmente depende de sus requisitos legales, pero sugeriría los siguientes pasos como mínimo:

  • contrate a un profesional: eso probará su debido cuidado, si es necesario
  • cifrar los datos en reposo, incluidas las copias de seguridad
  • cifre los datos en tránsito (es decir, si envía copias de seguridad a un sitio remoto), a menos que envíe archivos ya cifrados.
  • Limitar el número de personas autorizadas para acceder a los datos
  • Asegúrese de tener un registro de auditoría de quién y cuándo accedió a los datos
  • Implementar y mostrar la política de seguridad. Incluso si trabaja solo o con una pequeña cantidad de personal, esto es útil y es otra prueba de su debido cuidado. "Habilite las actualizaciones automáticas de Windows. Siempre tenga una licencia antivirus válida. Apague la computadora al final del día. Cierre todos los cajones. Mantenga limpios todos los escritorios. Use la trituradora de papel. Informe sobre la pérdida de computadoras portátiles y memorias USB".
  • usar cortafuegos. El mejor, como lo menciona Andy Smith, es desconectar las computadoras con datos confidenciales de Internet.
respondido por el lubas 14.10.2012 - 00:01
fuente

Lea otras preguntas en las etiquetas