Nuestro compañero José  Ángel Hernández, vicepresidente de ACITICS, nos habla de Ciberseguridad en el ámbito sanitario. José Ángel desarrolla su actividad profesional como Jefe de Ingeniería de Telecomunicaciones y Telemática del Hospital Universitario de Canarias, ubicado en Santa Cruz de Tenerife. Estudio Ingeniería Técnica de Telecomunicaciones en la Universidad de Las Palmas de Gran Canaria, optando por la especialidad de Sistemas Electrónicos, Graduado en Ingeniería de Sistemas de Telecomunicación y Máster en Dirección de Sistemas de Información.

Es miembro de la Junta de Gobierno del COITTCAN, Demarcación Colegial del COITT en Canarias, forma parte de la junta Directiva de la ACITICS, ocupando el cargo de Vicepresidente y  es también miembro de la Junta Directiva de la Sociedad Española de Electromedicina e Ingeniería Clínica, donde ocupa el cargo de tesorero.

La ciberseguridad es uno de los aspectos que más relevancia ha tenido en los últimos años en cuanto a la seguridad de los dispositivos y sistemas médicos, siendo un tema de vital importancia tanto para la seguridad del paciente y sus datos, como la continuidad de los servicios que los diferentes equipos y tecnologías sanitarias deben prestar. Se ha de considerar la implantación de buenas prácticas y un cambio de paradigma en las responsabilidades y relaciones de los diferentes actores implicados.

Las tendencias actuales son plantear medidas de seguridad aplicables para minimizar los riesgos, que conlleven pérdidas de información o fallos en la continuidad del servicio de los diferentes dispositivos y sistemas médicos, los cuales se encuentran interconectados entre sí mediante la red de comunicaciones, usando los mismos protocolos que se usan Internet y, por tanto, sometidos a los mismos problemas de ciberseguridad que aparecen allí.

La problemática actual es que dentro de los centros hospitalarios existe una gran variedad de equipos y sistemas médicos conectados entre sí mediante una red de comunicaciones, más o menos segura, pero que requieren comunicarse con otros elementos internos o externos.

Cuando hablamos de equipos o sistemas médicos, la prioridad de la seguridad se ha de referir al paciente, tanto por la confidencialidad de sus datos como por el correcto funcionamiento de los equipos, y su repercusión sobre el paciente al que se le aplican. Si nos planteamos los perjuicios derivados de un fallo de seguridad causante de una avería de un equipo, hay que tener en cuenta distintos aspectos. En primer lugar, la integridad física del paciente debido al fallo, o la integridad y confidencialidad de los datos de este. En segundo lugar, las responsabilidades legales derivadas del incidente de seguridad en relación con lo anterior. Y, en tercer lugar, los costes planteados para solucionar la avería ocasionada, así como el tiempo de inactividad del equipo. Además de todo lo anterior, tampoco hay que olvidar la posibilidad de que el problema de seguridad se traslade al resto de equipos conectados a la red, aunque esta se suponga una red segura en sí misma.

El cumplimiento de las normativas legales vigentes nos obliga a extremar las medidas de seguridad, desde el simple control del acceso físico, hasta el almacenamiento y transmisión electrónica de los datos médicos. Como punto relevante tendríamos el tratamiento que se da los datos de salud cómo de “máximo nivel de seguridad”. Esto implica que las medidas para garantizar la confidencialidad e integridad de los datos pasan por implementar métodos de control, registro, y cifrado de la transmisión y almacenamiento de la información, debiéndose realizar los análisis de riesgos y las medidas a aplicar que deben trasladarse a un “Documento de seguridad” donde queden reflejados los procedimientos y tecnologías utilizadas.

Las redes tradicionales donde todos los equipos pueden realizar conexiones entre ellos, y donde la seguridad se controla solo en determinado punto como la conexión a Internet o hacia otra red, son ineficientes e inseguras. La denominada seguridad del perímetro ya no es válida y hay que ofrecer alternativas como la aplicación de tecnologías de redes seguras con la conjunción de diferentes elementos como VLAN (redes locales virtuales), cifrado con protocolos seguros como IPSec, o SSL, Infraestructuras de clave pública PKI mediante certificados digitales, protocolos de autentificación como 802.1x, electrónica de red con elementos activos de seguridad, etc. Pero todo esto nos lleva a lo que actualmente se conoce como la segmentación de la red y su uso basado en perfiles.

La seguridad de la conexión a la red interna, y con otras redes de la misma organización o externas (internet), como por ejemplo los propios proveedores con soporte remoto plantean riesgos y retos a resolver. La tendencia actual es aplicar una correcta gestión de la red local interna, intentando que todas las medidas de seguridad estén integradas trabajando en colaboración unas con otras. Se ha de buscar la integración sobre todo encaminada a la mayor efectividad posible y la gestión centralizada de todos los elementos de seguridad, desde las aplicaciones hasta la electrónica de red. Una gestión de red integrada pretende tener un control total desde el punto físico del cable de red, pasando por los puntos de acceso en la electrónica de red, hasta llegar a los niveles de aplicación de cada equipo y dispositivo médico.

Conclusiones sobre la ciberseguridad y el uso de redes inteligentes

La aplicación de las diferentes tecnologías, conjugadas con una correcta gestión de los procedimientos de trabajo y el control de accesos, nos va a permitir realizar redes con mayor seguridad. Por tanto, la redes inteligentes y seguras son el mejor medio de mitigar algunos de los problemas de ciberseguridad. Pero todo esto requiere una colaboración y esfuerzo conjunto de fabricantes, los profesionales de la Electromedicina e Ingeniería Clínica, el personal TIC y los profesionales sanitarios mediante equipos interdisciplinares.

Puede ver aquí el artículo completo.