Seguridad de la información es un asunto que viene generando cada vez más atención. La integridad de los datos, su confidencialidad y disponibilidad son cada vez más necesarias en la medida en que aumenta la informatización del segmento. Cuanto más soluciones de m-Health surgen, mayor es la infraestructura de IT necesaria para sopórtalas, lo que aumenta la complejidad de los controles y también puede aumentar las vulnerabilidades.

Además de colocar en riesgo las actividades extremamente delicadas, las amenazas a las cuales los hospitales están sometidos pueden comprometer seriamente la reputación hospitalaria — y, todos sabemos, la reputación es un factor primordial para este segmento. Es por eso que las inversiones en seguridad de la información deben ampliarse cada vez más.

Pensando en eso, preparamos una lista con 6 consejos prácticos para garantizar la seguridad de la información del usuario.

1 - Elimine el hábito de las cuentas compartidas y cree contraseñas de accesos complejos y únicos para cada usuario

Esta práctica común entre médicos y enfermeros de usar cuentas compartidas con un conjunto de permisos para todos. Esto es especialmente común en salas de emergencia donde los funcionarios usan un único PC para el acceso a las informaciones vitales. Para evitar gastar tiempo valioso iniciando sesión en el sistema de gestión hospitalaria, una cuenta de usuario genérica es creada y compartida entre los profesionales, lo que no es seguro porque los usuarios pueden tener acceso a prácticamente cualquier información almacenada.

Por otro lado, la necesidad de iniciar sesión y finalizar sesión en el sistema puede ser un proceso demorado para usuarios que trabajan, muchas veces, corriendo contra el tiempo, pero es imprescindible que cada usuario tenga su contraseña individual que le dará acceso a las informaciones de acuerdo con el perfil establecido.

- Cree una contraseña de acceso compleja y única para cada usuario

Trabajar con una única contraseña de acceso para todas las funcionalidades de los sistemas puede ser la solución. Combinando esto con una tarjeta inteligente, que evite la necesidad de digitación de secuencias de números — tecnología RFID, por ejemplo —, usted también ayuda a los usuarios a ganar tiempo. Al presentar la smartcard para el lector, el usuario es reconocido por el software y automáticamente conectado a las aplicaciones.

La implementación de contraseñas complejas tiene consecuencias importantes para los usuarios finales. Muchas veces, si los usuarios necesitan recordar varias contraseñas diferentes y complejas, que también necesitan ser modificadas regularmente, ellos van a escribirlas y almacenarlas en algún lugar (anotación en una agenda o bloc de notas en el computador, entre otros). Esto hace que los aplicativos y sistemas maliciosos (malwares) y hasta personas mal intencionadas puedan fácilmente ver los accesos.

El consejo es provisionar una única contraseña de acceso para cada usuario, para que él no se preocupe en memorizar varias contraseñas. Con esto, médicos y enfermeros no necesitarán preocuparse con anotar sus accesos, pues tendrán que recordar apenas una secuencia.

Atención: no se olvide de exigir el formateo de una contraseña que contiene números, letras e caracteres para hacerla más segura. Esto debe ser una regla parametrizada en el sistema de gestión hospitalaria, pues la tendencia es que los usuarios opten por caminos más fáciles que no siempre son los más seguros.

2 - Distribuya niveles de acceso a los colaboradores conforme su posición en la jerarquía

Para garantizar la seguridad de la red a las informaciones en un hospital, los empleados necesitan tener los permisos de seguridad correctos con base en sus funciones de trabajo. Crear niveles de acceso a las soluciones ayudad a mejorar la seguridad. Para hacer esto se requiere la definición de controles que pueden llevar meses de trabajo del departamento de IT para implementar. Sin embargo, es posible minimizar este proceso usando una solución de control de acceso basado en roles.

En otras palabras, cada perfil profesional tendrá acceso a algunas funciones dentro del sistema, eliminando la posibilidad de un auxiliar de enfermería de ingresar a un informe de un médico, por ejemplo.

3 - Implemente el aprovisionamiento automático de usuarios

Muchas veces, cuando los funcionarios dejan el empleo en un hospital, el equipo de IT no es notificado inmediatamente, y las cuentas del empleado quedan abiertas, permitiéndoles ingresar a informaciones confidenciales hasta de fuera del lugar de trabajo — especialmente a las soluciones basadas en la nube. Eso deja los sistemas y las informaciones vulnerables y pueden tener consecuencias graves para la seguridad de la información en hospitales. El consejo es que las contraseñas tengan validez predefinida en la política de seguridad, lo que disminuirá considerablemente el riesgo.  

- Certifíquese de que el sistema de gestión hospitalaria ‘conversa’ con los Recursos Humanos

Con una solución automatizada de gestión de cuenta, el departamento de IT puede rápida y fácilmente deshabilitar cuentas después de que un empleado se despedido, garantizando conformidad con las normas de auditoría. El sistema debe estar integrado con los Recursos Humanos y cuando el departamento personal de baja, automáticamente los permisos de accesos físicos y virtuales son bloqueados. Una buena práctica es integrar el registro de usuarios y contraseñas del ERP con RH, para cuando ocurra el despido este bloquee al usuario.

4 - Almacene informaciones sobre los accesos de los usuarios y tenga un buen plan de backup

Con una única señal en la solución, la información puede almacenarse con quien está entrando en cada aplicación y en realidad es los que ellos están haciendo. Eso permite que o departamento de IT evalúe, fácilmente, quien tiene acceso a cuales aplicativos y sistemas. El monitoreo proactivo puede surtir mucho más efecto en la seguridad de la información en hospitales.

Por otro lado, también es necesario considerar la necesidad de backup, o sea, copias de los archivos que pueden recuperarse cuando exista algún daño o pérdida de datos. Eso debe estar parametrizado en los servidores, creando una rutina automatizada y que proporcione documentación validada constantemente.

Otro consejo es utilizar los servidores como espejos y discos, formando una redundancia de datos que permita el rescate de las informaciones que eventualmente fueron pérdidas o por errores de los usuarios o por ataques ya hasta por algún problema técnico que pueda ocurrir.

5 - Concientice los usuarios sobre la importancia de garantizar la seguridad de la información en hospitales

Por más aparatos tecnológicos que tengan los hospitales, por más que inviertan en antivirus, en sistemas de monitoreo etc., si los usuarios no son conscientes de los riesgos a los que están sometidos, todo el trabajo técnico puede ser comprometido.

En necesario que todos los usuarios del hospital conozcan la política de seguridad de la información, estén enterados de cuáles son las reglas, porque ellas existen, cuáles son las implicaciones de no cumplir con las normas… En fin, las personas deben conocer el asunto de seguridad de la información y enfocarse en él. Eso no se consigue de la noche a la mañana. Es necesario involucrar a los líderes, trabajar un buen plan de comunicación y estar siempre reforzando la idea.

6 - Utilice una solución integrada de gestión hospitalaria para garantizar seguridad de la información y tomar decisiones mejores

Tener varios sistemas que no se integran puede ser un problema para la seguridad de los datos, además de dificultar las decisiones estratégicas de los gestores. Cuando se ejecutan con varias aplicaciones, en las cuales tiene que iniciar sesión, los colaboradores del hospital tienden a encontrar dificultades para recordar contraseñas complejas, lo que puede colocarlos en vulnerabilidad.

La consolidación de los datos también queda comprometida cuando hay muchos sistemas que no se interrelacionan entre sí. Tener una única solución para la gestión de toda la unidad hospitalaria elimina con efectividad la mayoría de los riesgos, pues será más fácil para el equipo de IT hacer el monitoreo activo y tomar decisiones en tempo hábil cuando detecta problemas. También auxilia a los gestores en la toma de decisiones, después de todo, dispone de informes que cruzan datos de los diversos sectores y da un panorama más completo del desarrollo de la operación.