Translate this

ago 212012
 

Leemos una interesante entrada en Healthcare IT News sobre vulnerabilidades de la información que debemos conocer y proteger.

Comentémoslas:

Robo: Está claro que, cuanto más sensible e importante es una información, más interés en robarla puede haber. A pesar de lo que se pueda pensar, la mayoría de los robos de información se producen “desde dentro”, no en plan ‘hackers‘ expertos de película.

¿Cómo podemos paliar esto? Pues, en contra de lo que mucha gente piensa, yo creo que lo mejor es dar usuarios y contraseñas a todo el mundo. Me explico. Si un trabajador necesita acceder a cierta información, pues démosle acceso controlado por usuario y contraseña… si no lo hacemos, ocurrirá lo que ocurre tantos centros: contraseñas compartidas (incluso puestas en ‘post-it‘ pegados al puesto de trabajo, en más de una ocasión). ¿No es mejor que cada uno tenga su usuario restringido a aquello que necesite para su trabajo? Así podremos eliminar la necesidad del “préstamo de credenciales” y hacer una correcta trazabilidad del acceso a la información, en caso necesario.

Dispositivos móviles: Esto incluye móviles, tabletas, unidades USB… cualquier dispositivo que pueda llevar información. Uno de los mayores peligros de estos dispositivos es su pérdida, ya sea accidental (hace poco le ocurrió a un ministro ;)) o por robo.

¿Cómo podemos paliar esto? Pues protegiendo adecuadamente dichos dispositivos: poniéndoles contraseñas adecuadas y cifrando su contenido. Otra medida sería que estos dispositivos nunca almacenaran información sensible, sino que accedieran a ella de manera remota en el servidor correspondiente, que es mucho más fácil de proteger.

Diseminación de la información: Está claro que cuantas más puertas tengamos que vigilar, más difícil será la tarea. En este sentido, los esfuerzos por centralizar la información que siguen nuestros sistemas corporativos van en esta línea. Lo malo es que, si se hace mal, sin los recursos suficientes, los afectados por la centralización son los usuarios: por la lentitud de los sistemas… ¿a que os suena este problema?

Externalización de servicios: Esto es cada vez más frecuente y, hasta cierto punto, necesario, pues no podemos (ni debemos) hacer todas las tareas por nosotros mismos. Pero, para que estas terceras empresas puedan trabajar, debemos darles acceso a nuestros sistemas y… ¿os acordáis del primer punto? ;) La mejor forma de paliar esto es dar el acceso justo sólo a quien lo necesite estrictamente y controlarlo estrechamente: mediante monitorización y unos contratos bien hechos, que tengan en cuenta todas las eventualidades.

La nube: Yo no voy a referirme al peligro tal y como lo define el artículo. Voy a hablar del uso que hacemos de la nube en el ámbito profesional. Ejemplo: el uso de Dropbox en nuestro hospital. ¿Debe permitirse? Pues para uso personal, no habría problema… pero, ¿qué pasa si usamos esta herramienta para la información de índole profesional? Digamos, informes, imágenes, historias clínicas, consultas… la legislación vigente es muy clara a ese respecto. ¿Qué se hace? Pues que se cortan esos servicios en nuestros centros. ¿Es lo correcto? Creo que es una estrategia equivocada, pues servicios de estos salen a diario y se hace bastante complicado controlarlos todos. ¿Qué deberíamos hacer? Lo tengo muy claro: concienciación y formación… enseñemos a nuestros profesionales a usar la nube de forma segura para la información que manejamos. Y, si tan necesario es su uso, ¿por qué no plantearnos el montar nuestra propia nube para uso profesional? Existen muchas herramientas de software libre que nos permiten crear nuestro propio Dropbox en el que somos nosotros los que controlamos el nivel de protección de la información. Es cuestión de visión y estrategia corporativa… algo que, por desgracia, no siempre tienen las personas que dirigen nuestras organizaciones.

  2 Responses to “Conocer para proteger: 5 vulnerabilidades problemáticas de la información”

  1. Lo que hay que hacer es utilizar alguna herramienta
    complementaria con DropBox para proteger lo que subimos a la nube.
    Yo utilizo Prot-On y estoy tranquila por que sé que nadie
    podría acceder a mis documentos, aunque haya una fuga de información

  2. Es una opción muy sensata, Laura.

    He estado mirando la web de Prot-On (no conocía el servicio). Personalmente desconfío de los servicios de cifrado que no te permiten elegir y “almacenar” la clave a ti mismo… y no me queda muy claro cómo funciona (me da que modifica tus ficheros…).

    No me gusta depender de terceros para estas cosas… el software libre nos da muchas alternativas para cifrar tus archivos con seguridad y autonomía.

    Muchas gracias por tu comentario.

    Un saludo.

 Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>