Introducción a las Medidas de Seguridad (XVIII): Almacenamiento de Documentos

Foto: through the keyhole by Laura Billing
Foto: through the keyhole by Laura Billing

No hay mucho que decir sobre los dispositivos de almacenamiento que albergan los datos de salud. En lo que se refiere a las Historias clínicas los dispositivos suelen ser los adecuados, se trata de archivos de historias clínicas bien adaptados para su custodia.

Los archivos de historias clínicas suelen estar dotados de mecanismos de acceso mediante contraseñas o tarjetas identificativas. Eso sí, a veces, por motivos operativos, las puertas se encuentran abiertas, aunque hay personal dentro del archivo.

Los archivos deben estar protegidos con puertas de acceso con dispositivos de cierre y deben permanecer cerrados cuando no se esté accediendo a los datos.

Por otro lado, en ocasiones, los archivos tienen varias puertas, por motivos de seguridad, cuentan con la puerta de emergencia. Es fundamental que esta puerta se encuentre siempre cerrada por fuera. Es obvio que si estas puertas están abiertas de nada sirve ningún mecanismo de seguridad.
Ni que decir tiene que las historias clínicas deben estar “dentro” del archivo. Parece que decir algo así es obvio. Sin embargo, hay momentos, por ejemplo durante el reparto, que las historias se pueden encontrar solas y abandonadas en la puerta del archivo. Como sólo es un momento…..
Puede que también hayáis visto en alguna ocasión historias “para tirar” apiladas a la puerta de algún archivo. Como son para tirar….. Afortunadamente estas prácticas van desapareciendo gracias a una mayor concienciación de los profesionales (Y al trabajo de las Agencias de Protección de Datos).
Resumiendo, los dispositivos de almacenamiento que contengan datos de salud deben disponer de mecanismos que obstaculicen su apertura (que menos que una llave), y además deberán encontrarse en áreas de acceso restringido.

Nada de archivadores en pasillos o huecos de la escalera por ejemplo.

Las áreas restringidas deberán estar dotadas con puertas de acceso con sistemas de apertura mediante llave u otro dispositivo equivalente y deberán permanecer cerradas cuando no se esté accediendo a la documentación.

Cuando hablamos de los archivos de las historias clínicas, se suelen cumplir todas estas condiciones. ¿Pero qué sucede con los “archivos” ubicados en oficinas o secretarías que también contienen documentación clínica?
Si se trata de documentos con datos de salud las condiciones son exactamente las mismas. Aunque eso no significa que sea complicado. Lo estaremos haciendo correctamente si seguimos algunas pautas:
  • Ubicar los archivadores en armarios cerrados con llave
  • Sólo el personal autorizado puede acceder a la llave (si alguien necesita un documento que lo pida al personal que lo custodia que se encargará de verificar si tiene acceso o no)
  • La oficina se cierra con llave cuando se queda sola
Así de sencillo. Lo normal que haríamos en nuestra propia casa si tuviéramos algo de valor.

Introducción a las Medidas de Seguridad (XVII): Criterios de Archivo

Foto: books in a stack by austinevan
Foto: books in a stack by austinevan

Seguro que conoces uno de esos lugares donde se almacenan montones de documentos apilados en cajas en los que resulta una tarea prácticamente imposible localizar un papel. Algunos incluso le llaman a eso “archivo”. Aunque más bien habría que llamarle “p´ar chivo” que será el que se acabe comiendo el papel allí almacenado.

Este sistema de almacenamiento “por estratos” no constituye un archivo ni cumple con los requisitos exigidos en la ley.

Un archivo, como tal, deberá contar con unos criterios de archivo, que podrán estar regulados por ley, como es el caso de los archivos de historias clínicas, o bien, estar determinados por el Responsable del Fichero, si no existiera normativa aplicable.

Los criterios de archivo tienen que garantizar la conservación de la documentación, su localización y la consulta de la información. Por supuesto, si es un archivo, deberá posibilitar el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de los afectados.

Por suerte para todos los pacientes, los archivos de historias clínicas están adecuadamente regulados por la Ley 41/2002 de Autonomía del Paciente, y por supuesto, ninguno almacena sus historias clínicas “por estratos”. Aunque todos conocemos lo que dice la Ley de Autonomía del Paciente, no viene mal recordar brevemente algunos de sus aspectos.

La historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.

Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

La historia clínica incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente. Todo paciente o usuario tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud tanto en el ámbito de atención primaria como de atención especializada.

La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud.

La cumplimentación de la historia clínica, en los aspectos relacionados con la asistencia directa al paciente, será responsabilidad de los profesionales que intervengan en ella.

La historia clínica se llevará con criterios de unidad y de integración, en cada institución asistencial como mínimo, para facilitar el mejor y más oportuno conocimiento por los facultativos de los datos de un determinado paciente en cada proceso asistencial.

Así que ya lo sabes. Si eres responsable de uno de esos archivos “por estratos” , se trata de un archivo “ilegal” pues no cumple con los preceptos exigidos en la ley y si no eres el responsable pero tienes conocimiento de alguno de estos archivos, comunícalo al responsable para que tenga conciencia de ello y pueda adoptar las medidas oportunas al respecto.

 

 

 

Introducción a las Medidas de Seguridad (XVI): Copias de Respaldo

Foto: Minimal by Evan
Foto: Minimal by Evan

Cuando trabajamos con un sistema de información estamos dando por supuesto que el sistema es seguro, y que por supuesto, los responsables de su funcionamiento se encargan de hacer las copias de seguridad que garantizarán la continuidad del sistema en caso de que ocurra un desastre. Algo que ocurre con mayor frecuencia de lo que nos pensamos.

Y suele ser así, un sistema de información mantenido por un equipo de profesionales que se precie contará entra otras medidas de seguridad con su copia de seguridad. Pero…

¿Trabajas siempre contra sistemas de información mantenidos por profesionales? ¿Trabajas por casualidad con sistemas mantenidos altruistamente por otros compañeros a través de carpetas compartidas, con bases de datos que se han desarrollado en Access o Excel? ¿Trabajas con datos que están en tu propio equipo local?

Si es así, ¿Haces copias de seguridad? ¿Y las haces según lo exigido en la Ley?

No es muy buena idea ni trabajar con sistemas a través de carpetas compartidas en una red ni tampoco mantener datos de salud en tu propio equipo personal. Entre otras cosas porque “Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el Boletín Oficial del Estado o diario oficial correspondiente” constituye una infracción grave.

Si esto no te parece suficiente, debes saber además que “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen” También constituye una infracción grave.

Veamos entonces en qué forma deberán realizarse las copias de seguridad para cumplir adecuadamente con la normativa vigente.

Las copias deberán realizarse al menos semanalmente, a no ser que los datos no hayan cambiado en ese periodo de tiempo. Por supuesto, además de los procedimientos “documentados” para la realización de las copias de seguridad, deben existir los procedimientos documentados para la restauración de datos de forma que en caso de desastre se garantice la recuperación de los datos en el momento previo a su pérdida o destrucción.

Si fuera necesario, y existiera soporte documental, los datos se recuperarán manualmente (si, volviendo a teclearlos)

Los procedimientos de copia y recuperación deberán ser revisados y verificados cada seis meses.

Muy importante, por razones obvias, deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación en un lugar diferente a donde se encuentran los equipos informáticos que tratan los datos. Este lugar, que es recomendable que sea un edificio diferente a ser posible, deberá cumplir a su vez con todas las medidas de seguridad necesarias exigidas en la ley.

Muy importante también el hecho de guardar el procedimiento de recuperación junto con la copia. Pues si por alguna razón el Centro de proceso de datos quedará destruido por una catástrofe, será posible recuperar los datos, y si los responsables de la recuperación no estuvieran disponibles, el procedimiento de recuperación almacenado junto a la copia permitirá a otros profesionales restaurar los datos de forma independiente.

Un último detalle, cuando se implanta un nuevo sistema de información o se modifica uno en producción suelen hacerse pruebas, pues bien, no podrán hacerse pruebas con datos reales salvo que se asegure el nivel de seguridad correspondiente (nivel alto para datos de salud) y se anoten dichas pruebas en el Documento de Seguridad de la Información, y por supuesto, antes de hacer las pruebas habrá que hacer las correspondientes copias de seguridad.

Por supuesto, nada de mezclar datos de prueba “falsos” con los datos reales en un sistema de información.

Introducción a las Medidas de Seguridad (XV): Gestión de Soportes y Documentos

Foto: "Burned" DVD, microwaved to ensure total elimination of private data by Roman Soto
Foto: "Burned" DVD, microwaved to ensure total elimination of private data by Roman Soto
¿Cómo se debe proceder cuando hay que deshacerse de documentos con datos de salud que ya son inservibles?¿Como me deshago de un ordenador antiguo? ¿Puedo llevarme Documentos o soportes con datos de salud para trabajar en casa? ¿Puedo enviar datos por correo electrónico? ¿En qué condiciones? ¿Cómo se etiquetan los soportes? Estas y otras situaciones parecidas son las que regulan las medidas de seguridad destinadas a la Gestión de Soportes y Documentos recogidas en tres artículos del Reglamento de Medidas de Seguridad.
Veamos un breve repaso sobre las medidas de seguridad aplicables para una gestión adecuada de los soportes y documentos.
En primer lugar, y lo más importante, los soportes y documentos sólo serán accesibles al personal autorizado para ello, como ya es habitual, en el Documento de Seguridad de la Información.
Usamos a diario montones de papeles, dvd’s, archivadores,… pero ¿sabemos si falta algún documento del archivador, ¿Nos daríamos cuenta? Debe mantenerse un inventario de documentos y soportes actualizado. Si no existe no podremos llevar un control sobre los mismos. Si falta alguno, no podremos detectarlo.
La información no puede salir del centro sin la autorización del responsable del fichero (los locales bajo el control del responsable). Esta regla afecta a todos los tipos de soportes. Papel, Dvd’s, pen-drives, discos duros portátiles, móviles, memorias USB,… incluso, por supuesto, al correo electrónico. Es decir, de momento, si tengo que llevarme trabajo a casa, necesito para empezar la autorización del responsable del fichero.

Mientras se transportan los soportes o documentos deben adoptarse las medidas de seguridad necesarias que impidan el acceso a la información por parte de terceros no autorizados.

O sea, nada de abandonar la documentación un momento en el pasillo mientras voy a realizar otras gestiones o a la espera de que sea recogida por las personas autorizadas para ello. La información se entrega a la persona autorizada para ello.
Cuando la información ya no es necesaria debemos asegurarnos, al deshacernos de ella, que no podrá ser accedida por nadie. Tanto si se trata de papel como de otros soportes, si contienen información de salud deben ser destruidos adecuadamente antes de desecharlos. Es mala idea utilizar las papeleras, o contenedores de reciclaje de papel para deshacernos de la documentación. Deberán utilizarse destructoras, o establecer un procedimiento para la recogida del papel desechado que garantice que se destruye adecuadamente. Los contenedores cerrados (tipo buzón) pueden ser una buena opción siempre que la recogida se realice en la forma adecuada.
Ya sabemos que los despachos siempre están cerrados cuando se quedan solos, pero si alguien entrara a la oficina, ¿qué podemos hacer para dificultarle la localización de documentación que pudiera estar buscando? Sencillamente, haciendo que el etiquetado de los soportes y documentos sea incomprensible para él, pero comprensible para el personal autorizado. De esta forma, si alguien entra en la oficina cuando no estamos, tendría que mirar en todos los armarios y A-Z para tratar de localizar lo que busca.
Cada vez que se envía o se recibe documentación debe registrarse en el Registro de Entrada y Salida de Soportes y Documentos. De esta forma, se podrá realizar una trazabilidad sobre los movimientos de información. Que enviamos, a quien lo enviamos, cuando, cuantos, por qué medio, …
Cuando la información viaja fuera de la organización en forma digital, un dvd por ejemplo, o por correo electrónico es obligatorio utilizar sistemas de cifrado (obviamente, no es aplicable para el envío de documentación en papel). Existen utilidades gratuitas y de software libre que nos permiten realizar estas acciones de forma muy sencilla, igual que cuando comprimes un fichero. Botón derecho -> Cifrar. Por supuesto, esta medida de seguridad es aplicable a cualquier dispositivo portatil. y deberá evitarse la utilización de dispositivos que no permitan el cifrado de la información. Si hubiera que utilizarlos, deberá quedar constancia de este hecho en el documento de seguridad de la información y se adoptarán medidas que tengan en cuenta los riesgos de realizar este tipo de tratamientos en entornos desprotegidos.
Algunas de estas medidas son de fácil aplicación y está al alcance de cualquier profesional aplicarlas. Otras en cambio pueden suponer algunos cambios organizativos

Introducción a las Medidas de Seguridad (XIV): Identificación y Autenticación

Foto:Clamor by José Vicente Jiménez Ribas
Foto:Clamor by José Vicente Jiménez Ribas

El proceso de Identificación y Autenticación es el mecanismo que utilizan los Sistemas de Información para establecer la identidad de un usuario que trata de acceder al mismo. Se trata de la primera medida de seguridad que debe establecer cualquier Sistema de Información.

Una vez que el usuario se ha autenticado, el sistema le asigna los privilegios para los que ha sido autorizado (archivos, carpetas, menús, aplicaciones,….)

Es obligatorio que todo sistema que realice tratamientos con datos de carácter personal esté dotado de un procedimiento de Identificación y Autenticación. Es decir, no pueden existir ficheros en los que para acceder a ellos no se solicite un usuario y contraseña, ni siquiera en equipos locales).

El identificador de usuario es único, personal e intransferible bajo ninguna circunstancia. No sirven usuarios genéricos, en los que varias personas utilizan el mismo usuario.

El identificador de usuario relaciona al profesional con las acciones que realiza en el sistema de información (como vimos en la sección anterior, todas las transacciones quedan registradas durante al menos dos años). Por tanto, prestar tu usuario a un compañero no es muy buena idea, constituiría una suplantación de identidad, un delito según el art. 197 de nuestro código penal.

Por otro lado es obligatorio que la contraseña se cambie al menos una vez al año. Y aunque no lo dice la ley, las contraseñas deben ser “fuertes”, es decir, tener un mínimo de ocho carácteres combinando letras, números y símbolos, así como mayúsculas y minúsculas, y por supuesto, el sistema no debe permitir la reutilización de contraseñas anteriores.

El documento de seguridad deberá especificar el procedimiento para la distribución de contraseñas a los usuarios. Si la contraseña es la llave de entrada al sistema, es fundamental hacerla llegar al usuario con las necesarias garantías de seguridad, confidencialidad e integridad. Una de las políticas más sencillas y efectivas consiste en obligar al usuario a cambiar la contraseña inicial asignada, poniendo la suya propia, la primera vez que accede al sistema.

Los sistemas de información almacenarán las contraseñas de forma cifrada con objeto de que nadie puede tener acceso a las mismas. Por tanto, muy mala idea escribir la contraseña en un pos-it y pegarla en la pantalla, forma muy común de acabar con el sofisticado sistema criptográfico de los sistemas informáticos. Seguro que en alguna ocasión os habéis encontrado con esta forma de “recordar” la contraseña, tan decorativa y pintoresca.

Ya por último añadir que si un usuario realiza intentos reiterados de acceso introduciendo erróneamente su contraseña, el sistema bloqueará al usuario para que tenga que solicitar de nuevo acceso a través de los administradores autorizados, algo así como lo que sucede cuando intentamos escribir el PIN el móvil y nos equivocamos varias veces. Este mecanismo trata de evitar que terceros traten de acceder a base de “prueba-error”.

 

 

 

Introducción a las Medidas de Seguridad (XIII): Control de Accesos

Foto: la donna e mobile by Omar Eduardo
Foto: la donna e mobile by Omar Eduardo
Cualquier sistema de información debe contar con mecanismos de control de acceso, de forma que sólo los usuarios autorizados puedan acceder a la información de acuerdo con las funciones que tiene asignadas y no más.

Es el principio de “Need to Know”.

Deberá existir una relación actualizada de los usuarios autorizados de forma que el sistema de información impida que un usuario acceda a recursos o información para la que no ha sido autorizado.
Normalmente será el responsable del servicio “propietario” de la información quien se encargará de autorizar los accesos del personal a su cargo de acuerdo con sus funciones, aunque probablemente será el personal informático, administradores, quienes ejecutarán estas instrucciones para conceder los permisos.
Hay que hacer especial hincapié en que igual que los responsables se acuerdan de autorizar a un nuevo usuario para que éste pueda desarrollar su trabajo, deben dar las indicaciones oportunas para retirar o modificar los permisos cuando el usuario cesa en sus funciones (fin de contrato) o cambia de funciones (traslado),
No es raro que los usuarios “acumulen” privilegios cuando se trasladan de un servicio a otro debido a que los responsables se encargan de que les asignen los nuevos, pero no se les retiran cuando el usuario finaliza su contrato o se traslada a otro servicio.
Los Responsables de conceder o autorizar permisos deben estar expresamente autorizados para ello en el Documento de Seguridad.
Por supuesto, si hay trabajadores externos a la organización que trabajan con los sistemas de información deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.
Los servidores de los Sistemas de información y los dispositivos de comunicación estarán ubicados en salas especiales (Centros de Proceso de Datos), cuyo acceso estará restringido al personal exclusivamente autorizado para ello. Normalmente será el personal informático y personal de mantenimiento de los sistemas informáticos.
Todos los accesos a los Sistemas de Información quedarán registrados al menos durante dos años, ¿Quién accedió a qué?, El Responsable de Seguridad de la Información verificará este registro mensualmente y elaborará un informe de las revisiones realizadas y los problemas detectados.
¿Y que sucede con los Ficheros no Automatizados? Pues tres cuartos de lo mismo.
El acceso a los archivos se limitará exclusivamente al personal autorizado y se establecerán mecanismos que permitan identificar los accesos realizados a los documentos. De nuevo ¿Quién accede a qué?
Normalmente, el acceso a las Historias Clínicas en papel queda registrado, el Servicio de Archivo registra todas las peticiones. Sin embargo, no suele suceder lo mismo con los incontables archivos en papel distribuidos por los centros sanitarios.
Raro será el despacho o la secretaría que no cuente con el clásico armario lleno de A-Z con documentación copia de otros documentos de la Historia clínica o impresiones de documentos que están en los sistemas de información, habría que plantearse si son necesarios estos archivos. En otros casos se trata de información que no está en la historia clínica y que pueden resultar necesarios para la gestión del servicio.
En estos casos, el registro de accesos podría ser tan sencillo como que todos los accesos se realizaran a través del personal de secretaría (que podría anotar todos los accesos), si esto no fuera posible, bastaría con adjuntar una hoja en el interior del A-Z  y que cada usuario anotara su propio acceso.

Introducción a las Medidas de Seguridad (XII): Gestión de Incidencias de Seguridad

Foto: Alarma by Rodrigo Cartajena Armijo
Foto: Alarma by Rodrigo Cartajena Armijo
Una incidencia de Seguridad es cualquier anomalía que “afecte o pudiera afectar” a la seguridad de los datos, que como ya hemos visto en secciones anteriores se basa en la “Confidencialidad, Disponilidad e Integridad” de la información.
Muchos de los llamados “errores administrativos o errores informáticos” no son más que incidencias de seguridad de la información gestionadas inadecuadamente.
El personal conoce ya sus funciones y obligaciones entre las que se encuentra comunicar las incidencias de seguridad que detecten tanto en profesionales, Sistemas de Información o procedimientos, por tanto, se hará necesaria una infraestructura organizativa adecuada para canalizar y dar respuesta a los incidentes comunicados.
Para empezar un Responsable de Seguridad, del que hablaremos en siguientes apartados, a quien comunicar las incidencias y encargado de revisarlas, analizarlas y proponer las medidas oportunas para corregirlas y evitar que se repitan.
Será necesario por tanto un procedimiento para comunicar dichas incidencias y un registro para llevar el control, y aprender de las mismas en el futuro. Este registro tiene carácter obligatorio.
El registro de incidencias debe contemplar lo siguiente:
  • El tipo de incidencia
  • El momento en que se ha producido o detectado
  • La persona que realiza la notificación (no puede ser anónimo por tanto)
  • A quién se comunica la incidencia
  • Efectos que se han derivado de la misma
  • Las medidas correctoras aplicadas para evitar que se reproduzca.
El procedimiento de Gestión de Incidencias, debe contemplar además la gestión de incidencias. Lógicamente de poco sirve un registro de incidencias si no conlleva una gestión adecuada. Como mucho como repositorio de aprendizaje para el futuro.
Una gestión de incidencias, además del registro contemplará el procedimientos de análisis y la emisión de informes con las medidas preventivas, correctivas u organizativas propuestas, así como el seguimiento de las mismas hasta la  aplicación real de las mismas.
Claro está, la figura del Responsable de Seguridad juega un papel decisivo.

¿De que sirve pulsar el timbre de alarma si nadie mira el panel?

Si el Responsable de Seguridad es inexistente, o recae en el Jefe de Informática, que tiene otros objetivos, otros problemas y otro papel, en el directivo al que “le ha tocado”, o no tiene el apoyo adecuado de la organización cuando propone las medidas correctoras, seguiremos ante un simple de registro de incidencias (cumplimiento formal de la ley) sin ninguna utilidad real para el ciudadano ni para la organización, pues las incidencias de seguridad seguirán produciéndose igualmente.
Los procedimientos de recuperación de datos (restauración de copias de seguridad) son incidencias que deben registrarse, además de la persona que ejecutó el proceso de restauración, habitualmente personal informático, y si hubiera sido necesario recuperar datos manualmente (picar datos de nuevo porque se perdieron) también deberá quedar reflejado.
Mencionar además que para le ejecución de estos procedimientos de recuperación de datos será necesaria la autorización del responsable del fichero.

Introducción a las Medidas de Seguridad (XI): Funciones y Obligaciones del Personal

Foto: Tour aeroclub Rosario by Facundo A. Fernández
Foto: Tour aeroclub Rosario by Facundo A. Fernández
La ley y su reglamento destacan varias figuras importantes en el entorno de la seguridad de la información. El Responsable del Fichero, El Responsable de Seguridad, El Responsable del Tratamiento, el Encargado del Tratamiento…. Sin embargo,

La figura más importante en materia de seguridad de la información son los profesionales.

Son los profesionales los que se enfrentan al tratamiento de la información, realizando miles de transacciones, alimentando, modificando o eliminando la información errónea y por tanto, los que tienen más oportunidades para cometer un error.
En cualquier organización, la mayoría de los incidentes relacionados con la seguridad de la información proceden del propio personal de forma accidental o intencionada.
Si queremos que una organización se adapte a la LOPD y gestione adecuadamente los incidentes de seguridad en la información tendremos que contar forzosamente con la colaboración de los profesionales, que constituyen el eslabón más importante de cualquier sistema de información.
Es el Responsable del fichero quien tiene la obligación de hacer que se redacten las políticas, normas y procedimientos oportunos dirigidos a garantizar la seguridad de la información. Políticas y normas globales, sencillas y claras, normas de obligado cumplimiento para todo el personal de la organización, regulando aspectos como el uso de los sistemas de información, los equipos informáticos, las redes, el uso del correo electrónico y demás servicios disponibles en la organización o en internet.
Las políticas deben constituir la guía y la base para unos procedimientos más detallados y específicos y que por supuesto, deberán estar alineados tanto con las políticas como con los objetivos de la organización.

Si las normas regulan, los procedimientos detallan.

Aspectos tales como la cesión de datos, el envío de información de salud a través de las redes, gestión de las incidencias de seguridad o la forma de realizar las copias de respaldo y recuperación deberán estar recogidos en sus respectivos procedimientos. Algunos de estos procedimientos pueden tener un impacto directo en la seguridad del paciente.
En el diseño de los procedimientos se debe tener muy en cuenta la realidad cotidiana de los profesionales, de forma que en cualquier caso siempre supongan una mejora en la seguridad y en la calidad de la información, pero teniendo en cuenta que no deben suponer una carga adicional para el profesional, sino todo lo contrario.

Un buen procedimiento de seguridad aportará mejoras a los procedimientos habituales no impactando en la actividad diaria del profesional.

Por supuesto, de nada servirán normas ni procedimientos si no son difundidos y asumidos adecuadamente por los profesionales que deben seguirlos. De nuevo es el Responsable del Fichero quien se debe ocupar de garantizar una adecuada difusión. Las campañas de concienciación y formación dirigidas a los profesionales son posiblemente las herramientas más efectivas para ello. El uso de redes sociales, gestores de contenidos, plataformas de formación, ayudarán a dichas campañas persistan en el tiempo y lleguen a los profesionales.
Medidas organizativas como el nombramiento del Responsable de Seguridad, algo obligatorio por otra parte, y la constitución de comisiones de seguridad de la información integradas por representantes de todos los sectores de la organización ayudarán a mantener en marcha la maquinaria de la seguridad y a incrementar en nivel de conciencia en el nivel directivo además de constituir referentes para los profesionales, pues una vez concienciados surgirán dudas y se comunicarán incidentes a los que habrá que dar respuesta.
Las funciones y obligaciones del personal deberán estar documentadas y recogidas en el Documento de Seguridad de la Información donde se incluirán además las funciones de control y autorizaciones delegadas por el Responsable del Fichero.
Por último, añadir que los profesionales deberán conocer las consecuencias del incumplimiento de sus funciones y obligaciones, en el caso de los centros sanitarios públicos, será la aplicación del Régimen Disciplinario Interno.

Introducción a las Medidas de Seguridad (X) : Las Medidas de Seguridad

Foto: No mas fronteras by Claudio
Foto: No mas fronteras by Claudio

El objetivo de la seguridad es asegurar la integridad, la disponibilidad y la confidencialidad, tanto de los datos almacenados como durante su transporte.

Además, una gestión adecuada de la seguridad se ocupará de garantizar el cumplimiento normativo legal vigente en cada momento.

La seguridad de la información no se establece por arte de magia. Vale! Pero es que no es cosa de magos.

Es necesario llevar a cabo una serie de actuaciones dirigidas al establecimiento de Sistemas de Gestión de Seguridad de la Información (SGSI), Algunos de estos elementos clave serán:
  • Conseguir el compromiso de la alta dirección
  • El establecimiento de políticas y procedimientos
  • La organización de los roles y responsabilidades
  • La concienciación
  • El seguimiento del cumplimiento
  • La gestión y la respuesta a los incidentes de seguridad
Nada nuevo, por supuesto, pero no vamos a entrar en este curso en estas materias que serían objeto de cursos específicos sobre gestión de seguridad de la información.
Ex-empleados, Personal externo, Personal temporal o poco experimentado, el “ignorante accidental”, incluso empleados autorizados mal intencionados, son los agentes que podrían poner en riesgo la información con relativa facilidad.
No es necesario hablar de Hackers , Crackers u otros atacantes de la fauna que pulula por las redes dedicados a realizar intrusiones ilegales con objetivos variados.
Sólo mirando hacia dentro de nuestra organización ya tenemos trabajo que hacer en materia de seguridad.
Tampoco es necesario pensar en amenazas del tipo virus, caballos de Troya, wire- tapping, Gusanos, Bombas lógicas, Ataques de denegación de servicio, War driving, piggybacking, back doors, phishing, spamming, spoofing y tantos y tantos palabros que suponen amenazas contra los sistemas de información. Para esto ya están los informáticos y montones de herramientas que hacen un buen trabajo, aunque hay que pagarlas, eso si.
Basta pensar en errores de identificación del paciente, “sistemas de información” en equipos locales sin protección, ficheros “no oficiales”, transporte de información inadecuado, uso de dispositivos portátiles con información de salud sin mecanismos de cifrado, envío de correos electrónicos con datos de salud sin cifrar, uso de pen- drives o discos duros portátiles sin cifrar, para darnos cuenta de que tenemos más problemas de seguridad dentro que fuera de nuestra organización. Y es curioso, la resolución de las amenazas internas suele salir gratis o al menos bastante barato.
Podríamos hablar un buen rato sobre los tipos de medidas de seguridad. Medidas de tipo organizativo y medidas de tipo técnico o tecnológico. Medidas preventivas, Medidas Detectivas y Medidas Correctivas, pero en esto curso nos vamos a centrar en medidas de seguridad muy sencillas y del más puro sentido común. Hablaremos de las medidas de seguridad aplicables a los ficheros de salud y exigidas en el Reglamento de Medidas de Seguridad. Casi todas estas medidas son de tipo organizativo, por tanto,

es cuestión “de organizarnos” un poco.

En los próximos capítulos hablaremos, aunque brevemente sobre:
  • Los Niveles de Seguridad de la Información
  • Funciones y Obligaciones del Personal
  • Gestión de Incidencias de Seguridad
  • Control de Accesos
  • Identificación y Autenticación
  • Gestión de Soportes
  • Criterios de Archivo
  • Almacenamiento de Documentos
  • Custodia de Soportes
  • El Responsable de Seguridad de la Información
  • Copia y Reproducción de Soportes y Documentos
  • Auditorías
  • Comuinicaciones
  • Traslado de Documentación.