Cultura de seguridad de la información alineada al uso de herramientas protege datos de beneficiarios de los sistemas de salud

Es un facto real que el desarrollo de la Tecnología de la Información ayuda en la gestión hospitalaria. Sin embargo, con el avanzo de las herramientas y soluciones, surgen oportunistas que las pueden utilizar criminalmente y que, algunas veces, invaden redes para robar, secuestrar, bloquear o modificar datos de beneficiarios. Con esas amenazas, es importante que la IT del hospital esté segura para garantizar la privacidad del ciudadano.

El acceso indebido a datos clínicos y financieros de hospitales creció 600% solamente en 2014, según Websense. Los ataques alcanzan sistemas hospitalarios, salas de emergencia, centros de diagnóstico y hasta operadoras de planes de salud. Pesquisa de KPMG, realizada en el 2º semestre de 2015, muestra que 81% de los gestores del área tuvieron sus instituciones atacadas en los últimos años; 39% dijeron no poseer mecanismos confiables de seguridad de la información para la prevención de futuras invasiones. Todavía, lo más preocupante es que el estudio contabilizó ataques de aficionados por informática que utilizan su gran conocimiento para romper códigos de seguridad, contraseñas de acceso a redes y códigos de programas con fines criminales, en lugar de contribuir con accesibilidad de la informática a todos, e indicar posibles fallas de un sistema.

Por la recurrencia de casos, es necesario tener una cultura de seguridad de la información en el hospital. 

 

Herramientas básicas y avanzadas

Conozca algunas soluciones que identifican intentos (bien o mal sucedidos) de ataques a sistemas de informaciones:

- Antivirus: herramienta básica de cualquier computadora, se utiliza en la identificación de amenazas al sistema.

- Firewall: Dispositivo de seguridad que monitorea el tráfico de red de entrada y salida, y permite o bloquea tráficos específicos de acuerdo con conjunto definido de reglas de seguridad. Su finalidad de uso es el bloqueo de ciertos tráficos en comunicaciones que pueden propiciar resultados indeseados relacionados a ataques en sistemas.

- Antispam: herramienta que tiene como objetivo evitar el recibimiento de mensajes potencialmente maliciosas que pueden comprometer estaciones de trabajo y dispositivos móviles.

- Criptografía: Técnica por la que se codifican y se descodifican las informaciones apenas para el destinatario. En este método, cada persona o entidad mantiene dos claves: una pública – que se puede divulgar normalmente – y otra privada – que debe permanecer en secreto.

- Segmentación de red: División de la red de computadoras en subredes para descentralizar el tráfico. Permite establecer políticas que habilitan solamente a los empleados responsables el acceso a determinadas informaciones y aplicaciones, servidores y recursos de red específicos.

- Protecciones a redes sin cable: Contraseñas, firewalls específicos, cuidado al conectar dispositivos son algunas de las medidas necesarias para proteger informaciones vía redes wifi.

Además de las herramientas básicas, se puede incrementar la gestión hospitalaria de seguridad con la implantación de algunos requisitos adicionales, como:

- Protección contra conexión de dispositivos desconocidos en ambiente de red.

- Sistemas que identifican intrusión, destinados a identificar tráfico sospechoso que comprometa sistemas e/o informaciones.

- Procesos que garantizan la eficacia de controles por acciones periódicas de auditoría.

- Medición de la seguridad de sistemas por análisis de vulnerabilidad técnica, también denominada penetration testing, que simula ataques a través de redes internas de un hospital o vía internet.

- Procesos que garantizan la continuidad de los negocios en caso de potencial desastre significativo a las informaciones y sistemas del hospital.

- Procesos que objetivan la acción inmediata en caso de identificación de intentos exitosos de violación a la seguridad de la información, que exigen el establecimiento de un proceso y el trabajo de un grupo de respuesta a incidentes en seguridad de la información.

 

Normas y reglas

Uno de los materiales de consulta es el manual Seguridad de la Información para Hospitales – Segurança da Informação para Hospitais, elaborado por la entidad brasilera Associação Nacional de Hospitais Privados (Anahp), y la norteamericana Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA, en la sigla en inglés).

Las publicaciones muestran la necesidad que las instituciones de salud tienen de proteger las informaciones de amenazas previsibles, proporcionar seguridad e integridad, y evitar el uso o divulgación no autorizada de esos datos. Deben también asegurar que su fuerza de trabajo cumpla los requisitos para que se mantenga sigilo.    

Con la cultura de la seguridad de la información en las organizaciones y las herramientas adecuadamente instaladas en los sistemas de IT, la gestión hospitalaria garantiza la protección de los datos de los beneficiarios y evita daños causados por ataques de criminales virtuales.