La necesidad de empezar a mejorar la salud no sólo de los pacientes, sino de las poblaciones enteras, cada vez está tomando un interes mas relevante. Vimos unos años atras, como los smartwhatch empezaban a involucrase en nuestras vidas , como las zapatillas se conectaban con nuestros teléfonos, como nuestra botella inteligente nos indica cuando beber agua ... todo asociado a un único fin como he indicado, empezar a mejorar la salud de la población. Todo ello asociado a un tratamiento especial de estos datos y una mas que necesaria renovación de las infraestructuras del sector salud, para hacer frente a dicho movimiento.
Pero este interes, ha abierto otra serie de puertas , que a mi entender, tienen una importancia muy relevante dentro del mundo de la seguridad, y que sería la seguridad de los datos de salud o datos clínicos, información tan importante o más que una cuenta bancaría o su numero de tarjeta asociado.
Las entidades sanitarias están en plena transformación en tecnologías de la información. Hace unos días he hablado sobre las tendencias de en ciberseguridad de este año , y si bien , esta no se consideraría una tendencia, 2017 creo que será el año de transformación y renovación de las infraestructuras tecnológicas en el ámbito sanitario y la securización de las mismas para estos datos sensibles.
Análisis del riesgo de seguridad en el sector salud
De acuerdo con HHS , el proceso de análisis de riesgo identifica amenazas y vulnerabilidades en sistemas que contienen información electrónica de salud protegida (ePHI).
El Instituto Nacional de Ciencia y Tecnología (NIST) y su Publicación Especial (SP) 800-30 identifica los diferentes tipos de amenazas :
- Humana : Incidentes permitidos o causados por humanos. Pueden ser involuntarios (entrada erróneas de datos) o deliberadas (software malintencionado, ataques basados en red, acceso no autorizado, etc.).
- Naturales : Desastres que pueden afectar sistemas que contienen datos o redes, incluyendo inundaciones, terremotos, tormentas eléctricas, etc.
- Ambientales : Fallo de energía continuado, contaminación, productos químicos o fuga de líquidos.
Por ello, y según este mismo criterio, un análisis de riesgo incluye:
- Inventario de todos los sistemas y aplicaciones utilizados para acceder y almacenar datos
clasificación de sistemas y aplicaciones por nivel de riesgo - Una evaluación de las medidas de seguridad actuales, la probabilidad y el impacto potencial de que ocurra una amenazas
- Consecuencias anticipadas de datos perdidos o dañados y sistemas de datos dañados
Por si estáis interesados, esta guía: HIPAA Security Series: Fundamentos de Análisis de Riesgos y Gestión de Riesgos , proporciona una orientación más detallada para el análisis de riesgos y planes de gestión de riesgos tanto tanto para organizaciones sanitarias como sus asociadas que usen dichos datos.
Gestión del riesgo y la ciberseguridad en el sector salud
La gestión de riesgos es la implementación real de medidas de seguridad para reducir el riesgo de una organización de perder o comprometer los datos de pacientes, así como cumplir con los estándares generales de seguridad, según el HHS.
El Instituto Nacional de Estándares y Tecnología (NIST), indica que el marco de una gestión de riesgos y seguridad debe incluir:
- Categorización de los sistemas de información
- Selección, implementación y evaluación de controles de seguridad
- Sistemas de información de autorización
- Supervisión de controles de seguridad
Una manera de protegerse contra las vulnerabilidades conocidas de sistemas y software es mantener actualizadas las aplicaciones, seleccionando una solución de seguridad que detecte dispositivos obsoletos o posiblemente comprometidos, que traten en sus sistemas con datos de pacientes. Esto garantizaría que sólo los dispositivos confiables, correctamente parchados y actualizados, accediesen a información confidencial.
Otro control esencial de seguridad está relacionado con los controles de acceso y la autenticación con sistemas que contienen datos de pacientes. La implementación de la autenticación de doble factor en toda la organización , puede garantizar que sólo los usuarios legítimos y de confianza puedan acceder a las aplicaciones y los datos de los pacientes mediante la verificación de su identidad mediante un segundo factor.
En relación con la autenticación robusta, la misma, podría haber ayudado a prevenir las brechas de seguridad debido a amenazas de phishing, que pudieron haber sido la causa raíz de una violación de datos en 2015 en Anthem , siendo el segundo mayor asegurador de salud en los Estados Unidos en numero de pacientes.
La importancia de la seguridad en datos clínicos
Los ataques de ciberseguridad dirigidos al sector sanitario ha aumentado un 100% desde 2010. Del mismo modo, los costes de violación o vulneración de estos datos han aumentado un 15%, y todo ello aumentando.
La necesidad de un nuevo enfoque para asegurar los datos de los pacientes o datos de salud, es mayor que nunca.
Pero la realidad se reduce a un increible confusión sobre la legislación y normativa en el sector sanitario. Los requisitos de seguridad obligatorios como pueden ser la HIPAA, los sistemas electrónicos de registro de salud (EHR) y más, pueden llegar a complicar la búsqueda de soluciones.
Por ello, debemos ser conscientes que estamos compartiendo nuestra salud y plantearnos, como de seguros están estos datos. Personalmente tengo un AppleWatch y yo pienso,¿Estarán seguros mis datos? ¿Con quien se comparten?, datos tales como:
Frecuencia cardiaca , Distancia recorrida ... y este mismo planteamiento, trasladarlo a nuestro hospital, a nuestro historial clínico.
~~ El dia de mañana~~ Hoy mismo, se robaran datos clínicos y cientos de empresas y sectores, estarán deseando comprarlos.