Content
- 2FA Llarga confiança dels reguladors federals
- Estudi: Autenticació de dos factors infrautilitzada per a la HIPAA
- Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
- És necessària la documentació 2FA
- El programari 2FA no necessita per si mateix el compliment HIPAA
- Objectiu HIPAA: Mitigació de riscos en curs
Font: CreativaImages / iStockphoto
Emportar:
Tot i que no es necessita l’autenticació de dos factors per a l’HIPAA, pot ajudar a obrir el camí cap al compliment de l’HIPAA.
El procés d’inici de sessió tradicional amb nom d’usuari i contrasenya és insuficient en un entorn de dades assistencials cada cop més hostil. L’autenticació de dos factors (2FA) ha esdevingut cada cop més important. Si bé la tecnologia no és obligatòria en virtut de HIPAA, HIPAA Journal va assenyalar que és una manera intel·ligent de passar des d’una perspectiva de compliment, en realitat anomenant el mètode "la millor manera de complir els requisits de contrasenya HIPAA". (Per obtenir més informació sobre 2FA, vegeu Els fonaments bàsics de l'autenticació de dos factors.)
Una cosa interessant sobre el 2FA (de vegades ampliat en autenticació de múltiples factors, MFA) és que està en el seu lloc a moltes organitzacions sanitàries, però per a altres formes de compliment, inclosa la prescripció electrònica de les administracions de control de les drogues per a les regles de substàncies controlades i la indústria de les targetes de pagament. Estàndard de seguretat de dades (PCI DSS). La primera són les directrius bàsiques que s’han d’utilitzar en la prescripció electrònica de qualsevol substància controlada - un conjunt de regles paral·leles a la Regla de seguretat de l’HIPAA per abordar específicament les garanties tecnològiques per protegir la informació del pacient. Aquest últim és en realitat un reglament de la indústria de targetes de pagament que regula com s’han de protegir les dades associades als pagaments amb targeta per evitar multes de les principals empreses de targetes de crèdit.
El Reglament general de protecció de dades de la UE centra la preocupació amb 2FA en un focus encara més gran a tota la indústria, atesa la seva supervisió i multes addicionals (i la seva aplicabilitat a qualsevol organització que gestiona les dades personals europees).
2FA Llarga confiança dels reguladors federals
L’autenticació de dos factors ha recomanat l’Oficina per als Drets Civils (OCR) durant molts anys. El 2006, la HHS ja recomanava 2FA com a pràctica òptima per al compliment de la HIPAA, anomenant-la com el primer mètode per abordar el risc de robatori de contrasenya que, al seu torn, podria conduir a la visualització no autoritzada de l'PHI. En un document de desembre de 2006, HIPAA Security Guidance, HHS va suggerir que el risc de robatori de contrasenyes s’abordés amb dues estratègies clau: 2FA, juntament amb la implementació d’un procés tècnic per a la creació de noms d’usuari únics i autenticació d’accés remot dels empleats.
Estudi: Autenticació de dos factors infrautilitzada per a la HIPAA
L’Oficina de la Coordinadora Nacional de Tecnologies de la Informació de la Salut (ONC) ha mostrat la seva preocupació específica amb aquesta tecnologia a través del seu document “ONC Data Brief 32” de novembre de 2015, que cobria les tendències d’adopció de 2FA per part d’hospitals d’atenció aguda de tot el país. L'informe es va referir a quantes d'aquestes institucions tenien la capacitat de tenir 2FA (és a dir, la capacitat que l’usuari l’adopti, en contraposició a a requisit per això). En aquest moment, el 2014, sens dubte tenia sentit que els reguladors l’empentaven, atès que menys de la meitat del grup d’estudi l’havien implementat, tot i que els números augmentaven:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.
● 2013 – 44%
● 2014 – 49%
Certament, el 2FA ha estat més àmpliament adoptat des d'aquest moment, però no és omnipresent.
És necessària la documentació 2FA
Un altre aspecte que és important tenir en compte és la necessitat de la paperassa, que és fonamental si acabes sent investigat pels auditors federals, alhora que compleixes els requisits d’anàlisi de riscos, sempre que inclogui aquesta discussió. La documentació és necessària ja que les regles de contrasenya es mostren com a adreçable - significat (per ridícul que sembli) proporcionar raonaments documentats per utilitzar aquesta millor pràctica. En altres paraules, no heu d’implementar 2FA, però heu d’explicar per què si ho feu.
El programari 2FA no necessita per si mateix el compliment HIPAA
Un dels majors reptes de 2FA és que és inherentment ineficient ja que va afegir un pas a un procés. En realitat, però, la preocupació perquè la FAA alenteixi la salut s'ha reduït, en gran mesura, per l'increment de les funcions d'inscripció única i d'integració LDAP per a l'autenticació integrada entre els sistemes sanitaris.
Tal com s’observa a la capçalera, el propi programari 2FA no (prou d’humor, ja que és tan crític amb el compliment) no ha de ser compatible amb HIPAA, ja que transmet PIN, però no PHI. Si bé podeu triar alternatives en lloc de l’autenticació de dos factors, les estratègies divergents principals (eines de gestió de contrasenyes i polítiques de canvis freqüents de contrasenya) no són una forma tan fàcil de complir amb els requisits de contrasenya HIPAA. "Efectivament", va assenyalar el diari HIPAA, "les entitats cobertes mai no necessitarien tornar a canviar una contrasenya" si implementen 2FA. (Per obtenir més informació sobre l’autenticació, consulteu quines dades grans poden protegir l’autenticació d’usuari.)
Objectiu HIPAA: Mitigació de riscos en curs
La importància d’utilitzar proveïdors de serveis d’allotjament i administració forts i experimentats és ressaltada per la necessitat d’anar més enllà del 2FA amb una postura completa i conforme. Això és perquè 2FA està lluny de ser infal·lible; les maneres com els pirates informàtics poden evitar-ho inclouen les següents:
● Programar programari maliciós que permeti acceptar els usuaris amb “Acceptar” fins que finalment el faci clic en frustració
● Programes de raspallament de contrasenyes d’una sola vegada per SMS
● Frau a la targeta SIM mitjançant enginyeria social a números de telèfon de port
● Aprofitar les xarxes de transportistes mòbils per a la intercepció de veu i SMS
● Els esforços per convèncer els usuaris que facin clic en enllaços falsos o que inicien una sessió en llocs de pesca: es lliuren directament les dades de sessió
Però no desespereu L'autenticació de dos factors és només un dels mètodes que necessiteu per complir els paràmetres de la regla de seguretat i mantenir un ecosistema compatible amb el sistema HIPAA. Qualsevol mesura que es faci per protegir millor la informació hauria de ser considerada com mitigació del risc, reforçant contínuament els vostres esforços de confidencialitat, disponibilitat i integritat.