Guía de protección de controles de auditoría
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar la Ley de responsabilidad y portabilidad de seguros de salud de 1996 (HIPAA). Para cumplir con HIPAA, implemente las medidas de seguridad mediante esta guía, con otras configuraciones o procesos necesarios.
Para los controles de auditoría:
Establecer la gobernanza de datos para el almacenamiento de datos personales.
Identificar y etiquetar datos confidenciales.
Configure la recopilación de auditorías y los datos de registro seguros.
Configuración de la prevención de la pérdida de datos.
Habilite la protección de la información.
Para la protección:
Determine dónde se almacenan los datos de información médica protegida (PHI).
Identifique y mitigue los riesgos de los datos almacenados.
En este artículo se proporciona el texto de protección HIPAA pertinente, seguido de una tabla con recomendaciones e instrucciones de Microsoft para ayudar a lograr el cumplimiento de HIPAA.
Controles de auditoría
El siguiente contenido es una guía de protección de HIPAA. Busque recomendaciones de Microsoft para cumplir los requisitos de implementación de protección.
Protección HIPAA: controles de auditoría
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| Recomendación | Acción |
|---|---|
| Habilitar Microsoft Purview | Microsoft Purview ayuda a administrar y supervisar los datos proporcionando gobernanza de datos. El uso de Purview ayuda a minimizar los riesgos de cumplimiento y a cumplir los requisitos normativos. Microsoft Purview en el portal de gobernanza proporciona un servicio unificado de gobernanza de datos que le ayuda a administrar los datos locales, multinube y software como servicio (SaaS). Microsoft Purview es un marco, un conjunto de productos que funcionan conjuntamente para proporcionar visualización de la protección del ciclo de vida de datos confidenciales para los datos y la prevención de pérdida de datos. |
| Habilitación de Microsoft Sentinel | Microsoft Sentinel ofrece soluciones de administración de eventos e información de seguridad (SIEM) y de orquestación, automatización y respuesta de seguridad (SOAR). Microsoft Sentinel recopila registros de auditoría y usa inteligencia artificial integrada para ayudar a analizar grandes volúmenes de datos. SIEM permite a una organización detectar incidentes que podrían no detectarse. |
| Configuración de Azure Monitor | El Uso de registros de Azure Monitor recopila y organiza los registros y se expande a entornos híbridos y en la nube. Proporciona recomendaciones sobre las áreas clave sobre cómo proteger los recursos combinados con el Centro de confianza de Azure. |
| Habilitación del registro y la supervisión | El registro y la supervisión son esenciales para proteger un entorno. Los datos admiten investigaciones y ayudan a detectar posibles amenazas mediante la identificación de patrones inusuales. Habilite el registro y la supervisión de los servicios para reducir el riesgo de acceso no autorizado. Se recomienda supervisar los registros de actividad de Microsoft Entra. |
| Entorno de análisis de datos de información sanitaria protegida electrónica (ePHI) | Microsoft Purview se puede habilitar en modo auditoría para examinar qué ePHI se encuentra en el patrimonio de datos y los recursos que se usan para almacenar esos datos. Esta funcionalidad ayuda a establecer la clasificación y el etiquetado de datos en función de la confidencialidad de los datos. |
| Crear una directiva de prevención de pérdida de datos (DLP) | Las políticas de DLP ayudan a establecer procesos para garantizar que los datos confidenciales no se pierdan, se utilicen indebidamente o usuarios no autorizados accedan a ellos. Evita infracciones de datos y filtración. La DLP de Microsoft Purview examina los mensajes de correo electrónico, va al portal de cumplimiento Microsoft Purview para revisar las directivas y personalizarlas para su organización. |
| Habilitar supervisión a través de Azure Policy | Azure Policy ayuda a aplicar estándares organizativos y permite evaluar el estado de cumplimiento en un entorno. Este enfoque garantiza la coherencia, el cumplimiento normativo y la supervisión, proporcionando recomendaciones de seguridad a través de Microsoft Defender for Cloud |
| Evaluar los requisitos de administración de dispositivos | Microsoft Intune se puede usar para proporcionar administración de dispositivos móviles (MDM) y administración de aplicaciones móviles (MAM). Microsoft Intune proporciona control sobre dispositivos personales y de empresa. Las funcionalidades incluyen la administración de cómo se pueden usar los dispositivos y la aplicación de directivas que proporcionan control directo sobre las aplicaciones móviles. |
| Protección de las aplicaciones | Microsoft Intune puede ayudar a establecer un marco de protección de datos que abarque las aplicaciones de Office de Microsoft 365 e incorporarlas en todos los dispositivos. Las directivas de protección de aplicaciones garantizan que los datos de la organización permanezcan seguros y contenidos en la aplicación tanto en dispositivos personales (BYOD) como en dispositivos corporativos. |
| Configurar administración de riesgos internos | Insider Risk Management de Microsoft Purview correlaciona las señales para identificar posibles riesgos internos malintencionados o accidentales, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos le permite crear directivas para administrar la seguridad y el cumplimiento. Esta funcionalidad se basa en el principio de privacidad por diseño, los usuarios se seudonimizan de forma predeterminada y los controles de acceso basados en roles y los registros de auditoría están implementados para ayudar a garantizar la privacidad de nivel de usuario. |
| Configuración de cumplimiento de comunicación | El Cumplimiento de comunicación de Microsoft Purview proporciona las herramientas para ayudar a las organizaciones a detectar el cumplimiento normativo, como el cumplimiento de los estándares de la Comisión de Valores y Bolsa (SEC) o de la Autoridad Reguladora de la Industria Financiera (FINRA). La herramienta supervisa las infracciones de conducta empresarial, como información sensible o confidencial, lenguaje acosador o amenazante, y el uso compartido de contenido para adultos. Esta funcionalidad se crea con privacidad por diseño. Los nombres de usuario se convierten en pseudónimos de forma predeterminada, se incorporan controles de acceso basados en roles, los investigadores deben ser autorizados por un administrador y existen registros de auditoría para ayudar a garantizar la privacidad de los usuarios. |
Controles de protección
El siguiente contenido proporciona la guía de controles de protección de HIPAA. Busque recomendaciones de Microsoft para cumplir HIPAA.
HIPAA: protección
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| Recomendación | Acción |
|---|---|
| Análisis del entorno para datos ePHI | Microsoft Purview se puede habilitar en modo auditoría para examinar qué ePHI se encuentra en el conjunto de datos y los recursos que se usan para almacenar esos datos. Esta información ayuda a establecer la clasificación de datos y etiquetar la confidencialidad de los datos. Además, el uso del Explorador de contenido proporciona visibilidad sobre dónde se encuentran los datos confidenciales. Esta información ayuda a iniciar el recorrido de etiquetado para aplicar manualmente recomendaciones de etiquetado o etiquetado en el lado cliente al etiquetado automático del lado del servicio. |
| Habilitar Priva para proteger los datos de Microsoft 365 | Microsoft Priva evaluar los datos ePHI almacenados en Microsoft 365, el examen y la evaluación de información confidencial. |
| Habilitar prueba comparativa de seguridad de Azure | La Prueba comparativa de seguridad en la nube de Microsoft proporciona control para la protección de datos en todos los servicios de Azure y proporciona una línea base para la implementación de servicios que almacenan ePHI. El modo auditoría proporciona esas recomendaciones y pasos de corrección para proteger el entorno. |
| Habilitar administración de vulnerabilidades de Defender | La Administración de vulnerabilidades de Microsoft Defender es un módulo integrado en Microsoft Defender para punto de conexión. El módulo le ayuda a identificar y detectar vulnerabilidades y configuraciones incorrectas en tiempo real. El módulo también le ayuda a priorizar la presentación de los resultados en un panel y los informes entre dispositivos, máquinas virtuales y bases de datos. |