Política y requisitos de contraseña de HIPAA

¿Qué es la HIPAA?

La Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) fue aprobada por el Congreso de EE.UU. en 1996 para promulgar procedimientos que garanticen la confidencialidad, integridad y disponibilidad de la información de salud protegida que se almacena en dispositivos electrónicos (ePHI). Cualquier organización que cree, reciba, mantenga, almacene, transmita o interactúe con ePHI debe cumplir la HIPAA.

El objetivo de la HIPAA es proteger los historiales médicos y demás información personal de salud y de pago de las personas contra el acceso no autorizado, el robo o la pérdida. Los mandatos de la HIPAA son aplicables a todas las instituciones de salud, compañías y entidades empresariales que manejan ePHI.

¿Por qué la HIPAA incluye requisitos de contraseña?

La contraseña, que es el medio básico de seguridad de la información digital, se utiliza normalmente en las empresas para salvaguardar la ePHI. La HIPAA aborda los requisitos de contraseña como parte de su normativa para indicar el nivel de seguridad que las organizaciones deben practicar para proteger la ePHI de posibles amenazas. Sin mandatos unificados sobre contraseñas, las compañías seguirían normas diferentes para proteger su ePHI. Esto podría poner algunos datos en mayor riesgo que otros.

¿Cuáles son los requisitos de la HIPAA en materia de contraseñas?

La sección § 164.308(a)(5)(ii)(D) de la HIPAA obliga a los administradores a hacer cumplir:

Procedimientos para crear, cambiar y salvaguardar contraseñas [Gestión de contraseñas (requisito abordable)].

Esta norma de seguridad de la HIPAA siempre ha sido un punto de debate, ya que no da detalles específicos sobre la complejidad de las contraseñas y considera que la gestión de contraseñas es "abordable". Se cree que esta descripción tecnológicamente neutra de la gestión de contraseñas pretende ser flexible, ya que las mejores prácticas de seguridad siguen evolucionando con el tiempo. Muchas organizaciones de salud utilizan las contraseñas como primera y, a veces, única línea de defensa contra los ataques cibernéticos.

En particular, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) recurre al Instituto Nacional de Estándares y Tecnología (NIST) para obtener orientación. Por ende, es prudente que otras organizaciones de salud hagan lo mismo. Una contraseña conforme a NIST debería:

1. Incluir caracteres ASCII (Código Estándar Estadounidense para el Intercambio de Información).
2. Tener un mínimo de 8 y un máximo de 64 caracteres.
3. No ser fácil de adivinar como "Contraseña@123" o fácil de comprometer desde sitios de acaparamiento de datos. Obtenga más información sobre contraseñas comprometidas.
4. No ser idénticas a las diez contraseñas anteriores.
5. No pedir a los usuarios ayuda de sugerencias de contraseña.
6. Incluir otros métodos de autenticación y no ser el único factor de protección de la ePHI.
7. Restablecerse solo si está en peligro o se ha olvidado.

Haga que su organización cumpla la HIPAA con ADSelfService Plus

ADSelfService Plus ofrece ajustes avanzados de política de contraseñas y MFA que ayudan a su empresa a cumplir todos los requisitos anteriores. Usted puede crear una política de contraseñas personalizada que cumpla los requisitos de la HIPAA y aplicarla a todos los usuarios de AD o a usuarios específicos en función de su dominio, OU o pertenencia a un grupo. A continuación se indican algunos de los ajustes que ofrece ADSelfService Plus:

1. Prohíba las contraseñas débiles: ponga en la lista negra las contraseñas, patrones y palíndromos de AD filtrados o débiles.
2. Establezca una longitud de contraseña personalizada: aplique contraseñas más largas especificando la longitud mínima de la contraseña.
3. Aplique el historial de contraseñas: garantice la seguridad de las contraseñas aplicando reglas de historial de contraseñas durante los restablecimientos de contraseñas nativas en la consola de Usuarios y Equipos de Active Directory (ADUC).
4. Exija MFA para los usuarios: proteja el acceso de los usuarios a la ePHI habilitando MFA para equipos, aplicaciones, VPN, RDP y OWA. Elija entre una gama de 19 autenticadores MFA diferentes para verificar la identidad de los usuarios.

Ventajas de utilizar ADSelfService Plus para cumplir las exigencias de la HIPAA

1. Mayor seguridad de las contraseñas: aplique frases de contraseña y restrinja los caracteres repetidos consecutivamente y los tipos de caracteres comunes de las contraseñas. Active el medidor de seguridad de contraseñas para ofrecer a los usuarios información visual instantánea sobre la seguridad de sus contraseñas de AD cuando las cambien o restablezcan.
2. Flexibilidad detallada: cree diferentes políticas de contraseñas para los distintos tipos de usuarios de la compañía en función de su rol y nivel de acceso a datos sensibles.
3. Cumplimiento de las normas reguladoras: asegúrese de que su empresa cumple no solo con los estándares de la HIPAA sino también con NIST SP 800-63B, el PCI DSS, Essential Eight, CJIS, SOX, y los mandatos de cumplimiento del GDPR.