Seguridad en la nube para los servicios de salud

La Agencia Europea de Información y Seguridad (ENISA) ha publicado su último informe llamado ‘Cloud Security for Healthcare Service’ donde proporciona un conjunto de consejos y buenas prácticas sobre seguridad y protección de datos a la hora de utilizar servicios en la nube en el ámbito sanitario.

I. Introducción

La pandemia de COVID-19 ha impulsado el uso de la tecnología basada en la nube dentro del sector sanitario, especialmente en telemedicina, en consultas médicas y en inteligencia artificial para propósitos de selección. La integración de estos servicios de computación en la nube en el sector incrementa la eficiencia operativa pero a la vez plantea preocupaciones relativas a la seguridad y a la protección de datos. El objetivo de este informe es ayudar a garantizar la seguridad (tanto en el ámbito de la ciberseguridad como en el ámbito de la protección de datos) de las soluciones en las nubes destinadas a servicios de salud.

II. Soluciones en la nube en el secotr sanitario

Existen diferentes tipos de servicios en la nube: IaaS o infraestructura como servicio, donde el proveedor proporciona recursos computacionales en línea, PaaS o plataforma como servicio, donde se proveen servidores preparados para ejecutar las aplicaciones del cliente, SaaS o software como servicio, donde el proveedor entrega directamente aplicaciones web a los clientes. Por otro lado el modelo de despliegue de estas soluciones se puede clasificar según si la nube es privada, público, híbrido o gubernamental.
Concretamente en el ámbito sanitario cada vez existen más tipos de soluciones en la nube, que se pueden desplegar en los diferentes tipos de servicios y modelos descritos. A continuación se enumeran los más importantes describiendo brevemente sus funcionalidades:

 Sistemas de planificación de recursos (ERP): estos sistemas permiten llevar a cabo la gestión de pacientes, inventario, seguros médicos, recursos humanos y otros datos no clínicos.

 Sistemas de información de salud (HIS): se utilizan para gestionar datos sanitarios de los pacientes (registros, imágenes, videos, etc.). Servicios en la nube relacionados: registros de salud electrónicos, sistemas de archivo y comunicación de imágenes, sistemas de información radiológica, sistemas de información de laboratorio, apoyo de decisión clínica o monitorización remota de paciente.

 Análisis de datos de salud: tanto la inteligencia artificial como el aprendizaje automático se utilizan en salud para apoyar en la investigación médica, para hacer diagnósticos, análisis de datos, recomendaciones de tratamientos o compromisos con las pacientes.

 Dispositivos médicos: permiten a los pacientes medir la frecuencia cardíaca o el nivel de insulina, entre otras cosas, desde casa mientras los datos están disponibles directamente para los profesionales sanitarios que les permite hacer un seguimiento del tratamiento o programar una cita.

 Servicios de telemedicina: es un servicio sanitario proporcionado mediante tecnología de telecomunicaciones. Las áreas de aplicación comprenden la teleconsulta y la asistencia de telefonía mediante herramientas de conferencias o videoconferencias.

III. Consideraciones de ciberseguridad y protección de datos

A continuación se identifican los principales retos y obstáculos relativos a la ciberseguridad y protección de datos de los servicios sanitarios basados en la nube anteriormente comentados; como son la falta de confianza en las soluciones en la nube, la carencia de seguridad y conocimientos técnicos, la poca inversión actual en ciberseguridad, la carencia de legislación tanto europea como nacional en este ámbito, la dificultad de los proveedores para identificar los requisitos legales y la complicada integración de la nube con los sistemas heredados.

Estos son los retos pertinentes a la protección de datos más comunes a la hora de desplegar servicios de este tipo:

 Privacidad por diseño y por defecto: Acontece un requisito legal, establecido por el RGPD, seguir un enfoque de privacidad por diseño y por defecto a la vez de desarrollar y desplegar el servicio. Se recomiendan técnicas como la minimización, pseudonimización, transparencia, control de los datos personales por parte de los sujetos, etc… para lograr este requisito. Incluyendo la preceptiva realización de la Evaluación de Impacto relativa a la Protección de Datos (AIPD).

 Gestión de datos: dependiendo del tipo de servicio en la nube la información de entrada puede llegar de varias fuentes, por lo tanto establecer la legitimación en el tratamiento y los controles para asegurar la precisión tienen que estar siempre en marcha. Las organizaciones tienen que establecer su propio marco de gobernanza de datos para entender qué tipo de datos son los más delicados y después aplicar los controles requeridos.

 Supresión de datos: se tienen que poder eliminar los datos después de que expire el plazo de conservación, pero también a petición del sujeto sin demora indebida, si por ejemplo los datos ya no son necesarios para los propósitos iniciales o si el sujeto retira el consentimiento.

 Portabilidad de datos: la transferencia de los datos de un proveedor a otro sin pérdida es uno de los retos más comunes en cuanto a computación en la nube. En nuestro caso, la asistencia sanitaria, existen ciertas normas (como la HL7) para garantizar la interoperabilidad.

 Encriptación: es importante garantizar la confidencialidad y la integridad de los datos en todos los diferentes canales de transferencia y almacenamiento. Las medidas de encriptación se tienen que aplicar tanto a nivel de cliente como de servidor, así como en el canal que los conecta.

Por otro lado, las amenazas más comunes en materia de ciberseguridad son las siguientes: fenómenos naturales, fallos en la cadena de suministro (proveedores del servicio en la nube, de red), errores humanos (accesos no autorizado a datos, desacatar las normas, cambios no intencionados, errores de los administradores del servicio), acciones malintencionadas (malware, hijacking, phishing, denegaciones del servicio, abuso de recursos computacionales de la nube, interceptación de datos en tráfico, ataques a aplicaciones móviles, amenazas internas, interfaces inseguras), fallos del sistema (de hardware, software, de configuración, de falta de mantenimiento, de red).

IV. Medidas de seguridad en la nube en servicios de salud

Esta sección proporciona un conjunto de directrices y medidas para garantizar la ciberseguridad y la protección de datos para los clientes de servicios en la nube en del sector sanitario:

 Involucrar a las partes interesadas necesarias (DPD, departamento legal, TIC, de riesgo, etc.) en el proceso de contratación. La solicitud de requisitos tiene que comportar el cumplimiento de la normativa.

 Realizar una evaluación de riesgos de acuerdo con las directrices nacionales o siguiendo una metodología conocida para identificar las amenazas y riesgos de ciberseguridad y protección de datos (AIPD) para los nuevos servicios en la nube y evaluar el impacto en el riesgo de seguridad global.

 Asegurar la selección de proveedores que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas, de forma que el tratamiento sea conforme a los requisitos de la normativa de protección de datos y garantice la protección de los derechos del interesado, incluyente:

– Asegurar un plan de respuesta para definir las acciones y/o medidas a tomar después de un incidente de seguridad al proveedor de servicios (que debe tener un proceso para gestionar incidentes de seguridad de acuerdo con la legislación europea o nacional).

– Asegurar que el proveedor de servicios notifique con antelación los tiempos de inactividad planificados (por ejemplo las paradas por mantenimiento).

– Eliminar los datos del proveedor de servicios en la nube (y devolver si fuera necesario), inmediatamente después de la terminación del acuerdo contractual o si se logra la limitación del plazo de conservación de datos.

– Definir requisitos para el registro de acontecimientos (logs) y verificar si el proveedor de servicios en la nube los cumple.

– Identificar el alcance de la responsabilidad de la gestión, vulnerabilidades técnicas y la gestión de los parches (patch). Determinar y configurar los procesos para la gestión de vulnerabilidades.

– Incluir la información y los activos almacenados en el entorno de la nube en el inventario de activos. Indicar dónde se almacenan los datos y supervisar y grabar los cambios de activos.

– Asegurar que los datos en la ubicación del proveedor de servicios en la nube estén encriptadas durante todo el ciclo de vida de los datos (creación, almacenamiento, uso, compartición, archivo y supresión).

– Definir requisitos de seguridad y procedimientos para la gestión de claves.

– Asegurar que todos los datos se proporcionan en formato estándar a petición del proveedor de servicios en la nube.

– Identificar todos los dispositivos como por ejemplo ordenadores portátiles, dispositivos móviles, dispositivos médicos, etc. del personal que se conecta al servicio en la nube.

– Asegurar que las políticas de acceso especifiquen requisitos de seguridad para el acceso a los datos, interfaces de aplicación, sistemas y la red para cada servicio en la nube.

– Establecer un programa de sensibilización y formación orientado a grupos de destino regular para todos los actores que se ocupan de datos sensibles como por ejemplo registros de salud electrónicos o diagnóstico médico.

– Asegurar que el tráfico entre las conexiones no fiables y de confianza de los entornos de red y las instancias virtuales está restringido y monitorizado.

– Asegurar que el proveedor aplica una segmentación adecuada para: los datos, aplicaciones (físicas y virtuales), infraestructura y red entre diferentes inquilinos para restringir el acceso de uno a los recursos otros.

V. Riesgos en protección de datos

Por otro lado, la Agencia Española de Protección de Datos (AEPD) analiza, en la guía ‘Tecnologías y Protección de Datos en las AA.PP’, un conjunto de tecnologías señalando los riesgos relativos a la protección de datos que las administraciones públicas, como responsables, deben tener en cuenta a la hora de incorporarlas como apoyo a los tratamientos que realicen.

En concreto, sobre las tecnologías en la nube (cloud computing) pone énfasis en los siguientes puntos:

 La contratación de un servicio en la nube no supone un desplazamiento total de las obligaciones de gestión de la seguridad al encargado del tratamiento sino que corresponde siempre al responsable del tratamiento la toma de decisiones con relación a los requisitos de protección de datos personales, que tendrán que contar con los requisitos que se establecen en el artículo 32 del RGPD.

 Para evitar producirse una infracción de la normativa de protección de datos, el responsable tiene que escoger a un encargado que ofrezca garantías, ofreciéndole, a través de un contrato, las instrucciones y maneras de proceder cuando realice tratamientos de datos personales.

 La administración también tiene que gestionar los riesgos en caso de que el proveedor de la nube decida interrumpir el servicio o cambiar las condiciones en que se prestan, así como el riesgo legal de que existan cambios normativos u otras naturalezas que impidan la utilización de los servicios. En este sentido se tienen que desarrollar medidas y planes de contingencia de migración de los servicios a otros sistemas.

 En caso de producirse violaciones de seguridad, el responsable tiene que poner en marcha una serie de mecanismos de forma urgente, y notificar a la Autoridad de Protección de Datos, en un plazo de 72h la información que tenga al respeto. La Autoridad puede ordenar al responsable comunicar a los usuarios que se hayan visto afectados de forma que puedan adoptar medidas de seguridad y protección.

 A la hora de diseñar el tratamiento, se tiene que evaluar la incorporación y aplicación de mecanismos de minimización de datos en función del riesgo, limitar la extensión de los datos, subir a la nube solo datos anonimizados o pseudonimizados, emplear cifrado homomórfico, etc.

 Es importante también analizar formalmente y evaluar rigurosamente los riesgos de reidentificación, así como el nivel de madurez de los procesos de anonimización utilizados por la organización.

Para  más información:

– https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services
– http://ticsalutsocial.atoom.space/dpd-salut/avaluacio-dimpacte-relativa-a-la-proteccio-de-dades-aipd-en-salut/
– https://www.aepd.es/es/media/guias/guia-tecnologias-admin-digital.pdf