¿Cómo justificar inversiones en seguridad de la información en el segmento de salud?

Post disponível em / disponible en / available in: Português Español English

Tempo de leitura: 6 minutos

Las empresas públicas y privadas que prestan servicios en el área de salud, como hospitales, clínicas, laboratorios y otras, deben tener un tratamiento especial en lo que se refiere a la seguridad de la información. Es evidente que los pacientes se preocupan por la confidencialidad de los exámenes, procedimientos quirúrgicos, resultados, o incluso su estado de salud o de algún familiar. El secreto del dato es un derecho previsto por las leyes, y la institución garantiza que la información manipulada y almacenada esté segura, en el presente y en el futuro.

Sobre la perspectiva del colaborador, tener políticas bien consolidadas de seguridad posibilita también una garantía, ya sea de barreras para fuga de información, o de trazabilidad ante la ocurrencia de algún incidente de seguridad. Además, refuerza claramente la preocupación de la organización sobre el tema de seguridad.

En los últimos años el segmento de salud ha experimentado un aumento en ocurrencias relacionadas con la seguridad virtual, y con la informatización cada vez mayor de las instituciones, con prontuarios electrónicos y otros sistemas ultra modernos, ordenadores y terminales por todas partes, muchas veces expuestos de manera innecesaria, acceso inalámbrico para visitantes y pacientes, entre otros, los riesgos aumentan cada vez más.

Por ello, implantar procesos y soluciones en seguridad de la información es cada vez más estratégico para el negocio. Muchas instituciones renombradas ya presentan un grado de madurez excepcional en el tema, sin embargo eso no es la realidad de la gran mayoría, que termina muchas veces exponiendo informaciones y condiciones muy delicadas simplemente por no seguir procedimientos básicos de seguridad.

Aprobar los presupuestos de proyectos de seguridad puede ser un gran obstáculo para los gestores pues en muchos casos es difícil ver el retorno sobre la inversión. Y como la previsión presupuestaria de estas instituciones normalmente es estrecha, las inversiones que no están directamente relacionadas con la operación al fin no tienen prioridad. Este es justamente el objetivo de este post, hacer una reflexión que permita facilitar la aprobación de presupuestos de seguridad de la información, actuando de manera preventiva en lugar de reactiva, pues en ese segmento, el sigilo, la custodia e la integridad de las informaciones son factores críticos de éxito.

1. Cuide la salud virtual del paciente

En una analogía bastante simplificada, es imprescindible que la organización, además de cuidar físicamente del paciente, cuide también de su salud virtual. En otras palabras, esto quiere decir que se debe cuidar mucho del control de fuga de informaciones acerca de los pacientes.

Con la facilidad de dispositivos móviles e incluso de acceso a internet en computadoras de la institución, vaciar una información sensible puede traer constreñimiento al paciente y acarrear en otros problemas para la empresa. Por eso, la concientización de los colaboradores y el control del uso de dispositivos son fundamentales.

Otro aspecto muy importante es garantizar la seguridad de acceso en los sistemas que se utilizan para administrar al paciente mientras está recibiendo servicios de la institución. Son muchas variables que deben ser cuidadas, pero en especial, administrar medicinas, dosificaciones y similares.

Una vez que todas estas informaciones son electrónicas y automatizadas, alguien malintencionado, con acceso a la red y al sistema con poca protección, puede causar problemas extremadamente serios, tanto para el paciente, como para la organización, que tiene la obligación de buscar la integridad de sus clientes.

2. Facilita el ingreso a la red inalámbrica con seguridad

Proporcionar acceso a Internet para visitantes o pacientes en una institución de salud, así como en varias otras empresas, es algo extremadamente común y, de cierta forma, necesario en los días actuales. Sin embargo, esta facilidad puede costar muy caro si no se realiza de manera adecuada.

Poseer redes aisladas para visitantes y pacientes es un factor importante para una buena política de seguridad. En muchas arquitecturas eso no es una realidad, y por cuenta de tener un control mínimo, dificultan al máximo el ingreso de usuarios en las redes, exigiendo catastros y otras cosas que hacen el proceso con poca usabilidad.

Redes inalámbricas públicas dentro de estas instituciones deben estar debidamente aisladas de las redes corporativas, además de garantizar facilidad e identificación de los usuarios (rastreabilidad), garantizando conformidad con el Marco Civil de Internet, defendiendo el interés de todas las partes involucradas.

Además de la satisfacción de los usuarios en cuanto a la facilidad de uso de dichas redes, se garantizan todos los requisitos de seguridad necesarios para ofrecer el beneficio sin renunciar a la seguridad de la información, que debe ser muy preservada en esas organizaciones.

3. Acorte las distancias de los médicos

Agregar valor al cuerpo clínico es un excelente paso para justificar inversiones, en cualquier área. Y para la seguridad de la información no es diferente, pues el cuerpo clínico puede ser muy bien atendido, acortando la distancia física con las instituciones, especialmente en centros mayores donde la movilidad urbana es limitada.

A través de técnicas de acceso remoto seguro, con VPNs, es posible que, independientemente del dispositivo, el médico esté conectado al hospital o clínica, pudiendo desempeñar sus funciones a través de los sistemas sin estar físicamente presente. Esto agiliza mucho el trabajo de todos, además de dar una buena escalabilidad para el médico.

Es importante resaltar que la disponibilidad de acceso remoto al cuerpo clínico debe ser planificada y estructurada, valorando las mejores prácticas de seguridad, evitando la creación de nuevas vulnerabilidades con la disponibilidad de estos accesos. Por lo tanto, exponer los sistemas de gestión o similares en Internet no es una estrategia interesante.

Por otro lado, a través del uso intensivo de VPN, el médico puede estar en cualquier lugar, con cualquier dispositivo (computadora, laptop, tablet o smartphone), siempre que sea compatible con los softwares utilizados en la institución, podrá ejecutar laudos y otras funciones debidamente permitidas/autorizadas.

4. Aumente el control, la productividad y el enfoque de los colaboradores

En muchas instituciones las computadoras o terminales disponibles para los colaboradores son limitadas u ofrecen solamente acceso al software necesario para sus funciones, muchas veces sin acceso a internet. Esto es interesante, sin embargo el número de actividades que dependen de Internet ha crecido mucho, aunque la restricción al uso puede ser un limitador a la productividad.

En cambio, tener equipos de punta para funciones operativas es un costo innecesario para la institución, así como tener acceso a internet totalmente liberado puede elevar los riesgos de indisponibilidad del equipo por un acceso inadecuado y contaminación por virus, o pérdida de desempeño por el uso abusivo del recurso, de parte del colaborador.

Las soluciones de seguridad, en particular firewalls y proxies, pueden asegurar el medio término de estos dos ítems, ofreciendo acceso a Internet para asuntos o contenidos relacionados al trabajo, garantizando un uso controlado y productivo del recurso.

Estos 4 puntos de reflexión son bastante interesantes y esperamos que puedan ayudarle a encontrar caminos que justifiquen las inversiones en seguridad para su área de actuación. Si tiene alguna necesidad de profundización de contenido, o incluso ayuda para el desarrollo de un proyecto de seguridad, entre en contacto y hable con un experto. Tendremos gran placer en formar parte de su éxito.

Cassio Brodbeck
conteudo@ostec.com.br
No Comments

Post A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.