domingo, 13 de agosto de 2017

Salud digital: Los retos de la inseguridad de la información en el sector salud

Introducción
Las amenazas globales relacionadas con ciberataques que han sido portadas de múltiples medios de comunicación a nivel internacional, han modificado de alguna manera la lectura de la protección de la información y de los negocios, en un contexto cada vez más digitalmente modificado. Las organizaciones empiezan a comprender que la dinámica de los negocios actuales está ampliamente marcada por la conectividad, las integraciones y la generación de datos alrededor de aquellos objetos físicos de interés de los clientes, donde es posible crear nuevas oportunidades y experiencias distintas.

Esta nueva realidad digital pone de manifiesto la necesidad de comprender cómo la tecnología de información es capaz de repensar un escenario, producto o servicio, para conectar una expectativa del cliente, con la posibilidad de alcanzar un nivel de entendimiento diferente de su entorno para anticipar decisiones y satisfacer sus propias necesidades. Los dispositivos actuales como las i-glass, los i-watch, los parches electrónicos, la ropa digital, entre otros, muestran que hay un nuevo lenguaje que construye un imaginario distinto sobre el impacto de la tecnología en la sociedad y las empresas.

Lo anterior, recaba en uno de los retos que el Foro Económico Mundial establece frente al reto de la transformación digital (WEF, 2017) a nivel global, donde la seguridad y la privacidad de la información configuran un desafío y una oportunidad para comprender el nivel de incierto que tanto las personas como las organizaciones quieren comprender y aprovechar, así como mitigar y asegurar cuando se modifica tecnológicamente la realidad donde se opera.

Bajo este entendido, los recientes ataques de WannaCry y Petya, han marcado un punto de quiebre en sectores como el de la salud, donde se han venido haciendo grandes inversiones para automatizar el proceso de atención con los pacientes, con el fin de hacer más eficiente y trazable cada uno de los procedimientos que se aplican y así asegurar la información y el seguimiento de cada una de las tareas de los médicos tanto en hospitales como en clínicas especializadas.

Si hay algo particularmente relevante en este ambiente modificado por los avances tecnológico es el aprendizaje. Por tanto, el sector salud, deberá desarrollar rápidamente una cultura orientada al aprender, al experimentar y probar en estos entornos, para concretar de forma ágil las promesas de valor de las incorporaciones tecnológicas que ha venido haciendo de forma sistemática durante estos últimos años, que le permitan priorizar mejor sus prácticas emergentes de seguridad y ciberseguridad (Perakslis, 2014).

En razón con lo anterior, este documento presenta una breve reflexión sobre el “despertar” que está teniendo la medicina moderna, las “cuarentenas” electrónicas que se han creado y sobremanera el llamado a toda la comunidad médica sobre la responsabilidad de educarse alrededor del nuevo escenario de amenazas que tiene este sector, que demanda incorporar una serie de nuevas prácticas que le permitan mantener la “salud digital” de los hospitales y clínicas, como un nuevo concepto de “salud” que amplía y cuida el bienestar de los pacientes ahora en un entorno digitalmente modificado.

Panorama de amenazas informáticas en el sector salud
Tradicionalmente sectores como la banca, los gobiernos y las grandes superficies han sido afectados directamente por ataques a su infraestructura y procesos de negocio, creando desconcierto e inestabilidad en sus operaciones. Frente a esta realidad, estos sectores han incorporado prácticas internacionales referentes de seguridad y control, que le permiten moverse con relativo margen de acción, habida cuenta que estas configuran un marco general de debido cuidado que limita sus responsabilidades frente a la inevitabilidad de la falla.

En el sector salud, si bien la tecnología de información se ha venido incorporando de forma acelerada, no así las prácticas de protección de la información, creando un imaginario generalizado sobre una seguridad inherente o por defecto en las implementaciones de la infraestructura que se incorpora para dar soporte a los procesos de gestión de las instituciones médicas, temática que termina siendo responsabilidad de los profesionales de tecnología de información.

Eventos recientes relacionados con ataques masivos a nivel internacional, que cobraron múltiples víctimas en el sector salud, revelan que dicho sector ha incorporado tecnologías de información, pero poco de las prácticas propias de la gestión de las TICS. Estos hechos manifiestan un escenario de alta exposición en términos de vulnerabilidades de seguridad y control, no solamente en el contexto de los dispositivos médicos, sino de las interfases que se viene integrando en el ejercicio de sistematización propio del sector (HCCSTF, 2017).

Al igual que en otros sectores, los sistemas de administración de salud deben comprender que cualquier incorporación de tecnología de información en su segmento de negocio, debe responder al reto de una transformación digital, que asistida desde la vista de los ejecutivos de primer nivel, establece un cambio en la manera como se concibe la “atención de los pacientes” y la forma como se configura el concepto de “salud”.

En consecuencia, las amenazas propias de otros sectores de la economía, como son la fuga de información, la pérdida de datos, la suplantación de identidad, la denegación de servicios, la modificación no autorizada de datos, el acceso no autorizado a la infraestructura, el secuestro de datos, el malware elaborado a la medida y los atacantes internos, encuentran en el sector salud, una oportunidad para manifestarse, dado un entorno donde la concientización de la protección de la información en el personal médico es baja, y se encuentra delegada en los profesionales de TI que apoyan desde la infraestructura tecnológica (Ponemon, 2017).

Si esta condición permanece y se afianza en el sector, dada la dinámica actual del mismo, la probabilidad de que se manifiesten “cuarentenas informáticas”, es decir, desconexiones de la red de datos de dispositivos o segmentos de clínicas u hospitales para controlar posibles “pandemias informáticas” que comprometen la operación y sobremanera los datos y salud de los pacientes, estaremos advirtiendo un deterioro de la confianza en la atención de los servicios médicos y una mayor exigencia de los pacientes en el cuidado de su información al usar dispositivos digitalmente modificados.

El cuidado de la “salud digital”. El nuevo reto del sector salud
La medicina desde la antigüedad ha sido una práctica permanente, no solamente por cuidar del estado de bienestar de las personas, sino por contar con un plan preventivo y de monitoreo sistemático, que permita mantener un registro cercano de la evolución del cuidado de las personas.

En este sentido, conforme se fue incorporando tecnología de información y comunicaciones a la práctica de los médicos, el concepto de salud igualmente fue evolucionando, sin que los galenos en su práctica lo hubiesen notado. La agilidad y facilidad para contar con la información de las pruebas diagnósticas, la automatización de los laboratorios clínicos, la sistematización de los procesos administrativos, el concepto de expediente electrónico entre otras cosas, establecieron un nuevo entorno y referente de la dinámica de la medicina, que recaban en algunos aspectos fundamentales y claves como son, entre otros: el tratamiento de información sensible, la transmisión de estos datos por canales inseguros, la cultura de protección de la información y la integración entre dispositivos médicos, las personas y la infraestructura tecnológica.

En este sentido, se pasa del cuidado de la salud física y emocional de un paciente, a proteger y asegurar la “salud digital” de una persona, es decir, la aplicación de los conceptos propios de la práctica de seguridad de la información para “cuidar y salvaguardar” la identidad digital de una persona, en el contexto de la dinámica de la administración de la salud. Un ejercicio de “bienestar extendido”, que no solo cuida de la integridad física y mental de un paciente, sino de la “vida digital” de un ser humano, representada en sus datos y la forma como se le da un adecuado tratamiento (ver figura 1).

Figura 1. Conceptualización de la salud digital

Los médicos y demás profesionales de la salud, debe acelerar su “despertar” de la inercia propia del ejercicio de su destacada práctica, para apropiarse, concientizarse y cumplir con las nuevas exigencias de un entorno cada vez más competitivo y digitalmente modificado. Sin perjuicio que los procedimientos médicos cambien y sea repensados con tecnología, es importante advertir la alta responsabilidad de que tienen los galenos en este nuevo milenio cuando de ordenar la incorporación o implante de dispositivos médicos en las personas se trate, sin mediar la gestión de riesgos correspondiente inherente a uso de esto dispositivos.

Por tanto, las prácticas de gestión de tecnologías de información y comunicaciones, así como la cultura de protección de la información, basada en el ciclo de vida de la información, deberán ser incorporadas rápidamente, para hacer más resistente al sector frente a las amenazas y riesgos propios del aumento de su nivel de densidad digital, es decir creando flujos e interfases de información entre los objetos físicos e infraestructuras tecnológicas, donde información sensible se transmite, sin considerar aspectos claves como la protección de los datos personales y el aseguramiento de los mismos.

Así las cosas, la salud de los pacientes en el contexto actual, no sólo responde a la agilidad y los servicios que éstos puedan derivar de las nuevas propuestas digitales que cambien el paradigma de la atención de los médicos, sino de la forma como se cuide y monitoree la “salud digital” de las personas que saben y confían que su salud física, mental y digital hacen parte de la lectura de su médico de cabecera.

Incorporando prácticas de seguridad y control conocidas en los entornos de la administración de salud
El reciente reporte de la Healthcare Information and Management Systems Society (HIMSS) sobre la ciberseguridad en el sector sanitario en los Estados Unidos de América, ilustra una creciente incorporación de prácticas de seguridad y control en el sector salud, dado el nuevo escenario digital y tecnológicamente modificado, y los frecuentes reportes de brechas de seguridad en hospitales y clínicas a nivel global.

Entre otros temas que indica el mencionado reporte, se pueden observar tendencias que revelan un marcado interés para avanzar en las temáticas de seguridad y control como son las siguientes: (HIMSS, 2017)
  1. Contar con un CISO (Chief Information Security Officer) como parte del apalancamiento de la dinámica de protección de la información sensible del sector.
  2. Contar con un programa de valoración del riesgo del “atacante interno” como una forma de disuadir a los posibles agresores y disminuir aquellas acciones no intencionales que terminen afectando la información de los pacientes.
  3. Adelantar al menos una vez al año una valoración del riesgo de seguridad de la información, así como un entrenamiento de concientización entre todo el personal médico y administrativo de la institución de salud.
  4. Desarrollar pruebas de vulnerabilidades sobre la infraestructura que soporta tanto la gestión administrativa de la institución de salud, focalizado en la “salud digital” de la información de los pacientes, así como de los dispositivos médicos disponibles con los proveedores respectivos.
  5. Incorporar y aplicar marcos de gestión de tecnología de información y seguridad de la información generales (como los ISO, las guías del NIST y COBIT), así como aquellos específicos de la industria como HITRUST (https://hitrustalliance.net/) o HIPAA - Health Insurance Portability and Accountability Act de 1996 (https://www.gpo.gov/fdsys/pkg/CRPT-104hrpt736/pdf/CRPT-104hrpt736.pdf). 
Este panorama habilita un nuevo marco de debido cuidado que las instituciones de salud deben desarrollar, como quiera que no hacerlo, implica arriesgarse a incumplir con las regulaciones que de manera sistemática vienen surgiendo en el sector y lo que es más delicado, perder la confianza de los usuarios de los servicios médicos frente a la protección y cuidado de su bienestar extendido bajo el concepto de “salud digital”, la cual responde a una visión holística del bienestar en el contexto de una sociedad digital como la actual.

En este sentido, se hace imperativo que el sector salud, adopte rápidamente una postura de seguridad y protección de la información acorde con los tiempos actuales y sus riesgos vigentes, que incluya al menos las siguientes prácticas: (Dunlap y Beth, 2017)
  • Definir el gobierno y liderazgo de la práctica de ciberseguridad y seguridad de la información de alcance transversal a la institución.
  • Incrementar la resiliencia digital de las operaciones de la administración de salud, así como de los dispositivos médicos disponibles.
  • Aumentar la apropiación y concientización en el sector de la salud, sobre los retos y riesgos de seguridad y control propios de una práctica médica digitalmente modificada.
  • Diseñar e incorporar mecanismos de seguridad y control para proteger los resultados de la investigación y desarrollo que se hacen en el sector, de los ataques y estrategias de inteligencia o espionaje asistida bien por terceros o pagados por naciones.
  • Compartir información sobre brechas de seguridad, vulnerabilidad y estrategia de mitigación disponibles en el sector, que aumente la capacidad de respuesta y atención de incidentes en el contexto de la salud.
Reflexiones finales
Cuando en 2015 la agencia federal norteamericana de control de alimentos y medicamentos (con su sigla en inglés FDA – Federal Food and Drugs Administration) y el Departamento de Seguridad Nacional con su equipo de atención de emergencias cibernéticas en sistemas de control industrial (en inglés ICS-CERT) alertaron sobre posibilidad de que un atacante pudiese remotamente tener acceso a un equipo de administración de medicación terapéutica como una bomba de infusión y de forma similar en enero de 2017, se advierte sobre la manipulación de la radiofrecuencia de un dispositivo médico electrónico cardiaco implantado (Gordon,  Fairhall y Landman, 2017), la práctica de la salud tradicional, sufre un punto de inflexión que cambia la forma como se concibe la protección de la información de las personas en el contexto de la salud.

De igual forma, el 12 de mayo de 2017, cuando un profesional del servicio de nacional de salud del Reino Unido abre un correo electrónico habilitando la ejecución de un código malicioso que explota una vulnerabilidad conocida en un sistema operativo de Microsoft, denominado “WannaCry”, cifrando los datos de su computador, bloqueando a otros usuarios y expandiéndose por la red de dicho servicio nacional (Clarke y Youngstein, 2017), cambia la manera como la medicina moderna entiende la digitalización de sus procesos y procedimientos, para recabar ahora en nuevas prácticas de aseguramiento de información e infraestructura tecnológica que antes no eran visibles al ejercicio de la salud de los pacientes.

La seguridad de la información, representada en la práctica de protección de la información y controles tanto tecnológicos como procedimentales marcan una nueva frontera en la gestión de la salud en sus diferentes ámbitos. De igual forma, la ciberseguridad empresarial e industrial, recaba de igual forma en este sector, advirtiendo sobre los nuevos riesgos y amenazas que se tienen cuando se habilitan dispositivos médicos terapéuticos que generan interfases y flujos de información, hacia sistemas de información a través de conexiones alámbricas o inalámbricas, creando entornos más vulnerables cuando allí se carecen de las mínimas condiciones de operación confiables requeridas para estos casos.

Así las cosas, el sector sanitario al aumentar su conectividad y digitalización, no solo incrementa las oportunidades para crear inteligencia en el hardware y otros objetos, que permitan cerrar la brecha entre lo digital y el mundo físico (WEF, 2016), sino que desarrolla un nuevo ecosistema digital donde los flujos de información sensible, la medicación electrónica sobre el cuerpo humano y el monitoreo remoto sobre la condición de los pacientes, son la base para conceptualizar un cuidado inteligente y responsable por cada una de las personas.

Bajo este entendido, la conectividad se convierte en un aliado de la promesa de valor digital de la salud y al mismo tiempo un reto de marca mayor, donde la protección de la información de las personas se configura como un activo digital clave para fundamentar la confianza de los clientes del sistema de salud actual y futuro.

Por tanto, ser requiere un “despertar” por parte de los profesionales de la salud en sus diferentes especialidades, para observar y advertir las nuevas realidades de su profesión, donde no solamente los saberes disciplinares son los que hacen la diferencia, sino el ejercicio de construcción transdisciplinar que exige el mundo digital, donde lo que está en juego no es un servicio de prestación de salud tradicional, sino la vida de una persona que ahora está conectada a un ecosistema digital en el cual hay que cuidar no solo su salud física y mental, sino su “salud digital”, entendida desde el cuidado de la persona en su bienestar físico y digital asociado con un dispositivo digitalmente modificado y sus integraciones tecnológicas.

Referencias
Clarke, R. y Youngstein, T. (2017) Cyberattack on Britain’s National Health Service – A wakeu-up call for modern medicine. The New England Journal of Medicine. 1-3. Doi:10.1056/NEJMp1706754.
Dunlap, S. y Beth, L.  (2017) Healthcare cybersecurity is due for a checkup. New Hampshire Business Review. Recuperado de: http://www.nhbr.com/July-21-2017/Healthcare-cybersecurity-is-due-for-a-checkup/
Gordon, W.,  Fairhall, A. y Landman, A. (2017) Threats to Information Security — Public Health Implications. The New England Journal of Medicine. 1-3. Doi: 10.1056/NEJMp1707212
HCCSTF – Healthcare cybersecurity task force (2017) Report on improving cybersecurity in the health care industry. Recuperado de: https://www.phe.gov/Preparedness/planning/CyberTF/Documents/report2017.pdf
HIMSS (2017) 2017 HIMSS Cybersecurity Survey. Survey Report. Recuperado de: http://www.himss.org/2017-himss-cybersecurity-survey 
Perakslis, E. (2014) Cybersecurity in Health Care. The New England Journal of Medicine. 395-397. Doi: 10.1056/NEJMp1404358.
Ponemon (2017) 2017 Cost of Data Breach Study. Global Overview. Benchmark research sponsored by IBM Security. Survey Report. June. Recuperado de: https://databreachcalculator.mybluemix.net/