Gracias al auge de herramientas y servicios en la nube, los usuarios disponen de una mayor variedad de recursos, que se amolda a diferentes necesidades y gustos. Esto produce el efecto conocido como “shadow IT”, un concepto que se refiere al conjunto de sistemas tecnológicos, dispositivos, programas, aplicaciones y servicios en la nube que están fuera del control del departamento de tecnología de la información (IT, por information technology) de una empresa y que no tienen la aprobación explícita de la organización.

Este concepto se amplía con el de “shadow data”, relativo a la información sensible de la empresa que se comparte y cuyo tipo o calidad no han sido validados por el departamento de tecnología de la información.

Para reducir los riesgos que pueden suponer estas prácticas, hay que recordar lo que establece el apartado 7.4 (“Conexión de dispositivos personales y almacenamiento en la nube”) del “Código de buenas prácticas del Servicio de Salud en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal”:

• No se puede conectar a la red informática de comunicaciones corporativa ningún dispositivo distinto de los configurados, habilitados y admitidos por el Servicio de Salud, salvo que se disponga de la autorización previa correspondiente.
• No está permitido transmitir o alojar información sensible, confidencial, datos de carácter personal o información protegida propia del Servicio de Salud en servidores externos o soluciones de almacenamiento en la nube, salvo que se disponga de la autorización previa correspondiente.

Usar aplicaciones o servicios no validados implica los riesgos siguientes:

• Los servicios que no son conocidos por el departamento de tecnología de la información son más difíciles de controlar.
• Dado que no son incluidos en los análisis de riesgo, no se pueden tomar contramedidas y suponen un incumplimiento normativo del Esquema Nacional de Seguridad.
• Si se usan para el tratamiento de datos —especialmente de datos sensibles— se aplicaría Reglamento general de protección de datos y la Ley orgánica 3/2018.

Por este motivo, la Oficina de Seguridad del Servicio de Salud aprovecha este boletín de seguridad para insistir en estos aspectos:

• Use exclusivamente herramientas corporativas.
• Si necesita un nuevo servicio, curse un requerimiento interno para que se evalúe la mejor herramienta (incluyendo su seguridad) para dicho servicio.
• No use herramientas no corporativas para enviar información, sobre todo nunca y bajo ningún concepto para enviar datos relativos a la salud.
• Sea paciente: nuevos servicios o aplicaciones requerirán nuevos análisis y evaluaciones, necesarios para determinar la idoneidad y la seguridad de la solicitud.

Gracias a estas buenas prácticas disminuiremos el riesgo de fuga de información sensible.