La Agencia Europea de Informaci\u00f3n y Seguridad (ENISA) ha publicado su \u00faltimo informe llamado \u2018Cloud Security for Healthcare Service\u2019 donde proporciona un conjunto de consejos y buenas pr\u00e1cticas sobre seguridad y protecci\u00f3n de datos a la hora de utilizar servicios en la nube en el \u00e1mbito sanitario.<\/p>\n
I. Introducci\u00f3n<\/strong><\/p>\n La pandemia de COVID-19 ha impulsado el uso de la tecnolog\u00eda basada en la nube dentro del sector sanitario, especialmente en telemedicina, en consultas m\u00e9dicas y en inteligencia artificial para prop\u00f3sitos de selecci\u00f3n. La integraci\u00f3n de estos servicios de computaci\u00f3n en la nube en el sector incrementa la eficiencia operativa pero a la vez plantea preocupaciones relativas a la seguridad y a la protecci\u00f3n de datos. El objetivo de este informe es ayudar a garantizar la seguridad (tanto en el \u00e1mbito de la ciberseguridad como en el \u00e1mbito de la protecci\u00f3n de datos) de las soluciones en las nubes destinadas a servicios de salud.<\/p>\n <\/p>\n II. Soluciones en la nube en el secotr sanitario<\/strong><\/p>\n Existen diferentes tipos de servicios en la nube:\u00a0IaaS\u00a0o infraestructura como servicio, donde el proveedor proporciona recursos computacionales en l\u00ednea,\u00a0PaaS\u00a0o plataforma como servicio, donde se proveen servidores preparados para ejecutar las aplicaciones del cliente,\u00a0SaaS\u00a0o software como servicio, donde el proveedor entrega directamente aplicaciones web a los clientes. Por otro lado el modelo de despliegue de estas soluciones se puede clasificar seg\u00fan si la nube es privada, p\u00fablico, h\u00edbrido o gubernamental. \uf0b7 Sistemas de planificaci\u00f3n de recursos (ERP): estos sistemas permiten llevar a cabo la gesti\u00f3n de pacientes, inventario, seguros m\u00e9dicos, recursos humanos y otros datos no cl\u00ednicos.<\/p>\n \uf0b7 Sistemas de informaci\u00f3n de salud (HIS): se utilizan para gestionar datos sanitarios de los pacientes (registros, im\u00e1genes, videos, etc.). Servicios en la nube relacionados: registros de salud electr\u00f3nicos, sistemas de archivo y comunicaci\u00f3n de im\u00e1genes, sistemas de informaci\u00f3n radiol\u00f3gica, sistemas de informaci\u00f3n de laboratorio, apoyo de decisi\u00f3n cl\u00ednica o monitorizaci\u00f3n remota de paciente.<\/p>\n \uf0b7 An\u00e1lisis de datos de salud: tanto la inteligencia artificial como el aprendizaje autom\u00e1tico se utilizan en salud para apoyar en la investigaci\u00f3n m\u00e9dica, para hacer diagn\u00f3sticos, an\u00e1lisis de datos, recomendaciones de tratamientos o compromisos con las pacientes.<\/p>\n \uf0b7 Dispositivos m\u00e9dicos: permiten a los pacientes medir la frecuencia card\u00edaca o el nivel de insulina, entre otras cosas, desde casa mientras los datos est\u00e1n disponibles directamente para los profesionales sanitarios que les permite hacer un seguimiento del tratamiento o programar una cita.<\/p>\n \uf0b7 Servicios de telemedicina: es un servicio sanitario proporcionado mediante tecnolog\u00eda de telecomunicaciones. Las \u00e1reas de aplicaci\u00f3n comprenden la\u00a0teleconsulta\u00a0y la asistencia de telefon\u00eda mediante herramientas de conferencias o videoconferencias.<\/p>\n <\/p>\n III. Consideraciones de ciberseguridad y protecci\u00f3n de datos<\/strong><\/p>\n A continuaci\u00f3n se identifican los principales retos y obst\u00e1culos relativos a la ciberseguridad y protecci\u00f3n de datos de los servicios sanitarios basados en la nube anteriormente comentados; como son la falta de confianza en las soluciones en la nube, la carencia de seguridad y conocimientos t\u00e9cnicos, la poca inversi\u00f3n actual en ciberseguridad, la carencia de legislaci\u00f3n tanto europea como nacional en este \u00e1mbito, la dificultad de los proveedores para identificar los requisitos legales y la complicada integraci\u00f3n de la nube con los sistemas heredados.<\/p>\n Estos son los retos pertinentes a la protecci\u00f3n de datos m\u00e1s comunes a la hora de desplegar servicios de este tipo:<\/p>\n \uf0b7 Privacidad por dise\u00f1o y por defecto: Acontece un requisito legal, establecido por el RGPD, seguir un enfoque de privacidad por dise\u00f1o y por defecto a la vez de desarrollar y desplegar el servicio. Se recomiendan t\u00e9cnicas como la minimizaci\u00f3n, pseudonimizaci\u00f3n, transparencia, control de los datos personales por parte de los sujetos, etc… para lograr este requisito. Incluyendo la preceptiva realizaci\u00f3n de la Evaluaci\u00f3n de Impacto relativa a la Protecci\u00f3n de Datos (AIPD).<\/p>\n \uf0b7 Gesti\u00f3n de datos: dependiendo del tipo de servicio en la nube la informaci\u00f3n de entrada puede llegar de varias fuentes, por lo tanto establecer la legitimaci\u00f3n en el tratamiento y los controles para asegurar la precisi\u00f3n tienen que estar siempre en marcha. Las organizaciones tienen que establecer su propio marco de gobernanza de datos para entender qu\u00e9 tipo de datos son los m\u00e1s delicados y despu\u00e9s aplicar los controles requeridos.<\/p>\n \uf0b7 Supresi\u00f3n de datos: se tienen que poder eliminar los datos despu\u00e9s de que expire el plazo de conservaci\u00f3n, pero tambi\u00e9n a petici\u00f3n del sujeto sin demora indebida, si por ejemplo los datos ya no son necesarios para los prop\u00f3sitos iniciales o si el sujeto retira el consentimiento.<\/p>\n \uf0b7 Portabilidad de datos: la transferencia de los datos de un proveedor a otro sin p\u00e9rdida es uno de los retos m\u00e1s comunes en cuanto a computaci\u00f3n en la nube. En nuestro caso, la asistencia sanitaria, existen ciertas normas (como la HL7) para garantizar la interoperabilidad.<\/p>\n \uf0b7 Encriptaci\u00f3n: es importante garantizar la confidencialidad y la integridad de los datos en todos los diferentes canales de transferencia y almacenamiento. Las medidas de encriptaci\u00f3n se tienen que aplicar tanto a nivel de cliente como de servidor, as\u00ed como en el canal que los conecta.<\/p>\n Por otro lado, las amenazas m\u00e1s comunes en materia de ciberseguridad son las siguientes: fen\u00f3menos naturales, fallos en la cadena de suministro (proveedores del servicio en la nube, de red), errores humanos (accesos no autorizado a datos, desacatar las normas, cambios no intencionados, errores de los administradores del servicio), acciones malintencionadas (malware, hijacking, phishing, denegaciones del servicio, abuso de recursos computacionales de la nube, interceptaci\u00f3n de datos en tr\u00e1fico, ataques a aplicaciones m\u00f3viles, amenazas internas, interfaces inseguras), fallos del sistema (de hardware, software, de configuraci\u00f3n, de falta de mantenimiento, de red).<\/p>\n <\/p>\n IV. Medidas de seguridad en la nube en servicios de salud<\/strong><\/p>\n Esta secci\u00f3n proporciona un conjunto de directrices y medidas para garantizar la ciberseguridad y la protecci\u00f3n de datos para los clientes de servicios en la nube en del sector sanitario:<\/p>\n \uf0b7 Involucrar\u00a0a las partes interesadas necesarias (DPD, departamento legal, TIC, de riesgo, etc.) en el proceso de contrataci\u00f3n. La solicitud de requisitos tiene que comportar el cumplimiento de la normativa.<\/p>\n \uf0b7 Realizar una evaluaci\u00f3n de riesgos de acuerdo con las directrices nacionales o siguiendo una metodolog\u00eda conocida para identificar las amenazas y riesgos de ciberseguridad y protecci\u00f3n de datos (AIPD) para los nuevos servicios en la nube y evaluar el impacto en el riesgo de seguridad global.<\/p>\n \uf0b7 Asegurar la selecci\u00f3n de proveedores que ofrezcan garant\u00edas suficientes para aplicar las medidas t\u00e9cnicas y organizativas adecuadas, de forma que el tratamiento sea conforme a los requisitos de la normativa de protecci\u00f3n de datos y garantice la protecci\u00f3n de los derechos del interesado, incluyente:<\/p>\n – Asegurar un plan de respuesta para definir las acciones y\/o medidas a tomar despu\u00e9s de un incidente de seguridad al proveedor de servicios (que debe tener un proceso para gestionar incidentes de seguridad de acuerdo con la legislaci\u00f3n europea o nacional).<\/p>\n – Asegurar que el proveedor de servicios notifique con antelaci\u00f3n los tiempos de inactividad planificados (por ejemplo las paradas por mantenimiento).<\/p>\n – Eliminar los datos del proveedor de servicios en la nube (y devolver si fuera necesario), inmediatamente despu\u00e9s de la terminaci\u00f3n del acuerdo contractual o si se logra la limitaci\u00f3n del plazo de conservaci\u00f3n de datos.<\/p>\n – Definir requisitos para el registro de acontecimientos (logs) y verificar si el proveedor de servicios en la nube los cumple.<\/p>\n – Identificar el alcance de la responsabilidad de la gesti\u00f3n, vulnerabilidades t\u00e9cnicas y la gesti\u00f3n de los parches (patch). Determinar y configurar los procesos para la gesti\u00f3n de vulnerabilidades.<\/p>\n – Incluir la informaci\u00f3n y los activos almacenados en el entorno de la nube en el inventario de activos. Indicar d\u00f3nde se almacenan los datos y supervisar y grabar los cambios de activos.<\/p>\n – Asegurar que los datos en la ubicaci\u00f3n del proveedor de servicios en la nube est\u00e9n encriptadas durante todo el ciclo de vida de los datos (creaci\u00f3n, almacenamiento, uso, compartici\u00f3n, archivo y supresi\u00f3n).<\/p>\n – Definir requisitos de seguridad y procedimientos para la gesti\u00f3n de claves.<\/p>\n – Asegurar que todos los datos se proporcionan en formato est\u00e1ndar a petici\u00f3n del proveedor de servicios en la nube.<\/p>\n – Identificar todos los dispositivos como por ejemplo ordenadores port\u00e1tiles, dispositivos m\u00f3viles, dispositivos m\u00e9dicos, etc. del personal que se conecta al servicio en la nube.<\/p>\n – Asegurar que las pol\u00edticas de acceso especifiquen requisitos de seguridad para el acceso a los datos, interfaces de aplicaci\u00f3n, sistemas y la red para cada servicio en la nube.<\/p>\n – Establecer un programa de sensibilizaci\u00f3n y formaci\u00f3n orientado a grupos de destino regular para todos los actores que se ocupan de datos sensibles como por ejemplo registros de salud electr\u00f3nicos o diagn\u00f3stico m\u00e9dico.<\/p>\n – Asegurar que el tr\u00e1fico entre las conexiones no fiables y de confianza de los entornos de red y las instancias virtuales est\u00e1 restringido y monitorizado.<\/p>\n – Asegurar que el proveedor aplica una segmentaci\u00f3n adecuada para: los datos, aplicaciones (f\u00edsicas y virtuales), infraestructura y red entre diferentes inquilinos para restringir el acceso de uno a los recursos otros.<\/p>\n <\/p>\n V. Riesgos en protecci\u00f3n de datos<\/strong><\/p>\n Por otro lado, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) analiza, en la gu\u00eda \u2018Tecnolog\u00edas y Protecci\u00f3n de Datos en las AA.PP\u2019, un conjunto de tecnolog\u00edas se\u00f1alando los riesgos relativos a la protecci\u00f3n de datos que las administraciones p\u00fablicas, como responsables, deben tener en cuenta a la hora de incorporarlas como apoyo a los tratamientos que realicen.<\/p>\n En concreto, sobre las tecnolog\u00edas en la nube (cloud computing) pone \u00e9nfasis en los siguientes puntos:<\/p>\n <\/p>\n \uf0b7 La contrataci\u00f3n de un servicio en la nube no supone un desplazamiento total de las obligaciones de gesti\u00f3n de la seguridad al encargado del tratamiento sino que corresponde siempre al responsable del tratamiento la toma de decisiones con relaci\u00f3n a los requisitos de protecci\u00f3n de datos personales, que tendr\u00e1n que contar con los requisitos que se establecen en el art\u00edculo 32 del RGPD.<\/p>\n \uf0b7 Para evitar producirse una infracci\u00f3n de la normativa de protecci\u00f3n de datos, el responsable tiene que escoger a un encargado que ofrezca garant\u00edas, ofreci\u00e9ndole, a trav\u00e9s de un contrato, las instrucciones y maneras de proceder cuando realice tratamientos de datos personales.<\/p>\n \uf0b7 La administraci\u00f3n tambi\u00e9n tiene que gestionar los riesgos en caso de que el proveedor de la nube decida interrumpir el servicio o cambiar las condiciones en que se prestan, as\u00ed como el riesgo legal de que existan cambios normativos u otras naturalezas que impidan la utilizaci\u00f3n de los servicios. En este sentido se tienen que desarrollar medidas y planes de contingencia de migraci\u00f3n de los servicios a otros sistemas.<\/p>\n \uf0b7 En caso de producirse violaciones de seguridad, el responsable tiene que poner en marcha una serie de mecanismos de forma urgente, y notificar a la Autoridad de Protecci\u00f3n de Datos, en un plazo de\u00a072h\u00a0la informaci\u00f3n que tenga al respeto. La Autoridad puede ordenar al responsable comunicar a los usuarios que se hayan visto afectados de forma que puedan adoptar medidas de seguridad y protecci\u00f3n.<\/p>\n \uf0b7 A la hora de dise\u00f1ar el tratamiento, se tiene que evaluar la incorporaci\u00f3n y aplicaci\u00f3n de mecanismos de minimizaci\u00f3n de datos en funci\u00f3n del riesgo, limitar la extensi\u00f3n de los datos, subir a la nube solo datos anonimizados o pseudonimizados, emplear cifrado homom\u00f3rfico, etc.<\/p>\n \uf0b7 Es importante tambi\u00e9n analizar formalmente y evaluar rigurosamente los riesgos de reidentificaci\u00f3n, as\u00ed como el nivel de madurez de los procesos de anonimizaci\u00f3n utilizados por la organizaci\u00f3n.<\/p>\n <\/p>\n Para\u00a0 m\u00e1s informaci\u00f3n:<\/strong><\/p>\n – https:\/\/www.enisa.europa.eu\/publications\/cloud-security-for-healthcare-services
\nConcretamente en el \u00e1mbito sanitario cada vez existen m\u00e1s tipos de soluciones en la nube, que se pueden desplegar en los diferentes tipos de servicios y modelos descritos. A continuaci\u00f3n se enumeran los m\u00e1s importantes describiendo brevemente sus funcionalidades:<\/p>\n
\n– https:\/\/ticsalutsocial.atoom.space\/dpd-salut\/avaluacio-dimpacte-relativa-a-la-proteccio-de-dades-aipd-en-salut\/
\n– https:\/\/www.aepd.es\/es\/media\/guias\/guia-tecnologias-admin-digital.pdf<\/p>\n","protected":false},"author":21,"featured_media":7010,"menu_order":0,"template":"","meta":{"_acf_changed":false,"inline_featured_image":false},"etiqueta":[],"tipus":[106],"topic":[113],"class_list":["post-4808","noticia","type-noticia","status-publish","has-post-thumbnail","hentry","tipus-dpd-salud","topic-transformacion-digital"],"acf":{"imatge":7010,"autor":"TIC Salut Social"},"yoast_head":"\n