¡Nuevo!

Seguridad Informática para la eSalud

candados inútilesUno de los aspectos que más preocupa a organismos profesionales y administraciones sanitarias a la hora de implantar servicios de eSalud es el mantenimiento de la debida privacidad de los pacientes. Los doctores Casado (tanto monta, monta tanto) nos han enseñado que tener una consulta conectada a través de Twitter no tiene por qué causar ningún conflicto de mantenimiento de privacidad. Además para los pacientes puede aportar nuevos beneficios.

¿Qué pasa con los agujeros de seguridad?

Los fallos de seguridad en el sistema tienen en su mayor parte un origen humano. Ya sea en grandes hospitales, en pequeños consultorios o en consultas privadas lo que cuenta es el empeño que pongamos en proteger los datos. La mayor causa de agujeros de seguridad sobre los datos de pacientes es el robo de ordenadores y dispositivos portátiles que contengan datos sanitarios.

Criticar los fallos de seguridad de los sistemas de gestión de HCE o las TIC aplicadas a la Salud es fácil. Sin embargo la mayoría de las veces estos errores vienen dados por nuestra propia despreocupación y el desconocimiento que tenemos en general sobre cómo funcionan estas herramientas.

Prevenirlos, reducirlos y evitarlos parece ser menos costoso de lo que se esperaba; sólo hace falta un poco del menos común de los sentidos. Aplicar la lógica para no tener que derrochar millones en recuperar datos, indemnizar a los pacientes afectados, reparar daños en los sistemas, etc.

Según un análisis de HITRUST que incluyó 108 agujeros de seguridad notificados desde octubre de 2009 el coste asociado a los mismos podría ser de 843,3 millones de USD. Y lo más importante, más de 4 millones de pacientes se vieron afectados. Dato que sin duda aterraría a cualquier gestor sanitario y que además supone un coste añadido que no cualquier sistema sanitario desearía asumir.

Sin embargo un estudio de cada caso por separado mostró que el impacto potencial de cada fallo podría haberse mitigado o eliminado con la aplicación de medidas de seguridad más sencillas. Parece absurdo que cualquiera con una memoria usb pueda conectarse al ordenador de un centro sanitario y descargar información, sin embargo es algo frecuente.

¿Qué se puede hacer?

  • Encriptación de datos: en la mayoría de robos de material informático el problema principal es que estos datos eran de fácil acceso para cualquier persona sin excesivos conocimientos en la materia. Contraseñas poco seguras o datos sin encriptar son fáciles de erradicar a un coste nulo.

  • Control de equipos: un registro continuo de dónde están los equipos informáticos y notificación previa a cualquier movimiento de los mismos (equipos que han de repararse, traslado de consultas...)

  • Evitar duplicación no autorizada: resulta irrisorio comprobar que con una memoria usb podemos duplicar sin mayores problemas gran cantidad de información (Ctrl+C/Ctrl+V) sin que esto quede registrado.

  • Control de acceso: evitar que personas no autorizadas accedan a información que no les compete manteniendo un registro de los usuarios que acceden a la HCE de cada paciente y rastreando los accesos sospechosos.

Estos cuatro sencillos puntos podrían paliar gran parte de las brechas de seguridad informática en los sistemas informáticos de salud. La mayoría de las mismas fueron fortuitas (robo en un coche, asaltos, envío de información por correo electrónico...) aunque también se han reportado algunas acciones dirigidas intencionalmente a obtener la información sanitaria a través de robos y sólo en dos ocasiones mediante técnicas de cracking.

Por lo tanto, a la hora de afrontar mejoras en los sistemas de HCE o de gestión informática de centros sanitarios la revisión de las causas que provocaron cada una de las brechas de seguridad ayudará a implementar soluciones simples y adaptadas a cada entorno.

4 comentarios:

  1. "Sin embargo la mayoría de las veces estos errores vienen dados por nuestra propia despreocupación y el desconocimiento que tenemos en general sobre cómo funcionan estas herramientas."
    Efectívamente, donde yo trabajo el 99% no ha cambiado el passwor para entrar en la aplicación que se deduce fácilmente del nombre de usuario dado por el sistema. Y sin embargo nos quejamos de que si el ordenador, que si se cuelga, que si no es seguro..
    Y tu les hablas de las TIC y de la HCE y no saben de que estás hablando. Pero no porque sean tontos, no, sino porque a la mayoría todo le da lo mismo.

    ResponderEliminar
  2. Gracias por la mención.
    Añadiría que la mejora de la seguridad informática pasa por la mejora de las habilidades de los profesionales sanitarios con el mundo digital y el sentido común.
    Cambiar prácticas como compartir contraseñas, dejarlas apuntadas en lugares visibles, dejar los ordenadores abiertos... son pequeños retos que precisarán tiempo para su solución.

    Un saludo desde Collado Villalba

    ResponderEliminar
  3. Yo también te agradezco la mención.
    En el año y pico que llevo tuiteando para los pacientes no he tenido ningún problema respecto a confidencialidad de datos, de hecho especifico en el twitter que no se tratan casos clinicos y cuando alguíen me pregunta en abierto intento contestar por mensaje directo.
    De todas formas, no se puede bajar la guardia y tengo siempre en mente que esto es una ventana abierta al exterior y que además lo que escribes se queda http://bit.ly/91dl8q
    Un abrazo

    ResponderEliminar
  4. De mi experiencia, esos errores humanos son consecuencia de errores organizativos: no se ha dado formación, no se han dictado normas, no se se comprueba que las normas se cumplen. Naturalmente, si las cosas se hacen bien, y se comprueba que la costumbre se mantiene, no tiene porqué haber problemas, pero la practica de las normas tiende a relajarsee hasta que se mete la pata. Y en el ambito sanitario, las infracciones suelen serr muy graves, con sanción a partir de 300.000 €.

    ResponderEliminar