Una password viene compromessa quando viene divulgata in una violazione dei dati e resa disponibile sul dark web, consentendo ad altri di ottenere l'accesso non autorizzato
L’Health Insurance Portability and Accountability Act (HIPAA) è una legge statunitense creata per stabilire gli standard nazionali in materia di privacy e sicurezza al fine di proteggere la privacy delle informazioni sulla salute dei pazienti e prevenire le violazioni dei dati. Tutte le organizzazioni operanti nel settore sanitario, incluse le compagnie assicurative e le aziende associate, sono soggette alle normative HIPAA, pertanto devono attenersi ai requisiti di conformità HIPAA.
Ai sensi della sezione HIPAA relativa alla sicurezza e alla formazione, l’HIPAA afferma che le organizzazioni devono disporre di “procedure per creare, cambiare e proteggere le password”. Un password manager contribuisce a far sì che la tua organizzazione sia conforme all’HIPAA generando password efficaci e memorizzandole in modo sicuro in una cassaforte crittografata.
Continua a leggere per scoprire di più sui requisiti dell’HIPAA in materia di password e come un password manager può aiutarti a soddisfarli.
Requisiti dell’HIPAA in materia di password
Sebbene ai sensi dell’HIPAA non sia necessario un password manager, la gestione delle password deve essere inclusa nel piano di conformità all’HIPAA. Ecco le prassi per la sicurezza delle credenziali conformi alle linee guida del National Institute of Standards and Technology (NIST) sui requisiti dell’HIPAA in materia di password.
- Complessità delle password: anche se l’HIPAA non prevede requisiti specifici circa la complessità delle password, il NIST raccomanda che i dipendenti sappiano come creare password efficaci e univoche e come proteggerle.
- Rotazione delle password: l’HIPPA non richiede attualmente la modifica delle password e il NIST sconsiglia ai dipendenti di cambiarle regolarmente. Tuttavia, il NIST consiglia di cambiare immediatamente le password qualora fossero state compromesse.
- Autenticazione a più fattori (MFA): il NIST consiglia di abilitare l’MFA ogni volta che è disponibile.
- Condivisione delle password: anche se l’HIPAA non tratta in maniera specifica la condivisione delle password, il NIST raccomanda vivamente di vietare agli utenti di condividere password a sistemi e dati contenenti informazioni protette sulla salute memorizzate online (ePHI).
- Monitoraggio e registrazione: gli amministratori IT devono monitorare l’attività di accesso degli utenti per assicurarsi che non tentino di accedere a registri o sistemi che non sono pertinenti alle loro mansioni lavorative.
- Offboarding: le organizzazioni devono disporre di procedure di offboarding per disabilitare immediatamente le password degli utenti e l’accesso alle informazioni protette sulla salute quando questi lasciano l’azienda o cambiano posizione lavorativa. Il NIST consiglia di applicare procedure diverse per i dipendenti che lasciano il lavoro volontariamente e per quelli che vengono licenziati.
I vantaggi dell’utilizzo di un password manager per la conformità all’HIPAA
Ecco alcuni dei vantaggi dell’utilizzo di un password manager per la conformità all’HIPAA.
Crea delle password forti
Una delle difficoltà che molte persone devono affrontare è quella di creare password efficaci per più account. Tale difficoltà spesso porta a utilizzare password poco efficaci e facili da indovinare per i cybercriminali. Oppure, si riutilizza al stessa password per più account, rischiando di compromettere più di un account qualora ne venisse violato solo uno. Poiché i password manager aiutano a creare password efficaci, gli utenti non dovranno più preoccuparsi di dover creare password forti. Inoltre, le organizzazioni possono far sì che ogni dipendente utilizzi password efficaci per proteggere gli account dell’organizzazione e i dati sensibili.
Autenticazione a più fattori
Assicurarsi che gli utenti abilitino l’MFA per ogni account per cui è disponibile può essere difficile e, sebbene l’MFA sia necessaria ai fini della conformità all’HIPAA, molti utenti continuano a non abilitarla. Grazie a un password manager, gli amministratori IT possono applicare l’uso dell’MFA per ogni account. Inoltre, alcuni password manager come Keeper® possono memorizzare i codici MFA nella loro cassaforte digitale sicura, facilitando così l’accesso ai siti e sistemi che hanno abilitato l’MFA.
Controlli degli accessi basati sui ruoli (RBAC)
Alcuni dei migliori password manager consentono agli amministratori IT di configurare e applicare controlli degli accessi basati sui ruoli. Con l’RBAC, gli amministratori IT possono regolare facilmente i livelli di accesso e disabilitare gli account quando gli utenti lasciano l’organizzazione o cambiano lavoro. L’RBAC non solo migliora la sicurezza e soddisfa i requisiti di conformità all’HIPAA, ma aiuta anche a ridurre i costi e le spese amministrative.
Archiviazione sicura
I migliori password manager possono memorizzare più delle semplici password, tra cui chiavi di accesso, file e documenti. Tutto ciò che viene memorizzato in un password manager zero-knowledge viene crittografato sia a riposo che in transito per far sì che solo gli utenti autorizzati possano accedervi. Ciò impedisce che i dati finiscano nelle mani dei cybercriminali e soddisfa i requisiti di conformità dell’HIPAA, consentendo l’accesso solo alle persone con i diritti di accesso appropriati.
Quali caratteristiche deve avere un password manager conforme all’HIPAA?
Non tutti i password manager vengono creati allo stesso modo. Ecco cosa deve cercare la tua organizzazione in un password manager conforme all’HIPAA.
Solida crittografia
Un password manager è forte solo se dispone di una crittografia forte. Il password manager che scegli per proteggere la tua organizzazione deve essere zero-trust e zero-knowledge, assicurando che solo le persone autorizzate possano accedere alla cassaforte del password manager e che la crittografia e la decodifica avvengano sempre a livello locale sul dispositivo dell’utente. Inoltre, il password manager deve proteggere i dati mediante la crittografia AES a 256 bit e la crittografia a curva ellittica (ECC), che è considerata la crittografia più solida nel campo della sicurezza informatica.
Supporto della 2FA
Il password manager da te scelto deve supportare l’autenticazione a due fattori (2FA). L’abilitazione della 2FA sul tuo account di password manager garantisce che sia protetto con un ulteriore livello di sicurezza per prevenire gli accessi non autorizzati. Il password manager deve offrire le seguenti opzioni di 2FA:
- Autenticazione SSO
- Chiavi di sicurezza hardware FIDO2 WebAuthn
- Chiavi di accesso
- Autenticazione biometrica (ad es. FaceID, Touch ID, Windows Hello)
Provisioning automatico tramite indirizzo e-mail
Con il provisioning automatico delle e-mail, è possibile eseguire il provisioning delle casseforti password per migliaia di utenti se c’è una corrispondenza tra il dominio e gli indirizzi e-mail. In questo modo, è più facile per le organizzazioni di grandi dimensioni distribuire i password manager ai dipendenti.
Scegli Keeper come password manager conforme all’HIPAA
Un password manager come Keeper è in grado di aiutare la tua organizzazione a rispettare i requisiti in materia di password dell’HIPAA generando password efficaci, applicando e abilitando l’MFA, implementando controlli degli accessi basati sui ruoli e fornendo un’archiviazione sicura. Dal momento che Keeper non accede ai dati degli utenti, non è necessario stipulare un accordo BAA (Business Associate Agreement) ai fini della conformità all’HIPAA.
Vuoi proteggere la tua azienda sanitaria dalle violazioni dei dati legate alle password e garantirne la conformità all’HIPAA? Inizia subito una prova aziendale gratuita di 14 giorni di Keeper.