sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
REPORTAJE Hospital Clínico San Carlos de Madrid

Chequeo continuo de la seguridad TIC

17/05/2012 - ARS
Garantizar la seguridad de las tecnologías de la información y la comunicación (TIC) en un centro sanitario es todo un reto. El Hospital Clínico San Carlos de Madrid ha dedicado grandes esfuerzos económicos y humanos a la mejora continua de su modelo de seguridad TIC, según afirma Pedro José Bello, técnico de Sistemas perteneciente al Departamento de Sistemas de Tecnologías de la Información (STI) del centro sanitario.

 La continua afluencia de personas que registra cada día este tipo de infraestructura y la ingente cantidad de trabajadores que tienen acceso a sus sistemas informáticos añaden un plus de dificultad a la hora de salvaguardar la seguridad física de las TIC. Al mismo tiempo, los hospitales deben cumplir estrictos requisitos en materia de protección de datos, lo que les obliga a adoptar medidas que minimicen el riesgo de que se produzcan fugas de información confidencial, a la vez que faciliten la consulta de los registros de los pacientes por parte del personal sanitario.

Para desarrollar con éxito esta complicada tarea, el Hospital Clínico San Carlos de Madrid ha dedicado grandes esfuerzos económicos y humanos a la mejora continua de su modelo de seguridad TIC, según afirma Pedro José Bello, técnico de Sistemas perteneciente al Departamento de Sistemas de Tecnologías de la Información (STI) del centro sanitario. Y en este proceso, el hospital madrileño ha contado con un valioso aliado: la Oficina de Seguridad de Sistemas de Información Sanitaria (OSSI) de la Consejería de Sanidad de la comunidad autónoma. En colaboración con esta institución, “se analizan las carencias de las soluciones de seguridad del centro y se proponen medidas para cubrirlas, las cuales se van desplegando en función de las prioridades establecidas”, explica Bello. Para este profesional, es justamente en esa cooperación donde radica “el potencial del Clínico en materia de seguridad TIC”.

“Es necesario que la seguridad de las TIC se vea, por parte de todas las partes que participan en su aplicación, como un proceso de mejora continua que no finaliza tras el despliegue de una nueva medida, sino que esta ha de ser revisada y replanteada de modo que se superen todos los puntos débiles que vayan surgiendo con el tiempo”, insiste el representante del STI. Un ‘chequeo’ constante para lograr el mejor sistema posible en todo momento.

En este centro, la función de seguridad se realiza desde diferentes departamentos: la Unidad Funcional de Riesgos se encarga de la protección del paciente; la Unidad de Gestión de Seguridad, de la salvaguarda de personas y bienes y de la respuesta ante emergencias; el Servicio de Gestión Medioambiental, de no dañar el entorno natural; y el Departamento de Sistemas y Tecnologías de la Información, de la seguridad TIC. Todas estas secciones se encuentran estrechamente relacionadas entre sí para conseguir llevar a cabo las estrategias implantadas por la Dirección del hospital, desarrollar las operaciones y apoyarse a la hora de realizar pronósticos y análisis. “Los diferentes puntos de vista aportados por cada una de las unidades implicadas son la base para alcanzar los objetivos marcados haciendo un buen uso de los recursos disponibles”, comenta Bello.

386 hospital san carlos 2
Pedro José Bello, técnico de Sistemas del departamento de Sistemas de Tecnologías de la información (STI) del Hospital Clínico San Carlos.

En el ámbito de la seguridad TIC, en el Clínico se aplican mecanismos físicos y lógicos para garantizar el manejo seguro tanto de los equipos informáticos utilizados por los empleados como de los datos de los pacientes. Esta labor la realizan de manera conjunta la Unidad de Gestión de Seguridad y el Departamento de Sistemas y Tecnologías de la Información, los cuales, junto con la OSSI, “aportan su conocimiento en cada una de las áreas en las que son expertos para alcanzar las exigencias de eficacia y eficiencia en cuanto a la seguridad del centro”, en palabras del técnico.

Entre las medidas físicas, el hospital dispone de puntos de control de acceso a las instalaciones, videovigilancia, sistemas de detección de movimientos, mecanismos de extinción de incendios, alimentación ininterrumpida, etc. En cuanto a la protección lógica, el centro cuenta con políticas de acceso a los recursos informáticos, guías de buenas prácticas, planes de copia de seguridad, monitorización de sistemas críticos, programas para concienciar al personal sobre la necesidad de garantizar la confidencialidad de los datos sanitarios, etc.

Concienciar a los empleados

En opinión de Bello, “uno de los puntos más importantes en la seguridad de las TIC es la concienciación de los usuarios”, y este es precisamente el apartado en el que considera que es necesario mejorar. “Es imprescindible que todo el personal que trabaja con estas tecnologías en nuestro hospital entienda que debe hacer un buen uso de ellas, ya que por muchas medidas de seguridad que se implementen, si no son correctamente acatadas por los que han de aplicarlas, nunca llegarán a ser plenamente efectivas”, añade. En el Clínico, esa concienciación se potencia mediante la comunicación directa cuando se presenta cualquier consulta sobre este asunto, así como a través de las formaciones que se han implantado recientemente: las nociones básicas sobre seguridad de los datos sanitarios que reciben los nuevos residentes durante las jornadas de bienvenida y el curso online que se imparte después para ampliar esos conocimientos.

A pesar de esos esfuerzos, el representante del STI reconoce que aún queda un largo camino por recorrer en este terreno: “A los responsables de esta área nos gustaría que tanto la Dirección como los trabajadores y usuarios de nuestra actividad se comprometieran con la seguridad del centro”. Para ello, desde los diferentes departamentos se están poniendo en marcha medidas encaminadas a crear una cultura de seguridad, especialmente en el caso específico de las TIC. Bello piensa que entre el personal del hospital existe aún cierta –“y comprensible”– resistencia a los cambios que está suponiendo para su trabajo diario la introducción de mecanismos de protección de la información y de los sistemas.

La necesidad de que exista esa concienciación se ve incrementada, desde el punto de vista de este profesional, por el hecho de que los pacientes se hayan vuelto en los últimos años mucho más exigentes en cuanto a la seguridad de sus datos y pidan mayor control sobre ellos. Como muestra de esto, Bello explica que el Hospital Clínico San Carlos desarrolló hace tiempo un sistema que permitía anonimizar la información de aquellos pacientes que se encontraran amenazados, y cada vez son más los enfermos que, sin sufrir esa situación, demandan la utilización de esta solución para preservar la confidencialidad de sus datos.

Entorno crítico

La Ley para la Protección de las Infraestructuras Críticas, aprobada en abril del año pasado, incluye el sector sanitario entre los 12 ámbitos donde se aplicarán medidas, procedimientos y sistemas especiales de cara a mejorar la seguridad de estas instalaciones ante posibles ataques. Los hospitales, por tanto, tendrán que trabajar en la adaptación de sus sistemas a la reciente normativa, algo que, a juicio del técnico de Sistemas del Clínico, “se prevé complicado” en el caso de todos aquellos servicios informatizados que no hayan sido ya implantados de acuerdo con las nuevas exigencias. “El despliegue de cualquier solución de contingencia que asegure la continuidad de la actividad implica duplicar la infraestructura operativa, y esto conlleva naturalmente unos costes difícilmente asumibles por parte de los hospitales antiguos, como el nuestro”, aclara Bello. El experto matiza que aunque los servicios especialmente críticos que presta el centro disponen de planes de contingencia desde su puesta en producción, esto no es suficiente, ya que en el entorno sanitario el correcto funcionamiento de una sección depende de otras muchas adyacentes “que complementan su actividad y sin las que no puede ofrecer una funcionalidad completa”.

Para ayudarle a mejorar su seguridad TIC, el Clínico ha recibido financiación del Plan Athenea, un programa a través del que la comunidad autónoma pretende subvencionar la adquisición de soluciones de backup y de virtualización de aplicaciones por parte de los hospitales del Servicio Madrileño de Salud (SERMAS). Ese dinero va a permitir al centro sanitario la replicación de los sistemas ubicados en su centro de procesamiento de datos (CPD) y la ampliación de la capacidad de almacenamiento de este para que pueda ser utilizado por las aplicaciones incluidas en los planes de copia de seguridad. No obstante, Bello advierte de que, “una vez más”, el despliegue del plan se ha supeditado a los recursos disponibles, “lo que en la actual situación de dificultad económica, probablemente retrasará su puesta en marcha”.  

Volver