El iPad no está preparado para cumplir la LOPD, ¿lo estamos nosotros?

No es raro ver a profesionales por el hospital con uno y ya hemos tenido más de una solicitud para usarlo al pasar planta. Desde luego les doy la razón… en un momento en el que los hospitales están dejando de imprimir placas y analíticas… ¡algo tendremos que dar para que puedan consultar las pruebas complementarias a pie de cama! ¿No? Lo que es triste es que sean los  propios profesionales los que tengan que traer sus equipos y que nosotros no seamos capaces de darles lo que necesitan… pero bueno, no está la situación económica para muchas florituras.

El ámbito sanitario es uno de los que maneja información más sensible, según nuestra legislación. Y no hace mucho encontré una entrada que hacía referencia a los problemas que tiene el iPad para cumplir con la LOPD.

El análisis destaca tres puntos débiles de este dispositivo:

• Identificación.
• Trazabilidad.
• Cifrado.

No soy ningún experto en seguridad, pero creo que estos problemas no son insalvables:

• Identificación y trazabilidad: Está claro que dar uno de estos dispositivos a cada profesional no es una opción
  
  Pero, ¿no quedaría resuelta la falta de trazabilidad del dispositivo si el control (y registro) de accesos se hace en la aplicación? Imaginemos la consulta de pruebas complementarias, ya sean analíticas o placas. En mi hospital (y supongo que en muchos) el acceso es vía web y es la propia aplicación la que lleva el registro de accesos. Creo que en este sentido, estos problemas estarían resueltos, ¿no?
• Cifrado: Este tema es más peliagudo. No conozco bien el iPad (no tengo ninguno), pero sí tengo un MacBook Air y éstos van equipados con FileVault, que mantiene toda tu información cifrada, protegiéndola incluso en caso de pérdida o robo. Aunque nada es fiable al 100% y romper un código de cifrado sólo es cuestión de tiempo y potencia de computación. A lo que voy, me extraña que el iPad no cuente con ninguna herramienta de este tipo (aunque sea una aplicación de pago), aunque es posible que se deba a que enlentecería demasiado el dispositivo, por no tener la capacidad de proceso necesaria (no lo diseñarían para este tipo de cuestiones).

Bajo mi punto de vista, el problema del cifrado puede ser muy grave por tres cuestiones: los archivos temporales que puedan generarse en el dispositivo (fuera del control del usuario), la información que el usuario se pueda descargar al dispositivo (de aquellas aplicaciones a las que tenga acceso) y la información sensible que el usuario pueda generar en el propio dispositivo (con aplicaciones que no estén preparadas para proteger la información).

Ejemplos del segundo caso pueden ser: guardar resultados analíticos o imágenes para revisarlos a posteriori (ya sea para un artículo, llevar trabajo a casa, preparar una presentación para dar una clase…).

Ejemplos del tercer caso: usar un gestor de notas o tareas para apuntar datos que pueden ser sensibles, por ejemplo: “Menganito, con número de historia XXX, que está en la cama tal, tiene pedidas las pruebas del VIH. Recordar mirarlas cuando termine la guardia”.

Está claro que no podemos (ni debemos) parar la evolución de la tecnología en nuestro ámbito laboral y que facilitar el trabajo de nuestros profesionales debe ser lo primero, pero también es nuestra obligación salvaguardar la información sensible de aquellos a quienes cuidamos, por lo que hay que pensárselo muy bien antes de usar un dispositivo en un entorno protegido.

Mi intención con esta entrada era que fuéramos conscientes de algunos peligros a los que podemos estar sometiendo la información que manejamos sin ser conscientes de ello. No hace falta pensar sólo en el iPad, también es válido esto si traemos nuestros portátiles (o discos USB) a los hospitales y nos llevamos información sin protegerla adecuadamente.

Mi segunda intención era despertar la comprensión cuando nos vemos obligados a regular el uso de dispositivos ajenos a la infraestructura hospitalaria.

Estoy de acuerdo en que se puede hacer mejor, que el ser excesivamente restrictivo no es la vía, que sería mejor el camino de la formación y proveer de las herramientas adecuadas… pero estamos dónde estamos, cómo estamos y los que estamos… y sólo juntos vamos a poder seguir adelante de forma eficiente… ni valen los “es que tengo que limitar el acceso porque los profesionales no saben” (visión paternalista mezclada con café para todos) ni tampoco los “hay que ver que los de Informática/Dirección no me dejan usar X para hacer mi trabajo mejor” (visión externalizadora de culpa y responsabilidades).

Ni lo uno ni lo otro… la Organización somos todos y cada uno de nosotros. Dejemos las “rencillas internas”. Ya es hora de que nos alineemos (de verdad) para un fin común.

Fuente: Tecnología PyME.