¿Protegemos bien la información clínica?

Cuando hablo de seguridad y contraseñas siempre menciono un “refrán” que leí una vez y me gustó mucho: “Las contraseñas son como la ropa interior; hay que cambiarla frecuentemente y no dejársela a nadie“. Parece algo bastante razonable, ¿verdad? Pero es muy difícil llevarlo a la práctica.

Los que nos dedicamos a estas “cosas que dan calambre” (como dice un compañero mío refiriéndose a la Informática), tenemos que estar predicando muchas veces al día con esto… y la sensación de estar haciéndolo en el desierto está presente muchas veces; algunos ejemplos: ordenadores con usuarios y contraseñas pegados en un Post-it, contraseñas compartidas para una aplicación departamental, dar las contraseñas de entornos clínicos a personal administrativo para la realización de tareas burocráticas (y que conste que considero que la culpa en este caso es de las aplicaciones, luego me explico), ceder la contraseña del correo electrónico para facilitar alguna cosa… ¿por qué seguir? Seguro que podéis pensar en muchos ejemplos más.

Siempre suelo decir la misma frase cuando veo esto: “¿Dejarías el PIN de tu tarjeta bancaria con la misma alegría?“. Claro, cuando nos tocan el dinero propio las facciones cambian… pero claro, eso es mucho más importante que la información clínica (que tiene el más alto nivel en la Ley de Protección de Datos), ¿verdad?

En muchas ocasiones lo hacemos por desidia, de acuerdo… pero en otras tantas, la cesión de contraseñas puede entenderse (aunque no compartirse). Me refiero a aquellas secciones de nuestras aplicaciones que sólo son accesibles por contraseñas de perfil médico pero que sirven para tareas burocráticas… ¿qué ocurre al final? Que el/la facultativ@ de turno le cederá su contraseña al/la secretari@ del servicio para que cumpla esta función administrativa. ¿Quién es el culpable aquí? Está claro que el que cede la contraseña que, en muchas ocasiones, no es consciente de la gravedad de lo que está haciendo. Pero quiero decir algo, sin justificar la cesión de contraseñas (aclaro)… ¿no deberíamos de diseñar nuestras aplicaciones de forma diferente? Todos los profesionales (clínicos o no) estamos sujetos al secreto profesional. ¿Por qué ponemos trabas absurdas? Al final, como decía Ian Malcom en Jurassic Park: “La vida se abre camino“… y aquellos circuitos mal diseñados y que poco tienen que ver con el día a día de nuestros centros, buscarán su “truco” para resolverlos de la mejor forma para todos… repito, ¿quién es el culpable?

Otro problema que hace que usemos mal las contraseñas es: “¡Es que tenemos una contraseña para cada cosa!“. ¡Y tienen toda la razón! Aunque debo decir que esto es algo que se trabaja y en lo que hemos avanzado mucho a nivel corporativo (hablo de Andalucía)… eso sí, no podemos culpar a nuestra organización de todas las aplicaciones departamentales “ajenas” que intentamos meter en el sistema. Somos nosotros (y eso es algo que intento cumplir siempre que puedo) los que debemos exigir a las empresas externas que se adapten a nuestros sistemas de validación de usuarios (LDAP, dominio… en ese sentido el SAS ha tenido una buena iniciativa: DMSAS).

Y algo que también hacemos muy mal: “¡Yo tengo la misma contraseña para todo: mi fecha de nacimiento!“. Usar la misma contraseña para todo es un error. Conozco muchos casos cercanos que tienen el mismo PIN para las 6 tarjetas bancarias que llevan en la cartera… ¡y a veces la llevan apuntada en un papel en la misma cartera! La segunda reflexión sobre esta frase es que las contraseñas que usamos suelen ser bastante fáciles de atacar:

  • usar palabras (por ejemplo: árbol, prado, primavera, coche o el nombre propio de alguien), hace nuestra contraseña muy sensible a los ataques de diccionario.
  • usar datos personales (por ejemplo: fecha de nacimiento, matrícula del coche, DNI), hace nuestra contraseña muy sensible al hacking social.

¿Qué debemos hacer? Usar palabras que incluyan mayúsculas, minúsculas, números y signos de puntuación. Por ejemplo: T5$hF12! Podéis pensar que será difícil de recordar, pero hay muchos trucos para hacer contraseñas muy fuertes sin tener que recordar gran cosa. Por ejemplo, “primavera” podría ser “Pr1m4v3r4!”… ¿veis?

Tampoco me quiero extender mucho más, ni hacer de esto una clase de seguridad informática. En realidad, todo lo que he escrito venía a cuento de comentar un excelente estudio publicado en JMIR sobre la fortaleza de las contraseñas utilizadas para proteger la información sanitaria en los ensayos clínicos -pero es que me he enredado… como siempre-. Su lectura es muy recomendable para despertar conciencias. Sólo destacaré que “el 93% de las contraseñas -algunas de las cuales protegían miles de registros clínicos con información personal de participantes en ensayos clínicos- fueron crackeadas en poco tiempo con herramientas comerciales que cualquiera puede conseguir“.

Y eso que estamos hablando de proteger con contraseña… no hablamos de encriptar… pero eso lo dejamos para otra entrada, que esta ya es demasiado larga.

Os dejo un enlace al artículo traducido.

3 comentarios Comments For This Post I'd Love to Hear Yours!

  1. Manuel dice:

    Al respecto de este tema, siempre suelo contar a sanitarios y administrativos que todo lo que hacen en los Sistemas de Información queda registrado y guardado durante un mínimo de dos años (igual que todo lo que se hace en internet a través de su IP) y que son responsables de los actos que se hayan realizado con su contraseña. Ah, y que la falta de deber de secreto supone una inhabilitación de empleo y sueldo de dos años como mínimo.

    Asi que ….. mas vale proteger tu contraseña o podría dolerte la cabeza.

  2. Muy atinados los comentarios. La verdad es que si la parte usuaria y la parte tecnológica no colaboran la cadena de seguridad se rompe. También es cierto que como usuario padezco la tortura de las contraseñas fuertes y cambiantes y se agradece la implantación de sistemas amigables de identificación única que se encargan de la complejidad de navegar por los sistemas corporativos.

    En servicios como el sanitario en el que un paciente está al cargo de un servicio, la gestión de la identidad es, si cabe, más compleja. Paso un enlace a un documento sobre un producto comercial de Oracle sobre identidad y su potencial para el cumplimiento de las normas americanas de seguridad en sanidad HIPAA que, al menos, en sus primeras páginas se hacen consideraciones interesantes.

    http://bit.ly/e3t6wi

    Es un tema muy técnico y en inglés, lo siento

  3. Muchas gracias por tu comentario y por proporcionarnos información tan interesante… el Single Sign-On… ¡¿¡cuándo llegará de verdad!?! Ains…

3 comentarios Trackbacks For This Post

  1. Tweets that mention El cuaderno de bitácora de Fran Sánchez » ¿Protegemos bien la información clínica? -- Topsy.com

Leave a Comment Here's Your Chance to Be Heard!