EL ESPECIAL SEGURIDAD ACTUALIZADO DICIEMBRE 2020

Hoy hablaremos de algo muy especial: La seguridad de la información y el correcto uso de los sistemas tecnológicos que guardan y administran los datos.

Según nuestra amiga Wikipedia, La seguridad de la información «es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma».

Tenemos muy claro lo de la profilaxis oral, ¿pero qué tal llevamos la profilaxis informática?

El caso es que tanto en el laboratorio protésico -pero muy especialmente en la clínica dental-, se trata con información altamente sensible sobre los pacientes.

Las historias clínicas no son únicamente una herramienta de trabajo muy útil para llevar un estudio sobre la salud de los pacientes, o un registro sobre los tratamientos realizados; son documentos de carácter oficial que pueden ser utilizados en investigaciones policiales, quizá esto pueda darnos una idea sobre la urgencia de ser capaces de conservarlos en perfectas condiciones.

La conservación es sólo una parte, ¿pero qué hay de la confidencialidad de su contenido? ¿Preservamos correctamente la intimidad de nuestros usuarios?

Seguramente bastantes clínicas dentales suspendan en el ámbito de la seguridad de la información ¿será la tuya una de ellas?

A ver si puedo explicarlo con un esquema o similar:

 

Sobra decirlo, todos son ejemplos de una horrible implementación de seguridad.

Aunque sea en clave de humor, alguien tenía que decirlo…

Lo cierto es que nace una desazón en mi interior con sólo imaginar que mis datos personales pudieran estar protegidos por el nombre del perro de mi dentista, el cual aparece en todas sus redes sociales disfrazado de muela con esa cara de «Que alguien me salve«. ¡Espero que no, no por favor!

Esta es la realidad de muchos usuarios a todos los niveles. Solemos sacar un 0 patatero en seguridad.

¿Por qué es tan importante asegurar nuestros equipos y accesos a la administración de la clínica?

Contestaré a esta pregunta presentando un caso real que sucedió el mes pasado: Han hackeado la pasarela de pagos de iDental, la famosa cadena de clínicas sociales.

Aquí podéis ver la noticia original de La Nueve.

En resumen y para que podáis comprenderlo, las personas que tenían acceso a la administración de las cuentas utilizaban contraseñas como… ¡tatachán! 123456. Las deudas un montón de pacientes fueron puestas a cero desde la pasarela de pagos del Banco de Sabadell para iDental, y parece ser que a pesar del gravísimo incidente, no se arregló rápida y eficazmente, ya que los de La Nueve han seguido teniendo acceso días después del suceso.

Fuente imagen: El Confidencial

Si eres paciente de iDental tienes que saber que tus datos personales se han visto comprometidos, eso y que has formado parte de un sorteo para recibir un tratamiento totalmente gratis. Ahora sí que la gente se ha beneficiado de un planazo social-dental de la leche…

Otros artículos que hablan sobre la noticia:

El Confidencial

Omicrono

Después de la anécdota puramente educativa pongámonos en situación:

¿Qué información contienen las historias clínicas?

Datos muy sensibles, datos de salud sobre todo.

¿Y qué más hay que proteger en nuestros equipos?

Información delicada sobre la contabilidad de la clínica.

Nóminas, contratos y otros datos de los trabajadores, como por ejemplo, bajas por enfermedad. Aunque normalmente éstos se administran en las asesorías, también pululan a veces por la clínica e incluso se puede acceder a esta información a través de una plataforma en internet.

Contratos, facturas y otros datos de proveedores.

Datos de empresas colaboradoras (laboratorios protésicos, otras clínicas y especialistas, etc.)

Consejos imprescindibles para mejorar nuestros sistemas de seguridad:

Los ordenadores y dispositivos personales no deberían utilizarse enganchándolos a la red privada de la clínica. ¿Puedes asegurar que tu equipo personal no está infectado? ¿o que no es una máquina zombi que pertenece a una red botnet controlada por un ciberdelincuente? Hay muchos casos así, más de los que imaginarías.

Evitar compartir la wifi de tu red privada con los pacientes, es mejor crear una wifi separada, sólo para  invitados.

Instalación de un antivirus en cada equipo, siempre actualizado a la última versión. Realizar un escáner con frecuencia «en busca de bichos».

Mantener los sistemas operativos de los ordenadores siempre actualizados con los últimos parches de seguridad.

Realizar copias de respaldo o copias de seguridad todas las semanas para evitar pérdidas de información en caso de que ocurra cualquier tipo de accidente o catástrofe.

No usar internet para cosas que no sean trabajo (Nada de: Facebook, twitter, whatsapp web, compras online de productos para uso personal, etc).

Navegación segura. No te metas en sitios raros.

Siempre que se necesite hacer una descarga (de un programa o utilidad) que sea exclusivamente en las páginas oficiales (huye de sitios como Softonic, llevan premio).

No abras correos electrónicos de remitentes desconocidos, no descargues los adjuntos y sobre todo, si es un archivo.exe no lo ejecutes, también puede llevar regalito.

Nunca abandones la recepción o el gabinete de la clínica con los PC`s encendidos y con todas las aplicaciones abiertas a la vista de los pacientes y acompañantes, haz un simple botonazo: “botón de Windows + tecla L”, se cerrará el acceso a la sesión de Windows y sólo quien tenga la contraseña podrá reanudarla.

No está bien imprimir las nóminas de tus trabajadores en la impresora de la clínica, cualquier trabajador puede encontrar lo que ha sido imprimido anteriormente y ver lo que ganan sus compañeros. A pesar de que cada trabajador llega a un acuerdo con la empresa en cuanto a salario y condiciones, las diferencias entre trabajadores puede crear momentos delicados.

En cuanto a la parte de hardware, tenéis que saber que tener los cableados hechos una maraña no colabora en la correcta conservación de los diferentes dispositivos (datafonos, cableado del ordenador, centralita telefónica, cable de red, etc). Hay una cosa súper barata -ideal para los amantes del ahorro-, que ayuda a mantener todos los cables en orden: el velcro, de venta en los chinos.

Los ordenadores no dejan de hacer ruido dándoles un puntapié. El internet no se arregla diciéndole a la pobre auxiliar que lo haga funcionar sea como sea (ella no es técnico de redes y sistemas). Necesitas contratar un servicio técnico para estas cosas. Algunos profesionales ofrecen tarifas planas para pequeños empresarios, ¡aprovecha!

Patrones de seguridad: usuarios y contraseñas.

Uso de contraseñas seguras. Por amor del cielo, no se lo pongas tan fácil a los malos, no utilices contraseñas como: 12345, el nombre de tu mujer, el de tu mascota o el año en que te casaste, ¿qué te hace pensar que eso es seguro? Utiliza un gestor de contraseñas. Hay aplicaciones muy prácticas como KEEPASS, donde aprendiendo una única contraseña maestra, tienes acceso a todas las demás. Es sencillamente, lo que andabas buscando para ser feliz, y posee un generador de contraseñas, donde puedes obtenerlas tan complejas, largas y seguras como quieras.

No pinches en “recordar contraseña” cuando tu navegador web te lo sugiera. Las contraseñas tienen que ser introducidas manualmente cada vez que accedas a cualquier plataforma web, sistema o herramienta.

No guardes las contraseñas en una nota pegada debajo del teclado, o en el monitor del ordenador o en cualquier otro lugar de la recepción. Los usuarios y contraseñas deben memorizarse, nunca los escribas en ningún lugar.

Cambiar las contraseñas varias veces al mes y siempre cada vez que se cambie de personal o haya sucedido algo fuera de lo normal.

 

Consejos adicionales:

No preservar documentos ajenos a la clínica en los equipos informáticos, despachos o gabinetes.

Guardar bajo llave todas las historias clínicas y otros documentos importantes que estén en impresos en papel.

No dejar en la recepción historias clínicas u otros documentos a la vista de personas ajenas a la empresa.

No dejar teléfonos móviles, dispositivos USB, CD´s, PDA´s, Tablets, ordenadores portátiles, etc, sin vigilancia en la recepción y/o al alcance de cualquiera.

Conclusiones

Creo que hoy os he cubierto de información suficiente… Lo más importante ahora es poner todo esto en práctica en el día a día de la clínica o laboratorio.

La mejor prevención reside en fortalecer los puntos débiles de la cadena. El eslabón más débil siempre es el factor humano, personas que por dejadez, falta de conocimientos o de atención no toman las decisiones adecuadas a la hora proteger los activos de la empresa (recordemos que la información es el activo más valioso de una empresa después de las personas).

Es responsabilidad de todo el personal de la clínica preservar la confidencialidad,  disponibilidad e integridad de los datos que se manejan, y si no sabes cómo hacerlo, «aprende que ya eres gordico/a», como diría mi abuela si te viera poner 123456… Pa’ habernos matao.

Espero que estos consejos te hayan resultado útiles.

 

Sorry, the comment form is closed at this time.