El Director de servicios de Registros Médicos Electrónicos para Philips en América Latina detalla los riesgos y medidas que los hospitales pueden tomar hoy en esta materia.
A medida que más y más datos dejan el papel y los formatos físicos, la ciberseguridad va tomando cada vez un rol más importante en la sociedad actual. En el caso de la salud, esto no se queda atrás.
Sistemas como los historiales clínicos electrónicos o el manejo de resultados de exámenes en línea, hacen que este sector sea particularmente sensible a la hora de buscar proteger estos datos.
Evandro García, Director de servicios de Registros Médicos Electrónicos para Philips en América Latina, asegura que las instituciones de slaud tendrá cada vez más amenazas en esta materia y destaca la importancia de tener un sistema para prevenir estos problemas.
-¿Debería ser la ciberseguridad una preocupación pre o post la instalación de historiales médicos electrónicos?
-En el sector del cuidado de la salud, se manejan enormes cantidades de datos que muchas veces vienen de sistemas heterogéneos. Tener este volumen de datos (Big Data y Analítica) que en el caso de este sector deben estar disponibles en todo momento, aumenta exponencialmente las probabilidades de sufrir ataques cibernéticos. A medida que se va digitalizando más y más el sector, por ejemplo a través de historiales clínicos electrónicos, el ataque para robar la información del paciente así como datos de confidencialidad de las operaciones de los hospitales, es cada vez más común. Por esta razón se debe pensar en un esquema de seguridad cibernética antes de cualquier instalación, que responda a las necesidades de la entidad que busca incorporar el servicio.
-¿Por qué debe ser una preocupación la ciberseguridad de los datos para los hospitales o clínicas?
-Las organizaciones de salud son infraestructuras valiosas y sensibles, que cada vez más tendrán que enfrentar ciber-amenazas con un nivel mayor de sofisticación.
El desafío de la industria de la atención médica es mantener un entorno digital seguro, ya que muchas instituciones tienen redes complejas y estructuradas con sistemas informáticos de atención médica fragmentada. La información de salud es sumamente valiosa y los datos más sensibles están contenidos en un solo lugar, lo que se torna atractivo para el robo de identidad, fraudes y extorsiones. A diferencia de la información de las tarjetas de crédito, que usted puede cambiar y sustituir, no resulta fácil reemplazar la información de salud.
Los incidentes de seguridad más frecuentes afectan la disponibilidad de la información, seguidos de los que afectan la integridad de la misma, y de los componentes que intervienen la confidencialidad. Sin embargo, son estos últimos los que tienen la posibilidad de generar un mayor de despliegue mediático y de riesgos reputacionales, jurídicos y económicos para las instituciones de salud, debido al altísimo valor que está adquiriendo la confidencialidad de la información como derecho de las personas en nuestras sociedades.
Sin embargo, los incidentes que afectan la disponibilidad de la información ocurren prácticamente a diario en todas las organizaciones de salud: caídas de los sistemas de información, momentáneas o prolongadas, problemas de telecomunicaciones, o simples daños de equipos de trabajo, imposibilitan el acceso y uso de la información por parte de aquellos que la requieren para los procesos de toma de decisiones, principalmente en el ámbito clínico, pero también en los diferentes procesos de soporte de las organizaciones de salud, que posibilitan la atención a los pacientes.
García agrega quelos incidentes que afectan la integridad de la información, aunque menos frecuentes, son de mucha mayor gravedad: "daños en bases de datos, borrado accidental de datos, rutinas o procesos tecnológicos que deterioran la calidad de datos históricos, corrupción de los datos por diferentes virus, entre otros, constituyen graves amenazas para la información en los diferentes ámbitos de la salud".
Los incidentes relacionados con la confidencialidad o privacidad de los datos también son un probema, según explica. En este caso están los accesos por parte de individuos no autorizados a los datos clínicos del paciente: "que en algunos casos puede darse bajo la modalidad de robo de datos sensibles con el fin de utilizarlos más adelante, o captura de datos para exigir sumas de dinero a las organizaciones de salud (ataques tipo Ransomware), que han tenido gran despliegue recientemente".
El 88% de los ataques tipo Ransomware, explica García, se hacen contra datos de salud. El costo global estimado de los ciberataques es cercano a los US$ 6.200 millones. Agrega que más del 70% de estos se dirigen a la capa de aplicación de los softwares, poniendo en grave riesgo la integridad y la privacidad de los datos de los pacientes.
-¿Cree que Latinoamérica tiene hoy un estándar de ciberseguridad en esta área o falta desarrollo?
-En primer lugar, es fundamental que las organizaciones de salud de Latinoamérica establezcan y determinen adecuadamente los riesgos existentes, así como la forma de gestionar estos riesgos mediante el establecimiento de planes, programas y procesos de gestión de la seguridad de la información, dados unos recursos disponibles, y totalmente alineados con la estrategia general de la empresa.
En desarrollo de estos planes, las organizaciones de salud de nuestros países deben adoptar controles de seguridad para proteger su información y sus sistemas; estos planes establecen requisitos de seguridad de los sistemas, definen responsables con sus roles, así como el comportamiento esperado de todos los integrantes de la organización en lo referente a la seguridad de la información, utilicen o no directamente los sistemas de información de la empresa. Entre los responsables, definen especialmente a los propietarios de la información y la red, así como los responsables organizacionales de la seguridad de la información.
Otro componente de la estructura organizacional para la seguridad de la información son los Planes de Respuesta a Incidentes, que deben estar vigentes en todo momento y ser probados con regularidad, y que incluyan por lo menos las acciones inmediatas para detener o mitigar el incidente, las acciones de investigación, las acciones de restauración de los recursos afectados y las acciones de reporte e información de cada incidente. Las organizaciones de salud de América Latina aún enfrentan numerosas limitaciones para desarrollar adecuadamente estrategias que garanticen la seguridad de su información.
-¿Se debe tener más precaución con los datos en salud que en otras industrias como los bancos?
-Los sistemas de salud cuentan con distintos retos complejos para poder integrar los datos de una manera interoperable y al mismo tiempo asegurar su seguridad. Por esta razón deben tener más cautela en el manejo, análisis y protección de estos.
Primero: el reto de integración de sistemas de datos complejos para la utilización de la información en los diferentes puntos del cuidado de la salud, con el fin de facilitar el proceso de la toma de decisiones tanto clínicas para los pacientes, como decisiones operacionales y de recursos al nivel administrativo, y decisiones macro con los grandes agregados poblacionales.
A esto se suma el manejo de las grandes cantidades de datos como Big Data, no solo en cuanto a su manipulación, sino también en su análisis, con el fin de establecer patrones de predicción y encontrar el valor de la información entre todos los datos compilados y analizados.
En lo que se refiere a la seguridad de la información, no solo se trata de la confidencialidad, sino también de la disponibilidad permanente de los datos. Una característica única de los datos compilados en el sector de salud es que esta, especialmente en los procesos sanitarios, tiene que estar permanentemente disponible en todo momento y lugar con el fin de agilizar la toma de decisiones clínicas y la calidad de la información.
Otro componente de la estructura organizacional para la seguridad de la información son los Planes de Respuesta a Incidentes, que deben estar vigentes en todo momento y ser probados con regularidad, y que incluyan por lo menos las acciones inmediatas para detener o mitigar el incidente, las acciones de investigación, las acciones de restauración de los recursos afectados y las acciones de reporte e información de cada incidente.
-¿Qué necesita un hospital hoy para tener buenos niveles de ciberseguridad?
-Principalmente, se deberían tener en cuenta estos puntos para mejorar la ciberseguridad en los hospitales y clínicas:
1. Tener una idea clara: Entender claramente qué productos y activos hay en el entorno.
2. Enfocarse en los productos antiguos: Trabajar con aliados tecnológicos en cualquier tipo de productos o soluciones heredadas que no tengan la capacidad de ser actualizadas, de aplicarles parches o de ser aseguradas.
3. Desarrollar mejores prácticas: Asegurarse de trabajar con el conocimiento adecuado y las mejores prácticas desde la perspectiva de la industria.
5. Asociarse con fabricantes y proveedores: Considerar la participación de los principales proveedores para gestionar y mitigar los riesgos de seguridad. Para ello, es necesario verificar que las soluciones cumplan con los últimos estándares de audio/video y seguridad, etc.; esto va a permitir el acceso a recursos calificados, aprovechando la experiencia de toda la industria de la atención médica.
-¿Cree que deben tomarse medidas de ciberseguridad en salud a nivel de gobiernos para el sistema público en Latinoamérica?
-Tenemos muy claro que hoy en día, los datos han pasado a ser un activo muy importante y su valor crece exponencialmente. La seguridad en internet y la aplicación de medidas legales es esencial, tanto en el sector privado como el público.
Hoy en día existe consenso global sobre las características que definen la seguridad de la información en cualquier ámbito, y esto también aplica para la información clínica. Estas características, para resumir, son: Confidencialidad, Integridad y Disponibilidad, que por sus siglas en inglés se denominan la tríada CIA (Confidentiality, Integrity, Availability).
La Confidencialidad de la información, tal vez el concepto a que más se asocia la seguridad de la información en salud, dado su carácter sensible; es básicamente la propiedad que impide su divulgación a individuos, entidades o procesos no autorizados. Es decir: solamente tienen acceso a la información aquellas personas que cuentan con la autorización para utilizarla.
La Integridad de la información consiste en la propiedad de que los datos no sean modificados sin autorización. En otras palabras, es la garantía de que la información se mantiene sin alteraciones, y no puede ser cambiada o manipulada por personas o procesos no autorizados.
Finalmente, la Disponibilidad de la información consiste en que se encuentre accesible a las personas, entidades o procesos que la requieran, en el momento adecuado. Debido a su naturaleza, la información en salud debe poseer características de alta disponibilidad, específicamente en el ámbito de las decisiones clínicas individuales, que deben ser tomadas en tiempo real, en los escenarios de atención del paciente.
Mediante la colaboración con todo el ecosistema de la atención médica, la industria de salud puede construir sobre los avances realizados en otras industrias críticas, respaldando las ventajas que la conectividad digital aportará al cuidado del paciente. Es necesario adoptar la seguridad y privacidad al interior de cada una de nuestras organizaciones donde cada uno de nosotros debe desempeñar su rol en la mitigación de esta amenaza. El sector público tiene la responsabilidad de impulsar el desarrollo de políticas y estrategias que permitan a los demás actores del sector sanitario incrementar sus niveles de seguridad de la información.
