Ciberseguridad en el Sector Sanitario

por | Sep 1, 2021 | Seguridad, Tecnología

Durante 2020, la ciberseguridad ha adquirido gran importancia para el Sector Sanitario.

Los cambios sociales que han acelerado la implantación de teletrabajo, trámites online y servicios prestados a través de videoconferencia, han impulsado la digitalización del sector y, como consecuencia, la necesidad de incrementar los niveles de seguridad de la información de los pacientes.

Por eso, si gestionas una clínica o consultorio y has digitalizado parte de los procesos e información que se genera a diario en el centro médico, te interesará saber cómo protegerte de las amenazas de seguridad de la información.

Qué es la ciberseguridad

Cuando nos referimos a ciberseguridad , estamos haciendo referencia al conjunto de acciones, procesos y métodos de apoyo destinados a proteger los equipos informáticos y conexiones de red que se utilizan para almacenar y trabajar con la información. Así, su principal objetivo es evitar el secuestro o robos de esta información o la pérdida del control de los equipos que la administran.

Estos ataques que comprometen la información de las empresas o centros sanitarios se destinan tanto a personas como a empresas, siendo los usuarios, en muchos casos, el elemento más vulnerable, es decir, la puerta de entrada que permite el acceso a los equipos informáticos y, en consecuencia, a la información.

Cómo afecta la digitalización a la ciberseguridad de los centros sanitarios

La digitalización de procedimientos sanitarios como la gestión de citas online, videoconsultas,  digitalización de la historia clínica o el acceso de los usuarios a su información médica facilitan tanto la gestión del gran volumen de información que se genera en una clínica o consultorio,  como el cumplimiento del RGPD.

Aunque el disfrute de estos beneficios no está exento de responsabilidad.  Desde el momento en el que los datos son almacenados en equipos informáticos conectados a internet, se debe tener en cuenta que éstos son vulnerables. Y es así si no se toman las medidas de ciberseguridad aplicadas al sector sanitario necesarias para protegerlos. 

Qué nos dice el RGPD sobre la seguridad de los datos médicos

El sector de la salud ha evolucionado enormemente en las últimas tres décadas en todo lo relacionado con el tratamiento que hace de los datos médicos. Una evolución que en España se inició en 1999 con la Ley Orgánica de Protección de Datos (LOPD) .

Posteriormente, en 2018, España aprobó la nueva  Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos  (LOPDGDD), una adaptación de la legislación española al Reglamento Europeo de Protección  (RGPD) de datos de 2016.

Estos cambios consolidan en España, y en el sector sanitario que opera dentro del país, una nueva cultura de la privacidad. Una cultura en la que se pone de manifiesto la necesidad de proteger de forma eficiente los datos del paciente.

Y para hacerlo, es importante entender con claridad algunos de los aspectos:

¿Quién es el responsable de la protección de los datos del paciente?

La AEPD (Agencia Española de Protección de Datos) aclara en su guía para pacientes y usuarios de centros sanitarios que:  

Son los profesionales médicos y centros de atención sanitaria los encargados de velar por su seguridad y por la privacidad de los datos de la historia médica del paciente.

Para saber cómo debemos preservar la seguridad y confidencialidad de los datos del paciente, es importante conocer la normativa legal vigente sobre el tratamiento de datos relativos a la salud.

Tipos de datos y su tratamiento

Así, existen 2 tipos de de datos con los que trabaja el profesional sanitario son:

  • Los datos personales o identificativos
  • Los datos relativos a la salud

Ambos datos se recopilan en la Historia Clínica del paciente. Datos que además van acompañados de otras pruebas diagnósticas, tratamientos, valoraciones y la identidad de los profesionales sanitarios que trabajan con el paciente.

Pues bien,  el Reglamento General de Protección de datos en España establece que los datos sanitarios son datos sensibles, lo que los convierte en datos especialmente protegidos, algo que debemos de tener en cuenta cuando decidimos qué medidas de seguridad aplicar a los mismos.

Acceso a los datos del paciente

Ya quedó atrás la época en la que cualquier profesional de centro sanitario tenía acceso a los datos de los pacientes. 

En la actualidad es importante tener en cuenta que sólo un grupo de personas pueden acceder a la historia clínica del paciente, y cada una de ellas por una circunstancia concreta y debidamente justificada (autoridades sanitarias, pacientes, personal de administración del centro, personal médico…)

Mantener políticas estrictas de acceso a los datos en función de las tareas a desarrollar por cada uno de los profesionales del centro médico, no sólo ayuda a preservar la confidencialidad del paciente. 

También evita la exposición de información al sufrir un ciberataque cuando éste se ha iniciado desde la cuenta de uno de los integrantes del equipo médico o de atención a los pacientes.

Ciberseguridad y salud: Cómo evitar el robo o secuestro de datos sanitarios

El robo o secuestro de datos es una práctica llevada a cabo por ciberdelincuentes profesionales. Estos trabajan de forma constante – y con gran cantidad de medios- en encontrar puntos débiles de seguridad en los sistemas de gestión y almacenamiento de información. 

Esto les permite secuestrar los datos para, posteriormente, pedir una compensación económica para rescatarlos. O simplemente robarlos de forma silenciosa para después comerciar con la información (generalmente datos personales) que han obtenido de tu base de datos de pacientes.

Para evitar este tipo de incidentes de seguridad puees aplicar los siguientes consejos de ciberseguridad para el sector sanitario:

Uso de antivirus  

Los antivirus protegen a tus equipos de programas maliciosos, malware, que se  introducen en el sistema para, una vez instalado, llevar a cabo el proceso para el que han sido creados: Robo de datos, posibilitar el acceso a los equipos informáticos a usuarios externos, borrar información, etc.

El malware se encuentra habitualmente en correos, archivos, webs u otros recursos usados por los usuarios del centro médico. Y estos, como hemos dicho más arriba, suelen ser el punto de entrada más vulnerable al sistema de información.

Sistemas de protección de red

Como paso previo, y siempre que los equipos estén alojados en tu centro médico, se recomienda el uso de firewalls (cortafuegos) o IDSs que protejan la red privada de la clínica de  intrusiones o ataques externos. 

La misión de estos equipos es informar (IDS) o bloquear (Firewalls) el acceso a conexiones o a usuarios no autorizadas.

Habilitar un acceso personal y seguro para cada usuario

Cada usuario debe tener su propio acceso: Login y clave de acceso al sistema personal. 

Las claves de usuario deben ser seguras: Debe incluir números, utilizar una combinación de letras mayúsculas y minúsculas. Incluir caracteres especiales, tener una longitud mayor o igual a 8 caracteres y no debe tener espacios en blanco.

Además, no debe utilizarse información personal en la contraseña ( nombre, fecha de nacimiento, etc.), ni patrones de teclado (qwerty) o números en secuencia (1234).

Habilitar distintos permisos de acceso a cada usuario

Cada usuario debe contar con distintos permisos de acceso a la información. Tanto por motivos de seguridad como para evitar quiebras en el cumplimiento del RGPD.

Respaldo de datos

Contar con backups de datos clínicos tal como te explicamos en este artículo

Usar servicios de almacenamiento y gestión de información en la nube

Si no dispones de conocimientos o el personal necesario para implementar las soluciones anteriores, te recomendamos utilizar un servicio de gestión y almacenamiento de datos sanitarios en la nube como igaleno.

Podrás disfrutar de altos estándares de seguridad, además de cumplir con el RGPD, sin que tengas que preocuparte por ello. Si aún no lo conoces, solicita aquí tu demo gratuita.

* Te puede interesar: Historia Clínica Cloud

Acerca de igaleno
Expertos en desarrollo de Software Médico de Gestión en la Nube para Clínicas y Consultas Médicas. Ponemos a tu alcance una solución que incluye servicios avanzados de atención al paciente y la posibilidad de acceder a la información de forma segura desde cualquier lugar y dispositivo.
Ordenador Citas médicas 100x100

Guía de Funcionalidades de igaleno

Averigua cómo puede ayudarte nuestro SOFTWARE MÉDICO DE GESTIÓN EN LA NUBE a mejorar el rendimiento de tu centro médico. 

Tratamiento de datos

Hemos enviado el link de descarga a la dirección de correo electrónico que nos has facilitado.