Requisitos de contraseña de HIPAA

La industria de la salud enfrenta una gran cantidad de serios riesgos de ciberseguridad. De hecho, 2021 vio un número récord de violaciones importantes de datos de salud en EE. UU. — el portal de notificación de brechas del Departamento de Salud y Servicios Humanos de EE. UU. lista al menos 713 incidentes que afectan a 45.7 millones de individuos.

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) está diseñada para ayudar a las organizaciones de atención médica a reducir los riesgos para la seguridad y privacidad de la información electrónica de salud personal (ePHI). En particular, la Norma de Seguridad HIPAA incluye requisitos de contraseñas para ayudar a las organizaciones a minimizar el riesgo de data breach. Este artículo explica esos requisitos de contraseñas y proporciona las mejores prácticas para implementarlos.

¿Quién necesita cumplir con HIPAA?

HIPAA se aplica a ambos tipos de organizaciones siguientes:

• Entidades cubiertas — Este grupo incluye proveedores de atención médica, planes de salud, centros de compensación de atención médica y empleadores que tienen acceso a información de salud con fines de seguro
• Asociados comerciales — Este grupo incluye organizaciones que manejan o almacenan registros físicos de pacientes o ePHI, por ejemplo, compañías de seguros y facturación médica, bufetes de abogados que manejan casos médicos, fabricantes de dispositivos médicos y mensajeros médicos. También incluye proveedores de software y servicios en la nube que tratan con ePHI.

Identificar si su organización está sujeta a HIPAA es muy importante porque las penalizaciones por no cumplir con la regulación pueden variar desde $100 hasta $50,000 por violación o registro, hasta una penalidad máxima de $1.5 millones por año por cada violación. Además, las infracciones intencionales de los requisitos reglamentarios de HIPAA pueden conllevar hasta 10 años de prisión.

¿Por qué HIPAA incluye requisitos de contraseña?

HIPAA incluye requisitos relacionados con las contraseñas por una buena razón: las contraseñas son las llaves de tu ePHI, y una password policy conforme a HIPAA puede ayudarte a prevenir inicios de sesión y accesos a datos no autorizados.
De hecho, los atacantes han desarrollado una amplia variedad de técnicas para robar o descifrar contraseñas, que incluyen:

• Ataques de fuerza bruta— Los hackers ejecutan programas que prueban diversas combinaciones de ID de usuario/contraseña potenciales hasta que dan con la correcta.
• Ataques de diccionario— Esta es una forma de ataque de fuerza bruta que utiliza palabras encontradas en un diccionario como posibles contraseñas.
• Ataques de password spraying — Este es otro tipo de ataque de fuerza bruta que se dirige a una sola cuenta, probando múltiples contraseñas para intentar obtener acceso.
• Ataques de relleno de credenciales — Estos ataques se dirigen a personas que utilizan las mismas contraseñas en diferentes sistemas y sitios web.
• Spidering — Los hackers recopilan información sobre una persona y luego prueban contraseñas creadas con esos datos.

¿Cuáles son los requisitos de contraseña de HIPAA?

Las contraseñas están cubiertas en las salvaguardias administrativas de la Regla de Seguridad HIPAA. Específicamente, §164.308(5D) indica que las organizaciones deben implementar “procedimientos para la creación, cambio y protección de contraseñas.” Una salvaguardia técnica relacionada (§164.312(d)) estipula que las entidades cubiertas deben tener procesos en lugar para verificar la identidad de una persona que busca acceso a la información de salud electrónica.

Esta ambigüedad sobre los requisitos de contraseña es intencional — HIPAA está diseñada para ser neutral en cuanto a tecnología y para reconocer que las mejores prácticas de seguridad evolucionan con el tiempo para mejorar la resiliencia contra las técnicas de ataque conocidas.

Entonces, ¿cómo puede mi organización cumplir con las normativas?

La mejor manera de garantizar el cumplimiento de las contraseñas de HIPAA es construir su política y procedimientos de contraseñas utilizando un marco apropiado y respetado. Una excelente opción es Special Publication 800-63B del Instituto Nacional de Estándares y Tecnología (NIST). Las pautas que proporciona son útiles para cualquier empresa que busque mejorar la ciberseguridad, incluidas las entidades cubiertas por HIPAA y los asociados comerciales.

Las pautas básicas de NIST para contraseñas cubren lo siguiente:

• Longitud — Las contraseñas deben tener entre 8 y 64 caracteres.
• Construcción — Se recomiendan frases de paso largas, pero no deben coincidir con palabras del diccionario.
• Tipos de caracteres — Las organizaciones pueden permitir letras mayúsculas y minúsculas, números, símbolos únicos e incluso emoticonos, pero NO deberían requerir una mezcla de diferentes tipos de caracteres.
• Autenticación multifactor — El acceso a información personal como ePHI debería requerir autenticación multifactor, como una contraseña más una huella digital o PIN de un dispositivo externo.
• Restablecer — Una contraseña solo debe requerirse que se restablezca si ha sido comprometida o olvidada.

¿Qué mejores prácticas ayudan a mantener las contraseñas seguras?

Aquí hay cinco estrategias que pueden marcar una diferencia medible en la seguridad de sus contraseñas:

• Aumente la longitud de sus contraseñas. Las contraseñas cortas son extremadamente fáciles de descifrar, pero las contraseñas muy largas son difíciles de recordar. El punto óptimo, según NIST, está entre 8 y 64 caracteres.
• Permita a los usuarios copiar y pegar sus contraseñas desde servicios de gestión de contraseñas encriptados. De esta manera, pueden elegir contraseñas largas y más fuertes sin la molestia de tener que teclearlas o el temor a olvidarlas. Esta mejor práctica también ayuda a prevenir brechas de seguridad causadas por empleados que reutilizan contraseñas o las anotan donde otros podrían verlas.
• No permita pistas de contraseña. Las pistas a menudo hacen que sea notablemente fácil adivinar la contraseña del usuario — en algunos casos, ¡los empleados usarán la propia contraseña como pista!
• Permita que las contraseñas contengan espacios, otros caracteres especiales e incluso emojis. Esto añade otra capa de complejidad que ayuda a derrotar los ataques comunes de contraseñas.
• Evalúe las contraseñas propuestas utilizando listas de contraseñas comunes y previamente comprometidas. Puede externalizar esta tarea a seguridad

¿Cómo puede ayudar Netwrix?

Netwrix ofrece varias soluciones diseñadas específicamente para agilizar y fortalecer la gestión de contraseñas:

• Netwrix Password Policy Enforcer facilita la creación de políticas de contraseñas fuertes y flexibles que mejoran la seguridad sin perjudicar la productividad de los usuarios o sobrecargar a los equipos de asistencia técnica y TI.
• Netwrix Password Reset permite a los usuarios desbloquear sus propias cuentas de forma segura y restablecer o cambiar sus propias contraseñas, directamente desde su navegador web. Esta funcionalidad de autoservicio reduce drásticamente la frustración del usuario y las pérdidas de productividad, al mismo tiempo que reduce significativamente el volumen de llamadas al servicio de asistencia.

Netwrix also provides more comprehensive solutions for HIPAA compliance. They empower you to:

• Realice evaluaciones de riesgo de TI regulares para reducir su superficie de ataque.
• Comprenda exactamente dónde se encuentra su información sensible para que pueda priorizar sus esfuerzos de protección.
• Audite la actividad en sus sistemas locales y basados en la nube, y detecte e investigue amenazas a tiempo para prevenir la violación de datoses.
• Reduzca el tiempo y esfuerzo requeridos para prepararse para las verificaciones de HIPAA compliance y responda fácilmente a las preguntas de los auditores en el momento.

FAQ

¿Cuáles son los requisitos mínimos de contraseña de HIPAA?

Los HIPAA password requirements establecen que las organizaciones cubiertas deben implementar “procedimientos para crear, cambiar y proteger contraseñas”. No existen requisitos específicos sobre la longitud, complejidad o cifrado de las contraseñas. Para garantizar el cumplimiento, considera crear una política de contraseñas seguras utilizando un marco de seguridad reconocido como NIST.

¿Cuáles son las mejores recomendaciones para contraseñas de HIPAA?

Las mejores prácticas actuales de contraseñas se detallan en NIST Special Publication 800-63B. Esta publicación gratuita incluye orientación sobre la longitud de la contraseña, composición, tipos de caracteres, requisitos de restablecimiento y autenticación multifactor.

¿Con qué frecuencia exige HIPAA que se cambien las contraseñas?

No existen requisitos específicos de cambio de contraseña de HIPAA. Las pautas de NIST recomiendan exigir que las contraseñas se cambien solo si están comprometidas. Hoy en día, los expertos reconocen que exigir cambios frecuentes de contraseña a menudo en realidad aumenta los problemas de seguridad porque los usuarios recurren a estrategias como anotar sus contraseñas o simplemente incrementar un número al final de la contraseña, dejando su cuenta vulnerable a ciberataques.

¿HIPAA requiere autenticación multifactor (MFA)?

HIPAA no proporciona ese nivel de detalle. Sin embargo, marcos de mejores prácticas como NIST recomiendan la autenticación multifactor para proteger datos sensibles y regulados en correos electrónicos, bases de datos y otros sistemas. Implementar MFA según lo descrito por NIST puede reducir drásticamente el riesgo de multas a una organización por incumplimiento de HIPAA.

¿Existen requisitos de bloqueo de cuenta en HIPAA?

HIPAA no proporciona ese nivel de detalle. Sin embargo, una política de contraseñas conforme a HIPAA implicaría el bloqueo después de cierto número de intentos fallidos de inicio de sesión para contrarrestar los ataques de adivinación de contraseñas. Permitir que los usuarios desbloqueen sus propias cuentas mediante una self-service password management solution segura puede permitirte establecer un umbral bajo para intentos fallidos de inicio de sesión para fortalecer la seguridad sin aumentar el volumen de llamadas al servicio de asistencia.