Una historia de éxito sobre cómo ayudamos a una organización líder en atención médica con la evaluación de cumplimiento de FIPS 140-2

Anuncios

Trabajamos con uno de los principales proveedores de servicios de salud con sede en EE. UU., que ofrece una amplia cartera de seguros y servicios de salud a nivel nacional e internacional. Gestionan una base de datos global de miles de clientes y su información confidencial. Su red constaba de múltiples ubicaciones y más de 20 000 empleados, manteniendo una comunicación continua con diversos hospitales y clínicas. Su objetivo era cumplir con la norma FIPS 140-2 y buscaban apoyo para una evaluación exhaustiva de su amplia infraestructura que les permitiera tomar todas las medidas necesarias para lograrlo.

Desafíos  

Al trabajar con datos, especialmente en el sector de la salud, es fundamental proteger la PII (información de identificación personal) Los datos de PHI (Información Médica Protegida) de su paciente son esenciales. El objetivo principal de la organización era obtener una evaluación integral de las deficiencias del entorno existente, incluyendo una revisión exhaustiva de su situación actual. estándares criptográficosTambién querían obtener un certificado de certificación de cumplimiento mediante una evaluación exhaustiva de la solicitud de la empresa, demostrando su compromiso con la protección de la información confidencial.

Una vez obtenida la información relevante, realizamos un análisis exhaustivo de las deficiencias, examinando sus controles y estándares criptográficos y evaluando todos los aspectos cruciales de los requisitos de seguridad según el estándar FIPS 140-2. Elaboramos un informe exhaustivo del análisis. En el informe, señalamos las deficiencias de seguridad que no cumplían con los requisitos. FIP Norma 140-2. También identificamos los riesgos potenciales asociados con el proceso de gestión de claves. Al iniciar el evaluaciónDescubrimos algunas áreas críticas que necesitaban atención:

• Nuestro cliente tenía algunas bases de datos clave que almacenaban datos confidenciales donde no cifrado Se aplicó. Esto incluía múltiples bases de datos Oracle y SQL Server, que almacenaban información confidencial sin ninguna capa de cifrado para protegerla.   
• Utilizaron una única clave de cifrado para cifrar datos en varias aplicaciones y servicios, incluyendo bases de datos de respaldo, lo que generó graves riesgos de seguridad. Si un atacante accediera a una aplicación, podría comprometer la clave de cifrado y acceder a todos los demás sistemas que usaran la misma clave.  
• Faltaba control de acceso basado en roles (RBAC) o control de acceso basado en identidad (IAM). Estas políticas permitían a los usuarios acceder a datos confidenciales según sus roles. La configuración de la empresa otorgaba más acceso del necesario. Esto significaba que acceder a claves e información confidenciales era más fácil de lo debido.  
• Las políticas y estándares criptográficos vigentes no fueron suficientes porque no se alinearon adecuadamente con las Requisitos de seguridad FIPS 140-2Los algoritmos de cifrado mencionados estaban obsoletos, los conjuntos de cifrado eran débiles y el tamaño de las claves de cifrado no era lo suficientemente grande como para resistir los ataques criptográficos modernos. Esto hacía que los módulos criptográficos fueran vulnerables a posibles infracciones.  
• Tenían prácticas deficientes de gestión de claves que carecían de un control de acceso adecuado, usos múltiples de una misma clave en varios servicios y aplicaciones, y ninguna supervisión adecuada del uso de la clave. Estas prácticas deficientes... gestión de claves Las prácticas aumentaron los riesgos de que la clave se expusiera mediante intercambio accidental, configuración incorrecta o falta de supervisión.

La Solución

Nuestro análisis de brechas proporcionó un desglose exhaustivo, señalando qué requisitos de nivel de seguridad FIPS cumplía la organización. El informe también destacó las áreas que necesitaban mejoras para cumplir con los requisitos de cumplimiento necesarios. El análisis de brechas se realizó mediante un estudio detallado de los diagramas de flujo de datos de varias aplicaciones, analizando cómo se transmitían los datos desde el punto de entrada hasta el punto de salida. Comprendimos cómo se gestionaban los datos dentro de la aplicación, tanto en reposo como en tránsito.

Todos nuestros descubrimientos se presentaron con sugerencias específicas de mejora. Esto garantizó que la organización tuviera un camino claro para trabajar y mitigar las brechas de seguridad actuales. Con todas nuestras sugerencias y recomendaciones, ayudamos al gigante de la salud a alinear todas sus prácticas organizacionales con la normativa de seguridad FIPS 140-2. Esto implicó actualizar algoritmos y adoptar las mejores prácticas para... gestión del ciclo de viday generando claves únicas para todas las aplicaciones. Estas son algunas de las muchas maneras en que apoyamos a la organización: 

• Modificamos las políticas y estándares criptográficos que debían alinearse con el estándar FIPS 140-2. Describimos las especificaciones de los módulos criptográficos y actualizamos los algoritmos obsoletos. Esto garantizó que cualquier aplicación futura adoptara estas políticas diseñadas para cumplir con las mejores prácticas de la industria.  
• Recomendamos habilitar técnicas de cifrado robustas que cumplan con FIPS 140-2 tanto para datos en reposo (AES 256 /RSA 2048 para cifrado) y datos en tránsito (TLS 1.2 y superiores). Esto protegió la información confidencial en cada punto de contacto.  
• A continuación, recomendamos generar claves de cifrado únicas para cada aplicación y los recursos que la acompañan. Este proceso permite aislar el sistema correctamente al asignar una clave distinta a cada programa y componente. Esto limita la posible exposición y evita que un atacante ponga en peligro toda la aplicación, incluso si logra acceder, lo que contribuye a mejorar la seguridad criptográfica.   
• Para cubrir los requisitos de seguridad de roles, servicios y autenticación, sugerimos utilizar el enfoque de control de acceso con privilegios mínimos para sus operaciones de gestión de claves mediante RBAC e IAM, tanto en las instalaciones como en la nube, permitiendo así que solo las personas autorizadas accedan a datos específicos y funciones importantes. Esto también implicó separar lógicamente los roles obligatorios de los opcionales.  
• Recomendamos adoptar mecanismos de autenticación robustos, como la autenticación multifactor, para acceder a los sistemas criptográficos y a las interfaces de gestión de claves. Esto contribuyó a añadir medidas de seguridad que protegían a la organización del acceso no autorizado.  
• Recomendamos establecer un proceso seguro de gestión del ciclo de vida de la clave, desde la generación segura (generadores de números aleatorios), la distribución, la rotación (configuración de la validez de la clave) y la revocación de la clave hasta el almacenamiento de claves de cifrado en módulos criptográficos seguros como HSM y bóvedas de claves y supervisión del uso de las claves. 
• Para garantizar el diseño de cada aplicación en el ámbito de aplicación, sugerimos seguir un proceso estructurado para garantizar el cumplimiento, que actualizaba los estándares criptográficos y los documentos de políticas. Esto incluía asegurar que todos los componentes del módulo cumplieran con los estándares necesarios. Esto se logró mediante el mantenimiento de documentación detallada que describía el diseño, la implementación y el entorno operativo del módulo criptográfico.

The Impact

Pudimos ayudar con éxito a nuestro cliente a lograr el cumplimiento de FIPS 140-2. Nuestra apreciación: El apoyo y la colaboración sentaron una base sólida para diversos beneficios a largo plazo y objetivos estratégicos para la organización sanitaria. Esta evaluación ha ayudado a la organización a mejorar su seguridad general y a proteger la información confidencial de los pacientes de forma más eficaz. Las medidas de seguridad establecidas mediante este cumplimiento impulsarán el crecimiento y la innovación. La organización ahora puede centrarse en brindar atención médica de alta calidad, manteniendo la seguridad y el cumplimiento normativo. 

• La organización ahora utiliza medidas de cifrado y seguridad estandarizadas, lo que le ha valido la certificación FIPS. Esto reduce el riesgo de costosas filtraciones de datos y las multas que conllevan.   
• Además, abrió nuevas oportunidades para asociaciones estratégicas con proveedores de tecnología y otros proveedores de atención médica, ya que la organización ahora cumple con los estándares FIPS.  
• Esta iniciativa ha incorporado las mejores prácticas de seguridad a las operaciones diarias de la organización, reduciendo el riesgo de incumplimiento futuro al garantizar la atención continua a los detalles y el cumplimiento de las normas regulatorias.

Conclusión

Desarrollamos un profundo conocimiento de las capacidades y limitaciones criptográficas actuales de nuestro cliente para brindar recomendaciones específicas que abordaran las brechas de seguridad. Revisamos cuidadosamente sus políticas, procesos y estándares criptográficos y realizamos talleres para comprender los diagramas de flujo de datos de la aplicación, sus componentes y el proceso de almacenamiento de datos en reposo y transferencia de un punto a otro. Esto nos permitió apoyar a la organización para que cumpliera con todos los requisitos necesarios. FIPS 140-2 requisitos de conformidad.

Nuestra evaluación y estrategia no solo ayudaron a la organización a cumplir con los requisitos de cumplimiento, sino que también la equiparon para gestionar mejor las amenazas cibernéticas emergentes y establecer medidas de seguridad adecuadas que los ayudarán a mantenerse seguros y en cumplimiento durante los próximos años.