Recomendaciones de configuración de Microsoft Entra para los controles de HITRUST
La guía de este artículo le ayuda a explorar los detalles y proporciona recomendaciones de servicios y características de Microsoft Entra ID para admitir la alineación con los controles de HITRUST. Use la información para comprender el marco de Health Information Trust Alliance (HITRUST) y apoyar su responsabilidad de garantizar que su organización cumple la Ley de Transferencia y Contabilidad de los Seguros de Salud de 1996 (HIPAA). Las evaluaciones implican trabajar con evaluadores de HITRUST certificados que conocen el marco y son necesarios para ayudarle a guiarle a lo largo del proceso y a comprender los requisitos.
Acrónimos
En la siguiente tabla se enumeran los acrónimos y su ortografía en este artículo.
| Acrónimo | Spelling |
|---|---|
| CE | Entidad cubierta |
| CSF | Marco de seguridad común |
| HIPAA | Ley de Portabilidad y Contabilidad de los Seguros de Salud de 1996 |
| HSR | Regla de seguridad HIPAA |
| HITRUST | Health Information Trust Alliance |
| IAM | Administración de identidades y acceso |
| IdP | Proveedor de identidades |
| ISO | Organización internacional de normalización |
| ISMS | Sistema de administración de seguridad de la información |
| JEA | Acceso suficiente |
| JML | Incorporación, traslado, baja |
| MFA | Autenticación multifactor de Microsoft Entra |
| NIST | Instituto Nacional de Estándares y Tecnología, Departamento de Comercio de EE. UU. |
| PHI | Información sanitaria protegida |
| PIM | Privileged Identity Management |
| SSO | Inicio de sesión único |
| TAP | Pase de acceso temporal |
Health Information Trust Alliance
La organización HITRUST estableció el marco de seguridad común (CSF) para estandarizar y simplificar los requisitos de seguridad y privacidad de las organizaciones del sector sanitario. El CSF de HITRUST se creó en 2007 para abordar el complejo entorno normativo, los desafíos de seguridad y los problemas de privacidad a los que se enfrentan las organizaciones al controlar los datos personales y los datos de información sanitaria protegida (PHI). El CSF consta de 14 categorías de control que incluyen 49 objetivos y 156 controles específicos. Se basó en los principios fundamentales de la Organización internacional de normalización (ISO) 27001 e ISO 27002.
La herramienta HITRUST MyCSF está disponible en Azure Marketplace. Úsela para administrar los riesgos de seguridad de la información, la gobernanza de datos, para cumplir las normativas de protección de la información, y también para cumplir los estándares nacionales e internacionales y los procedimientos recomendados.
Nota:
La ISO 27001 es un estándar de administración que especifica los requisitos de un sistema de administración de seguridad de la información (ISMS). La ISO 27002 es un conjunto de procedimientos recomendados para seleccionar e implementar controles de seguridad en el marco de la ISO 27001.
Regla de seguridad HIPAA
La regla de seguridad HIPAA (HSR) establece estándares para proteger la información de salud personal electrónica de una persona creada, recibida, usada o mantenida por una entidad cubierta (CE), que es un plan de salud, un centro de intercambio de información sanitaria o un proveedor de asistencia sanitaria. El valor predeterminado para inglés El Departamento de Salud y Servicios Humanos (HHS) administra la HSR. El HHS requiere medidas de seguridad administrativas, físicas y técnicas para garantizar la confidencialidad, la integridad y la seguridad de la PHI electrónica.
HITRUST e HIPAA
HITRUST desarrolló el CSF, que incluye estándares de seguridad y privacidad para apoyar las regulaciones sanitarias. Los controles de CSF y los procedimientos recomendados simplifican la tarea de consolidar orígenes para garantizar el cumplimiento de la legislación federal, la seguridad de HIPAA y las reglas de privacidad. El CSF de HISTRUST es un marco de seguridad y privacidad certificable con controles y requisitos para demostrar el cumplimiento de la HIPAA. Las organizaciones sanitarias han adoptado ampliamente el marco. Use la siguiente tabla para obtener información sobre los controles.
| Categoría de control | Nombre de la categoría de control |
|---|---|
| 0 | Programa de administración de seguridad de la información |
| 1 | Control de acceso |
| 2 | Seguridad de recursos humanos |
| 3 | Administración de riesgos |
| 4 | Directiva de seguridad |
| 5 | Organización de Seguridad de la Información |
| 6 | Cumplimiento normativo |
| 7 | Administración de recursos |
| 8 | Seguridad Física y Ambiental |
| 9 | Gestión de Comunicaciones y Operaciones |
| 10 | Adquisición, desarrollo y mantenimiento de sistemas de información |
| 11 | Gestión de Información de Incidentes de Seguridad |
| 12 | Administración de la continuidad empresarial |
| 13 | Prácticas de privacidad |
Obtenga más información sobre la plataforma de Microsoft Azure con certificación CSF de HITRUST, que incluye la administración de identidades y acceso:
- Microsoft Entra ID, anteriormente conocido como Azure Active Directory
- Administración de derechos con Microsoft Purview
- Autenticación multifactor (MFA) de Microsoft Entra
Recomendaciones y categorías de control de acceso
En la siguiente tabla se incluye la categoría de control de acceso para la administración de identidad y acceso (IAM) y recomendaciones de Microsoft Entra para ayudar a cumplir los requisitos de la categoría de control. Los detalles proceden de la MyCSF v11, que hace referencia a la regla de seguridad HIPAA, agregada al control correspondiente.
| Control, objetivo y HSR DE HITRUST | Guía y recomendación de Microsoft Entra |
|---|---|
| Control CSF V11 01.b Registro del usuario Categoría de control Access Control: registro y cancelación del registro del usuario Especificación de control La organización usa un proceso formal de registro y baja de usuarios para habilitar la asignación de derechos de acceso. Nombre de objetivo Acceso autorizado a sistemas de información Regla de seguridad HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID es una plataforma de identidad para la verificación, autenticación y administración de credenciales cuando una identidad inicia sesión en su dispositivo, aplicación o servidor. Es un servicio de administración de identidades y acceso basado en la nube con inicio de sesión único (SSO), MFA y acceso condicional para protegerse frente a ataques de seguridad. La autenticación garantiza que solo las identidades autorizadas obtengan acceso a los recursos y los datos. Los flujos de trabajo del ciclo de vida habilitan la gobernanza de identidades para automatizar el ciclo de vida de los usuarios que se incorporan, trasladan o dan de baja. Centraliza el proceso de flujo de trabajo mediante las plantillas integradas o crea flujos de trabajo personalizados. Esta práctica ayuda a reducir o quitar potencialmente tareas manuales para los requisitos de estrategia JML de la organización. En Azure Portal, vaya a Gobernanza de identidades en el menú de Microsoft Entra ID para revisar o configurar tareas de los requisitos de la organización. Microsoft Entra Connect integra directorios locales con Microsoft Entra ID, lo que admite el uso de identidades únicas para acceder a aplicaciones locales y servicios en la nube, como Microsoft 365. Organiza la sincronización entre Active Directory (AD) y Microsoft Entra ID. Para empezar a trabajar con Microsoft Entra Connect, revise los requisitos previos. Tenga en cuenta los requisitos del servidor y cómo preparar el inquilino de Microsoft Entra para la administración. La sincronización de Microsoft Entra Connect es un agente de aprovisionamiento administrado en la nube, que admite la sincronización con Microsoft Entra ID desde un entorno de AD desconectado de varios bosques. Use los agentes ligeros con Microsoft Entra Connect. Se recomienda la sincronización de hash de contraseñas para ayudar a reducir el número de contraseñas y protegerse frente a la detección de credenciales filtradas. |
| Control CSF V11 01.c Administración de privilegios Categoría de control Access Control: cuentas con privilegios Especificación de control La organización garantiza que las cuentas de usuario autorizadas estén registradas, rastreadas y validadas periódicamente para evitar el acceso no autorizado a los sistemas de información Nombre de objetivo Acceso autorizado a sistemas de información Regla de seguridad HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) es un servicio de Microsoft Entra ID para administrar, controlar y supervisar el acceso a recursos importantes en una organización. Minimiza el número de personas con acceso a información segura para ayudar a evitar que los actores malintencionados obtengan acceso. PIM tiene tiempo y acceso basado en aprobación para mitigar los riesgos de permisos de acceso excesivos, innecesarios o incorrectos. Ayuda a identificar y analizar cuentas con privilegios para asegurarse de proporcionar acceso suficiente (JEA) para que un usuario realice su rol. La supervisión y generación de alertas evita actividades sospechosas, enumerando los usuarios y los roles que desencadenan la alerta, a la vez que reduce el riesgo de acceso no autorizado. Personalice las alertas para la estrategia de seguridad de la organización. Las revisiones de acceso permiten a las organizaciones administrar las asignaciones de roles y la pertenencia a grupos de forma eficaz. Mantenga la seguridad y el cumplimiento mediante la evaluación de qué cuentas tienen acceso y asegúrese de que el acceso se revoca cuando sea necesario, minimizando los riesgos de permisos excesivos u obsoletos. |
| Control CSF V11 0.1d Administración de contraseñas de usuario Categoría de control Access Control: procedimientos Especificación de control Para asegurarse de que las cuentas de usuario autorizadas están registradas, rastreadas y validadas periódicamente para evitar el acceso no autorizado a los sistemas de información. Nombre de objetivo Acceso autorizado a sistemas de información Regla de seguridad HIPAA §164.308(a)(5)(ii)(D) |
La administración de contraseñas es un aspecto crítico de la infraestructura de seguridad. Alinearse con los procedimientos recomendados para crear una postura de seguridad sólida, Microsoft Entra ID ayuda a facilitar una amplia compatibilidad con la estrategia: SSO y MFA, y también autenticación sin contraseña, tales como claves de seguridad FIDO2 y Windows Hello para empresas (WHfB) mitigan el riesgo del usuario y simplifican la experiencia de autenticación del usuario. Protección de contraseñas de Microsoft Entra detecta y bloquea las contraseñas no seguras. Incorpora directivas de contraseñas y tiene la flexibilidad de definir una lista de contraseñas personalizada y crear una estrategia de administración de contraseñas para proteger su uso. Los requisitos de longitud y seguridad de la contraseña de HITRUST se alinean con la norma NIST 800-63B del Instituto Nacional de Estándares y Tecnología, que establece un mínimo de ocho caracteres para una contraseña, o 15 caracteres para las cuentas con un acceso con más privilegios. Las medidas de complejidad incluyen al menos un número o carácter especial y al menos una letra mayúscula y minúscula para cuentas con privilegios. |
| Control CSF V11 01.p Procedimientos de inicio de sesión seguro Categoría de control Access Control: inicio de sesión seguro Especificación de control La organización controla el acceso a los recursos de información mediante un procedimiento de inicio de sesión seguro. Nombre de objetivo Sistema operativo Access Control Regla de seguridad HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
El inicio de sesión seguro es el proceso para autenticar una identidad de forma segura cuando intentan acceder a un sistema. El control se centra en el sistema operativo y los servicios de Microsoft Entra ayudan a reforzar el inicio de sesión seguro. Las directivas de acceso condicional ayudan a las organizaciones a restringir el acceso a las aplicaciones aprobadas, recursos y asegurarse de que los dispositivos son seguros. Microsoft Entra ID analiza las señales de las directivas de acceso condicional desde la identidad, la ubicación o el dispositivo para automatizar la decisión y aplicar directivas organizativas para el acceso a recursos y datos. El control de acceso basado en rol (RBAC) le ayuda a administrar el acceso y los recursos administrados de su organización. El RBAC ayuda a implementar el principio de privilegios mínimos, lo que garantiza que los usuarios tengan los permisos que necesitan para realizar sus tareas. Esta acción minimiza el riesgo de una configuración incorrecta accidental o intencionada. Como se indicó para controlar la administración de contraseñas de usuario 0.1d, la autenticación sin contraseña usa biometría porque son difíciles de falsificar, lo que proporciona una autenticación más segura. |
| Control CSF V11 01.q Identificación y autenticación de usuario Categoría de control N/D Especificación de control Todos los usuarios tendrán un identificador único (identificador de usuario) solo para su uso personal y se implementará una técnica de autenticación para justificar la identidad reclamada de un usuario. Nombre de objetivo N/D Regla de seguridad HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Use el aprovisionamiento de cuentas en Microsoft Entra ID para crear, actualizar y administrar cuentas de usuario. A cada usuario y objeto se le asigna un identificador único (UID) denominado id. de objeto. El UID es un identificador único global que se genera automáticamente cuando se crea un usuario u objeto. Microsoft Entra ID admite el aprovisionamiento automatizado de usuarios para sistemas y aplicaciones. El aprovisionamiento automatizado crea nuevas cuentas en los sistemas adecuados cuando los usuarios se unen a un equipo de una organización. El desaprovisionamiento automatizado desactiva las cuentas cuando se van las personas. |
| Control CSF V11 01.u Limitación del tiempo de conexión Categoría de control Access Control: inicio de sesión seguro Especificación de control La organización controla el acceso a los recursos de información mediante un procedimiento de inicio de sesión seguro. Nombre de objetivo Sistema operativo Access Control Regla de seguridad HIPAA § 164.312(a)(2)(iii) |
El control se centra en el sistema operativo y los servicios de Microsoft Entra ayudan a reforzar el inicio de sesión seguro. El inicio de sesión seguro es el proceso para autenticar una identidad de forma segura cuando intentan acceder a un sistema. Microsoft Entra autentica a los usuarios y tiene características de seguridad con información sobre el usuario y el recurso. La información incluye el token de acceso, el token de actualización y el token de identificador. Ahora puede ejecutar conmutaciones por error según los requisitos de la organización. Use esta guía principalmente para clientes móviles y de escritorio. Las directivas de acceso condicional admiten opciones de configuración para la restricción de sesiones autenticadas del navegador web. Microsoft Entra ID tiene integraciones entre sistemas operativos, para proporcionar una mejor experiencia de usuario y compatibilidad con métodos de autenticación sin contraseña enumerados: Platform SSO para macOS amplía las funcionalidades de SSO para macOS. Los usuarios inician sesión en un Equipo Mac mediante credenciales sin contraseña o la administración de contraseñas validada por Microsoft Entra ID. La experiencia sin contraseña de Windows promueve una experiencia de autenticación sin contraseñas en dispositivos unidos a Microsoft Entra. El uso de la autenticación sin contraseña reduce las vulnerabilidades y los riesgos asociados a la autenticación tradicional basada en contraseña, como ataques de suplantación de identidad (phishing), reutilización de contraseñas e interceptación del registrador de claves de contraseñas. El inicio de sesión web para Windows es un proveedor de credenciales que expande las funcionalidades de inicio de sesión web en Windows 11, que cubre Windows Hello para empresas, pase de acceso temporal (TAP) e identidades federadas. Azure Virtual Desktop admite SSO y autenticación sin contraseña. Con el inicio de sesión único, puede usar la autenticación sin contraseña y los proveedores de identidades de terceros (IDP) que federan con Microsoft Entra ID para iniciar sesión en los recursos de Azure Virtual Desktop. Tiene una experiencia de SSO al autenticarse en el host de sesión. Configura la sesión para proporcionar el inicio de sesión único a los recursos de Microsoft Entra en la sesión. |
Pasos siguientes
Configuración de las medidas de seguridad de control de acceso de HIPAA de Microsoft Entra
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de