¿Qué es necesario para que nuestra información sanitaria esté segura?

Me parece especialmente interesante el informe del Departamento de Salud Estadounidense al que hacen referencia sobre sus brechas de seguridad que han afectado a más de 500 individuos. Me parece fundamental la transparencia con la que tratan el asunto y os recomiendo que le echéis un vistazo a la tabla dinámica en la que podéis ver y ordenar los eventos a vuestro gusto. También podéis descargar los datos al completo, si lo deseáis. ¿Sabéis cuáles son las dos primeras razones que han comprometido la seguridad de la información? Robos y pérdidas; nada de cosas que se ven en las películas de piratas informáticos… al final, todo está en las personas.

Mi opinión al respecto es que nuestra información estará protegida cuando nosotros sepamos protegerla; cuando nosotros mismos le demos la importancia necesaria a la seguridad de la información.

Como es lógico, nuestros sistemas de información tienen que poner de su parte. Hay múltiples formas de hacerlo: algunas que molestan más a los usuarios y algunas que molestan menos.

Desde mi punto de vista y experiencia, se abusa demasiado de los que molestan a los usuarios. No voy a hacer una entrada larga detallando mil ejemplos; me voy a  ir a la que más frecuentemente escucho: identificarse en nuestros sistemas de información.

Pondré y comentaré los dos ejemplos que me parecen más relevantes:

Tener más de un usuario para diferentes sistemas: sé que en esto se trabaja duro y que cuesta mucho integrar todas las aplicaciones bajo un mismo usuario. Quizás estamos pagando una mala planificación desde el principio. Quizás sea que no supimos dar las indicaciones adecuadas a los terceros que desarrollan el software para nosotros. Sea lo que sea, no es cuestión de buscar culpables, pero no podemos dejar de ser conscientes de los sufridores de esto cada día: los usuarios. Soluciones, las hay. Implantarlas, complejo, lo sé. Para el que tenga interés, os dejo una referencia de Wikipedia sobre single sign-on.

Sistemas de bloqueo de sesiones: es lo que os pasa cuando os levantáis a buscar algo y cuando volvéis el terminal está bloqueado, teniendo que escribir usuario y contraseña de nuevo. Esto resulta tan molesto que todos conocemos mil y un trucos para evitarlo.

En este punto hay dos cuestiones. El bloqueo de las sesiones es completamente necesario y obligatorio, pero está en nuestras manos hacerlo mucho más fácil: ¿por qué usuarios y contraseñas escritos? Hay alternativas tecnológicas que ya son hasta viejas: tarjetas de identificación y huellas digitales. Sinceramente, no entiendo por qué no se implantan estos sistemas. Si fuera así, estoy seguro de que nadie se quejaría de tener que identificarse varias veces.

¿Qué ocurre entonces? Pues que se crea un rechazo a estas medidas de seguridad completamente necesaria y los “trucos” empleados no hacen más que poner en peligro la información: dejar el terminal con el teclado pulsado para que no cierre sesión, las famosas contraseñas genéricas, compartidas o prestadas y demás que ya conocéis.

¿Cuál es la reacción? Supongo que no os sorprenderéis, pero yo he estado en reuniones en las que se ha planteado endurecer las medidas restrictivas como solución: “Hagamos que la sesión se corte incluso si la tecla está pulsada”, “Hagamos que se cierre antes”… hagamos, hagamos… ¿por qué no en vez de molestar más a los usuarios buscas alternativas más sencillas? ¿Por qué no sales de tu despacho e intentas explicar y concienciar al respecto? Hay otras formas de hacerlo, la verdad, ¿no pensáis como yo?

Ahora llegamos a la otra parte, los ciudadanos. Actualmente se están planteando los múltiples problemas que supone dar la información a sus legítimos propietarios. Es cierto que no es un tema sencillo y que requiere mucho trabajo… pero más que trabajo técnico, yo pienso que hay que trabajar CON las personas (dejemos los paternalismos tecnológicos, no intentemos trabajar PARA ellos).

Las medidas que suelo oír siempre van en el mismo tono que con los usuarios: restricciones y hacer difícil lo fácil. Pero de formar y concienciar escucho poco. Nos llevamos las manos a la cabeza cuando escuchamos malas noticias relacionadas con las redes sociales y nuestros menores (llenas de desinformación y alarmismo, todo sea dicho también), pero no veo que existan asignaturas o clases al respecto de cómo comportarse y protegerse en la Red… ¿no podrían ser parte del temario de la asignatura de la ciudadanía? Por poner un ejemplo, vamos.

Para terminar esta entrada pondré dos ejemplos de los grandes de Internet: Google y Facebook.

• Centro de seguridad para familias de Facebook.
• Centro de seguridad familiar de Google.

¿Alguna vez veremos el centro de seguridad del Ministerio de Sanidad? Bueno, perdón, que el Ministerio no está para estas cosas… pues el centro de seguridad de alguna Consejería. Todo será que salga el primero para que tengamos 17 centros, con sus 17 presupuestos y sus 17 dispendios económicos.

Hasta que no empecemos a trabajar CON nuestra población (y no PARA ella), hasta que no empecemos a hacernos responsables de nuestra propia información (y los que deciden lo permitan y trabajen por ello seriamente), hasta que no nos lo tomemos con la importancia que tiene… hasta entonces, mal iremos.