Seguridad de la información

Servicio de Salud de las Islas Baleares

  2. Inicio
  3. Profesionales
  4. Sanidad digital: Tecnologias de la Información y la Comunicación
  5. Seguridad de la información
  6. Preguntas frecuentes de seguridad de la información
Seguridad de la información

Preguntas frecuentes de seguridad de la información

La seguridad de la información es un elemento clave que garantiza la integridad, disponibilidad y confidencialidad de los datos.

El Servicio de Salud de las Islas Baleares está comprometido en proteger adecuadamente la información, por lo que vela para cumplir los principios y requisitos de seguridad definidos en el Esquema Nacional de Seguridad.

Así pues, en este sentido, el Servicio de Salud de las Illes Balears cuenta con una política propia de seguridad de la información que asegura la eficacia de las medidas de seguridad implementadas, además de un Código de Buenas Prácticas que establece y proporciona información y directrices básicas sobre cómo deben aplicarse estas medidas.

Por todo ello, en esta sección se han resuelto algunas de las consultas más recurrentes en materia de seguridad de la información:

Índice

1. USO DE RECURSOS INFORMÁTICOS

2. MEDIDAS DE SEGURIDAD

3. OTRAS PREGUNTAS

 

1. Uso de los recursos informáticos

1) ¿Puedo acceder a internet desde mi dispositivo móvil para un uso personal fuera del desempeño de las funciones que son propias de mi puesto de trabajo?

Esta práctica es contraria al Código de buenas prácticas, que establece que los recursos informáticos del Servicio de Salud deben ser utilizados para las labores propias del personal de acuerdo con las funciones que tiene asignadas, salvo que tenga autorización.

Por otra parte, de acuerdo con el criterio de la Audiencia Nacional, este acceso a internet no puede considerarse en régimen de autoprestación, dado el carácter restrictivo de la interpretación que debe hacerse de conformidad con la SA N 3886/2011, de 1 de septiembre; por lo tanto, es obligatorio cumplir las mismas obligaciones que el resto de los operadores de redes y servicios de comunicaciones electrónicas; entre otras, las siguientes:

  • Obligación de inscripción registral en el registro de operadores de la Comisión del Mercado de las Telecomunicaciones.
  • Garantía del secreto de las comunicaciones adoptando las medidas necesarias.
  • Garantía de los niveles de protección de los datos de carácter personal mientras desempeña sus funciones.
  • Deber de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

2) Se pueden usar el correo electrónico y la agenda corporativa para enviar correos masivos, cadenas de mensajes, etc.?

El Código de buenas prácticas establece que el Servicio de Salud pone a disposición del personal el acceso a determinados recursos informáticos con el fin de facilitar el desarrollo de su trabajo. Asimismo, recuerda que los recursos en cualquier caso son propiedad del Servicio de Salud y, como tales, deben ser utilizados para las labores propias del personal de acuerdo con las funciones que tiene asignadas.

Por otro lado, respecto al uso del correo electrónico y las agendas, el Código de buenas prácticas determina que el correo electrónico y la agenda proporcionados por el Servicio de Salud son para uso profesional, como herramientas de trabajo que son. Es necesario tener la autorización correspondiente para cualquier uso particular, que ha de ser puntual y limitado en frecuencia y duración. En ningún caso el uso autorizado para fines personales puede consistir en una actividad comercial o con ánimo de lucro ni puede ser inapropiado u ofensivo.

Igualmente, en cuanto al uso del correo electrónico y la agenda, el Código de buenas prácticas determina expresamente que el correo electrónico es un medio de comunicación interpersonal, no un medio de difusión masiva e indiscriminada de información. Por ello, hay que evitar cualquier práctica que pueda poner en riesgo el funcionamiento y el buen uso del sistema.

Asimismo, se considera expresamente como uso inadecuado del servicio de correo electrónico y la agenda el hecho de que se utilicen como medio para propagar cartas encadenadas o participar en esquemas piramidales o actividades similares, o para enviar mensajes o información de forma masiva, lo cual consume injustificadamente recursos tecnológicos.

Por todo ello, no está permitido utilizar la agenda ni el correo corporativos para difundir mensajes con estas finalidades.

3) ¿Se pueden utilizar soluciones de almacenamiento ofrecidas por servicios como DropBox, Mega y Google Drive?

Con carácter general, el Código de buenas prácticas establece que debe evitarse usar, instalar o distribuir programas fuera de los estándares y las recomendaciones aprobados por el Servicio de Salud, porque pueden comprometer la seguridad de los sistemas de información.

En particular, este tipo de soluciones de almacenamiento no permiten aplicar las medidas de seguridad requeridas para garantizar la protección de los datos ni cumplir las obligaciones relativas a la comunicación de datos que requieran el consentimiento previo de la persona afectada.

Por ello, la Oficina de Seguridad no autoriza el uso de estos servicios en el ámbito profesional porque no ofrece suficientes garantías de seguridad para el tratamiento de datos de carácter personal, en particular los de nivel alto, protegidos especialmente.

4) ¿Se puede utilizar SharePoint como repositorio de documentación clínica?

Según la LOPDGDD, el Servicio de Salud tiene la obligación de implementar las medidas de seguridad establecidas en el ENS. Pero SharePoint no tiene actualmente las medidas de seguridad necesarias para garantizar el nivel de seguridad requerido para el tratamiento de documentación clínica, porque esta recoge categorías especiales de datos. Por ello, la Oficina de Seguridad propone aplicar determinados criterios para determinar si se puede utilizar SharePoint para determinadas finalidades, en función del tratamiento y la categorización de los datos.

Se entiende por categorías especiales de datos las relativas a datos personales que revelen el origen étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos y biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud y los datos relativos a la vida sexual o la orientación sexual de una persona física. Si los datos que van a tratarse entran en esta definición, se recomienda no usar SharePoint para tratarlos.

5) ¿Qué medidas se tienen que asegurar para enviar datos clínicos por medio del correo?

Según la LOPDGDD, el Servicio de Salud tiene la obligación de implementar las medidas de seguridad establecidas en el ENS para proteger los activos. En cuanto a la información que contengan tanto el cuerpo de los mensajes de los correos electrónicos como sus archivos adjuntos, ha de estar protegida en todas sus categorías, independientemente de cuál sea la dimensión de seguridad. Por ello el Código de buenas prácticas establece que, con carácter general, hay que evitar enviar por correo electrónico información que contenga datos personales de salud y que, si es estrictamente necesario, han de estar cifrados.

Según el criterio técnico de la Subdirección General de Inspección de la AEPD manifestado en el Informe 0494/2009, «tanto el cifrado que ofrecen los productos que generan archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y se dispone de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no solo se pueden obtener en internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable. Aunque para el uso particular pudieran considerarse adecuadas, no así para el intercambio de información con las garantías que se precisan en el Reglamento». El Informe añade que «esta garantía necesaria para preservar la confidencialidad de las comunicaciones no solo descansa en el sistema de cifrado, sino también en el sistema de gestión de claves, en particular».

Por esos motivos es preceptivo que el intercambio de información se lleve a cabo usando certificados electrónicos, de modo que sea posible proteger la seguridad de la comunicación con mecanismos de cifrado de clave pública basados en el uso de un par de claves que permitan cifrar el contenido con una de estas, que permanece en poder del propietario, y descifrar el contenido con la otra y solo con esta.

6) Si un organismo (p. ej. un juzgado) solicita datos de categorías especiales de un usuario del centro (datos de salud, etc.) por un medio de comunicación que se puede considerar inseguro (fax, correo electrónico sin cifrar), ¿debe cursarse la solicitud?

Desde la perspectiva de la protección de los datos, no debe utilizarse el fax para enviar documentación que contenga datos de categorías especiales. Por ello hay que informar al organismo solicitante que para enviarla hay actualmente otras vías, sencillas, igual de rápidas y más seguras (correo electrónico cifrado).

7) ¿Está permitido utilizar usuarios genéricos para acceder a los sistemas de información?

Según la LOPDGDD, el Servicio de Salud tiene la obligación de implementar las medidas de seguridad establecidas en el ENS para proteger la operación del sistema, una de las cuales es el control de accesos, que cubre el conjunto de actividades preparatorias y ejecutivas para que una entidad determinada (usuario o proceso) pueda (o no) acceder a un recurso del sistema. En cuanto a la identificación, se establece que cada entidad que acceda a un sistema ha de tener un identificador singular y ha de estar asociada a un identificador único. En este sentido, no se admite crear usuarios genéricos, pues cada usuario debe identificarse de un modo inequívoco y personalizado.

8) En los puestos de guardia o en aquellos donde se hagan pruebas médicas, se trabaje por turnos o haya equipos en funcionamiento durante las 24 horas del día por necesidades del servicio, ¿es posible compartir el usuario del sistema de información para evitar salir y entrar del sistema?

No puede compartirse el usuario ni desvelar la clave de acceso asociada a ningún empleado, compañero u otra persona. Tampoco deben utilizarse usuarios genéricos compartidos. Por lo tanto, cada empleado debe iniciar la sesión con su usuario cuando comienza su jornada y cerrarla al terminar.

9) ¿Se puede instalar iTunes, Spotify o cualquier otro sistema no corporativo en los equipos de trabajo del Servicio de Salud?

El Código de buenas prácticas establece que el Servicio de Salud pone a disposición del personal el acceso a determinados recursos informáticos que facilitan el desarrollo de su trabajo y recuerda que estos recursos son propiedad del Servicio de Salud; como tales, deben ser utilizados para las labores propias del personal de acuerdo con las funciones que tenga asignadas.

Por otro lado, en cuanto al uso de los recursos informáticos determina expresamente que debe evitarse usar equipos o aplicaciones que no estén especificados directamente como parte del soporte lógico o del soporte físico estándar del Servicio de Salud, salvo que se tenga autorización expresa y por escrito de la gerencia.

10. ¿Se puede configurar la cuenta de correo corporativo para redirigir los mensajes de correo electrónico a cuentas personales?

Con carácter general, el Código de buenas prácticas establece que en ningún caso las comunicaciones durante las tareas profesionales deben enviarse desde cuentas de correo electrónico personales ofrecidas por proveedores de internet. Tampoco está permitido en ningún caso redirigir a cuentas particulares mensajes de correo electrónico de carácter profesional recibidos en la cuenta proporcionada por el Servicio de Salud. Por lo tanto, debe restringirse la configuración de las cuentas de usuario para redirigir los mensajes de correo electrónico a otras cuentas personales (o profesionales), pero ajenas a la cuenta corporativa proporcionada por el Servicio de Salud.

11) ¿Qué protocolo debe seguir cada gerencia para la gestión de los ordenadores de los usuarios en cuanto al uso de los recursos informáticos del Servicio de Salud?

  1. Enviar una nota interna para informar sobre la prohibición de almacenar archivos de audios, vídeo e imagen en las unidades de red para uso personal y sobre la advertencia que estos archivos se borrarán en una fecha determinada.
  2. Unos días antes de la fecha prevista para borrarlos, se debe enviar un recordatorio.
  3. En la fecha en cuestión, se tiene que hacer una copia de seguridad de los datos y posteriormente borrar todos los archivos excepto los que los usuarios hayan pedido expresamente que se conserven.

12) ¿Se puede modificar la configuración del equipo de usuario?

El Código de buenas prácticas establece que el Servicio de Salud es el responsable de determinar las normas, las condiciones y las responsabilidades oportunas para proteger los recursos informáticos.

Para no comprometer las medidas de seguridad establecidas por el Servicio de Salud, los usuarios tienen que evitar usar equipos o aplicaciones que no estén especificados directamente como parte del soporte lógico o del soporte físico estándar del Servicio de Salud. En ningún caso se puede modificar la configuración establecida de los recursos. Por lo tanto, hay que evitar usar, instalar o distribuir programas fuera de las recomendaciones y de los estándares aprobados por el Servicio de Salud, pues pueden comprometer la seguridad de los sistemas de información.

Si es necesario instalar programas ajenos al estándar establecido, hay que pedir autorización al responsable del servicio, aunque es necesaria la valoración previa del servicio de informática.

La instalación de programas informáticos debe ser siempre a cargo del servicio de informática correspondiente o debe ser monitorizada por este a fin de asegurar que se cumplen las medidas de seguridad requeridas y que se cuenta con las garantías de soporte oportunas.

Con el objetivo de mantener unos niveles adecuados de protección de la información y de los recursos informáticos, el Servicio de Salud ha desarrollado las pautas necesarias para mantener las medidas de seguridad que garanticen que se cumple la normativa vigente en la prestación de los servicios sanitarios.

13) ¿Se puede facilitar una copia del buzón de correo y de los documentos de un usuario que está activo en la organización?

Siempre que el usuario esté activo y tenga la autorización de la dirección, se puede facilitar la copia solicitada. En cambio, si el usuario no está activo hay que denegar la petición, pues el Código de buenas prácticas establece que cuando un usuario finaliza su relación o vinculación con el Servicio de Salud deja de tener acceso a sus sistemas de información y a los datos que contienen. Asimismo, tiene que devolver cualquier soporte que contenga datos a los que haya tenido acceso en el marco de su vinculación o relación con el Servicio de Salud.

14) ¿Qué restricciones se establecen en cuanto a la navegación y el uso de internet?

El Código de buenas prácticas establece que, por motivos de seguridad y de rendimiento de la red del Servicio de Salud, los servicios informáticos pueden monitorizar y limitar el uso de internet. Además, el sistema que proporciona el servicio de navegación puede disponer filtros de acceso que bloqueen el acceso a webs con contenidos inadecuados, programas lúdicos de descarga masiva o páginas potencialmente inseguras o que contengan virus o códigos malignos. 

Por ese motivo, teniendo en cuenta la necesidad de optimizar los recursos disponibles, el volumen del tráfico de datos y los riesgos de seguridad asociados al uso de internet, se han establecido ciertas restricciones en la navegación por internet, por motivos de seguridad y de calidad del servicio y para cumplir en todo momento los requisitos que establece la legislación vigente, y de conformidad con el artículo 23 del ENS.

En consecuencia, dichas restricciones deben mantenerse, pero si se requiere acceder a determinadas páginas web por motivos profesionales, se puede establecer un sistema de peticiones para solicitar acceso a dichas páginas para revisarlas desde el punto de vista de los riesgos de seguridad y, en su caso, habilitar el acceso.

15) ¿Se puede enviar por correo electrónico información que contenga información sensible o datos de carácter personal?

La Oficina de Seguridad recomienda que no se envíen datos de salud por correo electrónico; en todo caso, sería necesario cifrar los correos; además, se corre el riesgo de que se guarde información de categorías especiales de datos en los correos.

Recomendamos enviar por correo una URL en los que estén alojados los datos y que el sistema en que se almacenen no sea público y solo tengan acceso las personas que lo requieran para desempeñar sus funciones.

16) ¿Se puede usar WhatsApp, Telegram, etc. para enviar información sensible que contenga datos de carácter personal?

La Oficina de Seguridad desaconseja usar el servicio de WhatsApp u otras aplicaciones de mensajería para usos profesionales, porque no ofrecen garantías de seguridad suficientes para el tratamiento de datos personales, en particular los datos considerados como categorías especiales de datos.

17) ¿Puedo usar una red wifi pública que no sea del Servicio de Salud para trabajar?

La Oficina de Seguridad ha decidido que bajo ningún concepto se puede usar una red wifi pública para trabajar, porque cualquier persona no autorizada podría capturar información sensible, ya que no es una red segura.

18) ¿Es seguro utilizar los servicios de Office 365 para introducir en los formularios los números de historia clínica?

El entorno de Office 365 está totalmente protegido, pero debemos reforzar el mensaje de que las herramientas ofimáticas no son aplicaciones de gestión de historias clínicas, por lo que no deben utilizarse con esta finalidad. Asimismo, debemos recordar que la Ley de autonomía de pacientes establece que la historia clínica debe ser única, por lo que no puede estar separada en carpetas personales, lo cual dificultaría salvaguardar los derechos de los interesados, entre otros aspectos.

 

2. Medidas de seguridad

1) ¿Qué medidas de seguridad se deben establecer para identificar y autenticar pacientes por medio de internet?

En el marco de las administraciones públicas hay que tener en cuenta lo que prevé la Ley 39/2015 en cuanto a la identificación y la firma de los interesados en el procedimiento administrativo. Pueden identificarse electrónicamente por estos medios:

  1. Sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la lista de confianza de prestadores de servicios de certificación.
  2. Sistemas basados en certificados electrónicos reconocidos o cualificados de sello electrónico expedidos por prestadores incluidos en la lista de confianza de prestadores de servicios de certificación.
  3. Sistemas de clave concertada y cualquier otro sistema que las administraciones públicas consideren válido, en los términos y las condiciones que se establezcan.

Los interesados pueden firmar electrónicamente por estos medios:

  1. Sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la lista de confianza de prestadores de servicios de certificación.
  2. Sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico incluidos en la lista de confianza de prestadores de servicios de certificación.
  3. Cualquier otro sistema que las administraciones públicas consideren válido, en los términos y las condiciones que se establezcan.

De conformidad con la LOPDGDD, el Servicio de Salud, como organismo público, tiene la obligación de implementar las medidas de seguridad establecidas en el ENS. Por ello deben adoptarse las medidas de seguridad que garanticen la protección de los datos en la identificación y autentificación de los usuarios, de conformidad con el marco normativo aplicable.

2) ¿Qué previsiones se deben adoptar a la hora de registrar datos de imágenes de pacientes?

En primer lugar, hay que determinar la finalidad del tratamiento de las imágenes en el momento en que se facilite información al paciente para que pueda decidir si desea firmar el documento de consentimiento informado:

  1. Si la finalidad es asistencial, de diagnóstico o tratamiento, estaría cubierta por la finalidad del tratamiento «Historia clínica».
  2. Si la finalidad del registro de dichas imágenes es la investigación, estudios, etc., entraría en la finalidad del tratamiento «Investigación sanitaria».

Por otro lado, por lo que respecta a la aplicación de medidas de seguridad, de acuerdo con la disposición adicional primera de la LOPDGDD, en los tratamientos de datos deben implementarse las medidas de seguridad establecidas en el ENS.

3) ¿Qué medidas de seguridad hay que adoptar para destruir documentación de una manera segura?

Para garantizar que la documentación se destruye de manera segura hay que atender las instrucciones y las medidas establecidas en el documento Procedimiento de destrucción de documentos y soportes con datos personales del Servicio de Salud de las Islas Baleares, en el que se describen las medidas técnicas y organizativas para garantizar la destrucción correcta de los documentos y de los soportes de información.

Asimismo, la legislación que regula la destrucción de documentación en los aspectos relacionados con la seguridad de la información indica, por una parte, que la documentación con datos de carácter personal debe ser destruida adoptando medidas dirigidas a evitar que pueda ser recuperada posteriormente y, por otra parte, la documentación afectada por el ENS debe ser destruida de forma segura.

Por otro lado, si se contratase una empresa especializada, esta tendría la consideración de encargado de tratamiento, por lo que se debería cumplir lo estipulado al respecto en la legislación de protección de datos, al igual que otras empresas que tratan datos de carácter personal por cuenta del Servicio de Salud.

Para establecer un procedimiento de destrucción de documentación debe exigirse que la destrucción cumpla la norma española UNE-EN-15713:2010 («Destrucción segura del material confidencial. Código de buenas prácticas»), que regula todos los aspectos recomendables para que el procedimiento se haga de manera segura, entre otros, los siguientes:

  • Medidas que deben cumplir las dependencias.
  • Medidas que deben cumplir los empleados.
  • Cómo debe recogerse, custodiar y transportar la documentación.
  • Qué hay que hacer con el material resultante una vez destruida la documentación.

En cuanto al tamaño de los residuos resultantes de la destrucción, debe exigirse que la destrucción se haga siguiendo la normativa DIN/CEN 32757, de ámbito internacional, que estipula cuál ha de ser el tamaño de los trozos de papel dependiendo de la confidencialidad de la documentación. Teniendo en cuenta que la documentación puede contener datos de carácter personal, debe exigirse que se cumpla como mínimo el nivel de seguridad núm. 3, indicado en la normativa citada. Finalmente debe certificarse la destrucción segura de la documentación.

4) ¿Cuál es la política sobre el acceso del personal sanitario a aplicaciones clínicas desde su casa?

Con carácter general, no se permite que accedan a aplicaciones clínicas desde fuera de las instalaciones si el acceso no está justificado correctamente. Esta habilitación debe estar condicionada por una necesidad funcional y asistencial que justifique el acceso de determinados profesionales.

En este punto, es importante resaltar la obligación de control de acceso, que establece que los usuarios tendrán acceso a los recursos que necesiten para desempeñar sus funciones. Puede llegar a ser necesario habilitar el acceso a profesionales que trabajen desde fuera de las instalaciones o estén de guardia, pero estos permisos deben ser revocados o negados siempre que no se dé alguna de estas dos condiciones.

Habilitar la posibilidad de que los profesionales se conecten desde el exterior de la red del Servicio de Salud aumenta los riesgos para la seguridad y para la confidencialidad y, en consecuencia, incrementa las medidas de seguridad que deben aplicarse, que no son solo técnicas sino también organizativas.

Por ello, como norma general no se aconseja conceder permisos para acceder a aplicaciones clínicas desde el exterior de la red del Servicio de Salud. Así pues, estos permisos deben darse exclusivamente basándose en necesidades y durante el tiempo que duren estas necesidades.

5) ¿Qué recomendaciones hay que seguir para comunicar datos por medios telemáticos fuera de la red del Servicio de Salud?

De conformidad con la LOPDGDD, el Servicio de Salud, como organismo público, tiene la obligación de implementar las medidas de seguridad establecidas en el ENS, que son las siguientes en cuanto a la protección de las comunicaciones:

  • Usar redes privadas virtuales cuando la comunicación discurra por redes fuera del propio dominio de seguridad.
  • Usar algoritmos acreditados por el Centro Criptológico Nacional, ya sea por medio de cifrado simétrico, protocolos de acuerdo de clave, algoritmos asimétricos o funciones resumen.

6) ¿Qué recomendaciones hay que seguir para crear una contraseña segura?

 

En el proceso de generar y gestionar contraseñas, hay que tener en consideración las reglas siguientes:

  • Deben tener una longitud de ocho caracteres o más.
  • Han de consistir en una combinación de caracteres alfanuméricos (letras mayúsculas y minúsculas, dígitos numéricos y signos especiales).
  • No es conveniente que tengan caracteres idénticos consecutivos.
  • Idealmente, la contraseña no debe ser igual a ninguna de las tres últimas contraseñas usadas.
  • La contraseña debe cambiarse periódicamente, cada tres meses.
  • No deben estar basadas en datos que otra persona pueda adivinar u obtener fácilmente.
  • Deben ser fáciles de recordar. Por tanto, hay que encontrar una solución de compromiso entre la robustez de la contraseña y la facilidad de recordarla.
  • Hay que evitar comunicar las contraseñas por escrito.
  • Es especialmente importante mantener el carácter secreto de la contraseña.
  • Se recomienda usar sistemas de gestión de contraseñas.

 

3. Otras preguntas

1) ¿Se pueden considerar seguros los medios electrónicos?

Sí, pues están regulados por la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas, y la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público.