¿Sustituir contraseñas por tarjetas de proximidad en sector de salud?
05 December, 2014
category: Seguridad lógica
Un paso atrás, en lugar de una actualización de seguridad
Terry Gold, fundador, IDanalyst
Las industrias requieren a menudo diferentes enfoques técnicos para cumplimentar los requisitos regulatorios, y esto por supuesto se aplica a la atención de salud. Los ejecutivos tienen que lidiar con las regulaciones de Información Protegida de Salud, y además los mandatos evolucionan y las penalidades se hacen más estrictas en aras de elevar la responsabilidad en caso de que se comprometa información protegida de salud.
Las contraseñas son un aspecto sensible que perfeccionar, ya que son blanco de los hackers y un punto vulnerable importante hasta para los empleados bien intencionados.
Pero la industria no puede simplemente aplicar una fuerte autenticación y andar garrote en mano cuando los pacientes y proveedores se quejan de la usabilidad. Es necesario proporcionar una atención de calidad sin barreras innecesarias, ya que cualquier demora en la actuación de una enfermera o un médico en una sala de emergencias puede tener serias implicaciones, incluso si se trata de unos pocos segundos.
Sin embargo es en este sentido que puede producirse una mala decisión en ocasiones, cuando una organización opta por reemplazar las contraseñas existentes por tarjetas de proximidad. Las causas más comunes incluyen:
-
Costo: Las partes tratan de aprovechar las inversiones existentes, como la tarjeta que ya poseen
-
Facilidad de uso: Los usuarios ya están familiarizados con ellas
-
Seguridad: Se asume que la proximidad es segura
-
Conveniencia: Los médicos tienden a priorizar la conveniencia por encima de la seguridad.
En esos casos se asume que utilizar un método más moderno de autenticación, como son las tarjetas de proximidad, debe significar una mejora significativa de la seguridad. Lamentablemente, para las organizaciones en que antes de la transición existía una política mínimamente aceptable para las contraseñas, el cambio resulta en realidad menos seguro que antes.
Un callejón sin salida
Los mandatos están forzando a la adopción de sistemas de registros electrónicos de salud, así como intercambios de información de salud, para lograr una mejor atención sanitaria compartiendo información entre los proveedores, los encargados del pago y los pacientes. Al propio tiempo, el recetario electrónico ePrescribing crece rápidamente y las regulaciones de la DEA para recetas electrónicas de sustancias controladas demanda métodos autorizados para la autenticación y prueba de identidad. Las tarjetas de proximidad y/o las contraseñas estáticas no están en esa lista autorizada.
Muchos otros mandatos e iniciativas están cobrando forma con el objetivo de influir en los proveedores de salud para que reconsideren la forma en que prueban, gestionan, credencializan y emplean las identidades.
En la mayoría de los casos se producen dos consideraciones recurrentes sobre sistemas que serán viables y escalables en el largo plazo. En primer lugar, las credenciales tienen que tener la capacidad de rediseñarse para los diversos mandatos, con el fin de evitar tener que utilizar múltiples sistemas de credencialización. En segundo lugar, esas credenciales tienen que ser capaces de demostrar que fueron implementadas de una forma que cumple con los requerimientos, de modo que puedan participar en los diversos intercambios.
Las tarjetas de proximidad son su propio modelo de confianza, establecido por el vendedor de forma independiente, y no tienen marcos estándar que rijan cómo tienen que utilizarse para la autenticación. En general es una operación opaca, sumida en la oscuridad, con pocas pruebas de pares para probar esos sistemas o divulgar informes sobre pruebas realizadas por laboratorios acreditados de terceras partes.
Por ello, aparte de la organización que las implementa, no hay otra organización que pueda confiar en la credencial. En la era de los mandatos de salud, en que el requisito básico es la colaboración y el intercambio entre organizaciones dispares, una inversión en proximidad para la autenticación en sistemas informáticos, no solo es insegura, sino además de poca perspectiva.
Para obtener más detalles vea el artículo original en inglés.