Para cualquier organización, la seguridad de la información es indispensable, sostenida por sus pilares fundamentales: confidencialidad, integridad y disponibilidad. En el ámbito de la tecnología de la salud (Health Tech), la seguridad de la información adquiere una relevancia crítica. Pero, ¿qué impacto tiene realmente en las Health Tech y por qué es esencial que estas organizaciones tomen medidas contundentes para gestionar la seguridad en sus tecnologías de la información (TI)?

1.     Privacidad del paciente: La información de salud es altamente confidencial y sensible por lo que pueden ser objeto de robos cibernéticos o accesos internos no autorizados, lo que puede resultar en el robo de identidad, fraude médico, extorción u otros delitos. La seguridad de la información ayuda a prevenir estos riesgos, al proteger los sistemas que contienen y procesan esta información, asegurándolos de ataques externos o extracciones no autorizadas.

2.     Integridad de los datos: La seguridad de la información asegura que los datos de salud no se vean comprometidos, alterados o corrompidos de ninguna manera. Esto es fundamental para garantizar la precisión y confiabilidad de los registros médicos, asi como los resultados de los tratamientos y seguimientos.

3.     Continuidad del servicio: Los sistemas de Health Tech suelen ser críticos para la prestación de servicios de atención médica. La seguridad de la información ayuda a garantizar la disponibilidad y el funcionamiento continuo de estos sistemas, protegiéndolos contra interrupciones causadas por ataques cibernéticos u otros eventos adversos.

4.     Confianza del paciente y del cliente: Todos estos aspectos contribuyen a construir la confianza de los pacientes, clientes y usuarios en los servicios y productos ofrecidos. Cuando los usuarios confían en la seguridad de sus datos de salud, están más dispuestos a adoptar y utilizar tecnologías de salud innovadoras abriendo asi nuevos mercados y oportunidades de negocio.

El Auge de los Incidentes de Seguridad en el Sector Salud:

Recientemente, se han conocido noticias alarmantes como el ataque de ransomware al Hollywood Presbyterian Medical Center en California, donde se exigieron 3.4 millones de dólares por el rescate de los datos. Otro caso fue el del Hospital Clínic en Barcelona, que tuvo que anular más de 3,000 visitas debido a un ciberataque. Estos incidentes son cada vez más frecuentes, incluso con regulaciones como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) en los Estados Unidos. Esto nos hace preguntarnos cuánto tiempo pasará antes de que comencemos a ver este tipo de noticias en ciudades latinoamericanas como CDMX, Medellín, Buenos Aires y otras, donde en su mayoría no existen leyes robustas que normen el tratamiento de la información médica para proteger su confidencialidad y seguridad.

Normativas en México y el Desafío de la Implementación:

En México, la NOM-024-SSA3-2012 regula los Sistemas de Información de Registro Electrónico para la Salud (SIRES), garantizando el intercambio, procesamiento, interpretación y seguridad de la información contenida en estos sistemas. Aunque esta norma establece que la información de los pacientes debe ser tratada con confidencialidad, la implementación efectiva de estas normas plantea desafíos significativos. La norma incluye seis aspectos clave para la seguridad de la información:

1.     Sistema de Gestión de Seguridad de la Información: Los prestadores de servicios de salud deben implementar un sistema de gestión de seguridad que asegure la confidencialidad, integridad, disponibilidad, trazabilidad y no repudio de la información en salud.

2.     Documentos Electrónicos Inalterables: Los SIRES deben registrar y resguardar la información en forma de documentos electrónicos estructurados e inalterables, permitiendo la firma electrónica avanzada.

3.     Autenticación de Usuarios: Todos los usuarios, organizaciones y dispositivos deben ser autenticados con al menos un nombre de usuario y contraseña, recomendándose el uso de autenticación multifactor.

4.     Autorización Basada en Roles: Los SIRES deben implementar mecanismos de autorización basada en roles, con perfiles de usuario definidos por cada prestador de servicios de salud.

5.     Intercambio Seguro de Información: Para el intercambio de información entre prestadores, los SIRES deben utilizar autenticación, cifrado y firma electrónica avanzada.

6.     Exportación de Información: Los SIRES deben permitir la exportación de la información del paciente según las disposiciones jurídicas aplicables, con controles sobre los consentimientos del titular de la información.

El Rol del Gobierno de TI y las Mejores Prácticas:

La mejor manera de asegurar el cumplimiento de estos aspectos es que las organizaciones cuenten con un gobierno de TI y, más importante aún, un gobierno de seguridad de TI. Aunque no necesariamente certificado, este debe regirse por frameworks como ISO/IEC 27001, ITIL, COBIT 5, entre otros. ISO/IEC 27001, por ejemplo, abarca 14 dominios que incluyen evaluación de riesgos, políticas de seguridad, gestión de activos y gestión de incidentes, entre otros, asegurando un estándar sólido de seguridad de la información. Medidas básicas como la asignación de accesos por roles, firewall perimetral, regulación de puertos, encriptación de archivos, uso de protocolos seguros como SFTP, SMNPv3, TLS y control de tráfico en red son esenciales para mantener un sistema de información seguro.

Desafíos y Preparación de las Compañías de Health Tech:

Con el reciente crecimiento en el uso de plataformas de Health Tech para consultas en línea, recetas virtuales y diagnósticos, surge la pregunta de cuán preparadas están estas compañías emergentes en el ámbito de la seguridad de la información. Es vital que estas compañías cumplan con las normativas mínimas de seguridad para el tratamiento e intercambio de información médica. Las políticas de seguridad de información deben ser claras y cumplidas por todo el personal. Las compañías deben preguntarse: ¿quién tiene acceso a la información médica? ¿Se controla cuándo y con quién se comparte esta información?

Disfrutar de las comodidades que trae la tecnología es fácil, pero no estamos acostumbrados a pensar en los riesgos que esta conlleva. Es indispensable que las compañías de Health Tech tomen conciencia sobre la importancia de la información que resguardan, procesan y comparten. Como pacientes y clientes de estas tecnologías, debemos exigir que se cumplan con las regulaciones para asegurar la confidencialidad de nuestros datos. Las empresas de Health Tech no solo tienen en sus manos nuestra salud, sino también nuestra privacidad, y deben actuar en consecuencia para proteger ambos aspectos de manera efectiva.

Por: Aldo Ramírez