Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La orientación de este artículo le ayuda a navegar por los detalles y proporciona recomendaciones de servicios y funcionalidades en Microsoft Entra ID para apoyar la conformidad con los controles HITRUST. Use la información para ayudar a comprender el marco de Health Information Trust Alliance (HITRUST) y apoyar su responsabilidad de asegurarse de que su organización cumple con la Ley de portabilidad y responsabilidad del seguro de salud de 1996 (HIPAA). Las evaluaciones implican trabajar con evaluadores de HITRUST certificados que son conscientes del marco y son necesarios para ayudarle a guiarle a través del proceso y comprender los requisitos.
Siglas
En la tabla siguiente se enumeran los acrónimos y su ortografía en este artículo.
| Acrónimo | Ortografía |
|---|---|
| Después de Cristo | Entidad cubierta |
| CSF | Marco Común de Seguridad |
| HIPAA | Ley de portabilidad y responsabilidad del seguro de salud de 1996 |
| Tren de Alta Velocidad | Regla de seguridad hipaa |
| HITRUST | Alianza de Confianza para la Información de Salud |
| IAM | Administración de identidades y acceso |
| Idp | Proveedor de identidades |
| ISO | Organización Internacional de Normalización |
| SGSI | Sistema de administración de seguridad de la información |
| JEA | Acceso suficiente |
| JML | Registrarse, trasladar, abandonar |
| AMF | Autenticación multifactor de Microsoft Entra |
| NIST | Instituto Nacional de Estándares y Tecnología, Departamento de Comercio de EE. UU. |
| FI | Información de salud protegida |
| PIM | Administración de Identidades Privilegiadas |
| SSO | Autenticación única |
| GRIFO | Pase de acceso temporal |
Alianza de Confianza para la Información de Salud
La organización HITRUST estableció Common Security Framework (CSF) para estandarizar y simplificar los requisitos de seguridad y privacidad de las organizaciones del sector sanitario. HITRUST CSF fue fundada en 2007 para abordar el complejo entorno normativo, los desafíos de seguridad y los problemas de privacidad a los que se enfrentan las organizaciones al controlar los datos personales y los datos de información sanitaria protegida (PHI). El FSC consta de 14 categorías de control que incluyen 49 objetivos de control y 156 específicos de control. Se basaba en los principios principales de la Organización Internacional de Normalización (ISO) 27001 e ISO 27002.
La herramienta HITRUST MyCSF está disponible en Azure Marketplace. Úselo para administrar los riesgos de seguridad de la información, la gobernanza de datos, para cumplir con las normativas de protección de la información, además de cumplir con los estándares nacionales e internacionales y los procedimientos recomendados.
Nota:
ISO 27001 es un estándar de administración que especifica los requisitos de un sistema de administración de seguridad de la información (ISMS). ISO 27002 es un conjunto de procedimientos recomendados para seleccionar e implementar controles de seguridad en el marco ISO 27001.
Regla de seguridad hipaa
La regla de seguridad de HIPAA (HSR) establece estándares para proteger la información de salud personal electrónica de una persona creada, recibida, usada o mantenida por una entidad cubierta (CE), que es un plan de salud, un centro de limpieza de atención médica o un proveedor de atención sanitaria. El Departamento de Salud y Servicios Humanos (HHS) administra el HSR. HHS requiere medidas de seguridad administrativas, físicas y técnicas para garantizar la confidencialidad, la integridad y la seguridad de la PHI electrónica.
HITRUST y HIPAA
HITRUST desarrolló el CSF, que incluye estándares de seguridad y privacidad para apoyar las regulaciones sanitarias. Los controles de CSF y los procedimientos recomendados simplifican la tarea de consolidar orígenes para garantizar el cumplimiento de la legislación federal, la seguridad de HIPAA y las reglas de privacidad. HITRUST CSF es un marco de seguridad y privacidad certificable con controles y requisitos para demostrar el cumplimiento de HIPAA. Las organizaciones sanitarias han adoptado ampliamente el marco. Use la tabla siguiente para obtener información sobre los controles.
| Categoría de control | Nombre de la categoría de control |
|---|---|
| 0 | Programa de administración de seguridad de la información |
| 1 | Control de acceso |
| 2 | Seguridad de recursos humanos |
| 3 | Gestión de riesgos |
| 4 | Directiva de seguridad |
| 5 | Organización de Seguridad de la Información |
| 6 | Conformidad |
| 7 | Administración de activos |
| 8 | Seguridad física y ambiental |
| 9 | Administración de comunicaciones y operaciones |
| 10 | Adquisición, desarrollo y mantenimiento de sistemas de información |
| 11 | Gestión de Información de Incidentes de Seguridad |
| 12 | Administración de continuidad empresarial |
| 13 | Prácticas de privacidad |
Obtenga más información sobre la plataforma de Microsoft Azure con certificación HITRUST CSF, que incluye la administración de identidades y acceso:
- Microsoft Entra ID, anteriormente conocido como Azure Active Directory
- Administración de derechos con Microsoft Purview
- Autenticación multifactor de Microsoft Entra (MFA)
Recomendaciones y categorías de control de acceso
En la tabla siguiente se incluye la categoría de control de acceso para la administración de identidades y acceso (IAM) y recomendaciones de Microsoft Entra para ayudar a cumplir los requisitos de categoría de control. Los detalles proceden de HITRUST MyCSF v11, que hace referencia a la regla de seguridad HIPAA, agregada al control correspondiente.
| Control, objetivo y HSR DE HITRUST | Guía y recomendación de Microsoft Entra |
|---|---|
|
CSF Control V11 01.b Registro de usuarios Categoría de control Control de acceso: registro de usuario y De-Registration Especificación del control La organización usa un proceso formal de registro y registro de usuarios para habilitar la asignación de derechos de acceso. Nombre del objetivo Acceso autorizado a sistemas de información Regla de seguridad hipaa § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID es una plataforma de identidad para la comprobación, autenticación y administración de credenciales cuando una identidad inicia sesión en su dispositivo, aplicación o servidor. Es un servicio de administración de identidades y acceso basado en la nube con inicio de sesión único (SSO), MFA y acceso condicional para protegerse contra ataques de seguridad. La autenticación garantiza que solo las identidades autorizadas obtengan acceso a los recursos y los datos. Los flujos de trabajo del ciclo de vida permiten que la gobernanza de identidades automatice el ciclo de vida del joiner, mover, leaver (JML). Centraliza el proceso de flujo de trabajo mediante las plantillas integradas o crea flujos de trabajo personalizados. Esta práctica ayuda a reducir o incluso eliminar las tareas manuales necesarias para cumplir con los requisitos de la estrategia JML de la organización. En el portal de Azure, navegue a Gobernanza de identificadores en el menú Microsoft Entra ID para revisar o configurar tareas para los requisitos de su organización. Microsoft Entra Connect integra directorios locales con el identificador de Microsoft Entra, que admite el uso de identidades únicas para acceder a aplicaciones locales y servicios en la nube, como Microsoft 365. Organiza la sincronización entre Active Directory (AD) y Microsoft Entra ID. Para empezar a trabajar con Microsoft Entra Connect, revise los requisitos previos. Tenga presente los requisitos del servidor y cómo preparar el entorno de Microsoft Entra para la gestión. Microsoft Entra Connect Sync es un agente de aprovisionamiento administrado en la nube, que admite la sincronización con Microsoft Entra ID desde un entorno de AD de varios bosques desconectados. Use los agentes ligeros con Microsoft Entra Connect. Se recomienda la sincronización de hash de contraseñas para ayudar a reducir el número de contraseñas y protegerse frente a la detección de credenciales filtradas. |
|
CSF Control V11 01.c Gestión de Privilegios Categoría de control Control de acceso: cuentas con privilegios Especificación del control La organización garantiza que las cuentas de usuario autorizadas estén registradas, rastreadas y validadas periódicamente para evitar el acceso no autorizado a los sistemas de información. Nombre del objetivo Acceso autorizado a sistemas de información Regla de seguridad hipaa § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) es un servicio de Microsoft Entra ID para administrar, controlar y supervisar el acceso a recursos importantes de una organización. Minimiza el número de personas con acceso a información segura para ayudar a evitar que los actores malintencionados obtengan acceso. PIM tiene acceso basado en tiempo y aprobación, para mitigar los riesgos de permisos de acceso excesivos, innecesarios o incorrectos. Ayuda a identificar y analizar cuentas con privilegios para asegurarse de proporcionar acceso suficiente (JEA) para que un usuario realice su rol. La supervisión y generación de alertas impiden actividades sospechosas , enumerando los usuarios y roles que desencadenan la alerta, a la vez que reducen el riesgo de acceso no autorizado. Personalice las alertas para la estrategia de seguridad de la organización. Las revisiones de acceso permiten a las organizaciones administrar de forma eficaz las asignaciones de roles y la pertenencia a grupos. Mantenga la seguridad y el cumplimiento mediante la evaluación de qué cuentas tienen acceso y asegúrese de que el acceso se revoca cuando sea necesario, lo que minimiza los riesgos de permisos excesivos o obsoletos. |
|
CSF Control V11 0.1d Administración de contraseñas de usuario Categoría de control Control de acceso: procedimientos Especificación del control Para asegurarse de que las cuentas de usuario autorizadas están registradas, rastreadas y validadas periódicamente para evitar el acceso no autorizado a los sistemas de información. Nombre del objetivo Acceso autorizado a sistemas de información Regla de seguridad hipaa §164.308(a)(5)(ii)(D) |
La administración de contraseñas es un aspecto crítico de la infraestructura de seguridad. Alinee con las mejores prácticas para crear una postura de seguridad sólida, Microsoft Entra ID ayuda a facilitar un apoyo a una estrategia integral: SSO y MFA, además de autenticación sin contraseña, tales como las claves de seguridad FIDO2 y Windows Hello for Business (WHfB), mitigan el riesgo del usuario y simplifican la experiencia de autenticación del usuario. Protección con contraseña de Microsoft Entra detecta y bloquea las contraseñas débiles conocidas. Incorpora directivas de contraseñas y tiene la flexibilidad de definir una lista de contraseñas personalizada y crear una estrategia de administración de contraseñas para proteger el uso de contraseñas. Los requisitos de longitud y seguridad de la contraseña HITRUST se alinean con el Instituto Nacional de Estándares y Tecnología NIST 800-63B, que incluye un mínimo de ocho caracteres para una contraseña o 15 caracteres para las cuentas con el acceso con más privilegios. Las medidas de complejidad incluyen al menos un número o carácter especial y al menos una letra mayúscula y minúscula para cuentas con privilegios. |
|
CSF Control V11 01.p Procedimientos de inicio de sesión seguros Categoría de control Control de acceso: inicio de sesión seguro Especificación del control La organización controla el acceso a los recursos de información mediante un procedimiento de inicio de sesión seguro. Nombre del objetivo Control de acceso del sistema operativo Regla de seguridad hipaa § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
El inicio de sesión seguro es el proceso para autenticar una identidad de forma segura cuando intentan acceder a un sistema. El control se centra en el sistema operativo, los servicios de Microsoft Entra ayudan a reforzar el inicio de sesión seguro. Las directivas de acceso condicional ayudan a las organizaciones a restringir el acceso a aplicaciones, recursos aprobados y a garantizar que los dispositivos sean seguros. Microsoft Entra ID analiza las señales de las directivas de acceso condicional desde la identidad, la ubicación o el dispositivo para automatizar la decisión y aplicar directivas organizativas para el acceso a los recursos y los datos. El control de acceso basado en rol (RBAC) le ayuda a administrar el acceso y los recursos administrados de su organización. RBAC ayuda a implementar el principio de privilegios mínimos, lo que garantiza que los usuarios tengan los permisos que necesitan para realizar sus tareas. Esta acción minimiza el riesgo de una configuración incorrecta accidental o intencionada. Como se indicó para controlar la administración de contraseñas de usuario 0.1d, la autenticación sin contraseña usa biometría porque son difíciles de falsificar, lo que proporciona una autenticación más segura. |
|
CSF Control V11 01.q Identificación y autenticación de usuarios Categoría de control No disponible Especificación del control Todos los usuarios tendrán un identificador único (identificador de usuario) solo para su uso personal y se implementará una técnica de autenticación para justificar la identidad reclamada de un usuario. Nombre del objetivo No disponible Regla de seguridad hipaa § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Use el aprovisionamiento de cuentas en microsoft Entra ID para crear, actualizar y administrar cuentas de usuario. A cada usuario y objeto se le asigna un identificador único (UID) denominado id. de objeto. El UID es un identificador único global que se genera automáticamente cuando se crea un usuario o objeto. Microsoft Entra ID admite el aprovisionamiento automatizado de usuarios para sistemas y aplicaciones. El aprovisionamiento automatizado crea nuevas cuentas en los sistemas adecuados cuando los usuarios se unen a un equipo de una organización. El desaprovisionamiento automatizado desactiva las cuentas cuando se van las personas. |
|
CSF Control V11 01.u Limitación del tiempo de conexión Categoría de control Control de acceso: inicio de sesión seguro Especificación del control La organización controla el acceso a los recursos de información mediante un procedimiento de inicio de sesión seguro. Nombre del objetivo Control de acceso del sistema operativo Regla de seguridad hipaa § 164.312(a)(2)(iii) |
El control se centra en el sistema operativo, los servicios de Microsoft Entra ayudan a reforzar el inicio de sesión seguro. El inicio de sesión seguro es el proceso para autenticar una identidad de forma segura cuando intentan acceder a un sistema. Microsoft Entra autentica a los usuarios y tiene características de seguridad con información sobre el usuario y el recurso. La información incluye el token de acceso, el token de actualización y el token de identificador. Configure de acuerdo con los requisitos de la organización para el acceso a las aplicaciones. Use esta guía principalmente para clientes móviles y de escritorio. Las directivas de acceso condicional admiten opciones de configuración para la restricción del explorador web de sesiones autenticadas. Microsoft Entra ID tiene integraciones entre sistemas operativos, para proporcionar una mejor experiencia de usuario y compatibilidad con métodos de autenticación sin contraseña enumerados: La funcionalidad Platform SSO para macOS amplía las capacidades de SSO para macOS. Los usuarios inician sesión en un Equipo Mac mediante credenciales sin contraseña o la administración de contraseñas validada por el identificador de Microsoft Entra. La experiencia sin contraseña de Windows promueve una experiencia de autenticación sin contraseñas en dispositivos unidos a Microsoft Entra. El uso de la autenticación sin contraseña reduce las vulnerabilidades y los riesgos asociados a la autenticación tradicional basada en contraseña, como ataques de suplantación de identidad(phishing), reutilización de contraseñas y interceptación del registrador de claves de contraseñas. El inicio de sesión web para Windows es un proveedor de credenciales que expande las funcionalidades de inicio de sesión web en Windows 11, que cubre Windows Hello para empresas, el pase de acceso temporal (TAP) y las identidades federadas. Azure Virtual Desktop admite el inicio de sesión único y la autenticación sin contraseña. Con SSO, puede usar autenticación sin contraseña y proveedores de identidades de terceros (IdP) que se federan con Microsoft Entra ID para iniciar sesión en los recursos de Azure Virtual Desktop. Tiene una experiencia de SSO al autenticarse en el host de sesión. Configura la sesión para proporcionar SSO a los recursos de Microsoft Entra en la sesión. |
Pasos siguientes
Configure las medidas de seguridad de control de acceso de Microsoft Entra HIPAA