Contenido
- 2FA por mucho tiempo con la confianza de los reguladores federales
- Estudio: Autenticación de dos factores infrautilizada para HIPAA
- Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
- Se requiere documentación 2FA
- El software 2FA no necesita el cumplimiento de HIPAA
- Objetivo HIPAA: Mitigación continua de riesgos
Fuente: CreativaImages / iStockphoto
Para llevar:
Aunque la autenticación de dos factores no es necesaria para HIPAA, puede ayudar a allanar el camino para el cumplimiento de HIPAA.
El proceso de inicio de sesión tradicional con un nombre de usuario y contraseña es insuficiente en un entorno de datos sanitarios cada vez más hostil. La autenticación de dos factores (2FA) se ha vuelto cada vez más importante. Si bien la tecnología no es obligatoria según HIPAA, HIPAA Journal señaló que es una forma inteligente de ir desde una perspectiva de cumplimiento, en realidad llamando al método "la mejor manera de cumplir con los requisitos de contraseña de HIPAA". (Para obtener más información sobre 2FA, consulte los conceptos básicos de la autenticación de dos factores).
Una cosa interesante acerca de 2FA (a veces expandida en la autenticación de múltiples factores, MFA) es que está en vigencia en muchas organizaciones de atención médica, pero para otras formas de cumplimiento, incluida la Prescripción Electrónica de las Administraciones de Control de Drogas para las Reglas de Sustancias Controladas y la Industria de Tarjetas de Pago Estándar de seguridad de datos (PCI DSS). La primera es las pautas básicas que se utilizarán para prescribir cualquier sustancia controlada electrónicamente, un conjunto de reglas que es paralela a la Regla de Seguridad de HIPAA para abordar específicamente las salvaguardas tecnológicas para proteger la información del paciente. Esta última es en realidad una regulación de la industria de tarjetas de pago que rige cómo se debe proteger cualquier información asociada con los pagos con tarjeta para evitar multas de las principales compañías de tarjetas de crédito.
El Reglamento general de protección de datos de la UE atrae la preocupación con 2FA hacia un enfoque aún mayor en toda la industria, dada su supervisión y multas adicionales (y su aplicabilidad a cualquier organización que maneja datos personales de individuos europeos).
2FA por mucho tiempo con la confianza de los reguladores federales
La autenticación de dos factores ha sido recomendada por la Oficina de Derechos Civiles (OCR) del Departamento de HHS durante muchos años. En 2006, el HHS ya recomendaba 2FA como una mejor práctica para el cumplimiento de HIPAA, nombrándolo como el primer método para abordar el riesgo de robo de contraseñas que, a su vez, podría conducir a la visualización no autorizada de ePHI. En un documento de diciembre de 2006, Guía de seguridad de HIPAA, el HHS sugirió que el riesgo de robo de contraseñas se aborde con dos estrategias clave: 2FA, junto con la implementación de un proceso técnico para la creación de nombres de usuario únicos y la autenticación del acceso remoto de los empleados.
Estudio: Autenticación de dos factores infrautilizada para HIPAA
La Oficina del Coordinador Nacional de Tecnología de Información de Salud (ONC) ha mostrado su preocupación específica con esta tecnología a través de su "ONC Data Brief 32" de noviembre de 2015, que cubrió las tendencias de adopción de 2FA por parte de los hospitales de cuidados agudos de todo el país. El informe fue sobre cuántas de estas instituciones tenían la capacidad para 2FA (es decir, el capacidad para que el usuario lo adopte, en lugar de un requisito para ello). En ese momento, en 2014, ciertamente tenía sentido que los reguladores lo estuvieran presionando, dado que menos de la mitad del grupo de estudio lo había implementado, aunque con números en aumento:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.
● 2013 – 44%
● 2014 – 49%
Ciertamente, 2FA ha sido más ampliamente adoptado desde ese punto, pero no es omnipresente.
Se requiere documentación 2FA
Otro aspecto que es importante tener en cuenta es la necesidad de papeleo, que es fundamental si termina siendo investigado por auditores federales, al tiempo que cumple con los requisitos de análisis de riesgos, siempre que incluya esa discusión. La documentación es necesaria ya que las reglas de contraseña se enumeran como direccionable - significado (por ridículo que parezca) proporcionar un razonamiento documentado para utilizar esta mejor práctica. En otras palabras, no tiene que implementar 2FA, pero debe explicar por qué si lo hace.
El software 2FA no necesita el cumplimiento de HIPAA
Uno de los mayores desafíos con 2FA es que es inherentemente ineficiente ya que agrega un paso a un proceso. Sin embargo, en realidad, la preocupación de que 2FA ralentiza la atención médica se ha disipado, en gran medida, por el aumento de las funciones de inicio de sesión único e integración LDAP para la autenticación integrada entre sistemas de atención médica.
Como se señala en el encabezado, el software 2FA en sí no necesita (con humor, ya que es tan crítico para el cumplimiento) tener que cumplir con HIPAA ya que transmite PIN pero no PHI. Si bien puede elegir alternativas en lugar de la autenticación de dos factores, las principales estrategias divergentes (herramientas de administración de contraseñas y políticas de cambios frecuentes de contraseña) no son una manera tan fácil de cumplir con los requisitos de contraseña de HIPAA. "Efectivamente", señaló el diario HIPAA, "las entidades cubiertas nunca necesitan cambiar una contraseña nuevamente" si implementan 2FA. (Para obtener más información sobre la autenticación, consulte Cómo Big Data puede asegurar la autenticación del usuario).
Objetivo HIPAA: Mitigación continua de riesgos
La importancia de utilizar proveedores de servicios administrados y de alojamiento sólidos y experimentados se subraya por la necesidad de ir más allá de 2FA con una postura de cumplimiento integral. Eso es porque 2FA está lejos de ser infalible; Las formas en que los hackers pueden evitarlo incluyen lo siguiente:
● Malware push-to-accept que golpea a los usuarios con "Aceptar" hasta que finalmente lo presionan frustrados
● Programas de raspado de contraseña de un solo uso por SMS
● Fraude de tarjeta SIM a través de ingeniería social para transferir números de teléfono
● Aprovechar las redes de operadores móviles para la interceptación de voz y SMS
● Esfuerzos que convencen a los usuarios de hacer clic en enlaces falsos o iniciar sesión en sitios de phishing, entregando sus datos de inicio de sesión directamente
Pero no te desesperes. La autenticación de dos factores es solo uno de los métodos que necesita para cumplir con los parámetros de la Regla de seguridad y mantener un ecosistema compatible con HIPAA. Cualquier medida tomada para proteger mejor la información debe verse como una mitigación de riesgos, que refuerza continuamente sus esfuerzos de confidencialidad, disponibilidad e integridad.