Como explicamos en un post anterior sobre HIPAA, todas las personas, desde personal médico hasta empresas que manejen información de los pacientes, deben cumplir con lineamientos para protegerla. En esta ocasión hablaremos en específico sobre el uso de contraseñas y los requerimientos de la seguridad de HIPAA y TI.
Contraseñas
Las contraseñas son esa pequeña línea de texto que se interpone entre un usuario malicioso y un montón de información valiosa. Sumado a lo anterior, las contraseñas son un componente que a menudo es pasado por alto o subestimado por las organizaciones y usuarios.
Los problemas relacionados con el uso de contraseñas genéricas, la escritura de contraseñas visibles en el espacio de trabajo y el envío de credenciales por correo electrónico sin cifrar son problemas graves.
Afortunadamente , HIPAA establece pautas para crear, modificar y proteger las contraseñas. Estas pautas fueron establecidas como parte de su Regla de seguridad. Allí se establece que las organizaciones cubiertas bajo HIPAA deben tener políticas y procedimientos comprehensivos para la creación, manejo y almacenamiento de las contraseñas.
Estas pautas nos pueden ayudar a disminuir las posibilidades de que alguien acceda a la información que tenemos.
Requerimientos de HIPPA
Las recomendaciones para la seguridad de HIPAA y TI se aplican por igual desde un médico o una enfermera, hasta sistemas hospitalarios con infraestructura muy compleja. Debido a ello algunas de pautas son intencionalmente vagas en algunos aspectos, esto con la intención de permitir flexibilidad a organizaciones de diferentes tamaños. Las organizaciones deben demostrar su mejor esfuerzo en seguir la regulación de manera razonable.
Esas son las recomendaciones mínimas para una contraseña fuerte y que cumpla con la regulación HIPAA:
- 8 Caracteres.
- Letras mayúsculas.
- Letras minúsculas.
- Números.
- Caracteres especiales.
NIST
Existen otras organizaciones privadas y/o gubernamentales que establecen recomendaciones y buenas prácticas más estrictas para organizaciones de todo tipo. Una de esas organizaciones y una de las más populares es NIST (National Institute of Standards and Technology). NIST también emite nuevas recomendaciones de forma rutinaria.
El estandar NIST 800-63b destaca 3 factores que deben utilizarse para la autenticación de usuarios
-
- Algo que sabes (Una contraseña).
- Algo que tienes (Un ID, token o llave).
- Algo que eres (Huella digital, cara, voz, iris).
Para el caso de las contraseñas, se ha identificado como el factor más débil de estos tres. Para evitar esto, estas son las recomendaciones de NIST en cuanto a contraseñas:
Minimo 8 caracteres, máximo 64. Muchas de organizaciones eligen un mínimo de 12 caracteres o la combinación de 3 a 4 palabras.
Evitar la utilización de pistas como “mi apellido”, “mi aniversario” o “el nombre de mi perro”. Estas pueden ser fácilmente descubiertas.
Contraseñas fáciles de recordar y con uno o pocos caracteres especiales. Lo suficiente como para no necesitar anotarlas en papel.
No expirar contraseñas sin motivo. NIST no recomienda esta practica, ya que conlleva a que los usuarios solo hagan pequeñas variaciones en sus contraseñas y al cambiarlas constantemente prefieren escribirlas en papel para no olvidarlas.
Buscar contraseñas de uso común y comprometidas para evitar que las personas seleccionen estas contraseñas fáciles de adivinar. Por ejemplo “12345”, “Password123”, “98765”, etc.
Es cierto que HIPAA y TI presenta recomendaciones algo vagas en favor de la flexibilidad para cualquier tamaño de organización. Pero es un bien comienzo si deseamos ser más estrictos en cuanto a la seguridad de las contraseñas que utilizamos. Además podemos apoyarnos en las recomendaciones de otras organizaciones como NIST y HITRUST para alcanzar un nivel más alto de seguridad.
