Gregorio Pérez, de la Agencia Vasca de Protección de Datos
Gregorio Pérez Auditor informático/ inspector de la Unidad de Evaluación de Impactos Tecnológicos y Riesgos de Seguridad Agencia Vasca de Protección de Datos

Entidades públicas de salud, ENS y brechas

candado

El ciberataque de principios de marzo de este año al Hospital Clínic de Barcelona ha puesto de manifiesto públicamente la gravedad que supone para las personas físicas afectadas y para las propias entidades sanitarias este tipo de sucesos. El ataque fue del tipo ransomware (en este caso se bloquean los archivos y la información y se secuestran los datos, por los que se solicita un rescate), en el que además de paralizar la actividad normal y los servicios del centro sanitario se vieron comprometidos datos tanto de pacientes de tratamiento asistencial y de investigación clínica como de personas trabajadoras de dicho centro; a lo que se sumaron las posteriores y sucesivas filtraciones de parte de estos datos en la Internet profunda (Deep Web).

No olvidemos que los datos personales relativos a la salud están considerados como una categoría especial de datos, por lo que deben estar especialmente protegidos. Sin embargo, cualquier entidad, y no solo las sanitarias, puede ser damnificada. De hecho, en un futuro, muchas de ellas sufrirán este tipo de ataques y otras quiebras de seguridad que afectarán a datos personales y que, desgraciadamente, se están convirtiendo en habituales. Incluso entidades que implanten medidas de seguridad técnicamente correctas pueden sufrir ataques que se basen, por ejemplo, en fallos de seguridad ajenos a ellas, como errores de las arquitecturas o de los sistemas operativos y programas que éstas utilicen.

Incluso entidades que implanten medidas de ciberseguridad técnicamente correctas pueden sufrir ataques

Las consecuencias de estas brechas de seguridad que afectan a datos personales son múltiples, si bien las más significativas son: pérdida de derechos y libertades de las personas físicas afectadas por la quiebra de seguridad, indisponibilidad parcial o total de los servicios que prestan estas entidades y afectación reputacional, legal y económica que pueden sufrir las mismas.

Para entidades del sector sanitario, las consecuencias de estos ataques consisten en que muchos servicios, que en algunos casos son urgentes y no pueden posponerse, no se puedan llevar a cabo. Esto puede acarrear problemas muy graves para la salud de las personas físicas afectadas.

No en vano, los sistemas de información de las entidades sanitarias son bastante complejos, ya que pivotan sobre la historia clínica del paciente. Estos sistemas van desde una historia clínica que comprende un conjunto de documentos en papel e información digitalizada hasta, en los casos con un grado de automatización mayor, una historia clínica completamente electrónica, con contenido multimedia, y que puede ser compartida y completada por otros sistemas de información, tanto locales como estatales y europeos, gracias a su interoperabilidad.

Ciberseguridad sector salud

Medidas de ciberseguridad

La pregunta desde el punto de vista de la protección de datos en el ámbito del sector público sanitario es la siguiente: ¿qué medidas de ciberseguridad se deben implantar para, dentro de lo posible evitar estos ataques y, si no es posible evitarlos, minimizar sus consecuencias?

Las respuestas están en la Disposición adicional primera, «Medidas de seguridad en el ámbito del sector público», de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Ésta dice: «El Esquema Nacional de Seguridad (ENS) incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679″.

Te interesa: La implantación del ENS en la Administración Pública aumentó un 36% en 2022.

Es decir, como integrantes de las administraciones públicas y, por ende, entes a los que aplica el cumplimiento del ENS, las personas responsables de los servicios sanitarios públicos, actuando como responsables del tratamiento, deben aplicar a los tratamientos de datos personales que lleven a cabo las medidas de seguridad que correspondan de las previstas en el ENS (medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo).

Estas medidas también deberán ser aplicadas tanto por el/los encargados del tratamiento con los que el responsable trabaje como por cualquier otra entidad que preste un servicio a dicho responsable bajo cualquier régimen (encomienda de gestión, encargo, contrato, concesión…). Y ya que hablamos de actividades de tratamiento, no hay que olvidar que en el caso de entidades sanitarias es obligatorio (básicamente porque incluyen categorías especiales de datos) por parte del responsable y del encargado o de sus representantes llevar un registro de dichas actividades de tratamiento efectuadas bajo la responsabilidad de estas entidades.

Gestión de la seguridad

Para poder cumplir con el ENS (Real Decreto 311/2022, de 3 de mayo), muchas organizaciones se basan en la operación de un sistema de gestión de la seguridad de la información (un sistema basado en la mejora continua) como puede ser la ISO 27001. Eso sí, con las adaptaciones pertinentes, ya que, por ejemplo, el ENS trabaja con cinco dimensiones o garantías de seguridad (disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad) y la ISO 27001 sólo considera tres: disponibilidad, integridad, confidencialidad.

Las entidades obligadas a cumplir con el ENS deben disponer de procedimientos para la gestión de incidentes y su registro, considerando los incidentes como sucesos inesperados o no deseados con consecuencias en detrimento de la seguridad de las redes y sistemas de información, y que se corresponden con las medidas de seguridad [op. exp.7] y [op.exp.9] del ENS, encuadradas en el marco operacional (en el área de la explotación). Este marco protege la operación del sistema como un conjunto integral de componentes para un fin; y si un incidente de seguridad afecta a datos personales, pasa a ser una brecha de seguridad de datos personales. Por tanto, se deberá notificar a la autoridad de control competente, entrando en juego el delegado de protección de datos de la entidad.

Otras medidas de protección a aplicar dentro de este marco operacional son la [op.exp.6] «protección frente a código dañino», que entre otros aspectos toma en consideración herramientas para detectar actividades sospechosas en puestos de usuario y servidores (herramientas denominadas EDR), así como el «mantenimiento y actualizaciones de seguridad» [op.exp.4], que hace referencia a la política de actualizaciones de seguridad, parches y nuevas versiones de productos.

¡Sigue leyendo!

Aquí te hemos mostrado tan solo una parte de este artículo.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad