El departamento de Saludo y Asistencia Social (DHSS, por sus siglas en inglés) del estado de Alaska, en Estados Unidos, ha acordado pagar una multa federal de 1.7 millones de dólares para liquidar posibles violaciones del Acto de Portabilidad y Responsabilidad en Seguros Médicos (HIPPA, ibid.) de 1996 .

Como parte de su acuerdo con el Departamento de Salud y Servicios Humanos (HHS, ibid.) de los Estados Unidos, el DHSS de Alaska ha también acordado la revisión, corrección y actualización de políticas y procedimientos que buscan mantener a la agencia en cumplimiento.

"Las entidades cubiertas deben realizar un análisis de riesgo completo y a detalle, y tener operando controles de acceso que salvaguarden significativamente los equipos," dijo Leon Rodriguez, director de la Oficina para Derechos Civiles (OCR, ibid.) de la HHS, en una declaración. "Esta es la primera vez que se aplican acciones de cumplimiento de HIPPA contra una agencia estatal, y esperamos que las organizaciones cumplan con sus obligaciones bajo estas reglas, independientemente de si son entidades públicas o privadas."

La oficina de Rodriguez comenzó su investigación después de que se recibió un reporte de incumplimiento enviado por el propio DHSS de Alaska. Los primeros reportes indicaban que un dispositivo USB, que posiblemente contenía información médica confidencial, fue robado del vehículo de un empleado del DHSS. Durante la investigación, la OCR encontró que la agencia estatal no contaba con los procedimientos adecuados implantados para asegurar la información, y que no había completado su análisis de riesgos, implementado administración de riesgos, o completado ningún entrenamiento de seguridad para su personal. Tampoco había implementado controles sobre dispositivos y medios extraíbles, ni cifrado sobre los mismos como lo requiere HIPPA, de acuerdo al HHS.

Como parte del acuerdo, habrá un agente "monitor" que reportará regularmente a la OCR sobre los esfuerzos continuos de cumplimiento del estado.

"Las buenas noticias son que no ha habido fraude reportado en relación a la desaparición de este disco, y esta es una oportunidad para el HHS de descubrir la falta de cumplimiento antes de que otro incidente ocurra," escribió en su blog Chester Wisniewski, Asesor de Seguridad para Sophos Canadá.

"Para cualquier tipo de información confidencial que su organización almanece, la mejor manera de asegurarse de que no sea robada, se filtre a intrusos o accidentalmente sea descubierta de una vieja memoria USB es protegerla desde el principio," añadió. "En vez de preocuparse si algo esta en un dispositivo móvil o removible, cífrelo de cualquier manera. Base sus decisiones en lo que la información es, en vez de en dónde se encuentra."