VI Jornadas Universitarias de Sistemas de Información en Salud

HIBA y HL7 Argentina

Buenos Aires, 31 de octubre 2011

Maurizio Mattoli Chiavarelli

Asociación Chilena de Informática en Salud

mmattoli@achisa.org

Iniciativas para el fortalecimiento de la

Seguridad de los Sistemas de Información

en Salud en Chile

Página 2

Las ventajas y desventajas de las TIC

Permiten lograr la creación de valor a través:

• la superación de las barreras geográficas y sociales

• acciones más eficaces y seguras en favor de los pacientes

• procesos del cuidado, gestión y explotación de la información más eficientes

Sin embargo introducen también nuevos riesgos:

• posibilidad de fraudes

• intrusiones telemáticas, sabotajes, ataques vandálicos

• violación, divulgación o abuso de datos sensibles

…y también nuevos problemas:

• complejidades en la gestión de documentos inmateriales

• costo, complejidad y dificultades de utilización de los sistemas

• valor legal e interoperabilidad de las soluciones tecnológicas

Página 3

Información tradicional vs. digital

La información tradicional es:

• material y coincidente con su soporte físico (papel, etc.)

• fácilmente resguardable con medios físicos.

La información “moderna” en cambio es:

• immaterial y desvinculada de su soporte físico.

• dificilmente protegible con métodos tradicionales.

..en particular la información digital puede ser fácilmente:

• transportada, difundida

• copiada, interceptada

• modificada, alterada, falsificada

• destruida

Página 4

En el caso particular del ámbito de la Salud

Los problemas de seguridad son los mismos de otros rubros, sin embargo

acrecentados por la sensibilidad de los datos que son objeto de tratamiento:

• riesgo de divulgación ilícita (violación de la privacy)

• riesgo de alteración o modificación (fraudes)

• riesgo de pérdida, robo, eliminación o destrucción

• problemas (también legales) en relación a la autenticación y

responsabilidades relacionadas

Página 5

Algunas de las principales Normativas y Leyes relacionadas en Chile... (parcial)

Página 6

Principales Objetivos de Seguridad Informática

• Asegurar que accedan a sistemas y datos confidenciales sólo las personas autorizadas y para finalidades legítimas.

• Registro de los accesos (Audit trail & log)

Control de accesos

• Que los datos no se destruyan o pierdan.

• Que tampoco se alteren de forma no deseada, ni se vuelvan inconsistentes.

• Registro de qué/quién hizo qué cambios (Audit)

Integridad

• Que los sistemas y el acceso a los datos que manejan estén efectivamente disponibles en el momento en que se necesitan.

Disponibilidad

Página 7

El rol de la seguridad de la información..

El rol de la seguridad de las informaciones tiene a lo menos dos naturalezas:

• Prevenir o mitigar acciones indeseables, naturales o dolosas/maliciosas

(accidentes, desastres, errores, sabotajes, fraudes, ataques etc.)

• Proveer garantías para suportar/habilitar acciones deseadas (certeza del

lo acontecido, integridad, responsabilidad incluso legal, etc.)

En el ámbito de la Salud esto se traduce en:

1) Protección de la información de salud: protección/amparo de la reserva-

confidencialidad, integridad, disponibilidad del dato de salud/médico.

2) Atribución de certeza (incluso legal) a los actos médicos:

• Autenticación y autorización de actores (sujetos y sistemas)

• Audit: quién ha hecho qué (y también cómo, cuándo, dónde y por qué)

• Valor legal del documento informático.

Página 8

De las 14 entidades de salud* revisadas hasta el momento (que cuentan con alguna clase de servicio en línea) observamos :

Naturaleza del servicio en línea Cantidad de

entidades que

lo ofrecen

Resultados de laboratorio 12

Reserva de horas (citas) 10

Fotos recién nacidos 4

Resultados de imágenes 3

Consulta de pacientes

hospitalizados

2

Registro Personal de Salud

(“PHR”)

1

* Revisión preliminar, muy parcial por el momento (i.e. una muestra no necesariamente representativa)

Página 9

Hay razones para estar preocupados..

Página 10

La falta de conciencia parece ser uno de los aspectos principales...

© P

royecció

n b

ajo

Lic

encia

del titu

lar

de los d

ere

chos d

e a

uto

r.

Ref. t

ransaction #

1G

443548D

W8955149/P

AY

PA

L (

25.1

0.2

01

1)

Página 11

Los riesgos adicionales* al estar conectados al ciberespacio:

• Las computadoras facilitan tareas repetitivas.

• Incluso la recolección de información o acciones maliciosas que individualmente son de pequeña entidad pueden volverse atractivas en virtud de la automatización y facilidad de iterar muchísimas veces.

Automatización

• Internet no tiene fronteras, los atacantes pueden estar en cualquier parte, incluso muy lejos de la victima (¡Hay que preocuparse de todos los criminales del mundo!).

• Problemas técnicos y jurídicos (alcance jurisdiccional) para poder perseguir eficazmente los ataques y delitos cometidos.

Acción a la distancia

• Las técnicas y trucos para atacar, hackear, falsificar, etc. se pueden compartir muy rápidamente en la red y entre cientos de miles de personas.

• No es necesario ser un experto (sólo el primero tiene que serlo), hasta existen todo tipo de herramientas software para efectuar ataques, crear virus sin ser programador ni experto, etc.

Propagación de las técnicas

* Bruce Schneier – “Secrets & Lies – Digital Security in a Networked World”

Página 12

Iniciativas de ACHISA

• Contribuir a crear conciencia entre los

profesionales del rubro y público en general

(artículos, publicaciones, etc.)

• Observatorio orientado a estimular

comportamientos virtuosos de las entidades

involucradas.

• Acercamiento amigable a las entidades que no

siguen un comportamiento virtuoso.

• Difusión del conocimiento propiamente tal

(cursos, talleres, etc.)

Página 13

El curso que ACHISA organiza...

Orientado a crear conciencia (“awareness”) y un

nivel básico de comprensión.

Visión de conjunto de la problemática.

Basado en los contenidos que considera la

certificación CompTIA Security+

Adaptado específicamente a la realidad de salud

Posibilidad de participación presencial o a la

distancia.

Página 14

Contenidos del curso de Seguridad Informática

Página 15

¡ Muchas gracias ! www.achisa.org

© P

royecció

n b

ajo

Lic

encia

del titu

lar

de los d

ere

chos d

e a

uto

r.

Ref. t

ransaction #

1G

443548D

W8955149/P

AY

PA

L (

25.1

0.2

01

1)