La seguridad en la E-Salud


Juan Díaz García
   Hospital Universitario Virgen de las Nieves. Granada - Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud - Av. Fuerzas Armadas nº 2, Granada, 18014 - Telf.: 970944148 - Correo: juan.diaz.sspa@juntadeandalucia.es


Resumen

La presencia de las tecnologías de la información a través de la E-salud en la práctica asistencial es cada vez mayor, generando dependencias de tipo tecnológico. Minimizar y asumir el riesgo de los problemas generados por las tecnologías es una cultura que debemos aprender, e incorporar a nuestra actividad asistencial. La legislación en materia de salud y de protección de datos crea el marco de trabajo, que junto con el tecnológico (protocolos, estándares, normas, etc.) delimitan las actuaciones de los Sistemas y Tecnologías de las Información. Asegurar la credibilidad y la confianza sobre dichos sistemas es una tarea que debemos asumir todos.


Palabras clave

seguridad, confidencialidad, protección de datos


1. Introducción

La e-Salud se incorpora a la práctica asistencial de manera definitiva, una vez pasada la etapa de automatización de la información asistencial.

La e-Salud se imbrica tanto en las Tecnologías de la Información (equipamiento, aplicaciones, sistemas operativos, bases de datos, redes, telecomunicaciones, etc.) que soporta la actividad del centro u organización. Así como los Sistemas de Información que definen los procedimientos e información gestionados, sustituyendo los procedimientos manuales por otros automatizados.

Esta evolución irreversible conlleva unas cargas que debemos asumir y compensar, para que la dependencia que generan no afecte a una asistencia de calidad. La era digital pura, no da alternativas a otros soportes de información y proceso, generando una dependencia plena de las tecnologías implicadas.

La legislación en materia de salud y de protección de datos de carácter personal ayuda a crear el marco de trabajo, que junto con el tecnológico (protocolos, estándares, normas, etc.) delimitan las actuaciones de los Sistemas y Tecnologías de las Información. Asegurar la credibilidad y la confianza de dichos sistemas es una tarea que debemos asumir por todos, desde el paciente hasta las estrategias en materia de salud de los gobiernos.

Los pilares básicos sobre los que se fundamenta los Sistemas y Tecnologías de la Información son tres:

  • Confidencialidad: la información debe ser conocida exclusivamente por las personas autorizadas, en el momento y forma prevista (1,2).
  • Integridad: la información tiene que ser completa, exacta y válida, siendo su contenido el previsto de acuerdo con unos procesos predeterminados, autorizados y controlados (3)
  • Disponibilidad: la información debe estar accesible y ser utilizable por los usuarios autorizados en todo momento, debiendo estar garantizada su propia persistencia ante cualquier eventualidad (4).

Existen otros aspectos como la Auditabilidad (5), la Autentificación (6) y el Control de Accesos a la información que complementan el marco de las propiedades esenciales de los Sistemas de Información.

La Seguridad de los Sistemas de Información conlleva unas políticas, estándares y procedimientos destinados a asegurar los principios antes citados, así como cumplir la legislación vigente, garantizar la asistencia sanitaria y promover la concienciación en materia de gestión de riesgos digitales de la organización sanitaria.

Estos sistemas de aseguramiento deben orientarse en las tres facetas fundamentales de las organizaciones asistenciales, como son el Personal, los Procesos y los Recursos/Tecnologías (7). A lo largo de esta revisión le daremos un enfoque eminentemente práctico, para que sea de utilidad desde el punto de vista de los diferentes actores en la e-Salud.


2. Marco legal

La Constitución establece como derechos fundamentales el derecho al honor, a la intimidad personal y familiar, a la propia imagen y a la autodeterminación informativa.

Estos derechos se plasman a través del ordenamiento jurídico, siendo entre otras las siguientes:

  • La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD)
  • Real Decreto 994/1999, Reglamento de Medidas de Seguridad
  • Ley 41/02 Autonomía del Paciente
  • Directiva 95/46/EC (8)


3. Estándares de Seguridad Informática

Desde el punto de vista tecnológico, se ha producido una convergencia en los protocolos, estándares “De Facto” y los procesos de normalización en diferentes aspectos de la tecnología.

Al igual que la estandarización en la informática médica, los aspectos relacionados con la seguridad en este ámbito han avanzado a los grupos de normalización. En concreto en el sector de la seguridad de los sistemas de información sanitarios han sido auspiciados a nivel nacional por AENOR a través del comité técnico 139 y en concreto en el subcomité 3, (AENOR / CTN 139 / SC III). A nivel Europeo con el Comité Europeo de Normalización, Comité Técnico 215, grupo de trabajo 4 (CEN / TC 251 / WG III) y a nivel Mundial por la ISO / TC 215 / WG IV.

Otra estandarización en este ámbito de sanidad específico es ASTM Committee E31 on Healthcare Informatics / Technical Committees / Committee E31 / Committee E31.20 on Security and Privacy.

Los estándares, normas y procedimientos de Seguridad digital de propósito general son:

  • UNE-ISO 17799 - ISO 27001
  • UNE-ISO 71502
  • COBIT - ISACA
  • FISCAM - GAO
  • SysTrust, WebTrust - AICPA
  • Principles and Practices for Security of IT Systems - NIST
  • Standard of Good Practice - ISF
  • Magerit - Ministerio Administraciones Públicas
  • VPN (12)


4. Visión del Sistema Sanitario / Corporación

El Sistema Sanitario u organización sanitaria son a través de sus Direcciones los responsables de los procedimientos e información concernientes a paciente, ya se utilicen centralizadamente o de manera distribuida (E-salud), por tanto les corresponde velar por el cumplimiento de sus funciones respecto a la Confidencialidad, Integridad y Disponibilidad de la información y asistencia realizada.

Como órgano supremo de la gestión asistencial, deben establecer los criterios de actuación en la materia de protección de datos, mediante Políticas de Seguridad que cubre todos los Sistemas de Información, incluyendo equipos físicos y lógicos, redes de comunicaciones y aplicaciones.

Para ello define:

  • Los objetivos y principios de seguridad de la información
  • El tratamiento de los recursos, es decir, el conjunto de políticas, normas y requisitos de obligado cumplimiento, incluyendo:
    • Normativa legal aplicable
    • Clasificación de los recursos según su criticidad
    • Medidas de protección de los recursos: para evitar el acceso no autorizado
    • Normas de utilización de los recursos informáticos: para evitar incidentes causados por los usuarios legítimos (9)
  • Los responsables en materia de seguridad
  • La revisión y aprobación de políticas y procedimientos de seguridad
  • El seguimiento, auditoria y control de las medidas de seguridad (10)
  • El análisis y gestión de riesgos (11)


5. Visión de la Dirección del Centro / Hospital / Unidad

El Centro asistencial, ya sea autónomo o dependiente de una organización sanitaria creará o mantendrá las medidas de seguridad localmente, para asegurar los datos personales alojados en sus dependencias, correspondiéndole las siguientes obligaciones:

A) Funciones Específicas:

  • Implantarán las medidas de seguridad y adoptará las medidas necesarias para que el personal conozca las normas que afecten al desarrollo de sus funciones
  • Designarán a los Responsables de Seguridad
  • Notificaran al personal directivo de las responsabilidades que asumen al tomar posesión de sus cargos en lo que respecta a la Seguridad de la Información
  • Cumplirán con la legislación vigente en materia de Protección de Datos y medidas de seguridad

B) Ejercicio de derechos de oposición, acceso, rectificación o cancelación de Datos de Carácter Personal:

  • Se habilitará los mecanismos para cumplir los procedimientos de ejercicio de los derechos de oposición, acceso, rectificación y cancelación según la legislación vigente.

C) Gestión de soportes:

  • Cualquier movimiento total o parcial de la información de carácter personal, ya sea en soporte físico o transferencia telemática, fuera de los locales donde están ubicados los sistemas, deberá ser autorizada.

D) Copias de Respaldo y Recuperación:

  • Para poder proceder a la recuperación de información, a partir de las copias de respaldo, se tendrá que recabar la autorización previa de los responsables funcionales.

E) Control de Accesos:

  • Se debe establecer los procedimientos para mantener siempre actualizado los accesos a los sistemas de información, mediante un control extricto de las altas y bajas de acceso de usuarios a su aplicación y/o información.

F) Controles periódicos de verificación del cumplimiento:

  • Se realizaran auditorías, externas o internas que dictaminen el correcto cumplimiento y la adecuación de las medidas de seguridad o las exigencias de los reglamentos de seguridad, identificando las deficiencias y proponiendo las medias correctoras necesarias.

G) Externalización de Servicios:

En caso de externalizar los servicios o tratamiento de los datos bajo su responsabilidad, velaran por el cumplimiento de las obligaciones contractuales asumidas.

H) Otras funciones:

  • Adoptar las medidas oportunas para que el personal usuario de las aplicaciones informáticas de su ámbito, conozca las normas de seguridad que afectan al desarrollo de sus funciones y las consecuencias en que pueden incurrir en caso de incumplimiento.


6. Visión del Personal Asistencial

Aspectos que el personal sanitario, asistencial debe observar y velar por su cumplimiento.

A) Salvaguarda y protección de las contraseñas personales:

  • Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio.

B) Sistema Informático y Telemático de Acceso a la Información:

  • Todos los recursos telemáticos e informáticos del Centro, incluido por tanto Internet y el correo electrónico, serán usados con fines profesionales directamente relacionados con el puesto de trabajo del usuario.
  • Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial.

C) Puesto de trabajo:

  • El puesto de trabajo estará bajo la responsabilidad de un usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas
  • Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad
  • Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegido.
  • Queda expresamente prohibida la conexión desde los puestos de trabajo en los que se realiza el acceso a la información, a redes o sistemas exteriores a través de dispositivos que no estén controlados por el sistema de seguridad del centro. En concreto módem, enlaces de radiofrecuencia, tarjetas inalámbricas, routers o bridget WIFI

D) Gestión de Incidencias:

  • Es obligación de todo el personal del centro notificar cualquier incidencia que afecte a la seguridad de los datos, o presunción/sospecha de la misma, que se produzca en los sistemas de información a los que tenga acceso y recopilar toda la información posible para optimizar el procedimiento de detección del problema.

E) Gestión de soportes:

  • Los soportes que contengan datos de carácter personal, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, qué tipo de datos contiene, proceso que los ha originado y fecha de creación
  • Aquellos medios que sean reutilizables, y que hayan contenido copias de datos no públicos, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables
  • Los soportes que contengan datos no públicos deberán estar almacenados en lugares a los que sólo tengan acceso personas autorizadas
  • Cualquier movimiento total o parcial de un fichero de carácter personal, ya sea en soporte físico o transferencia telemática, fuera de los locales donde está ubicado el fichero deberá ser autorizado.
  • Cuando los datos de un fichero de carácter personal deban ser enviados fuera del recinto físicamente protegido donde se encuentra ubicado el Fichero, bien sea mediante un soporte físico de grabación de datos o bien sea mediante sistemas telemáticos (correo electrónico, etc.), deberán ser cifrados de forma que sólo puedan ser leídos e interpretados por el destinatario.
  • Se deberán registrar los correos electrónicos o transferencia de datos de carácter personal por red, de forma que se pueda siempre identificar su origen, tipo de datos, formato, fecha y hora del envío y destinatario de los mismos

F) Copias de Respaldo y Recuperación:

  • El personal técnico, se responsabiliza de realizar las copias de seguridad de los servidores, y en ningún caso de los ordenadores personales. Esto implica que la información debe siempre guardarse en el espacio de servidor habilitado para los profesionales y/o Áreas concretas.


7. Visión del Paciente

Aspectos que le afecta directamente al paciente respecto a la información manejada en los sistemas y tecnologías digitales.

A) Confidencialidad de la Información:

  • El personal del centro guardará la debida reserva sobre las materias clasificadas a las que hayan tenido acceso en razón a su puesto de trabajo u otra circunstancia. Impedirán el acceso de personas no autorizadas al conocimiento de información, en cuya gestión, tramitación o custodia participe
  • Queda prohibido extraer datos de un fichero de datos de carácter personal ya existente, o crear un fichero de datos personales aprovechando los datos de un fichero ya existente, sin la autorización de los responsables del centro
  • Queda prohibido utilizar archivos con datos personales que el centro no haya comunicado y registrado ante la Autoridad competente en estas materias

B) Ejercicio de Derechos de Oposición, Acceso, Rectificación y Cancelación de Datos de Carácter Personal

  • El Responsable de Seguridad vigilará el correcto cumplimiento en cuanto a la notificación del tratamiento de datos de carácter personal al afectado, según establece el procedimiento para el ejercicio de derechos de oposición, acceso, rectificación y cancelación de datos de carácter personal.


8. Visión del Responsable de Seguridad Informática

Sus funciones serán las de coordinar y controlar las medidas definidas en las políticas, estándares y procedimientos de seguridad de la organización.

A) Política de Seguridad de la Información Corporativa:

  • El Responsable de Seguridad coordinará la puesta en marcha de las medidas de seguridad establecidas
  • Deberán mantenerse actualizadas siempre que se produzcan cambios relevantes en el sistema de información o en la organización
  • Deberá adecuar en todo momento el contenido de las disposiciones vigentes en materia de seguridad de datos, y asegurar que son conocidas por el personal afectado

B) Ejercicio de Derechos de Oposición, Acceso, Rectificación y Cancelación de Datos de Carácter Personal:

  • El Responsable de Seguridad vigilará el correcto cumplimiento en cuanto a la notificación del tratamiento de datos de carácter personal al afectado, según establece el procedimiento para el ejercicio de derechos de oposición, acceso, rectificación y cancelación de datos de carácter personal
  • El Responsable de Seguridad controlará si se están gestionando adecuadamente las reclamaciones, los tiempos y si pueden ser causa de algún tipo de sanción por parte de la Agencia de Protección de Datos

C) Gestión de incidencias:

  • El Responsable de Seguridad implantará las medidas necesarias con el fin de que se registre, cualquier incidencia que pueda suponer un peligro para la seguridad del mismo
  • El Responsable de Seguridad, analizará con periodicidad al menos trimestral las incidencias registradas, para independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro

D) Gestión de Soportes:

  • El responsable de seguridad, verificará, con periodicidad al menos trimestral, el cumplimiento de lo previsto en los procedimientos de gestión de soportes

E) Copias de Respaldo y Recuperación:

  • Al Responsable de Seguridad le corresponde la supervisión de los soportes de grabación de las copias de respaldo y de las relaciones con las empresas externas (siempre que éstas lleven a cabo labores de copias de respaldo y desarrollen la labor de custodia y aseguramiento de las copias de respaldo), toda vez que se cumpla con las garantías contractuales y legales necesarias para garantizar la seguridad y confidencialidad de las copias de respaldo, marcando las responsabilidades de cada parte en estas funciones
  • Participará en la recuperación de los datos en la forma descrita en el procedimiento de respaldo y recuperación
  • Realizará la auditoría del sistema de copias de respaldo, según establece el procedimiento correspondiente, dos veces al año, documentando el resultado

F) Control de Accesos:

El Responsable de Seguridad comprobará, con una periodicidad al menos trimestral, que la lista de usuarios autorizados se corresponde con los usuarios que realmente deben estar autorizados para el acceso a la aplicación

G) Registro de Accesos:

  • El Responsable de Seguridad revisará periódicamente la información registrada elaborando un informe de incidencias al menos una vez al mes

H) Controles Periódicos de Verificación del Cumplimiento:

  • Al menos cada dos años, se realizará una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas, identificando las deficiencias y proponiendo las medias correctoras necesarias


9. Visión Organizativa de la Seguridad

La seguridad se debe desarrollar en un programa integral:

  • Desarrollo de un programa de Seguridad corporativo, buscando su efectividad
  • La seguridad se debe integrar en la práctica diaria asistencial
  • Las vulnerabilidades de los sistemas deben ser conocidas y gestionadas
  • Las amenazas deben ser continuamente evaluadas y los controles adaptados a la realidad
  • Las medidas de seguridad deben ser proporcionales al riesgo y dinámicas
  • El coste y beneficio de la seguridad debe ser evaluado y justificado
  • Las métricas del desarrollo de la seguridad deben establecerse y medirse

10. Conclusiones

Es necesario establecer una Estrategia de Seguridad Digital, con una visión de Gestión Global de la Seguridad.

Los principios en los que se basa son:

  • Asegurar la confidencialidad y privacidad de la información
  • Prevenir la pérdida o manipulación indebida de datos esenciales
  • Garantizar la integridad de datos, aplicaciones y equipos frente a posibles amenazas
  • Garantizar el cumplimiento de la normativa legal vigente
  • Reducir el impacto de los daños físicos que pudiera sufrir el entorno tecnológico o alguno de sus componentes
  • Garantizar la calidad del servicio prestado, contribuyendo a la disponibilidad de los sistemas

Como compromiso ineludible por la seguridad de los datos confiados por los ciudadanos y por el correcto funcionamiento y utilización de sus recursos informáticos.

Debiendo conllevar un cambio de mentalidad ante la problemática de la seguridad:

  • La seguridad debe ser una preocupación para todo el personal sanitario, no siendo un problema puramente técnico
  • La seguridad en un requerimiento derivado de la asistencia, no un aspecto de la tecnología
  • La seguridad debe estar embebida en los procesos asistenciales de forma transparente, no como una actividad extraordinaria o simplemente legal
  • La seguridad es una inversión, no un sobrecoste
  • La meta es la continuidad en la asistencia de una forma sólida y estable, la credibilidad y la confidencialidad, no la seguridad en si mismo

Orientados para la consecución de los siguientes metas “Beneficio para el Paciente” (asegurando la confidencialidad, integridad y disponibilidad de la información), “Beneficio para el Personal Asistencial” (confidencialidad, autenticididad, disponibilidad, legal) y “Beneficio a la Organización” (calidad, satisfacción, normalización, legal).


11. Bibliografía

  1. Júdez J, Nicolàs P, Delgado MT, Hernando P, Zarco J, Granollers S. La confidencialidad en la práctica clínica: historia clínica y gestión de la información. Med Clín (Barc) 2002; 118(1): 18-37.
  2. Abizanda Campos R. El paciente, el médico y la confidencialidad. Jano 2000; LIX (1348): 82.
  3. Greenberg E, Misión - Critical Security Planner, Wiley Publishing, Indianapolis, 2003, 79 - 185.
  4. Chirillo J, Blaul S, Storage Security, Wiley Publishing, Indianapolis, 2003,117 - 149.
  5. Stefanek G, Information Security Best Practices, Elsevier Science, Woburn MA, 2002, 67 - 97.
  6. Smith R, Authentication, Addison-Wesley, Boston, 2002, 1 -34.
  7. Seymour Bosworth, M.E. kabay, Computer Security Handbook, 4, John Wiley, New York, 2002, 15-1, 15-46.
  8. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of such Data. Official Journal L 281, 23/11/1995 p. 0031 - 0050.
  9. Kenneth R, Forno R, Incident Response, O'Reilly, Sebastopol CA, 2001, 46- 62.
  10. Piattini, Mario y Peso, Emilio del: Auditoría Informática. Un enfoque práctico. RA-MA, Madrid, 2001. 2ª edición, 245.
  11. Taymond J, Douglas E, Building a global information assurance program, Auerbach publications, New York, 2003, 47 - 75.
  12. Steven Brown, Implementación de redes privada virtuales, McGraw-Hill, Mexico, 2001, 28 - 53.


¿Cómo citar este artículo?