Contente
- 2FA confia há muito tempo pelos reguladores federais
- Estudo: Autenticação de dois fatores subutilizada para HIPAA
- Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
- É necessária documentação 2FA
- O software 2FA não precisa de conformidade com HIPAA
- Objetivo HIPAA: Mitigação contínua de riscos
Fonte: CreativaImages / iStockphoto
Leve embora:
Embora a autenticação de dois fatores não seja necessária para o HIPAA, ela pode ajudar a pavimentar o caminho para a conformidade com o HIPAA.
O processo tradicional de login com nome de usuário e senha é insuficiente em um ambiente de dados de saúde cada vez mais hostil. A autenticação de dois fatores (2FA) tornou-se cada vez mais importante. Embora a tecnologia não seja obrigatória no HIPAA, o HIPAA Journal observou que é uma maneira inteligente de seguir uma perspectiva de conformidade - chamando o método de "a melhor maneira de cumprir os requisitos de senha do HIPAA". (Para saber mais sobre o 2FA, consulte Noções básicas sobre autenticação de dois fatores.)
Uma coisa interessante sobre o 2FA (às vezes expandido para autenticação multifatorial, MFA) é que ele está presente em muitas organizações de assistência médica - mas para outras formas de conformidade, incluindo as Regras de Prescrição Eletrônica para Administrações de Repressão a Drogas para Substâncias Controladas e a Indústria de Cartões de Pagamento Padrão de segurança de dados (PCI DSS). O primeiro são as diretrizes básicas a serem usadas na prescrição eletrônica de qualquer substância controlada - um conjunto de regras paralelas à regra de segurança da HIPAA, abordando especificamente as salvaguardas tecnológicas para proteger as informações do paciente. Este último é, na verdade, um regulamento do setor de cartões de pagamento que governa como os dados associados aos pagamentos com cartão devem ser protegidos para evitar multas das principais empresas de cartão de crédito.
O Regulamento Geral de Proteção de Dados da UE chama a atenção com o 2FA para um foco ainda maior em todo o setor, dada sua supervisão e multas adicionais (e sua aplicabilidade a qualquer organização que lida com dados pessoais de indivíduos europeus).
2FA confia há muito tempo pelos reguladores federais
A autenticação de dois fatores é recomendada pelo Escritório de Direitos Civis (OCR) dos Departamentos do HHS há muitos anos. Em 2006, o HHS já recomendava o 2FA como uma prática recomendada para conformidade com o HIPAA, nomeando-o como o primeiro método para lidar com o risco de roubo de senha que, por sua vez, poderia levar à visualização não autorizada do ePHI. Em um documento de dezembro de 2006, o HIPAA Security Guidance, o HHS sugeriu que o risco de roubo de senha fosse tratado com duas estratégias principais: 2FA, juntamente com a implementação de um processo técnico para criação de nomes de usuário exclusivos e autenticação de acesso remoto a funcionários.
Estudo: Autenticação de dois fatores subutilizada para HIPAA
O Escritório do Coordenador Nacional de Tecnologia da Informação em Saúde (ONC) mostrou sua preocupação específica com essa tecnologia por meio do "ONC Data Brief 32" de novembro de 2015, que abordou as tendências de adoção do 2FA pelos hospitais de cuidados intensivos em todo o país. O relatório era sobre quantas dessas instituições tinham capacidade para o 2FA (ou seja, o capacidade para o usuário adotá-lo, em oposição a um requerimento por isso). Naquele momento, em 2014, certamente fazia sentido que os reguladores o pressionassem, já que menos da metade do grupo de estudo o implementou, embora com números aumentando:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.
● 2013 – 44%
● 2014 – 49%
Certamente, o 2FA foi adotado mais amplamente desde esse ponto - mas não é onipresente.
É necessária documentação 2FA
Outro aspecto importante a ser observado é a necessidade de papelada - o que é crítico se você for investigado pelos auditores federais, além de cumprir os requisitos de análise de risco, desde que inclua essa discussão. A documentação é necessária, pois as regras de senha são listadas como endereçável - significado (por mais ridículo que pareça) fornecer um raciocínio documentado para o uso dessa prática recomendada. Em outras palavras, você não precisa implementar o 2FA, mas deve explicar o porquê, se o fizer.
O software 2FA não precisa de conformidade com HIPAA
Um dos maiores desafios do 2FA é que ele é inerentemente ineficiente, pois adiciona uma etapa ao processo. Na verdade, porém, a preocupação de que o 2FA diminui a velocidade da assistência à saúde foi reduzida em grande parte pelo aumento das funções de integração de logon único e LDAP para autenticação integrada entre sistemas de saúde.
Conforme observado no cabeçalho, o software 2FA em si não precisa (de maneira bem humorada, pois é muito importante para a conformidade) precisar ser compatível com HIPAA, pois transmite PINs, mas não PHI. Embora você possa escolher alternativas no lugar da autenticação de dois fatores, as principais estratégias divergentes - ferramentas de gerenciamento de senhas e políticas de alterações freqüentes de senha - não são uma maneira tão fácil de cumprir os requisitos de senha HIPAA. "Efetivamente", observou o HIPAA Journal, "As entidades cobertas nunca precisam mudar uma senha novamente" se implementarem o 2FA. (Para mais informações sobre autenticação, consulte Como o Big Data pode proteger a autenticação do usuário.)
Objetivo HIPAA: Mitigação contínua de riscos
A importância do uso de provedores de serviços gerenciados e de hospedagem fortes e experientes é enfatizada pela necessidade de ir além do 2FA com uma postura abrangente e compatível. Isso porque o 2FA está longe de ser infalível; maneiras pelas quais os hackers podem contornar isso incluem o seguinte:
● Malware push-to-accept que agride usuários com “Accept” s até que eles finalmente clicam nele com frustração
● Programas de raspagem de senha descartáveis por SMS
● Fraude no cartão SIM via engenharia social para portar números de telefone
● Aproveitando as redes de operadoras de celular para interceptação de voz e SMS
● Esforços que convencem os usuários a clicar em links falsos ou acessar sites de phishing - entregando seus detalhes de login diretamente
Mas não se desespere. A autenticação de dois fatores é apenas um dos métodos necessários para atender aos parâmetros da regra de segurança e manter um ecossistema compatível com HIPAA. Quaisquer medidas tomadas para proteger melhor as informações devem ser vistas como atenuadoras de riscos, reforçando continuamente seus esforços de confidencialidade, disponibilidade e integridade.