Uno de los aspectos que más preocupa a organismos profesionales y administraciones sanitarias a la hora de implantar servicios de eSalud es el mantenimiento de la debida privacidad de los pacientes. Los doctores Casado (tanto monta, monta tanto) nos han enseñado que tener una consulta conectada a través de Twitter no tiene por qué causar ningún conflicto de mantenimiento de privacidad. Además para los pacientes puede aportar nuevos beneficios.
¿Qué pasa con los agujeros de seguridad?
Los fallos de seguridad en el sistema tienen en su mayor parte un origen humano. Ya sea en grandes hospitales, en pequeños consultorios o en consultas privadas lo que cuenta es el empeño que pongamos en proteger los datos. La mayor causa de agujeros de seguridad sobre los datos de pacientes es el robo de ordenadores y dispositivos portátiles que contengan datos sanitarios.
Criticar los fallos de seguridad de los sistemas de gestión de HCE o las TIC aplicadas a la Salud es fácil. Sin embargo la mayoría de las veces estos errores vienen dados por nuestra propia despreocupación y el desconocimiento que tenemos en general sobre cómo funcionan estas herramientas.
Prevenirlos, reducirlos y evitarlos parece ser menos costoso de lo que se esperaba; sólo hace falta un poco del menos común de los sentidos. Aplicar la lógica para no tener que derrochar millones en recuperar datos, indemnizar a los pacientes afectados, reparar daños en los sistemas, etc.
Según un análisis de HITRUST que incluyó 108 agujeros de seguridad notificados desde octubre de 2009 el coste asociado a los mismos podría ser de 843,3 millones de USD. Y lo más importante, más de 4 millones de pacientes se vieron afectados. Dato que sin duda aterraría a cualquier gestor sanitario y que además supone un coste añadido que no cualquier sistema sanitario desearía asumir.
Sin embargo un estudio de cada caso por separado mostró que el impacto potencial de cada fallo podría haberse mitigado o eliminado con la aplicación de medidas de seguridad más sencillas. Parece absurdo que cualquiera con una memoria usb pueda conectarse al ordenador de un centro sanitario y descargar información, sin embargo es algo frecuente.
¿Qué se puede hacer?
Encriptación de datos: en la mayoría de robos de material informático el problema principal es que estos datos eran de fácil acceso para cualquier persona sin excesivos conocimientos en la materia. Contraseñas poco seguras o datos sin encriptar son fáciles de erradicar a un coste nulo.
Control de equipos: un registro continuo de dónde están los equipos informáticos y notificación previa a cualquier movimiento de los mismos (equipos que han de repararse, traslado de consultas...)
Evitar duplicación no autorizada: resulta irrisorio comprobar que con una memoria usb podemos duplicar sin mayores problemas gran cantidad de información (Ctrl+C/Ctrl+V) sin que esto quede registrado.
Control de acceso: evitar que personas no autorizadas accedan a información que no les compete manteniendo un registro de los usuarios que acceden a la HCE de cada paciente y rastreando los accesos sospechosos.
Estos cuatro sencillos puntos podrían paliar gran parte de las brechas de seguridad informática en los sistemas informáticos de salud. La mayoría de las mismas fueron fortuitas (robo en un coche, asaltos, envío de información por correo electrónico...) aunque también se han reportado algunas acciones dirigidas intencionalmente a obtener la información sanitaria a través de robos y sólo en dos ocasiones mediante técnicas de cracking.
Por lo tanto, a la hora de afrontar mejoras en los sistemas de HCE o de gestión informática de centros sanitarios la revisión de las causas que provocaron cada una de las brechas de seguridad ayudará a implementar soluciones simples y adaptadas a cada entorno.