Durante 2020, la ciberseguridad ha adquirido gran importancia para el Sector Sanitario.
Los cambios sociales que han acelerado la implantación de teletrabajo, trámites online y servicios prestados a través de videoconferencia, han impulsado la digitalización del sector y, como consecuencia, la necesidad de incrementar los niveles de seguridad de la información de los pacientes.
Por eso, si gestionas una clínica o consultorio y has digitalizado parte de los procesos e información que se genera a diario en el centro médico, te interesará saber cómo protegerte de las amenazas de seguridad de la información.
Contenido:
Qué es la ciberseguridad
Cuando nos referimos a ciberseguridad , estamos haciendo referencia al conjunto de acciones, procesos y métodos de apoyo destinados a proteger los equipos informáticos y conexiones de red que se utilizan para almacenar y trabajar con la información. Así, su principal objetivo es evitar el secuestro o robos de esta información o la pérdida del control de los equipos que la administran.
Estos ataques que comprometen la información de las empresas o centros sanitarios se destinan tanto a personas como a empresas, siendo los usuarios, en muchos casos, el elemento más vulnerable, es decir, la puerta de entrada que permite el acceso a los equipos informáticos y, en consecuencia, a la información.
Cómo afecta la digitalización a la ciberseguridad de los centros sanitarios
La digitalización de procedimientos sanitarios como la gestión de citas online, videoconsultas, digitalización de la historia clínica o el acceso de los usuarios a su información médica facilitan tanto la gestión del gran volumen de información que se genera en una clínica o consultorio, como el cumplimiento del RGPD.
Aunque el disfrute de estos beneficios no está exento de responsabilidad. Desde el momento en el que los datos son almacenados en equipos informáticos conectados a internet, se debe tener en cuenta que éstos son vulnerables. Y es así si no se toman las medidas de ciberseguridad aplicadas al sector sanitario necesarias para protegerlos.
Qué nos dice el RGPD sobre la seguridad de los datos médicos
El sector de la salud ha evolucionado enormemente en las últimas tres décadas en todo lo relacionado con el tratamiento que hace de los datos médicos. Una evolución que en España se inició en 1999 con la Ley Orgánica de Protección de Datos (LOPD) .
Posteriormente, en 2018, España aprobó la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos (LOPDGDD), una adaptación de la legislación española al Reglamento Europeo de Protección (RGPD) de datos de 2016.
Estos cambios consolidan en España, y en el sector sanitario que opera dentro del país, una nueva cultura de la privacidad. Una cultura en la que se pone de manifiesto la necesidad de proteger de forma eficiente los datos del paciente.
Y para hacerlo, es importante entender con claridad algunos de los aspectos:
¿Quién es el responsable de la protección de los datos del paciente?
La AEPD (Agencia Española de Protección de Datos) aclara en su guía para pacientes y usuarios de centros sanitarios que:
Son los profesionales médicos y centros de atención sanitaria los encargados de velar por su seguridad y por la privacidad de los datos de la historia médica del paciente.
Para saber cómo debemos preservar la seguridad y confidencialidad de los datos del paciente, es importante conocer la normativa legal vigente sobre el tratamiento de datos relativos a la salud.
Tipos de datos y su tratamiento
Así, existen 2 tipos de de datos con los que trabaja el profesional sanitario son:
- Los datos personales o identificativos
- Los datos relativos a la salud
Ambos datos se recopilan en la Historia Clínica del paciente. Datos que además van acompañados de otras pruebas diagnósticas, tratamientos, valoraciones y la identidad de los profesionales sanitarios que trabajan con el paciente.
Pues bien, el Reglamento General de Protección de datos en España establece que los datos sanitarios son datos sensibles, lo que los convierte en datos especialmente protegidos, algo que debemos de tener en cuenta cuando decidimos qué medidas de seguridad aplicar a los mismos.
Acceso a los datos del paciente
Ya quedó atrás la época en la que cualquier profesional de centro sanitario tenía acceso a los datos de los pacientes.
En la actualidad es importante tener en cuenta que sólo un grupo de personas pueden acceder a la historia clínica del paciente, y cada una de ellas por una circunstancia concreta y debidamente justificada (autoridades sanitarias, pacientes, personal de administración del centro, personal médico…)
Mantener políticas estrictas de acceso a los datos en función de las tareas a desarrollar por cada uno de los profesionales del centro médico, no sólo ayuda a preservar la confidencialidad del paciente.
También evita la exposición de información al sufrir un ciberataque cuando éste se ha iniciado desde la cuenta de uno de los integrantes del equipo médico o de atención a los pacientes.
Ciberseguridad y salud: Cómo evitar el robo o secuestro de datos sanitarios
El robo o secuestro de datos es una práctica llevada a cabo por ciberdelincuentes profesionales. Estos trabajan de forma constante – y con gran cantidad de medios- en encontrar puntos débiles de seguridad en los sistemas de gestión y almacenamiento de información.
Esto les permite secuestrar los datos para, posteriormente, pedir una compensación económica para rescatarlos. O simplemente robarlos de forma silenciosa para después comerciar con la información (generalmente datos personales) que han obtenido de tu base de datos de pacientes.
Para evitar este tipo de incidentes de seguridad puees aplicar los siguientes consejos de ciberseguridad para el sector sanitario:
Uso de antivirus
Los antivirus protegen a tus equipos de programas maliciosos, malware, que se introducen en el sistema para, una vez instalado, llevar a cabo el proceso para el que han sido creados: Robo de datos, posibilitar el acceso a los equipos informáticos a usuarios externos, borrar información, etc.
El malware se encuentra habitualmente en correos, archivos, webs u otros recursos usados por los usuarios del centro médico. Y estos, como hemos dicho más arriba, suelen ser el punto de entrada más vulnerable al sistema de información.
Sistemas de protección de red
Como paso previo, y siempre que los equipos estén alojados en tu centro médico, se recomienda el uso de firewalls (cortafuegos) o IDSs que protejan la red privada de la clínica de intrusiones o ataques externos.
La misión de estos equipos es informar (IDS) o bloquear (Firewalls) el acceso a conexiones o a usuarios no autorizadas.
Habilitar un acceso personal y seguro para cada usuario
Cada usuario debe tener su propio acceso: Login y clave de acceso al sistema personal.
Las claves de usuario deben ser seguras: Debe incluir números, utilizar una combinación de letras mayúsculas y minúsculas. Incluir caracteres especiales, tener una longitud mayor o igual a 8 caracteres y no debe tener espacios en blanco.
Además, no debe utilizarse información personal en la contraseña ( nombre, fecha de nacimiento, etc.), ni patrones de teclado (qwerty) o números en secuencia (1234).
Habilitar distintos permisos de acceso a cada usuario
Cada usuario debe contar con distintos permisos de acceso a la información. Tanto por motivos de seguridad como para evitar quiebras en el cumplimiento del RGPD.
Respaldo de datos
Contar con backups de datos clínicos tal como te explicamos en este artículo
Usar servicios de almacenamiento y gestión de información en la nube
Si no dispones de conocimientos o el personal necesario para implementar las soluciones anteriores, te recomendamos utilizar un servicio de gestión y almacenamiento de datos sanitarios en la nube como igaleno.
Podrás disfrutar de altos estándares de seguridad, además de cumplir con el RGPD, sin que tengas que preocuparte por ello. Si aún no lo conoces, solicita aquí tu demo gratuita.
Relacionado:
Guía rápida para proteger los datos de tus pacientes
Ciberseguridad de datos clínicos
Cómo mejorar la atención a pacientes en tu centro médico