Asegurarse de que su contraseña sea segura, a la vez que memorable, puede suponer un verdadero y estresante desafío. Sin embargo, ceñirse a las prácticas recomendadas
La Ley de portabilidad y responsabilidad de los seguros médicos (HIPAA, por sus siglas en inglés) es una legislación estadounidense creada para establecer los estándares nacionales de privacidad y seguridad con el fin de proteger la privacidad de la información sanitaria de los pacientes y evitar las violaciones de datos. Todas las organizaciones asociadas a la atención sanitaria, como las compañías de seguros de salud y las empresas asociadas, se rigen por la normativa de la HIPAA, lo que significa que deben cumplir con los requisitos de cumplimiento de la HIPAA.
Según la sección de la HIPAA, que trata sobre la sensibilización y la formación en materia de seguridad, la HIPAA establece que las organizaciones deben contar con “procedimientos para la creación, el cambio y la protección de las contraseñas”. Un gestor de contraseñas ayuda a garantizar que su organización cumpla con la HIPAA mediante la generación de contraseñas seguras y su almacenamiento fiable en una bóveda cifrada.
Siga leyendo para obtener más información sobre los requisitos de las contraseñas según la HIPAA y cómo un gestor de contraseñas puede ayudar a cumplirlos.
Requisitos de la contraseña según la HIPAA
Si bien la HIPAA no requiere un gestor de contraseñas, sí exige que la gestión de contraseñas forme parte de su plan de cumplimiento de la HIPAA. A continuación, se indican las prácticas de seguridad de las credenciales que se ajustan a la orientación del Instituto Nacional de Normas y Tecnología (NIST) sobre los requisitos de las contraseñas de la HIPAA.
- Complejidad de las contraseñas: la HIPAA no tiene requisitos específicos de complejidad de las contraseñas. Sin embargo, el NIST recomienda que los empleados entiendan cómo crear contraseñas seguras y exclusivas y cómo protegerlas.
- Rotación de contraseñas: la HIPPA no requiere actualmente cambiar las contraseñas y el NIST desalienta a los empleados a cambiar las contraseñas con regularidad. Sin embargo, el NIST recomienda que se cambien las contraseñas de inmediato si se han visto vulneradas.
- Autenticación multifactor (MFA): el NIST recomienda que la MFA se habilite siempre que esté disponible.
- Uso compartido de contraseñas: la HIPAA no aborda el uso compartido de contraseñas específicamente. Sin embargo, el NIST recomienda que se prohíba a los usuarios compartir contraseñas en los sistemas y los datos que contengan información de salud protegida y almacenada electrónicamente (ePHI).
- Monitoreo y registro: los administradores de TI deben monitorear la actividad de los usuarios para garantizar que no intenten acceder a los registros o sistemas que no sean relevantes para sus obligaciones laborales.
- Desvinculación: las organizaciones deben contar con procedimientos de desvinculación para deshabilitar inmediatamente las contraseñas de los usuarios y el acceso a la información sanitaria protegida cuando abandonen la empresa o cambien de puesto. El NIST recomienda que se establezcan procedimientos diferentes para los empleados que dejen su cargo de forma voluntaria en comparación con los que se despidan de forma involuntaria.
Ventajas de utilizar un gestor de contraseñas para el cumplimiento de la HIPAA
A continuación, se indican algunas de las ventajas de utilizar un gestor de contraseñas para el cumplimiento de la HIPAA.
Cree contraseñas seguras
Una de las dificultades que enfrentan muchas personas es la creación de contraseñas seguras para las diferentes cuentas. Esta lucha suele conllevar a que los usuarios empleen contraseñas débiles que son fáciles de adivinar para los cibercriminales. Como alternativa, las personas recurren a la utilización de la misma contraseña en varias cuentas. De este modo, se ponen varias cuentas en riesgo de vulneración cuando se viole solo alguna de ellas. Dado que los gestores de contraseñas ayudan a la creación de contraseñas seguras, los usuarios ya no tendrán que preocuparse por tener que crear contraseñas seguras por su cuenta. Además, las organizaciones pueden garantizar que cada uno de sus empleados utilice contraseñas seguras para proteger las cuentas de la organización y los datos sensibles.
Autenticación multifactor
Garantizar que los usuarios habiliten la autenticación MFA para todas las cuentas siempre que esté disponible puede ser difícil y, aunque es necesario garantizar el cumplimiento de la HIPAA, muchos usuarios siguen sin habilitarla. Con un gestor de contraseñas, los administradores de TI pueden aplicar el uso de la autenticación MFA en todas las cuentas. Algunos gestores de contraseñas, como Keeper®, también pueden almacenar códigos MFA en su bóveda digital segura, lo que simplifica el proceso de inicio de sesión en los sitios y sistemas que tienen habilitada la MFA.
Controles de acceso basados en roles (RBAC)
Algunos de los mejores gestores de contraseñas permiten a los administradores de TI configurar y aplicar controles de acceso basados en roles. Con el RBAC, los administradores de TI pueden ajustar fácilmente los niveles de acceso y deshabilitar las cuentas si los usuarios abandonan la organización o cambian de trabajo. El RBAC no solo mejora la seguridad y cumple con los requisitos de la HIPAA, sino que también ayuda a reducir los costes y los gastos generales administrativos.
Almacenamiento seguro
Los mejores gestores de contraseñas pueden almacenar mucho más que contraseñas, como claves de paso, archivos y documentos. Todo lo que se almacena en un gestor de contraseñas de conocimiento cero se cifra en reposo y en tránsito a fin de garantizar que solo los usuarios autorizados puedan acceder a él. Así se protege los datos para que no caigan en manos de los cibercriminales y se cumple con el requisito de la HIPAA de otorgar acceso solo a las personas que tengan los derechos de acceso adecuados.
Qué buscar en un gestor de contraseñas que cumpla con la HIPAA
No todos los gestores de contraseñas son iguales. Esto es lo que su organización debe buscar en un gestor de contraseñas que cumpla con la HIPAA.
Cifrado seguro
La seguridad de un gestor de contraseñas dependerá del cifrado que ofrezca. El gestor de contraseñas que elija para proteger su organización debe ser de confianza cero y de conocimiento cero, lo que garantiza que solo las personas autorizadas dispongan de los medios para acceder a la bóveda del gestor de contraseñas, y que el cifrado y el descifrado siempre se realicen de forma local en el dispositivo del usuario. Además, el gestor de contraseñas también debe proteger los datos con cifrado AES de 256 bits y criptografía de curva elíptica (ECC, por sus siglas en inglés), que se considera el cifrado más sólido del sector de la seguridad cibernética.
Compatibilidad con la 2FA
El gestor de contraseñas que elija también debe admitir la autenticación de dos factores (2FA). Habilitar la 2FA en su cuenta de gestor de contraseñas garantiza que quede protegida con una capa adicional de seguridad para evitar los accesos no autorizados. El gestor de contraseñas debe ofrecer las siguientes opciones de 2FA:
- Autenticación de SSO
- Claves de seguridad de hardware de FIDO2 WebAuthn
- Claves de acceso
- Autenticación biométrica (por ejemplo, FaceID, Touch ID, Windows Hello)
Aprovisionamiento automático de correo electrónico
Con el aprovisionamiento automático de correos electrónicos, las bóvedas de contraseñas pueden aprovisionarse a miles de usuarios con una coincidencia de dominio en las direcciones de correo electrónico. Así se facilita la implementación del gestor de contraseñas entre loss empleados de las organizaciones a gran escala.
Elija Keeper como gestor de contraseñas que cumple con la HIPAA
Un gestor de contraseñas como Keeper puede garantizar que su organización cumpla con los requisitos de la HIPAA mediante la generación de contraseñas seguras, la aplicación y habilitación de la MFA, la implementación de controles de acceso basados en roles y con un almacenamiento seguro. Dado que Keeper nunca tiene acceso a los datos de los usuarios, no se requiere un acuerdo de asociación empresarial (BAA) para el cumplimiento de la HIPAA.
¿Quiere proteger su organización de la atención sanitaria frente a las violaciones de datos relacionadas con las contraseñas y garantizar el cumplimiento de la HIPAA? Inicie hoy mismo una prueba empresarial gratuita de 14 días de Keeper.