A partir de un mensaje en el muro de Facebook de Rafael Pardo, que recomendaba el siguiente enlace: “La seguridad de los registros médicos en la nube“, basado en un artículo de Michael Koploy publicado en Software Advice. Ambos son de lectura muy recomendada.
Quiero mostraros un par de gráficos del artículo de Koploy:
Tipo de brecha de seguridad
Brechas de seguridad en los dispositivos electrónicos
¿De dónde vienen los fallos de seguridad? De manera aplastante, los robos físicos y las pérdidas son las causas con mayor frecuencia. ¿Y dónde quedan los temidos ‘hackers‘? Pues podéis ver que su porcentaje es casi testimonial… me quedo con una frase de Koploy que, a mi modo de ver, lo explica bien:
Es sólo una corazonada, pero apuesto a que más hackers quieren la información de mi tarjeta de crédito que mi ratio HDL/LDL.
Cojamos algunos datos del artículo que resultan igualmente escalofriantes:
- 6.800 historias en papel fueron, supuestamente, enviadas por correo, pero nunca fueron recibidas.
- Una persona que se hizo pasar por un empleado del servicio de reciclado, robó alrededor de 1.300 historias.
- Un portátil robado por un antiguo empleado contenía historias de alrededor de 50.000 pacientes.
Algunas reflexiones que me vienen a la cabeza:
¿Por qué a veces nos obcecamos tanto con la seguridad informática y en cambio solemos descuidar la seguridad física del papel?
En mi opinión… porque se puede, porque es más sencillo. ¿Cuántas veces vemos carritos repletos de historias que son abandonados en los pasillos de nuestros centros? ¿Cuántas veces vemos un fax en la que se agolpa información confidencial que no está vigilado por nadie y queda al alcance de la mano desde el mostrador? ¿Cuántas veces damos información que no debemos por teléfono o en un mostrador?
Para el primer caso, existen soluciones. Desde las más básicas: que los carritos estén cerrados con llave. A algunas más avanzadas: que las cerraduras sean RFID y lleven un registro de quién y cuando abre y cierra el carrito (genial idea de Manuel Gimbert, que estrena blog, por cierto).
En el segundo caso, ¿todavía se usa el fax? 
Pensaba que el correo electrónico lo había sustituido… ¿qué cómo envío algo que previamente estaba en papel? ¿Alguien ha dicho escáner? Sería cuestión de estudiar los flujos de información y formas de trabajo, pero creo que el correo electrónico puede aportar una mayor seguridad que hace que merezca mucho la pena plantearse el cambio.
En el tercer caso: concienciación, formación y respaldo a nuestros profesionales (no debemos dejarlos solos ante las reclamaciones) cuando sean tajantes a la hora de exigir la correcta identificación de un ciudadano previa a la entrega de información sensible.
¿Estamos protegiendo adecuadamente la información que estamos custodiando?
Dado el elevado porcentaje de robos y pérdidas, el cifrado de la información se vuelve una medida de protección imprescindible. Al menos, si mi dispositivo (portátil, disco duro, memoria USB…) se pierde, la información estará a salvo. Por tanto, una adecuada formación sobre cifrado y exigir que se aplique correctamente es, simplemente, inexcusable.
¿Y qué pasa con los controles de acceso (físicos) e identificación de personas?
Si alguien llega a nuestro despacho diciendo que es del servicio técnico, ¿le dejamos trastear en el ordenador? Pasa como con el ejemplo del empleado que se hizo pasar por personal de la compañía de reciclaje. Debemos adelantarnos a estos intentos de robo. Sospechar de las personas que no conocemos, no cortarnos un pelo a la hora de pedir identificación… si la persona a la que se la pedimos se indigna, signo de que hemos hecho bien en pedírsela 
¿Y qué pasa con nuestros perfiles de acceso?
Este puede que venga un poco menos a cuento con la temática del artículo, pero quería comentarlo aquí también.
Estoy cansado de oír a responsables perder el tiempo en discusiones estériles sobre perfiles de acceso… que si tal categoría profesional no puede acceder a tal información (casi siempre haciendo mención a la LOPD, indicio de que no la conocen y no saben lo que dicen, pues la ley no limita ‘per se‘… si alguien os alega esto, dudad de entrada).
En mi experiencia, el que argumenta esto, suele estar buscando no hacer según qué tareas… todos somos profesionales sanitarios y todos tenemos obligación de guardar secreto profesional. ¿O acaso las secretarias de Juzgado no leen las sentencias cuando las mecanografían? ¿O acaso no han escrito las altas o informes las secretarias de los servicios de toda la vida?
¿Qué preferimos? Perfiles de acceso reales o que se terminen compartiendo contraseñas… os sorprendería saber cuántas secretarias tienen las contraseñas de los jefes de servicio. Mi punto de vista es que todo el mundo debe tener el perfil de acceso necesario para poder llevar a cabo su labor profesional, ni más ni menos. Prefiero que un administrativo pueda ver información clínica (si le es necesario para su trabajo) y que lo haga con su usuario o contraseña (así sabré qué ha visto y cuándo) a que use la del jefe de servicio y su rastro se pierda. Dejemos de hacer algo que es, en mi opinión, demasiado frecuente: intentar cambiar los flujos de trabajo normales (y necesarios) de una organización a base de complicar los sistemas de información para intentar (sin éxito) que las cosas se hagan como unos pocos han pensado, en un despacho alejado de la realidad, que tienen que hacerse.
Creo que el artículo de Koploy debe hacernos reflexionar para que seamos más críticos (y autocríticos) cuando hablemos de la seguridad de la información que manejamos a diario, tarea para la que los ciudadanos depositan su confianza en nosotros.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure