¿Hay una conexión de contraseña?

Cuando tratamos con datos de usuarios, es esencial que diseñemos nuestras políticas de contraseñas en torno al cumplimiento. Estas políticas se definen tanto interna como externamente.

Si bien las empresas mantienen sus propios estándares de contraseñas, las fuerzas externas como HIPAA y NIST tienen una gran influencia. Los impactos están definidos por la industria y la infraestructura única de uno. ¿Cómo mantienen los departamentos de TI el cumplimiento de NIST e HIPAA?

Analizaremos cada medida de cumplimiento y su importancia en este artículo.

¿Qué es el cumplimiento de NIST?

Definido por el Instituto Nacional de Estándares y Tecnología, el cumplimiento de NIST tiene como objetivo fortalecer los sistemas federales contra los ataques cibernéticos. Si bien la agencia no es reguladora, es parte del Departamento de Comercio de los Estados Unidos, que tiene mucha influencia sobre las agencias gubernamentales y sus contratistas.

Por ejemplo, las pautas del NIST ayudan a las agencias a cumplir con los requisitos de la Ley Federal de Administración de Seguridad de la Información (FISMA). NIST es un instrumento en la creación de Estándares Federales de Procesamiento de Información (FIPS) que cumplen con FISMA. Nada de esto sería posible sin el marco de ciberseguridad del NIST.

El marco describe los pasos y las mejores prácticas que deben seguir los procesadores de datos.

Los controles se relacionan con lo siguiente:

  • Acceso basado en autenticación para estaciones de trabajo locales, bases de datos, sitios web y servicios web
  • Eventos de auditoría para cambios de contraseña, inicios de sesión fallidos y acceso fallido relacionado con credenciales de verificación de identidad personal (PIV), credenciales de terceros o acciones de administrador
  • Cuentas de grupo (privilegio compartido) y cuentas individuales
  • Contraseñas, tokens de acceso, biometría y autenticación multifactor (MFA)
  • Cifrado y hashing de contraseñas
  • Longitud mínima de la contraseña, complejidad y tiempo de validación

En particular, un administrador que cumpla con los estándares del NIST podría definir las políticas de contraseñas necesarias para hacer cumplir los requisitos de filtrado de contraseñas filtradas y de longitud mínima. La política de contraseñas también podría incluir el bloqueo de la sustitución de caracteres comunes y otros patrones de construcción de contraseñas predecibles, como cambiar una contraseña agregando solo números o símbolos al final.

NIST recomienda eliminar la complejidad y el vencimiento de la contraseña, pero esto debe sopesarse con las obligaciones reglamentarias de la organización; por ejemplo, PCI-DSS y HITRUS-CFS los requieren.

La evaluación periódica o la identificación de contraseñas comprometidas es crucial. Las organizaciones pueden usar herramientas automatizadas para identificar y aplicar cambios cuando se detectan continuamente.

El cumplimiento del marco de seguridad cibernética de NIST es un excelente trampolín hacia una seguridad sólida. Sin embargo, la agencia advierte que las pautas del NIST NO crean sistemas impenetrables. Ningún marco es perfecto.

¿Qué es el cumplimiento de HIPAA?

La información de salud personal cae bajo el paraguas de alta sensibilidad. Estos registros son confidenciales y contienen información privada, por lo que las bases de datos y los almacenes de datos deben emplear fuertes protecciones. También existe el argumento de que existen políticas de contraseñas para proteger la dignidad del paciente.

La confidencialidad entre el médico y el paciente y las relaciones entre el proveedor y el paciente son fundamentales para mantener la privacidad en todo el panorama de la atención médica. Sin embargo, muchos pacientes ni siquiera tienen una percepción estelar de los proveedores de atención médica. En 2016, Black Book reveló que el 87 % de los pacientes ocultaba algún grado de información médica a los proveedores «de confianza».

Usted puede ver a dónde va esto. Los datos médicos personales son entonces personal esa confianza se gana con esfuerzo fuera del círculo interno de uno. Ese fenómeno se amplifica en nuestra era digital, donde el acceso remoto y el intercambio de registros electrónicos son comunes.

Algunas otras áreas de preocupación:

  • Información financiera del paciente
  • Acceso al portal del paciente
  • Información personal enviada como parte de un perfil en línea

Protección de cumplimiento de contraseña

Se recopila tanta información en estos días que a los propios pacientes les resulta difícil examinarla. Los proveedores expertos en tecnología tienen la responsabilidad de salvaguardar estos datos y hacerlos accesibles. a la(s) persona(s) correcta(s). Aquí es donde interviene la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

Primero, HIPAA describe tres tipos de estándares que las organizaciones deben cumplir:

  1. Estándares técnicos – que describen las medidas de seguridad necesarias para proteger y mantener una infraestructura que almacena información de salud electrónica personal
  2. Estándares físicos – que describen cómo se deben proteger las instalaciones de ladrillo y cemento tanto por dentro como por fuera
  3. Normas administrativas – que describen los controles necesarios y los esfuerzos de mantenimiento por parte de los miembros del personal para mantener la seguridad de la información de salud personal

Nuestro enfoque natural está en los estándares técnicos y administrativos: el primero cubre los sistemas o bases de datos en línea que almacenan datos altamente confidenciales. Los estándares administrativos implican funciones del personal para dictar la gestión de contraseñas y la autorización de acceso. ¿Cómo se ve eso en una política de contraseñas?

Tenga en cuenta que las pautas de HIPAA y NIST no se excluyen mutuamente. Seguir estas reglas lo mantendrá en conformidad con HIPAA y NIST:

  • Exigir que las contraseñas tengan más de 8 caracteres (incluso hasta 64 para algunos datos)
  • No dar pistas de contraseña a los usuarios
  • Fomente la creación de contraseñas memorables, no oscuras que requieran mantenimiento de registros
  • Verifique las contraseñas de acuerdo con las listas de contraseñas prohibidas o diccionarios de contraseñas comprometidas

Estas pautas son fundamentales. Además, HIPAA proporciona cierto margen de maniobra de acuerdo con la entidad que supervisa los datos clave. Debido a que los proveedores pueden ser microscópicos y masivos (sistemas de salud, proveedores de seguros), se necesitan políticas de contraseñas únicas.

Mejor cumplimiento de NIST y HIPAA con Specops

Las herramientas externas pueden brindar mucha ayuda al diseñar políticas de contraseñas compatibles. Recomendamos dos herramientas: Auditor de contraseñas de Specops y Política de contraseñas de Specops. Estos automatizan múltiples procesos críticos para la seguridad continua de las contraseñas.

Password Auditor es una herramienta gratuita que ofrece tres beneficios principales: informes de contraseñas, auditoría de cuentas de Active Directory y cumplimiento de estándares. Auditor escanea su entorno para garantizar que las políticas de contraseñas generales y detalladas promuevan contraseñas seguras. Los informes informativos resaltan los puntos débiles y las cuentas problemáticas, lo que simplifica la remediación. Estos informes incluso comparan sus políticas con las impulsadas por el NIST.

Password Auditor también le mostrará qué tan resistentes son sus sistemas contra los ataques. También puede ver los dominios y sus respectivas cuentas. Las contraseñas vulnerables se identifican si coinciden con las que se encuentran en nuestras listas de contraseñas violadas.

Mientras tanto, la política de contraseñas brinda beneficios similares con mayor granularidad. Principalmente, puede lograr lo siguiente: bloquear contraseñas débiles, crear políticas de contraseña compatibles y entropía de contraseña objetivo. La herramienta le permite traer su propio diccionario de contraseñas e incorporar la lista Specops de 2 mil millones de contraseñas violadas.

Specops hace el trabajo pesado: acepta automáticamente contraseñas (e incluso frases) y rechaza las contraseñas que no cumplen. Haga cumplir sus propios requisitos de longitud, complejidad y caracteres de la contraseña. Finalmente, las herramientas de cumplimiento le mostrarán cómo sus políticas existentes se comparan con las políticas que cumplen con la industria. La política de contraseñas proporciona plantillas y análisis para proteger los datos de la empresa contra métodos populares de ciberataques.

El cumplimiento de NIST y HIPAA se basa en políticas de contraseñas sólidas. Afortunadamente, el proceso de cumplimiento no tiene por qué ser complicado.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática