Digitalización en el Sector de la Salud

Perfil

Investigación Industrial > Sectores Económicos > Sector Sanitario > Sector de la Atención de la Salud.

Seguridad y garantía de la información médica en la Digitalización en el Sector de la Salud

Nota: Véase acerca de las Corporaciones Globales del Sector de Atención de la Salud y las «Fuerzas Motrices del Sector de la Salud«.

La atención médica representa un segmento importante de la economía estadounidense. En 2016, el gasto sanitario total alcanzó los 3,3 billones de dólares y se prevé que crezca un 5,6% anual hasta 2025 (CMS, 2016). Según las estadísticas de los Centros de Servicios de Medicare y Medicaid, las cifras de 2016 se traducen en 10.348 dólares por persona o el 17,9% del producto interior bruto de la nación. Se cree que el uso de en las organizaciones médicas alivia el gasto al tiempo que aumenta la calidad general de la atención al paciente. Los servicios de tecnología de la información sanitaria implican el uso de la tecnología para proporcionar atención médica, así como para permitir el intercambio exhaustivo de la información sanitaria digital (Office of National Coordinator for Health Information Technology, 2015).

Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios

La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios de 1996 de Estados Unidos (HIPAA, Ley Pública 104-191) tiene como objetivo proporcionar una cobertura sanitaria continua a los trabajadores que pierden o cambian de empleo y reducir las cargas administrativas y el coste de la atención médica mediante la normalización de la transmisión electrónica de las transacciones administrativas y financieras. El Departamento de Salud y Servicios Humanos (HHS) de EE.UU. estableció las directrices mediante la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica en 2009 y la amplió con la norma ómnibus de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios en 2013. De los cinco títulos de la Ley de Portabilidad y Responsabilidad del Seguro Médico, el título II, que detalla la simplificación administrativa, aborda cómo se transmiten y almacenan las transacciones médicas electrónicas.

Cinco secciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico

La norma de seguridad de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (Health Insurance Portability and Accountability Act) exigida por el título II establece un estándar para la seguridad de la información sanitaria electrónica protegida:

Título I: Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios Reforma de los seguros sanitarios

El título I protege la cobertura del seguro médico de las personas que cambian o pierden su empleo y prohíbe a los planes de salud colectivos y a los emisores denegar la cobertura a personas con enfermedades específicas y afecciones preexistentes.

Título II: Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios Simplificación administrativa

El Título II obliga al Departamento de Salud y Servicios Humanos (HHS) de EE.UU. a establecer normas nacionales para procesar las transacciones médicas electrónicas. También ordena a las organizaciones médicas que implanten un acceso electrónico seguro a los datos sanitarios y que cumplan la normativa sobre privacidad establecida por el Departamento de Salud y Servicios Humanos de EE.UU.

Título III: Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios Disposiciones sanitarias relacionadas con los impuestos

El Título III incluye disposiciones relacionadas con los impuestos para la atención médica.

Título IV: Aplicación y cumplimiento de los requisitos de los planes de salud colectivos

El Título IV ofrece más detalles sobre las disposiciones relativas a las personas con enfermedades preexistentes y a las que buscan una cobertura continuada.

Título V: Compensación de ingresos

El Título V incluye disposiciones sobre los seguros de vida propiedad de empresas y el tratamiento de quienes pierden la nacionalidad estadounidense a efectos del impuesto sobre la renta.

Objetivos

La norma de seguridad de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios pretende salvaguardar la confidencialidad, integridad y disponibilidad de toda la información sanitaria electrónica protegida, asegurando cualquier información sanitaria identificable individualmente durante su almacenamiento, procesamiento o transmisión electrónicos o digitales. La norma se aplica a las entidades cubiertas y a los socios comerciales. Entre las entidades cubiertas se incluyen los proveedores médicos, los planes de salud, los centros de intercambio de información sanitaria y determinados socios comerciales. Un asociado comercial es cualquier organización o persona que trabaje en asociación con una entidad cubierta o le preste servicios y que maneje o divulgue información sanitaria personal (PHI) o historiales médicos personales. las entidades cubiertas eligen la tecnología y los controles apropiados para su propio entorno único teniendo en cuenta su tamaño y capacidades, su infraestructura técnica, el coste de las medidas de seguridad y la probabilidad de riesgo. La autoridad de la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE.UU. es responsable de investigar las infracciones y hacer cumplir la norma de seguridad, y las multas por incumplimiento son de hasta 1.500.000 dólares por infracción y año. La regla de seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico detalla las salvaguardas administrativas, físicas y técnicas.

La norma de privacidad de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos establece normas nacionales para proteger los historiales médicos de las personas y otra información médica protegida, y se aplica a los planes de salud, los centros de intercambio de información sanitaria y aquellos proveedores de atención médica que realizan determinadas transacciones sanitarias por vía electrónica. La norma exige salvaguardas adecuadas para proteger la privacidad de la PHI y establece límites y condiciones sobre los usos y divulgaciones que pueden hacerse de dicha información sin la autorización del paciente. La norma también otorga a los pacientes derechos sobre su información sanitaria, incluido el derecho a examinar y obtener una copia de sus historiales médicos y a solicitar correcciones.

La norma de aplicación de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios contiene disposiciones relativas al cumplimiento y las investigaciones, la imposición de sanciones pecuniarias civiles por infracciones de las normas de simplificación administrativa de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios y los procedimientos para las audiencias.

En 2013, el Departamento de Salud y Servicios Humanos de EE.UU. anunció la norma ómnibus, que incluía modificaciones de las normas de privacidad, seguridad, cumplimiento y notificación de infracciones de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos en virtud de la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica, la Ley de No Discriminación por Información Genética y otras modificaciones de las normas de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos.

Información Médica (Sanitaria)

Aquí se aborda la historia clínica electrónica, intercambios de información sanitaria, red nacional de información sanitaria, uso significativo, norma de recursos de interoperabilidad sanitaria rápida y la historia clínica personal.

En la actualidad, uno de los servicios de la tecnología de la información sanitaria es el sistema de historia clínica electrónica, que es un registro electrónico de la información sanitaria del paciente generada por uno o más encuentros en cualquier entorno de prestación de cuidados (PCORI, 2017). La digitalización obligatoria de los historiales médicos por parte de la Ley de Recuperación y Reinversión Estadounidense de 2009 dio lugar a la adopción del 93% de los sistemas de historiales médicos electrónicos a finales de 2014. La mayoría de las organizaciones sanitarias que adoptaron sistemas de historia clínica electrónica demostraron un uso significativo de la historia clínica electrónica, que se refiere al uso de la historia clínica electrónica para mejorar la calidad y la seguridad, mejorar la coordinación de la atención y mantener la seguridad y la privacidad de la información sanitaria electrónica protegida. La imagen completa del historial médico del paciente que presenta la historia clínica electrónica proporciona información esencial a los médicos para tomar la decisión más informada, al tiempo que reduce los costes de pruebas y exámenes redundantes. Se ha demostrado que la implantación de la historia clínica electrónica aumenta la calidad de la prestación médica y reduce los costes asociados.

Uno de los principales objetivos de la iniciativa del gobierno para fomentar la adopción de historiales médicos electrónicos es aumentar los intercambios de información sanitaria (HIE) y, con el tiempo, mantener una red nacional de información sanitaria (NHIN). La NHIN pretende proporcionar una infraestructura de información sanitaria segura e interoperable que permita a las partes interesadas, como médicos, hospitales, pagadores, HIE estatales y regionales, agencias federales y otras redes, intercambiar información sanitaria electrónicamente (Cline, 2012). La NHIN contribuirá significativamente a reducir el gasto médico en Estados Unidos, al tiempo que mejorará la calidad de la atención al paciente.

A medida que aumentaba la adopción de la historia clínica electrónica y su uso significativo, los profesionales sanitarios se dieron cuenta rápidamente de que existían multitud de problemas de interoperabilidad entre las historias clínicas electrónicas de distintos proveedores. HL7, una organización que desarrolla normas para el intercambio, la integración, la puesta en común y la recuperación de historiales médicos electrónicos, redactó la primera guía de recursos de interoperabilidad médica (FHIR) en 2004 en un intento de abordar los problemas de integración con historiales médicos electrónicos, portales, HIE, aplicaciones de telefonía móvil, comunicaciones en la nube y otros sistemas de tecnología de la información (TI) sanitaria (Mandel et al., 2016). Se espera que FHIR tenga el estatus de estándar completo en 2017.

El siguiente paso lógico es el intercambio de información entre historiales médicos electrónicos y pacientes. Muchos proveedores permiten a los pacientes acceder a sus historiales médicos personales a través de portales de pacientes (Schleyer et al., 2016). Además, los pacientes están recopilando/registrando datos relativos a su salud mediante diversas aplicaciones móviles como MyFitnessPal. En la visión a 10 años de la Oficina del Coordinador Nacional de Tecnología de la Información Sanitaria, se hace hincapié en el empoderamiento de los usuarios/pacientes para que gestionen su propia historia clínica personal y, en consecuencia, obtengan un diagnóstico y un tratamiento individualizados y oportunos con la ayuda de datos en tiempo real compartidos por los proveedores (ONC, 2015).

Aplicaciones mHealth

El término mHealth se utiliza para denotar cómo pueden utilizarse las tecnologías móviles e inalámbricas para mejorar los servicios relacionados con la salud. El campo de la mHealth ha experimentado rápidos cambios y sigue ascendiendo en la agenda médica. El 77 % de la población estadounidense tiene ahora un teléfono inteligente (Pew Research Center, 2017), y estos teléfonos siguen desarrollando nuevas funciones y experimentando mejoras en su potencia informática. Los teléfonos inteligentes pueden utilizarse ahora para realizar un seguimiento, gestionar y mejorar la salud. Quizá el elemento más visible de la mHealth sea la profusión de aplicaciones para teléfonos (apps), especialmente las relacionadas con el fitness y el bienestar. Una simple búsqueda en las tiendas de aplicaciones muestra la presencia de un gran número de ellas. En 2015 había más de 90.000 aplicaciones iOS de mHealth disponibles, lo que supone un aumento de más del 100% en comparación con las 43.000 aplicaciones iOS de mHealth disponibles en 2013. Además, las descargas mundiales de aplicaciones de salud aumentaron de 1.700 millones en 2013 a 3.700 millones 2017 (Statista, 2018). En 2020, se estima que el valor del mercado mundial de mHealth será de 58.800 millones de dólares.

Las «apps» de mHealth son ampliamente utilizadas por consumidores y profesionales médicos (por ejemplo, pacientes, médicos, farmacéuticos y otros). Las principales categorías de apps de mHealth que se utilizan son las apps de referencia (como WebMD), las aplicaciones de bienestar (como MyFitnessPal), las apps de redes sociales (como PatientsLikeMe) y las apps diseñadas para acceder a historiales médicos electrónicos (como Care360) y PHI (como Microsoft HealthVault) (mHIMMS, 2015). En otro informe, encargado por Royal Philips Electronics, se informa de que un número cada vez mayor de usuarios de móviles recurren a las aplicaciones sanitarias -y confían en ellas- (RPE, 2012). Uno de cada 10 estadounidenses encuestados en el estudio cree que si no fuera por la información sanitaria basada en la web, «ya estaría muerto o gravemente incapacitado». Una cuarta parte de los encuestados utiliza los sitios web de comprobación de síntomas o la tecnología de diagnóstico en casa tanto como la visita al médico, mientras que otro 27% utiliza estas aplicaciones interactivas en lugar de ir al médico. Mientras que sólo el 66% de los pacientes estaría dispuesto a rellenar una receta de su médico, el 90% de los pacientes está dispuesto a utilizar una aplicación prescrita por su médico (mHIMMS, 2015).

Aunque en la actualidad existen pocas investigaciones basadas en pruebas que puedan respaldar directamente los beneficios para la salud de las aplicaciones mHealth, hay buenas razones para creer que estas aplicaciones tienen potencial para beneficiar significativamente la salud en general. Quizás el mayor potencial de beneficio se encuentre en las aplicaciones diseñadas para acceder a los historiales médicos electrónicos y a los PHI; sin embargo, tanto los pacientes como los médicos necesitan saber que la privacidad, la seguridad y la protección de estas aplicaciones se abordan adecuadamente antes de que la mHealth pueda integrarse con éxito en el sistema médico. Las aplicaciones mHealth permiten a los pacientes tomar el control de su propia salud, especialmente en áreas como la alimentación saludable, la gestión de enfermedades crónicas y el abandono del tabaco (Varshney, 2011). Además, los historiales médicos personales, que incluyen el historial médico, los resultados de laboratorio y la información sobre el seguro, ayudan a las personas a gestionar su vida y a participar activamente en su propia atención médica (Davis et al., 2017). Para los médicos, la sanidad móvil puede ayudar a proporcionar recursos en el punto de atención y a gestionar sus consultas. Para los pacientes, la sanidad móvil puede mejorar la comodidad, el coste y la calidad de su asistencia sanitaria. La sanidad móvil es una herramienta importante en el ámbito médico y su importancia y su éxito o fracaso vendrán determinados por la forma en que se integre en los sistemas sanitarios y permita una mejor atención a los pacientes.

Las poblaciones que actualmente utilizan tecnologías mHealth son las que más se benefician del uso de esta tecnología. Los pacientes con enfermedades crónicas, así como las personas que desean mantener una buena salud, se beneficiarían de la implantación de la mHealth. A medida que más pacientes conozcan los beneficios para la salud de la mHealth, se prevé que aumenten las suscripciones a tecnologías móviles y aplicaciones sanitarias. Aunque existen aplicaciones que ayudan a gestionar una afección específica, las aplicaciones que integran y consolidan los datos aún están en fase de desarrollo.

Para los médicos, las aplicaciones mHealth pueden ayudar a proporcionar recursos en el punto de atención y ayudar en la gestión de sus consultas. Los médicos consideran que la privacidad y la seguridad son las principales barreras para un mayor uso de la sanidad móvil (Gagnon, 2016). Los pacientes que utilizan aplicaciones mHealth necesitan tener la confianza de que los productos que están utilizando son seguros y precisos. La seguridad de los datos, el control del acceso, las políticas y la confidencialidad son las principales cuestiones que deben abordarse para que la sanidad móvil siga prosperando y proporcione beneficios médicos seguros.

Sistemas de gestión de dispositivos móviles y BYOD

Muchas organizaciones médicas utilizan dispositivos móviles en el lugar de trabajo para que los proveedores puedan desplazarse cuando lo necesiten. Aunque estos dispositivos son un gran activo para los proveedores, también han planteado muchos problemas al personal informático encargado de gestionarlos. Con la creciente adopción de estos dispositivos para tecnologías como la telemedicina, aumenta la necesidad de disponer de capacidades de gestión seguras. Existen en el mercado varios sistemas de gestión de dispositivos móviles (SGDM) diseñados para facilitar la gestión de los teléfonos inteligentes, las tabletas y los ordenadores portátiles que se utilizan en el lugar de trabajo. Estos sistemas suelen ofrecer una interfaz centralizada para desplegar y configurar agentes en los dispositivos móviles.

El reto que plantea la gestión de estos dispositivos móviles es que una organización médica debe proteger los datos de los pacientes en reposo, en tránsito y en uso en un dispositivo que puede no estar diseñado para ser gestionado de forma nativa por una empresa. Para empeorar las cosas, muchos usuarios se llevan sus dispositivos cuando viajan fuera de las instalaciones y fuera de la red corporativa protegida de la organización. Mientras viajan, surgen nuevos problemas potenciales como la interceptación de datos, la pérdida o el robo del dispositivo y el acceso no autorizado por parte de terceros. Para hacer frente a estas amenazas, una gestión de dispositivos móviles debe ser capaz de añadir una capa de cifrado utilizando una red privada virtual. Los sistemas de gestión de dispositivos móviles permiten a los usuarios acceder de forma remota al dispositivo y borrarlo bajo demanda, y garantizan que sólo los usuarios autorizados puedan acceder a los datos del dispositivo. Aunque algunos proveedores han creado sistemas de gestión capaces de proporcionar estos servicios, el departamento de tecnología de la información también debe ser capaz de aplicar y hacer cumplir eficazmente estos controles a diario.

Además de configurar el dispositivo para la gestión de dispositivos móviles, se debe educar a los usuarios sobre cómo utilizar la aplicación de gestión de dispositivos móviles, cuáles son las limitaciones de la aplicación de gestión de dispositivos móviles y cuál es su papel a la hora de complementar la aplicación de gestión de dispositivos móviles para garantizar la seguridad de su dispositivo. Por ejemplo, un departamento de tecnología de la información puede optar por no aplicar actualizaciones automáticas a los dispositivos móviles, para ayudar a minimizar el tiempo de inactividad o para evitar posibles problemas derivados de nuevas revisiones de software. El usuario es entonces responsable de actualizar su dispositivo móvil para asegurarse de que cuenta con los últimos parches de seguridad. Si se tienen en cuenta las vulnerabilidades de los dispositivos móviles reveladas recientemente, la aplicación de parches es fundamental para mantener la confidencialidad de los datos que se utilizan en estos dispositivos. Los usuarios que no sean conscientes de la importancia de actualizar su dispositivo móvil expondrán sus datos a un riesgo mucho mayor.

Algunas de las funciones comunes que se encuentran en las aplicaciones de gestión de dispositivos móviles son el cifrado de dispositivos, el bloqueo de pantallas, las copias de seguridad cifradas y el borrado remoto. Los usuarios de dispositivos móviles deben comprender el propósito de estas funciones y cómo funcionan para garantizar la seguridad de su dispositivo y de los datos almacenados en él. Desde la perspectiva del usuario de un dispositivo móvil, la aplicación de gestión de dispositivos móviles puede ser incluso un obstáculo en lugar de una herramienta que puede aumentar en gran medida la seguridad de sus datos. Por ejemplo, los bloqueos de pantalla mediante un número de identificación personal (PIN) o una contraseña pueden resultar incómodos, pero ayudan a evitar que personas no autorizadas accedan al dispositivo móvil. Algunas organizaciones pueden incluso imponer la destrucción de los datos si el PIN o la contraseña se introducen incorrectamente más de cinco veces. Esta medida de protección aumenta enormemente la seguridad al tiempo que hace al usuario más responsable del acceso a su dispositivo. Dejar un dispositivo en un bolso o permitir que un niño juegue con él podría provocar el reinicio del teléfono sin el conocimiento del usuario.

También son posibles medidas de autenticación alternativas como el escaneado de huellas dactilares o el reconocimiento facial. Utilizar un escáner de huellas dactilares ya es posible con varios dispositivos iPhone y Android, pero aún no se ha demostrado que sea completamente seguro. Según un artículo del New York Times, investigadores de la Universidad de Nueva York y de la Universidad Estatal de Michigan «fueron capaces de desarrollar un conjunto de ‘MasterPrints’ artificiales que podían coincidir con huellas reales similares a las utilizadas por los teléfonos hasta un 65% de las veces» (Goel, 2017). El reconocimiento facial también está disponible en algunos teléfonos inteligentes pero, en algunos casos, ha sido derrotado simplemente colocando una foto del usuario autorizado delante de la cámara del dispositivo.

¿Qué significa todo esto para el usuario final? El método de autenticación integrado más seguro disponible para los dispositivos móviles sigue siendo el PIN o la contraseña. Sin embargo, si el usuario sigue las mejores prácticas en materia de contraseñas, es probable que deba mantener hasta 20 contraseñas diferentes para varias cuentas. El resultado es que muchos usuarios recurrirán a prácticas de gestión de contraseñas poco seguras, como la reutilización de contraseñas para varias cuentas o el uso de contraseñas fáciles de adivinar por un atacante. Si se tiene en cuenta la naturaleza sensible de los datos de los dispositivos móviles en el sector médico, las medidas de autenticación fuertes en los dispositivos móviles son un requisito. Para complementar las medidas de autenticación débiles, podría implementarse un mecanismo de autenticación de dos factores (2FA) como un token (Yubikey, Duo, etc.) o una contraseña de un solo uso basada en el tiempo (Google Authenticator, Duo, etc.). Con un apoyo cada vez mayor y la integración en los portales de inicio de sesión existentes, 2FA ofrece una mayor seguridad de autenticación y puede ser más fácil conseguir que los usuarios «acepten» los procesos seguros. La simple introducción de un código adicional en un portal de inicio de sesión después de teclear una contraseña puede ser adoptada más fácilmente por un usuario que aumentar continuamente la complejidad de la contraseña.

El trabajo no termina cuando se entrega el dispositivo al empleado; la auditoría periódica de su estado de cumplimiento es fundamental, pero puede pasarse por alto fácilmente. En las grandes organizaciones, es posible que algunos dispositivos móviles se pierdan o sean robados durante largos periodos de tiempo antes de que el personal informático haya sido notificado. Este escenario crea aún más trabajo para el personal de tecnología de la información, ya que entonces debe iniciar el proceso de revisión de los archivos de registro correspondientes al tiempo en que se perdió el dispositivo para identificar si se produjo una violación de datos. Otras plataformas de gestión de dispositivos móviles mal diseñadas o implementadas podrían permitir a un usuario eludir o eliminar por completo el agente de gestión de dispositivos móviles del dispositivo. El dispositivo quedaría entonces sin gestionar y, por tanto, desprotegido por los controles corporativos que se hubieran establecido. No configurar correctamente un solo dispositivo móvil podría causar una brecha importante si el dispositivo se pierde o es robado. Según el HSS Breach Portal, hubo aproximadamente 824.324 registros expuestos debido a la pérdida o robo de un ordenador portátil u otro dispositivo electrónico portátil entre 2015 y 2017 (véase el número de registros vulnerados relacionados con un dispositivo móvil, más abajo). Según los datos facilitados, 279.233 registros quedaron expuestos debido a la pérdida o el robo de ordenadores portátiles. Otros 114.458 registros estuvieron expuestos debido a dispositivos perdidos o robados identificados como «otros dispositivos electrónicos portátiles». De las violaciones identificadas en esta tabla, las dos mayores -debidas a la pérdida o el robo de un ordenador portátil- representan más del 74% de los registros expuestos durante este periodo de tiempo.

Registros vulnerados en los que intervino un dispositivo móvil

Número notificado de registros vulnerados en los que intervino un dispositivo móvil de 2015 a 2017, según el Departamento de Salud y Servicios Humanos de EE. UU:

• Centro Médico de Veteranos de Spokane: 3,275 (Ordenador portátil)
• W. W. Grainger, Inc.: 1,594 (Ordenador portátil)
• Indiana Health Centers, Inc.: 1,697 (Ordenador de sobremesa y portátil)
• South Bend Orthopedic Associates Inc: 1,272 (Ordenador portátil)
• Mercy Family Medicine: 2,069 (Otro dispositivo electrónico portátil)
• Sistema sanitario Spectrum: 902 (Otro dispositivo electrónico portátil)
• Ortopedia y medicina deportiva California Pacific: 2,263 (Ordenador portátil y papel/películas)
• Asistencia médica de Little River: 542 (Ordenador portátil)
• Centro de dolor y bienestar Bay Area: 548 (Ordenador portátil)
• Centro Comunitario de Salud del Suroeste: 6,000 (Ordenador de sobremesa y portátil)
• Medicina Familiar de Durango, PC: 18,790 (Otro dispositivo electrónico portátil)
• LKM Enterprises, Inc.: 3,400 (Ordenador de sobremesa y portátil)
• Pediatría Pacific Ocean: 18,637 (Otro dispositivo electrónico portátil)

Red sanitaria LSU

2,200

Otro dispositivo electrónico portátil

Universidad Nova Southeastern

1,086

Otro dispositivo electrónico portátil

Michigan Facial Aesthetic Surgeons d/b/a University Physician Group

3,467

Ordenador portátil

Especialista en columna vertebral

600

Portátil

Corporación Lifespan

20,431

Ordenador portátil

Western Health Screening

15,326

Otro dispositivo electrónico portátil

Specialty Dental Partners of Philadelphia, PLLC-DBA Rich Orthodontics

960

Ordenador de sobremesa y portátil

Fondo de salud y bienestar Local 693 Plumbers & Pipefitters

1,291

Otro dispositivo electrónico portátil

Denton Heart Group-Afiliado a la red de proveedores HealthTexas

21,665

Otro dispositivo electrónico portátil

Hospital Sharp Memorial

754

Ordenador portátil y otro dispositivo electrónico portátil

Wonderful Center For Health Innovation

3,358

Ordenador portátil

Hospital Infantil de Los Ángeles

3,594

Portátil

Servicios sanitarios gestionados

5,500

Correo electrónico y ordenador portátil

Fisioterapia Kinetorehab, PLLC

665

Ordenador portátil

MGA Home Healthcare Colorado, Inc.

3,119

Ordenador portátil

Gibson Insurance Agency, Inc.

7,242

Ordenador portátil

Fred’s Stores of Tennessee, Incorporated

9,624

Ordenador portátil

StarCare Speciality Health System

2,844

Ordenador portátil y papel/películas

Kaiser Permanente Norte de California

1,136

Otro dispositivo electrónico portátil

Servicios correccionales de atención sanitaria de California

400,000

Ordenador portátil

Quarles & Brady, LLP

1,032

Ordenador portátil

OptumRx, Inc.

6,229

Ordenador portátil

W. Christopher Bryant DDS PC

2,200

Otro dispositivo electrónico portátil

Premier Healthcare, LLC

205,748

Ordenador portátil

Centros Plan para una vida sana

6,893

Ordenador portátil

Hospital St. Luke’s Cornwall

29,156

Otro dispositivo electrónico portátil

Total

824,324

A medida que evoluciona el lugar de trabajo, muchas organizaciones están permitiendo que sus empleados, contratistas y asociados lleven sus propios dispositivos personales al lugar de trabajo para utilizarlos con los sistemas de datos corporativos. El reto inmediato es que la organización debe idear un método eficaz de gestión para estos dispositivos que cumpla con la política de la organización pero que permita al usuario conservar cierto control sobre su propio dispositivo; algunos usuarios pueden ser reacios a ceder el control de sus dispositivos personales a su Empleador. Para complicar aún más las cosas, existe una amplia gama de teléfonos inteligentes y tabletas que deben tenerse en cuenta a la hora de considerar una estrategia para gestionarlos.

Aunque hay algunas soluciones de gestión de dispositivos móviles que integran tanto la gestión de Android como la de iOS, no existe una solución perfecta que se integre de forma nativa en todas las plataformas. El resultado es que el departamento de tecnología de la información debe integrar sistemas de terceros con su red empresarial, protegiendo al mismo tiempo las conexiones entre ellos. El mayor riesgo creado por la implementación de nuevo software aumenta la superficie de ataque de una organización. Por lo tanto, las nuevas configuraciones de software y los requisitos de acceso remoto pueden provocar un aumento del número de quebraderos de cabeza para el personal de tecnología de la información que lo implanta. Aunque el reciente impulso de las tecnologías basadas en la nube ha sido un cambio bienvenido para algunas organizaciones, pueden surgir otros problemas como resultado de la transmisión y el almacenamiento de datos con un proveedor de la nube. Por ejemplo, algunas plataformas de gestión de dispositivos móviles pueden requerir el acceso a la red interna para emitir certificados a los dispositivos móviles para su autenticación en las redes inalámbricas, creando una mayor exposición de los servicios internos a Internet. También es posible que las organizaciones más pequeñas no puedan implantar una gestión de dispositivos móvilesS debido al coste y/o la complejidad del sistema. Esto sólo aumenta la probabilidad de que sufran una brecha debido a que un dispositivo móvil desprotegido se utilice para acceder o almacenar datos de pacientes.

Incluso en un departamento de tecnología de la información con personal dedicado a gestionar los dispositivos móviles, sigue existiendo la posibilidad de que una configuración incorrecta permita a los empleados acceder a los datos de la empresa sin restricciones. Por ejemplo, una organización podría adoptar una aplicación de gestión de dispositivos móviles muy segura e implantarla en todos los dispositivos móviles propiedad de la empresa, pero no impedir que los usuarios accedan a su cuenta de correo electrónico corporativo en un dispositivo personal que no tenga instalada la aplicación de gestión de dispositivos móviles. Con la disponibilidad y popularidad de los sistemas de correo electrónico basados en la nube, como Office 365, es posible que un usuario conecte sus propios dispositivos inteligentes con sus cuentas de correo electrónico sin apenas problemas. Según Trend Micro (2015), el 69% de los empleados afirma utilizar sus smartphones para trabajar, mientras que el personal informático cree que solo lo hace el 34%.

Aunque los sistemas de gestión de dispositivos móviles pueden proporcionar a las organizaciones un gran control sobre sus dispositivos, siguen surgiendo problemas con la implantación de estos sistemas. Por ejemplo, el diseño del iOS de Apple no permite la integración en un entorno de dominio de Microsoft Windows, lo que impide que los dispositivos utilicen certificados de dispositivo. El personal informático debe entonces crear cuentas de usuario para permitir que los dispositivos iOS utilicen certificados de usuario, lo que da lugar a un nuevo problema: cuentas de usuario huérfanas que existirán en el directorio activo hasta que se retiren los dispositivos.

Si los fabricantes de dispositivos móviles pudieran trabajar juntos para acordar un estándar abierto para el desarrollo de dispositivos que pudieran gestionarse en un entorno corporativo, es muy probable que la seguridad de los datos de los pacientes pudiera mejorarse en gran medida. Dada la rápida adopción de dispositivos móviles en el lugar de trabajo, es fácil prever que esta tendencia continuará y aumentará la necesidad de un sistema de gestión unificado para estos dispositivos móviles. La creación de un marco común para la integración de los dispositivos en un entorno de protocolo ligero de acceso a directorios podría permitir la integración de estos dispositivos en las redes corporativas que cada día dependen más de ellos, permitiendo una gestión nativa de la configuración de los dispositivos, así como garantizando que la configuración segura de los dispositivos se implementa y aplica correctamente. La experiencia del usuario también mejoraría enormemente al utilizar una base de seguridad común en los dispositivos de todos los proveedores, eliminando la formación específica de cada proveedor y el uso de aplicaciones de terceros para la gestión.

Ataques de ransomware y el papel del plan de recuperación de desastres

Aunque una planificación y una implantación cuidadosas de los sistemas de seguridad son fundamentales para mitigar los riesgos, no todos los ataques y las infracciones pueden prevenirse. Por lo tanto, las organizaciones médicas deben considerar cuidadosamente las medidas a tomar cuando se produzcan incidentes de seguridad, de modo que puedan crear un plan de acción eficaz que se ejecute cuando sea necesario. Este tipo de plan se conoce como plan de continuidad del negocio, o PCN. Un componente más pequeño del PCN es el plan de recuperación en caso de catástrofe, que se centra en un departamento o servicio específico. Por ejemplo, un BCP identificará los procesos y procedimientos que debe llevar a cabo una organización en caso de catástrofe para que la empresa en su conjunto pueda volver a funcionar con normalidad lo antes posible. Un plan de recuperación en caso de catástrofe creado por el departamento de tecnología de la información de una organización se centraría en identificar los procedimientos que restauren los sistemas y servicios críticos para las operaciones del departamento de tecnología de la información lo antes posible.

Aunque los PCB siempre han sido un requisito de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios, las amenazas para las que deben prepararse las organizaciones han evolucionado. Hace veinte años, una organización podía considerar más probable una intrusión física en la propiedad de la empresa que un ataque remoto por parte de un pirata informático. Hoy, sin embargo, los ataques remotos se producen a un ritmo alarmante gracias a la evolución tanto del hardware como del software, lo que permite a los atacantes acceder a los sistemas remotos con más rapidez y facilidad que nunca. Hace veinte años, una organización podría no haber considerado la posibilidad de que un empleado pudiera salir de sus instalaciones con una copia de los datos de la empresa en el bolsillo. Hoy en día, las unidades flash y los discos duros portátiles tienen capacidades de almacenamiento cada vez mayores y pueden transportarse en el bolsillo de un abrigo. Algunas organizaciones pueden incluso descubrir que todos sus datos sensibles podrían almacenarse en un único dispositivo de almacenamiento portátil.

En los últimos años, un nuevo tipo de malware, llamado ransomware, ha creado la necesidad de que las organizaciones revisen sus documentos existentes de planes de continuidad de negocio y de recuperación en caso de catástrofe para asegurarse de que son eficaces para detenerlo. El ransomware suele infectar un sistema a través de un archivo adjunto de correo electrónico, haciendo clic en un enlace de un mensaje de phishing o conectando una unidad de bus serie universal infectada. Una vez que el ransomware ha infectado el sistema, comienza a cifrar todos los datos que no pertenecen al sistema operativo anfitrión. Una vez completado el proceso de cifrado, se notifica al usuario que sus datos son inaccesibles y que deberá pagar una cantidad para recuperar el acceso. El cifrado utilizado por el ransomware suele ser indescifrable, ya que aprovecha la criptografía de clave pública que se utiliza habitualmente para proteger datos confidenciales mientras se comunica con sitios web a través de la World Wide Web. Para aumentar la presión de pagar el rescate lo antes posible, los atacantes pueden dar a la víctima sólo unos días para pagar el rescate, momento en el que el atacante destruye la clave de descifrado y se pierde el acceso a los datos robados.

Hasta hace poco, el enfoque más eficaz para recuperarse de un ataque de ransomware era crear una copia de seguridad fuera de banda de los datos de la organización para poder restaurarlos lo antes posible cuando fuera necesario. Algunos ataques recientes de ransomware, sin embargo, han llevado las cosas un paso más allá; los atacantes amenazan con hacer públicos los datos encriptados si no se paga un rescate. Ahora, el personal informático no sólo está lidiando con una infección que afecta a las operaciones cotidianas, sino que debe considerar la posibilidad de que sus datos sensibles queden expuestos si no paga el rescate. Aunque la copia de seguridad les proporciona una forma de recuperarse rápidamente, aún así deben pagar el rescate para evitar que sus datos sigan expuestos. La interrupción de las operaciones cotidianas y el coste de la recuperación de la infección también pueden afectar enormemente a una organización. Por desgracia, ya no basta con tener una copia de seguridad fuera de banda.

Para estar preparadas ante una infección de ransomware, las organizaciones médicas deben disponer de un plan para responder rápidamente a un incidente, aislar la máquina infectada, eliminar la infección y restaurar los sistemas de nuevo al estado de producción. Sin embargo, no basta con adquirir una plantilla estándar o contratar a un consultor para crear el plan de recuperación en caso de catástrofe. Toda organización debe comprobar periódicamente la eficacia de su plan de recuperación en caso de catástrofe para que, cuando sea necesario, pueda seguir los procedimientos predeterminados con un retraso mínimo. Un método eficaz para poner a prueba el plan de recuperación en caso de catástrofe es el «ejercicio de mesa», o «TTX», que facilita la revisión de los procedimientos del plan de recuperación en caso de catástrofe haciendo que el personal clave se reúna para responder a un evento perturbador simulado y discutir el plan de respuesta y cómo se aplicaría. De este modo, se podría identificar cualquier problema potencial y realizar ajustes en el plan de recuperación en caso de catástrofe para garantizar que sigue siendo eficaz. También debe impartirse formación periódica a todo el personal clave para que conozca los procedimientos a seguir durante un acontecimiento perturbador, como una infección por ransomware.

Un plan de recuperación ante desastres debe incluir una sección que identifique a todo el personal que formará parte del equipo de respuesta ante incidentes informáticos, o CIRT. Este equipo debería incluir a miembros clave del departamento de tecnología de la información, incluidos administradores de sistemas, administradores de redes, técnicos, así como cualquier persona de la dirección. Todos los miembros del CIRT deben ser conscientes de su papel como parte del equipo, así como de sus responsabilidades si se les pide que respondan a un incidente. En caso de emergencia, una organización no puede permitirse perder el tiempo decidiendo qué empleados son responsables de cada tarea en el proceso de recuperación. Cuando se considera la capacidad de variantes recientes de ransomware como WannaCry y Petya, es evidente que se necesita una acción rápida y eficaz para aislar la infección antes de que se propague por una red, comprometiendo otros dispositivos en el proceso. Sin este paso crítico, una organización médica podría potencialmente pasar semanas recuperándose después de que una infección de ransomware golpee su red.

La comunicación es un componente crítico del proceso de recuperación de desastres. Una vez que se produce un incidente, es imperativo que una organización tenga procedimientos claramente identificados para notificar al personal clave para que puedan ejecutar el plan de recuperación de desastres. Disponer de una ruta documentada para la escalada de un posible incidente podría significar la diferencia entre detener eficazmente la propagación de una infección de ransomware y limpiarla después de que infecte una red de dispositivos. Una vez iniciados los procedimientos de recuperación en caso de catástrofe, la comunicación entre el personal clave es fundamental para garantizar que el plan se lleva a cabo con eficacia. El tiempo empleado en esperar a que le devuelvan una llamada telefónica para solicitar una autorización, por ejemplo, podría paralizar los esfuerzos de respuesta y dejar escapar un tiempo valioso. Registrar la información de contacto y los métodos de contacto alternativos para el personal clave en el plan de recuperación de desastres es un buen paso para facilitar la comunicación durante este proceso. Notificar a los usuarios el tiempo de inactividad previsto es otro paso crítico en la comunicación durante una infección de ransomware. Tanto si los efectos se limitan a un único servidor como a todo el centro de datos, la imposibilidad de acceder a los recursos de la empresa durante este tiempo puede tener un impacto significativo en la capacidad del empleado para realizar su trabajo. Si aún no han recibido formación sobre cómo continuar con las operaciones durante un acontecimiento perturbador como éste, asegúrese de que se les proporcionan instrucciones específicas para seguir desempeñando su función dentro de la organización hasta que los servicios puedan restablecerse por completo. Por último, la comunicación entre la organización y el paciente es otro paso crítico en el proceso de recuperación en caso de catástrofe. Notificarles cualquier posible brecha y/o interrupción asegurará el cumplimiento de los requisitos de la industria y puede ayudar a mitigar problemas de relaciones públicas más adelante.

Dada la gravedad de un ataque de ransomware en el sector médico, es imperativo que las organizaciones cuenten con un plan de recuperación de desastres para responder de la forma más rápida y eficaz posible. A medida que evolucionan los ataques de ransomware, las organizaciones sanitarias deben adaptarse a estas amenazas de forma proactiva o enfrentarse a circunstancias potencialmente catastróficas.

Experiencia del usuario

Un aspecto importante de la seguridad de la información en cualquier sector -especialmente en el médico- es la experiencia del usuario mientras interactúa con los controles establecidos. El método de autenticación más antiguo y sencillo, la contraseña, se está convirtiendo en un problema cada vez mayor, ya que los avances tecnológicos en informática han hecho que las contraseñas sencillas sean extremadamente fáciles de derrotar. Muchos expertos en seguridad estarán de acuerdo en que la longitud mínima recomendada de una contraseña debería ser de 12 caracteres, pero a la mayoría de las organizaciones les resultaría difícil hacer cumplir este requisito, si es que fuera posible. Para empeorar las cosas, muchos usuarios tienen varias cuentas en línea. En el sector médico, es posible que los miembros del personal sanitario deban recordar contraseñas para el sistema de historiales médicos electrónicos, la cuenta de correo electrónico, el inicio de sesión en el ordenador, el inicio de sesión en el dispositivo móvil, el buzón de voz con protocolo de voz sobre Internet (VOIP) e incluso el reloj registrador. Desde el punto de vista de la gestión de contraseñas, esto podría significar recordar hasta seis contraseñas diferentes para varias cuentas. Muchos usuarios recurrirán a métodos poco seguros para recordar sus contraseñas, como la redacción de la contraseña en notas pegadas al monitor o al teclado, lo que anula la protección que proporciona el requisito de una contraseña segura para la autenticación.

Otro reto que se plantea en el ámbito médico es que los dispositivos a veces son compartidos por varios empleados. Por ejemplo, un ordenador portátil colocado en un carro rodante podría ser utilizado por varias enfermeras mientras hacen sus rondas para revisar a los pacientes y distribuir la medicación. Un usuario que olvide cerrar la sesión cuando termine de utilizar el portátil podría volver y encontrarse con que otra persona ha introducido datos con un nombre de usuario equivocado. En algunos casos, las contraseñas podrían compartirse con usuarios que olvidan las suyas o que no pueden acceder a su cuenta por algún motivo. Como resultado, la organización no podrá obtener un registro contable preciso de las acciones realizadas por un usuario en el portátil compartido. Otra razón por la que los usuarios pueden verse obligados a compartir un portátil es que muchos centros médicos funcionan las 24 horas del día. El personal que trabaja en turnos rotativos a menudo compartirá dispositivos con otros empleados de su departamento mientras no estén de servicio. Para que esto funcione, algunos dispositivos -como las tabletas- deben configurarse con una cuenta de usuario compartida para que varios usuarios puedan acceder a un único dispositivo. En este caso, es muy probable que la contraseña de la cuenta se encuentre anotada en algún lugar cercano.

Para ayudar a su personal médico, los departamentos de tecnología de la información deben esforzarse por que sus sistemas sean lo más fáciles de usar posible, manteniendo al mismo tiempo la seguridad de los datos de los pacientes. En entornos de trabajo exigentes como un centro médico, el estrés de tener que recordar una contraseña única para iniciar sesión en un sistema de historiales médicos electrónicos puede crear ineficacia en el proceso de flujo de trabajo. Una forma de mejorar el uso de una contraseña única para cada sistema empresarial es implantar un inicio de sesión único, o SSO. El SSO es un método de inicio de sesión mediante el cual un usuario se autentica en un servidor, que luego valida la identidad del usuario en otros sistemas múltiples. Muchos proveedores de software ya admiten algún tipo de SSO basado en el lenguaje de marcado de aserción de seguridad (SAML), que es un estándar abierto para la autenticación entre sistemas. Al utilizar SAML en todos los sistemas empresariales, una organización médica podría exigir a sus usuarios que creen una contraseña segura que proteja su cuenta de usuario, que luego se utiliza para autenticarlos dentro de la organización. Por ejemplo, un usuario podría iniciar sesión una vez en el portal web de su empresa, que verificaría la identificación del usuario. A continuación, ese servidor de autenticación proporcionaría automáticamente la verificación de identidad SAML a cualquier otro sistema (correo electrónico, historial médico electrónico, teléfonos VOIP, etc.) en el que el usuario intentara iniciar sesión, sin que tuviera que introducir ninguna contraseña adicional. Con sólo una contraseña segura que recordar, el usuario tendría una experiencia mucho mejor al autenticarse en un sistema empresarial y la seguridad mejoraría enormemente.

Uno de los principales obstáculos que deben superar las organizaciones sanitarias y los proveedores de software es que el personal médico a menudo pasa por una formación y certificación sólo para entrar en el campo y luego debe mantener la licencia y la acreditación a través de la formación continua y la recertificación. El resultado es que los empleados sanitarios deben dedicar la mayor parte de su tiempo a aprender y perfeccionar sus habilidades como profesionales sanitarios, lo que no siempre incluye la formación tecnológica. Pedir a los proveedores que resten tiempo a sus pacientes para mejorar su concienciación en materia de seguridad no es tarea fácil y puede repercutir negativamente en su capacidad para atender a sus pacientes. Como ocurre en muchos otros sectores, la organización debe diseñar un plan que pueda educar al personal en los fundamentos de la seguridad de la información, como la seguridad de las contraseñas y de los dispositivos móviles, de una forma que pueda ser comprendida y adoptada por los profesionales médicos.

Por último, las organizaciones médicas también deben tener en cuenta a sus pacientes a la hora de implantar sistemas de historiales médicos electrónicos. La Ley de tecnologías de la información sanitaria para la salud económica y clínica de 2009 exige que las organizaciones médicas proporcionen a los pacientes una forma de acceder a su información electrónica y descargarla. Proporcionar acceso externo a la información protegida presenta un conjunto único de desafíos para la seguridad de la información y, por lo tanto, debe considerarse cuidadosamente antes de la implementación. Muchos sistemas de historiales médicos electrónicos ofrecen un portal para pacientes con el fin de cumplir el requisito de las tecnologías de la información sanitaria para la salud económica y clínica y mitigar parte del riesgo al que se enfrenta la organización médica. Para acceder a sus datos, los pacientes suelen pasar por un proceso de configuración en el que acceden al portal para demostrar su identidad y validar la información personal almacenada sobre ellos. Una vez completado este proceso, el paciente podrá acceder a su historial sanitario cuando lo solicite. Aunque esta nueva tecnología es una gran mejora, se impone una carga adicional al personal de la organización para mantener el sistema de acceso público mediante actualizaciones, así como para supervisarlo continuamente en busca de eventos de seguridad.

Revisor de hechos: Cavendish

Otros Aspectos de la Digitalización del Sector de la Salud

Sector de la Atención de la Salud

Puede consultarse sobre la «ciudad compasiva» y «Rendición de Cuentas en los Sistemas de Salud«; y también verse también las «Reformas de los Sistemas de Atención a la Salud«.

Traducción al Inglés

Traductor: Sector de la Atención de la Salud se traduce en inglés de la siguiente forma: Health Care Sector.

Códigos de Clasificación Industrial de Sector de la Atención de la Salud

Clasificación Industrial Estándar (Código SIC)

4119 , 5995 , 7299, 8011 , 8021 , 8041 , 8042 , 8043 , 8049 , 8051 , 8052 , 8062 , 8063 , 8069 , 8071 , 8082 , 8092 , 8093 , 8099 , 8322 , 8331 , 8361 (Véase una descripción del Código SIC)

Código NAICS (Sistema de Clasificación Industrial de América del Norte)

446130 , 621111 , 621112, 621210 , 621310 , 621320 , 621330 , 621340 , 621391 , 621399 , 621410 , 621420 , 621491 , 621492 , 621493, 621498 , 621511 , 621512 , 621610 , 621910 , 621991 , 621999 , 622110 , 622210 , 622310 , 623110 , 623210 , 623220 , 623311, 623312 , 623990 , 624110 , 624120 , 624190 , 624210 , 624221 , 624229 , 624230 , 624310 , 624410 (Véase una descripción del Código Naic)

Descripción del Sector (Sector de la Atención de la Salud)

Las empresas de esta industria proporcionan una amplia gama de servicios sociales y de atención médica a través de hospitales, consultorios médicos, residencias de ancianos, centros de cirugía ambulatoria y otras instalaciones.