En un ecosistema de salud cada vez más digitalizado, la ciberseguridad ya no puede pensarse sólo como una tarea técnica a cargo de las organizaciones, sino como una responsabilidad compartida, donde el usuario final —paciente, profesional, proveedor o administrativo— juega un rol clave.
La protección de los datos sensibles, especialmente los de salud, exige el cumplimiento de normativas específicas, pero también una profunda transformación cultural que garantice el uso consciente y responsable de los sistemas informáticos.
Aquí es donde emerge la importancia de considerar la ciberseguridad desde el usuario.
¿Por qué es clave proteger los datos de salud?
Una de las razones por la que se deben proteger los datos de salud está íntimamente ligada al cumplimiento de la legislación vigente en cada país, y los estándares internacionales que promueven buenas prácticas.
Pero el objetivo no es solo normativo: está en juego la confidencialidad, la integridad y la disponibilidad de información extremadamente sensible. Estos tres principios son la base de una política efectiva de seguridad de la información.
Cada acceso, cada operación y cada almacenamiento de datos debe contemplar controles específicos que aseguren que el contenido no se altere, no se pierda y no se exponga a quienes no deben verlo.
Esto es especialmente importante en contextos donde los datos clínicos pueden tener implicancias sociales, psicológicas o incluso legales para las personas involucradas.
Cómo asegurar los datos en salud digital
Los datos se pueden asegurar, entre otras medidas, aplicando ciertos controles de seguridad a nivel de los procesos de la operación que ejecuta ese dato.
Para ello es necesario contar con controles puntuales de acceso, para garantizar que la persona que accede a un dato tenga los privilegios requeridos para poder hacerlo y el rol indicado. En otras palabras, tener la perspectiva de la ciberseguridad desde el usuario.
“Desde la perspectiva del almacenamiento, se deben implementar controles asociados a la parte de criptografía. Hay que tener en cuenta que el dato está en reposo, cifrado y cuenta con un debido control de acceso y aseguramiento, frente a su manipulación, pérdida de integridad y confidencialidad”, José Ríos, especialista en Ciberseguridad de Conexia.
Y agrega, “cuando lo estamos procesando, hay muchos controles de seguridad adicionales, en la capa de red y en la capa de usuario. Por eso es tan importante también la concientización a nivel de usuario final, implementando un grupo de controles de seguridad que minimicen riesgos”.
“El usuario que está procesando el dato debe ser consciente del uso que le está dando, y obviamente del nivel de confidencialidad y tratamiento que se le va a dar”, añade Ríos, aclarando que hay muchos controles y estándares que observar.
Protección de datos: el rol del usuario final
En términos de protección de datos de salud, las responsabilidades están repartidas, no sólo a las organizaciones que los utilizan.
Los usuarios deben acostumbrarse a pedir o demandar que sus datos personales y confidenciales están siendo bien tratados.
“La política de tratamiento de datos implica garantías sobre si la organización está ejecutando ciertos controles, para garantizar la seguridad sobre esos datos que el usuario está depositando en un sistema de información”, explica José Ríos.
El especialista en ciberseguridad de Conexia señala que hay una responsabilidad compartida. “Cuando el usuario tiene acceso al sistema de información, es importante darle a conocer que debe definir unas credenciales de acceso robustas”, advierte.
Este punto es importante, porque un sistema de información puede tener muy buenos controles de seguridad, pero se le está dando acceso a un tercero, a un proveedor, a un integrador.
Y, si ese tercero no tiene muy buenas prácticas o un adecuado manejo con esas credenciales, la contraseña puede ser fácil de hackear. Esto puede generar un espacio para que un delincuente acceda al sistema de información y pueda generar un perjuicio sobre los datos.
Es importante validar que el sistema de una organización de salud tenga una política de privacidad y leer las condiciones de protección de datos que se están aceptando. De esta manera, el usuario sabrá cuál será el tratamiento o la utilización que le darán a esos datos.
En el caso que los vayan a difundir hacia organizaciones de terceros, el usuario debería detenerse, y no autorizar o autorizar con ciertas restricciones.
¿Cómo se define quién tiene acceso a los datos de salud?
Uno de los retos más determinantes para la protección de datos es decidir quién tiene o tendrá acceso a un determinado tipo de información. “Algo que no decide Conexia. Nuestro cliente es el que decide hasta dónde le va a dar permisos de acceso a cada persona”, manifiesta Luis Navas.
“Para el acceso a la información tenemos roles en la plataforma, y cada rol maneja cierto nivel de acceso”, precisa el CEO de Conexia.
“Si se le pregunta a un médico qué información necesita, su respuesta va a ser que necesita todo. Entonces hay que tomar decisiones sobre el acceso que se va a dar a cada actor del sistema”, añade.
No hay respuestas en blanco o negro al momento de tomar la decisión. Entre los “datos” hay información privada, muy delicada.
Si una persona tiene SIDA u otras afecciones que pueden ser estigmatizantes, ¿quién debe tener acceso a ellas? ¿Un dentista? Posiblemente, sí. ¿Un fisioterapeuta o un psicólogo?
Para permitir la adecuada gestión de esta información sensible, es primordial operar con una plataforma que le permita a quien toma la decisión, darle su acceso a no a un determinado profesional, según sus propios estándares.
Compromiso con la seguridad de los datos
Desde Conexia acompañamos a las organizaciones de salud en su camino de transformación digital, desde hace más de 26 años.
Desde el inicio, fue nuestra prioridad poder garantizar una gestión segura de la información transaccionada a través de nuestra plataforma tecnológica.
Nos esforzamos en la protección de su confidencialidad y privacidad, y en el aseguramiento de su integridad y disponibilidad.
A través de una sólida política de seguridad de la información, trabajamos de forma continua para identificar y gestionar los potenciales riesgos a los que está expuesta la operación. También, en prevenir incidentes, detectar vulnerabilidades e implementar planes de capacitación y concientización, tanto internamente como a sus clientes.
En Conexia somos conscientes de la importancia del manejo seguro de los datos sensibles y estamos comprometidos con nuestro rol. Por eso, todos los procesos de trabajo son auditados periódicamente y medidos para asegurar la inviolabilidad de la cadena de custodia dentro del ciclo de vida de la información.
A través de la certificación en la norma ISO 27001:2015 de las operaciones en todos los países en los que operamos, aseguramos a nuestros clientes los más altos estándares de seguridad de la información.
