Uno de los principales desafíos que tienen las organizaciones de salud en el marco de un proceso de transformación digital es la seguridad de la información. Un tema absolutamente crítico, más aún cuando se está trabajando con datos sensibles.
Es un aspecto sobre el que hay que estar muy pendientes. Se debe disponer de las últimas herramientas del mercado, los últimos equipos y actualizaciones.
“Hay que tener un equipo de seguridad dedicado. Y estar certificados en la norma ISO 27.000. Si no estás certificado, estás bailando en la cornisa”, advierte Luis Navas, CEO de Conexia.
“Si bien la certificación no te garantiza el 100%, minimiza las chances de ser víctima de un ataque”, precisa.
En nuestra experiencia en el mercado hemos aprendido que es importante cumplir con las leyes de protección de datos e información en cada uno de los países donde cada organización esté operando.
¿Por qué es importante la protección de datos en salud?
La razón principal de la protección de datos en salud está relacionada precisamente con el cumplimiento de la legislación vigente de cada país. Además, con el objetivo de garantizar la seguridad de los datos, y asegurar su confidencialidad, integridad y disponibilidad.
En cada país hay normativas asociadas al principio de la confidencialidad de los datos. Estas indicaciones se vinculan con el nivel de sensibilidad de cada dato almacenado y que está siendo procesado, dependiendo del estado donde se encuentra la información.
“Basados en el principio de la confidencialidad, en la regulación vigente y en el estado actual de la seguridad a nivel de ataques informáticos, es súper importante ejecutar actividades de aseguramiento en relación a los activos confidenciales o datos personales sensibles, asegurando la disponibilidad de los mismos”, explica José Ríos, especialista en Ciberseguridad de Conexia.
¿Cómo garantizar la protección de datos en procesos de transformación digital?
Los datos se pueden asegurar aplicando ciertos controles de seguridad a nivel de los procesos de operación que ejecuta ese dato.
Es necesario contar con controles puntuales de acceso. Esto permite garantizar que la persona que accede a un dato tenga los privilegios requeridos para poder hacerlo, y obviamente el rol indicado.
“Desde la perspectiva del almacenamiento, se deben implementar controles asociados a la parte de criptografía. Hay que tener en cuenta que el dato está en reposo, cifrado y cuenta con un debido control de acceso y aseguramiento, frente a su manipulación, pérdida de integridad y confidencialidad”, explica el especialista de Conexia.
Y agrega, “cuando lo estamos procesando, hay muchos controles de seguridad adicionales, en la capa de red y en la capa de usuario. Por eso es tan importante también la concientización a nivel de usuario final, implementando un grupo de controles de seguridad que minimicen riesgos”.
“El usuario que está procesando el dato debe ser consciente del uso que le está dando, y obviamente del nivel de confidencialidad y tratamiento que se le va a dar”, añade Ríos, aclarando que hay muchos controles y estándares que observar.
¿Cuáles son los principales desafíos en la protección de datos de salud?
Si bien en la actualidad existen numerosos desafíos, uno de los retos más importantes para la protección de datos en salud reside en cómo se están preparando las organizaciones.
No solo para una prevención de ataques, sino también para responderlos con la reacción adecuada. Y para actuar después de que hayan sido afectadas con la velocidad suficiente. Además, es central considerar de qué manera se va a recuperar la información.
En este punto, se pone en juego la credibilidad frente a los clientes y usuarios. Un tema de alta complejidad.
La clave pasa por cuestionarse qué tan preparada está la organización para volver a restaurar sus servicios y darle continuidad al negocio.
Y preguntarse cómo se van a contener esos ataques, para que los datos no queden comprometidos. Es decir, si se produce un acceso no autorizado a un sistema, que el dato no sea comprometido.
Por ello, es fundamental tener sistemas que sean muy rápidos en sus respuestas. Deben poseer funcionalidades de monitoreo que alerten en el caso que sea necesario. Los responsables deben actuar de forma veloz y sincronizada, con el objetivo de contener potenciales filtraciones de datos.
¿Cuándo se considera que un dato está comprometido?
Que un dato no se haya comprometido significa que no se ha vulnerado, que no se ha eliminado, que no ha perdido su confidencialidad, integridad y disponibilidad.
Por el contrario, un dato está comprometido cuando una persona ingresa a un sistema de información para obtener una copia, modificarlo o impedir el acceso a personas que tienen el derecho a acceder a los mismos.
Protección de datos: el rol del usuario final
En términos de protección de datos de salud, las responsabilidades están repartidas, no sólo a las organizaciones que los utilizan.
Los usuarios deben acostumbrarse a pedir o demandar que sus datos personales y confidenciales están siendo bien tratados.
“La política de tratamiento de datos implica garantías sobre si la organización está ejecutando ciertos controles, para garantizar la seguridad sobre esos datos que el usuario está depositando en un sistema de información”, explica José Ríos.
El especialista en ciberseguridad de Conexia señala que hay una responsabilidad compartida. “Cuando el usuario tiene acceso al sistema de información, es importante darle a conocer que debe definir unas credenciales de acceso robustas”, advierte.
Este punto es importante, porque un sistema de información puede tener muy buenos controles de seguridad, pero se le está dando acceso a un tercero, a un proveedor, a un integrador.
Y, si ese tercero no tiene muy buenas prácticas o un adecuado manejo con esas credenciales, la contraseña puede ser fácil de hackear. Esto puede generar un espacio para que un delincuente acceda al sistema de información y pueda generar un perjuicio sobre los datos.
Es importante validar que el sistema de una organización de salud tenga una política de privacidad y leer las condiciones de protección de datos que se están aceptando. De esta manera, el usuario sabrá cuál será el tratamiento o la utilización que le darán a esos datos.
En el caso que los vayan a difundir hacia organizaciones de terceros, el usuario debería detenerse, y no autorizar o autorizar con ciertas restricciones.
¿Cómo se define quién tiene acceso a los datos de salud?
Uno de los retos más determinantes para la protección de datos es decidir quién tiene o tendrá acceso a un determinado tipo de información. “Algo que no decide Conexia. Nuestro cliente es el que decide hasta dónde le va a dar permisos de acceso a cada persona”, manifiesta Luis Navas.
“Para el acceso a la información tenemos roles en la plataforma, y cada rol maneja cierto nivel de acceso”, precisa el CEO de Conexia.
“Si se le pregunta a un médico qué información necesita, su respuesta va a ser que necesita todo. Entonces hay que tomar decisiones sobre el acceso que se va a dar a cada actor del sistema”, añade.
No hay respuestas en blanco o negro al momento de tomar la decisión. Entre los “datos” hay información privada, muy delicada.
Si una persona tiene SIDA u otras afecciones que pueden ser estigmatizantes, ¿quién debe tener acceso a ellas? ¿Un dentista? Posiblemente, sí. ¿Un fisioterapeuta o un psicólogo?
Para permitir la adecuada gestión de esta información sensible, es primordial operar con una plataforma que le permita a quien toma la decisión, darle su acceso a no a un determinado profesional, según sus propios estándares.
Desde Conexia acompañamos a las organizaciones de salud en su camino de transformación digital, desde hace más de 26 años.
Desde el inicio, fue nuestra prioridad poder garantizar una gestión segura de la información transaccionada a través de nuestra plataforma tecnológica. Nos esforzamos en la protección de su confidencialidad y privacidad, y en el aseguramiento de su integridad y disponibilidad.
A través de una sólida política de seguridad de la información, trabajamos de forma continua para identificar y gestionar los potenciales riesgos a los que está expuesta la operación. También, prevenir incidentes, detectar vulnerabilidades e implementar planes de capacitación y concientización, tanto internamente como a sus clientes.
En Conexia somos conscientes de la importancia del manejo seguro de los datos sensibles y estamos comprometidos con nuestro rol. Por eso, todos los procesos de trabajo son auditados periódicamente y medidos para asegurar la inviolabilidad de la cadena de custodia dentro del ciclo de vida de la información.
A través de la certificación en la norma ISO 27001:2015 de las operaciones en todos los países en los que operamos, aseguramos a nuestros clientes los más altos estándares de seguridad de la información.
