Nuestros problemas de seguridad NO están en la nube

A partir de un mensaje en el muro de Facebook de Rafael Pardo, que recomendaba el siguiente enlace: “La seguridad de los registros médicos en la nube“, basado en un artículo de Michael Koploy publicado en Software Advice. Ambos son de lectura muy recomendada.

Quiero mostraros un par de gráficos del artículo de Koploy:

Imagen en servidor ajeno. Disculpen las molestias.

Tipo de brecha de seguridad

Imagen en servidor ajeno. Disculpen las molestias.

Brechas de seguridad en los dispositivos electrónicos

¿De dónde vienen los fallos de seguridad? De manera aplastante, los robos físicos y las pérdidas son las causas con mayor frecuencia. ¿Y dónde quedan los temidos ‘hackers‘? Pues podéis ver que su porcentaje es casi testimonial… me quedo con una frase de Koploy que, a mi modo de ver, lo explica bien:

Es sólo una corazonada, pero apuesto a que más hackers quieren la información de mi tarjeta de crédito que mi ratio HDL/LDL.

Cojamos algunos datos del artículo que resultan igualmente escalofriantes:

  • 6.800 historias en papel fueron, supuestamente, enviadas por correo, pero nunca fueron recibidas.
  • Una persona que se hizo pasar por un empleado del servicio de reciclado, robó alrededor de 1.300 historias.
  • Un portátil robado por un antiguo empleado contenía historias de alrededor de 50.000 pacientes.

Algunas reflexiones que me vienen a la cabeza:

¿Por qué a veces nos obcecamos tanto con la seguridad informática y en cambio solemos descuidar la seguridad física del papel?

En mi opinión… porque se puede, porque es más sencillo. ¿Cuántas veces vemos carritos repletos de historias que son abandonados en los pasillos de nuestros centros? ¿Cuántas veces vemos un fax en la que se agolpa información confidencial que no está vigilado por nadie y queda al alcance de la mano desde el mostrador? ¿Cuántas veces damos información que no debemos por teléfono o en un mostrador?

Para el primer caso, existen soluciones. Desde las más básicas: que los carritos estén cerrados con llave. A algunas más avanzadas: que las cerraduras sean RFID y lleven un registro de quién y cuando abre y cierra el carrito (genial idea de Manuel Gimbert, que estrena blog, por cierto).

En el segundo caso, ¿todavía se usa el fax? ;) Pensaba que el correo electrónico lo había sustituido… ¿qué cómo envío algo que previamente estaba en papel? ¿Alguien ha dicho escáner? Sería cuestión de estudiar los flujos de información y formas de trabajo, pero creo que el correo electrónico puede aportar una mayor seguridad que hace que merezca mucho la pena plantearse el cambio.

En el tercer caso: concienciación, formación y respaldo a nuestros profesionales (no debemos dejarlos solos ante las reclamaciones) cuando sean tajantes a la hora de exigir la correcta identificación de un ciudadano previa a la entrega de información sensible.

¿Estamos protegiendo adecuadamente la información que estamos custodiando?

Dado el elevado porcentaje de robos y pérdidas, el cifrado de la información se vuelve una medida de protección imprescindible. Al menos, si mi dispositivo (portátil, disco duro, memoria USB…) se pierde, la información estará a salvo. Por tanto, una adecuada formación sobre cifrado y exigir que se aplique correctamente es, simplemente, inexcusable.

¿Y qué pasa con los controles de acceso (físicos) e identificación de personas?

Si alguien llega a nuestro despacho diciendo que es del servicio técnico, ¿le dejamos trastear en el ordenador? Pasa como con el ejemplo del empleado que se hizo pasar por personal de la compañía de reciclaje. Debemos adelantarnos a estos intentos de robo. Sospechar de las personas que no conocemos, no cortarnos un pelo a la hora de pedir identificación… si la persona a la que se la pedimos se indigna, signo de que hemos hecho bien en pedírsela ;)

¿Y qué pasa con nuestros perfiles de acceso?

Este puede que venga un poco menos a cuento con la temática del artículo, pero quería comentarlo aquí también.

Estoy cansado de oír a responsables perder el tiempo en discusiones estériles sobre perfiles de acceso… que si tal categoría profesional no puede acceder a tal información (casi siempre haciendo mención a la LOPD, indicio de que no la conocen y no saben lo que dicen, pues la ley no limita ‘per se‘… si alguien os alega esto, dudad de entrada).

En mi experiencia, el que argumenta esto, suele estar buscando no hacer según qué tareas… todos somos profesionales sanitarios y todos tenemos obligación de guardar secreto profesional. ¿O acaso las secretarias de Juzgado no leen las sentencias cuando las mecanografían? ¿O acaso no han escrito las altas o informes las secretarias de los servicios de toda la vida?

¿Qué preferimos? Perfiles de acceso reales o que se terminen compartiendo contraseñas… os sorprendería saber cuántas secretarias tienen las contraseñas de los jefes de servicio. Mi punto de vista es que todo el mundo debe tener el perfil de acceso necesario para poder llevar a cabo su labor profesional, ni más ni menos. Prefiero que un administrativo pueda ver información clínica (si le es necesario para su trabajo) y que lo haga con su usuario o contraseña (así sabré qué ha visto y cuándo) a que use la del jefe de servicio y su rastro se pierda. Dejemos de hacer algo que es, en mi opinión, demasiado frecuente: intentar cambiar los flujos de trabajo normales (y necesarios) de una organización a base de complicar los sistemas de información para intentar (sin éxito) que las cosas se hagan como unos pocos han pensado, en un despacho alejado de la realidad, que tienen que hacerse.

Creo que el artículo de Koploy debe hacernos reflexionar para que seamos más críticos (y autocríticos) cuando hablemos de la seguridad de la información que manejamos a diario, tarea para la que los ciudadanos depositan su confianza en nosotros.

5 comentarios Comments For This Post I'd Love to Hear Yours!

  1. Ricardo dice:

    Comparto completamente tus opiniones de este post. Hay cierta obsesión por la seguiridad cuando se habla de sistemas de información, y todos quieren ser más papistas que el papa.

    Lo he vivido en primera persona en diferentes ocasiones: un gran esfuerzo para definir perfiles y tareas y para restringir accesos a la información… y al cabo de un tiempo un esfuerzo aún mayor para ir quitando todas esas barreras para permitir que todos pudieran seguir haciendo su trabajo.

    En temas de seguridad, como en otros temas como interfaces o tratamiento de la información clínica, echo de menos alguna recomendación por parte de las administraciones para tratar de que no se reinvente continuamente. Si la hay no la conozco.

    Saludos

    Ricardo

  2. Estoy contigo en la necesidad de esas recomendaciones por parte de las administraciones sobre tratamiento de la información, interfaces, seguridad, perfiles… estaría muy bien tener todo eso protocolizado de alguna forma… ¡aunque tuviéramos 17 documentos de recomendaciones! ;) (no voy yo ahora a soñar una utopía a nivel nacional).

    Pero me da la sensación de que tardaremos en verlo… actualmente parece (y es opinión propia) que las empresas externas tienen mucho más que decir a este respecto que nuestras organizaciones (que se pliegan a ellas): ya sea por falta de criterio por nuestra parte o por otro tipo de “presiones” que todos conocemos pero de las que nadie habla.

    Espero que cambie, la verdad… espero que esa parte de la gestión también se haga transparente algún día.

    Muchas gracias por tu comentario, Ricardo.

    Un saludo.

  3. drbonis dice:

    Fran,

    Los hurtos de vinilos y CDs en las tiendas no destruyeron la industria de la música.

    Napster lo destruyó.

    El argumento de “pero si tenemos las historias en papel en un carrito” lo he oido innumerables veces. En general de boca de personas con interés profesional (o comercial) por extender el uso de historias clínicas en soporte digital.

    Que la custodia de las historias en papel no sea correcta no parece un argumento convincente para asumir riesgos en las historias digitales.

    Por otra parte los que usan este argumento del “carrito” olvidan una diferencia cualitativa importante: si consigo robar dentro de un sistema de historias clínicas digitales puedo robar millones de historiales de una sola vez, copiarlos y redistribuirlos a coste casi cero y extraer información de manera automática tambien a muy bajo coste. El daño potencial es mucho mayor. Como en el caso Napster vs hurto del vinilo.

    Te pueden robar la tarjeta de crédito que llevas en la cartera. Pero el premio está si entras en la base de datos de tarjetas de Sony y robas millones de una tajada.

  4. Julio, sobre lo que comentas de Napster, no estoy de acuerdo en absoluto, pero lo dejo para otro foro/ocasión (Twitter, correo, pasillos de algún evento…) pues no es el tema de la entrada.

    Yo no uso el argumento de la mala custodia de la historia en papel para “relajar” la de la historia digital… precisamente, sobre lo que quiero llamar la atención es que la custodia de la historia es papel es muchas veces la gran olvidada, cuando su custodia debería ser tan dura como la de la historia digital, esto es, el máximo nivel que podamos dar, pues se trata de la información con mayor nivel de sensibilidad. Si he dado otra impresión en la entrada, es que no me he expresado bien.

    Estoy de acuerdo con tu argumento sobre el impacto que tendría un robo digital versus el robo de un carrito… es muy acertado.

    Pero, lo que pretendía transmitir, es cierta tranquilidad sobre la seguridad de nuestros sistemas de información, no porque haya que relajarse, no porque no sea mejorable, sino porque hay otros puntos más débiles que no suelen ser tenidos en cuenta… al ser sistemas tan descuidados, a poco que hagas, con muy poca inversión, consigues un incremento de seguridad impresionante. Pongo el ejemplo de cerraduras RFID, por ejemplo… de coste irrisorio para el beneficio que suponen.
    Sin embargo, conociendo la seguridad de nuestros sistemas de información sanitarios, un incremento del nivel de seguridad supondría una gran inversión, pues ya estamos a muy buen nivel… muchas veces, los fallos de seguridad en los sistemas de información vienen de la mano de fallos humanos: contraseñas prestadas, sesiones no cerradas, información sensible transportada sin cifrar… en este sentido, incrementar la concienciación y formación (otra gran olvidada) también supondría una mejora importante a un costo relativamente bajo, pues partimos de una situación muy basal.

    Muchas gracias por tu comentario, Julio.

    Un abrazo.

  5. Manuel dice:

    Hola Ricardo,

    Estoy totalmente de acuerdo cuando te refieres a esas “barreras” que se imponen sin que se entiendan bien las razones.

    En mi opinión una de las principales causas de estas imposiciones es que se trata de actuaciones con el objetivo de “limitar” que acaba siendo una forma de “matar moscas a cañonazos” (como no se muy bien lo que hay que hacer, corto por aqui, corto por alli y por más allá y ya protestará alguien si no le va bien)

    El principial defecto es que esto no se hace de acuerdo a políticas definidas por los responsables de los servicios prestados´, las políticas deben estar alineadas con la organización (imprescindible) y traducirse en normas más específicas que a su vez se trasladan en procedimientos (cada nivel tiene que estar alineado con el superiro)

    El problema es que ni hay politicas, ni hay alineación con la organización ni las decisiones de “recortar” las toman quienes las tienen que tomar asesorados por los expertos en seguridad con un conocimiento profundo de la organización.

    En muchas ocasiones “cortar los puertos USB de los equipos” es una decisión del tipo “cafe para todos” tomada por el informático que se quita los problemas de encima de esta forma.

    Como tu dices, al rato hay que pasar por los equipos a volver a habilitar los puertos para aquellos que lo necesitan.

    En fin, creo que el problema es que sigue habiendo mucho desconocimiento y que las normas las hacen profesionales con intereses propios y no con los intereses de la organizacion.

5 comentarios Trackbacks For This Post

  1. ICMCC News Page » Nuestros problemas de seguridad NO están en la nube

Leave a Comment Here's Your Chance to Be Heard!