No sólo de perder USBs puede ser insegura la información

A colación de nuestra última entrada, encontramos un artículo relacionado y muy interesante en Better Health: “More Lost Patient Data: How Can We Prevent This From Happening?“.

En este caso habla de una pérdida mayor aún que un USB: habla de la pérdida de ordenadores completos con información importante sin cifrar. No penséis que es algo descabellado. En centros de cierto tamaño, si uno va con una bata diciendo que es de Informática, lo normal es que se le deje hacer de todo; hasta llevarse el ordenador si te dice que tiene que hacerle algo en el taller… ¿verdad? Es cierto que muchos centros van solucionando esto con identificaciones con foto, pero sólo hace falta un poco de inteligencia emocional y demostrar mucha seguridad para conseguir tus fines.

De todos modos, lo que me gustaría destacar de este artículo son algunas ideas:

  • Que la información esté en servidores centralizados situados en instalaciones seguras. Bueno, esto ya se hace. En Andalucía, por ejemplo, el acceso a la historia clínica es remoto (usando Citrix) pero, ¿está toda la información importante en un servidor centralizado? Si fuera así, el robo de un equipo no sería tan dramático, ¿qué pasaría si robaran el ordenador de tu servicio? Estoy seguro (y mi experiencia así me lo ha indicado) de que hay mucha información importante en los ordenadores de los servicios. Y ya no sólo se trata de que tengan información importante, es que tampoco suele estar regulada y controlada su copia de seguridad.
  • No soy técnico, te invito a que me enseñes a manejar información encriptada. La piedra angular de todo esto: concienciación y formación.
  • Si eres un técnico, ¿por qué no haces un programa que nos haga sencillo el encriptar sin que interfiera con nuestro uso de la información? Esto es una verdad como una casa, desde mi punto de vista. Nuestras herramientas corporativas deberían tener incorporadas formas de poder trabajar con nuestra información de manera segura sin aumentar la complicación. Por ejemplo, ¿por qué no llevan nuestros clientes de correo incorporados un botoncito para “Encriptar/Desencriptar”? Cuando un profesional quiere usar el correo electrónico para comunicarse con los ciudadanos, siempre hay alguien que lanza un grito al cielo mencionando la LOPD con una reverencia… ¿la actitud? La prohibición y jugar con el miedo de los profesionales. ¿Qué debería hacerse? Pues darse cuenta de la importancia y necesidad de esta funcionalidad y trabajar en ella. ¿O acaso preferimos mirar hacia otro lado hasta que ocurra un accidente? Y cuando ocurra, ¿culpamos al profesional o miramos a nuestro ombligo por no haber hecho nada?

Como veis, la pérdida de información es un tema de capital importancia. La cuestión es empezar a adelantarnos a las necesidades y usos de los profesionales y ciudadanos para procurarles un medio seguro y fácil. Por ahora, no estamos en esa situación; vamos a remolque y por eso surgen los problemas que surgen.

8 comentarios Comments For This Post I'd Love to Hear Yours!

  1. Manuel dice:

    La seguridad en un hospital es compleja,

    ¿Cuantos se dedican a la seguridad en el Hospital?

    Seguridad del paciente, seguridad de la información, seguridad física, seguridad perimetral, prevención de riesgos laborales, medicina preventiva, medicina laboral,….

    Sin embargo, aunque esto parece mezclar el agua y el aceite hay que ir inevitablemente a una gestión integral de la seguridad, o iremos ocmo siempre, cada cual por su lado e incluso en direcciones opuestas.

    Creo que un buen punto de encuentro es la Comisión de Seguridad del paciente, cuya existencia está recomendado por la OMS.

    Por cierto, con agua y aceite se hace un gazpacho de muerte, aunque hay que agitarlo un poco de vez en cuando ;)

  2. Totalmente de acuerdo contigo, Manuel.

    Ahora mismo, cuando se habla de Comisión de Seguridad del Paciente, la mayoría entiende un concepto limitado (desde el punto de vista más amplio que expones). Lo ideal es que se amplíe a todo lo que verdaderamente significa seguridad del paciente. ¿O acaso que la identificación de las personas en la historia clínica no es un problema de seguridad que puede afectar mucho a la seguridad de la salud de nuestros pacientes?

    Esperemos que más pronto que tarde estas cosas dejen de ser “cosas de geeks” ;)

    Muchas gracias por tu comentario.

    Un abrazo.

  3. Fernando Alonso dice:

    Pues lo siento Fran, no creo para nada en la centralización, tengo 1000 razones para ello y la seguridad también es una. Por cierto el CPD del Santander ha costado mas de 200 millones de euros y tendrá a su servicio centenares de personas. En ese caso, desde un punto de vista de la seguridad, creería, desde los otros, aplicados a la sanidad, no. Hoy mismo podéis leer en el país lo que pasa con 1 sola vez que una base de datos masiva fué utilizada para fines….. Poco claros. Esta no fue en sanidad pero también tengo ejemplos en investigación, en gestión, en “cotilleo” (y no me sirve que es un delito porque hay delitos que una vez producidos no tienen reparación, sí legal pero no moral)

  4. Esto no es sólo un problema de la sanidad pública, es un problema que atañe a cualquier profesional independiente. Desde médicos particulares a una simple guardería.

    Creo que más que conocimientos “geeks” hace falta un poco de formación general, sentido común e interés.

    No sólo está el peligro físico de que se lleven un ordenador, también existen virus, troyanos y un sinfín de métodos para robar información. Además deberíamos tener presente también el tema de las copias de seguridad. A veces el que roben un equipo puede ser el menor de los males.

  5. Desde un punto de vista práctico, es mucho más eficiente gestionar la seguridad de un sólo sitio que la de cientos de sitios, ¿no crees?

    Los malos usos siempre van a estar ahí. Y estoy de acuerdo contigo en que los que suceden sobre bases de datos masivas tienen una repercusión mayor. Pero en esto ocurre como cuando comparamos los accidentes de coches y los de avión. Los malos usos “locales” son tan habituales (y no por maldad, ¿eh?) que ya casi pasan desapercibidos.

    Quizás habría que apostar por un modelo mixto: ciertos datos centralizados (los importantes: CMBD, por ejemplo) y otros podrían estar descentralizados. En la práctica, esto está ocurriendo así, por mucho que digan que no -> historia clínica electrónica “oficial” (la de las fotos) y cientos de aplicaciones “departamentales” (para las que se mira hacia otro lado en muchos casos) con una cantidad no despreciable de información.

    Pero si tengo algo claro, es que no es un asunto sencillo ;)

    Muchas gracias por tu comentario.

    Un abrazo.

  6. Estoy completamente de acuerdo contigo, Carlos.

    Sobre todo en lo de “formación general, sentido común e interés”. Muchas veces, cuando hablo con compañeros sobre esto piensan que es cosa de frikis y que hay que tener unos conocimientos muy técnicos… ¡y nada más lejos de la realidad!

    Muchas gracias por apuntarlo y por tu comentario.

    Un saludo.

  7. Hola,

    el 100% es difícil de alcanzar en cualquier escenario. El lo que atañe a la seguridad de la información, no iba a ser distinto. Aún así, me parece increíble que se pueda plantear si la centralización en servidores de ficheros, aplicación, etc puede aportar más seguridad que tener dispersa la información en equipos cliente.

    En mi centro de trabajo (hospital) hace tiempo que hemos migrado toda la información que teníamos inventariada a servidores centralizados. Hemos concienciado a nuestros usuarios de la importancia de guardar la información de esta manera. Para ellos también es una seguridad dado que si un disco de un equipo cliente falla, no perderán información.

    Si necesitan hacer un trabajo en una BBDD/fichero excel particular lo pueden hacer pero el archivo de datos se almacena de manera centralizada. Cada Servicio tiene su estructura de carpetas, con sus permisos, etc

    Por supuesto las instalaciones de aplicaciones departamentales, HIS, RIS, HCE y demás siempre se hacen de manera centralizada.

    Un saludo,
    Si no hablamos antes, felices fiestas!
    Toño G. Parada

  8. Estoy totalmente de acuerdo contigo, Toño. Tanto, que uno de los últimos proyectos en los que estuve implicado en mi hospital fue precisamente montar lo mismo que tú comentas con la misma intención.

    Antes de montar la herramienta específica (SharePoint) ya fuimos migrando poco a poco ficheros “departamentales” (digamos) -Access, Excels, Words…- a los servidores del hospital. Cuando empezamos, las ventajas eran tantas, que muchos servicios empezaron a pedírnoslo e hicieron “cola”.

    Una vez que se les explica bien cómo funciona, ¡son todo ventajas!

    Felices fiestas para ti también.

    Un fuerte abrazo.

8 comentarios Trackbacks For This Post

  1. ICMCC News Page » No sólo de perder USBs puede ser insegura la información

Leave a Comment Here's Your Chance to Be Heard!