Iniciativas para el fortalecimiento de la Seguridad de los ... · Página 7 El rol de la seguridad...
Transcript of Iniciativas para el fortalecimiento de la Seguridad de los ... · Página 7 El rol de la seguridad...
VI Jornadas Universitarias de Sistemas de Información en Salud
HIBA y HL7 Argentina
Buenos Aires, 31 de octubre 2011
Maurizio Mattoli Chiavarelli
Asociación Chilena de Informática en Salud
Iniciativas para el fortalecimiento de la
Seguridad de los Sistemas de Información
en Salud en Chile
Página 2
Las ventajas y desventajas de las TIC
Permiten lograr la creación de valor a través:
• la superación de las barreras geográficas y sociales
• acciones más eficaces y seguras en favor de los pacientes
• procesos del cuidado, gestión y explotación de la información más eficientes
Sin embargo introducen también nuevos riesgos:
• posibilidad de fraudes
• intrusiones telemáticas, sabotajes, ataques vandálicos
• violación, divulgación o abuso de datos sensibles
…y también nuevos problemas:
• complejidades en la gestión de documentos inmateriales
• costo, complejidad y dificultades de utilización de los sistemas
• valor legal e interoperabilidad de las soluciones tecnológicas
Página 3
Información tradicional vs. digital
La información tradicional es:
• material y coincidente con su soporte físico (papel, etc.)
• fácilmente resguardable con medios físicos.
La información “moderna” en cambio es:
• immaterial y desvinculada de su soporte físico.
• dificilmente protegible con métodos tradicionales.
..en particular la información digital puede ser fácilmente:
• transportada, difundida
• copiada, interceptada
• modificada, alterada, falsificada
• destruida
Página 4
En el caso particular del ámbito de la Salud
Los problemas de seguridad son los mismos de otros rubros, sin embargo
acrecentados por la sensibilidad de los datos que son objeto de tratamiento:
• riesgo de divulgación ilícita (violación de la privacy)
• riesgo de alteración o modificación (fraudes)
• riesgo de pérdida, robo, eliminación o destrucción
• problemas (también legales) en relación a la autenticación y
responsabilidades relacionadas
Página 5
Algunas de las principales Normativas y Leyes relacionadas en Chile... (parcial)
Página 6
Principales Objetivos de Seguridad Informática
• Asegurar que accedan a sistemas y datos confidenciales sólo las personas autorizadas y para finalidades legítimas.
• Registro de los accesos (Audit trail & log)
Control de accesos
• Que los datos no se destruyan o pierdan.
• Que tampoco se alteren de forma no deseada, ni se vuelvan inconsistentes.
• Registro de qué/quién hizo qué cambios (Audit)
Integridad
• Que los sistemas y el acceso a los datos que manejan estén efectivamente disponibles en el momento en que se necesitan.
Disponibilidad
Página 7
El rol de la seguridad de la información..
El rol de la seguridad de las informaciones tiene a lo menos dos naturalezas:
• Prevenir o mitigar acciones indeseables, naturales o dolosas/maliciosas
(accidentes, desastres, errores, sabotajes, fraudes, ataques etc.)
• Proveer garantías para suportar/habilitar acciones deseadas (certeza del
lo acontecido, integridad, responsabilidad incluso legal, etc.)
En el ámbito de la Salud esto se traduce en:
1) Protección de la información de salud: protección/amparo de la reserva-
confidencialidad, integridad, disponibilidad del dato de salud/médico.
2) Atribución de certeza (incluso legal) a los actos médicos:
• Autenticación y autorización de actores (sujetos y sistemas)
• Audit: quién ha hecho qué (y también cómo, cuándo, dónde y por qué)
• Valor legal del documento informático.
Página 8
De las 14 entidades de salud* revisadas hasta el momento (que cuentan con alguna clase de servicio en línea) observamos :
Naturaleza del servicio en línea Cantidad de
entidades que
lo ofrecen
Resultados de laboratorio 12
Reserva de horas (citas) 10
Fotos recién nacidos 4
Resultados de imágenes 3
Consulta de pacientes
hospitalizados
2
Registro Personal de Salud
(“PHR”)
1
* Revisión preliminar, muy parcial por el momento (i.e. una muestra no necesariamente representativa)
Página 9
Hay razones para estar preocupados..
Página 10
La falta de conciencia parece ser uno de los aspectos principales...
© P
royecció
n b
ajo
Lic
encia
del titu
lar
de los d
ere
chos d
e a
uto
r.
Ref. t
ransaction #
1G
443548D
W8955149/P
AY
PA
L (
25.1
0.2
01
1)
Página 11
Los riesgos adicionales* al estar conectados al ciberespacio:
• Las computadoras facilitan tareas repetitivas.
• Incluso la recolección de información o acciones maliciosas que individualmente son de pequeña entidad pueden volverse atractivas en virtud de la automatización y facilidad de iterar muchísimas veces.
Automatización
• Internet no tiene fronteras, los atacantes pueden estar en cualquier parte, incluso muy lejos de la victima (¡Hay que preocuparse de todos los criminales del mundo!).
• Problemas técnicos y jurídicos (alcance jurisdiccional) para poder perseguir eficazmente los ataques y delitos cometidos.
Acción a la distancia
• Las técnicas y trucos para atacar, hackear, falsificar, etc. se pueden compartir muy rápidamente en la red y entre cientos de miles de personas.
• No es necesario ser un experto (sólo el primero tiene que serlo), hasta existen todo tipo de herramientas software para efectuar ataques, crear virus sin ser programador ni experto, etc.
Propagación de las técnicas
* Bruce Schneier – “Secrets & Lies – Digital Security in a Networked World”
Página 12
Iniciativas de ACHISA
• Contribuir a crear conciencia entre los
profesionales del rubro y público en general
(artículos, publicaciones, etc.)
• Observatorio orientado a estimular
comportamientos virtuosos de las entidades
involucradas.
• Acercamiento amigable a las entidades que no
siguen un comportamiento virtuoso.
• Difusión del conocimiento propiamente tal
(cursos, talleres, etc.)
Página 13
El curso que ACHISA organiza...
Orientado a crear conciencia (“awareness”) y un
nivel básico de comprensión.
Visión de conjunto de la problemática.
Basado en los contenidos que considera la
certificación CompTIA Security+
Adaptado específicamente a la realidad de salud
Posibilidad de participación presencial o a la
distancia.
Página 14
Contenidos del curso de Seguridad Informática
Página 15
¡ Muchas gracias ! www.achisa.org
© P
royecció
n b
ajo
Lic
encia
del titu
lar
de los d
ere
chos d
e a
uto
r.
Ref. t
ransaction #
1G
443548D
W8955149/P
AY
PA
L (
25.1
0.2
01
1)