EL ESPECIAL DE JULIO DE 2017

Hoy hablaremos de algo muy especial: La seguridad de la información y el correcto uso de los sistemas tecnológicos que guardan y administran los datos.

Según nuestra amiga Wikipedia, La seguridad de la información “es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma”.

Tenemos muy claro lo de la profilaxis oral, ¿pero qué tal llevamos la profilaxis informática?

El caso es que tanto en el laboratorio protésico -pero muy especialmente en la clínica dental-, se trata con información altamente sensible sobre los pacientes.

Las historias clínicas no son únicamente una herramienta de trabajo muy útil para llevar un estudio sobre la salud de los pacientes, o un registro sobre los tratamientos realizados; son documentos de carácter oficial que pueden ser utilizados en investigaciones policiales, quizá esto pueda darnos una idea sobre la urgencia de ser capaces de conservarlos en perfectas condiciones.

La conservación es sólo una parte, ¿pero qué hay de la confidencialidad de su contenido? ¿Preservamos correctamente la intimidad de nuestros usuarios?

Seguramente bastantes clínicas dentales suspendan en el ámbito de la seguridad de la información ¿será la tuya una de ellas?

A ver si puedo explicarlo con un esquema o similar:

 

¿Te suenan de algo estos patrones de seguridad que acabo de mencionar?

Aunque sea en clave de humor, alguien tenía que decirlo… Lo de los usuarios y contraseñas da un poquito de vergüenza ajena. Si no comenzamos a tomar el tema de la seguridad en serio yo me voy a vivir a una cueva mañana mismo.

Lo cierto es que hay cierta desazón en mi interior al pensar que todos mis datos personales puedan estar protegidos por el nombre del perro de mi dentista, el cual aparece en todas sus redes sociales disfrazado de muela con esa cara de “Que alguien me salve“.

Esta es la realidad de muchos usuarios a todos los niveles, ya no solo me refiero a clínicas, sino a todo tipo de negocios, empresas de todos los tamaños, particulares… Suspenso total.

¿Por qué es tan importante asegurar nuestros equipos, software y accesos a la administración de la clínica?

Contestaré a esta pregunta presentando un caso real que sucedió el mes pasado: Han hackeado la pasarela de pagos de iDental, la famosa cadena de clínicas sociales.

Aquí podéis ver la noticia original de La Nueve.

En resumen y para que podáis comprenderlo, las personas que tenían acceso a la administración de las cuentas utilizaban contraseñas como… ¡tatachán! 123456. Las deudas un montón de pacientes fueron puestas a cero desde la pasarela de pagos del Banco de Sabadell para iDental, y parece ser que a pesar del gravísimo incidente, no se arregló rápida y eficazmente, ya que los de La Nueve han seguido teniendo acceso días después del suceso.

Fuente imagen: El Confidencial

Si eres paciente de iDental tienes que saber que tus datos personales se han visto comprometidos, eso y que has formado parte de un sorteo para recibir un tratamiento totalmente gratis. Ahora sí que la gente se ha beneficiado de un planazo social-dental de la leche…

Otros artículos que hablan sobre la noticia:

El Confidencial

Omicrono

Después de la anécdota puramente educativa pongámonos en situación:

¿Qué información contienen las historias clínicas? Todos lo sabemos:

Datos sobre la salud general del paciente (cirugías, medicación, enfermedades infectocontagiosas, otras enfermedades y datos de salud generales, etc).Es una información altamente sensible.

Datos personales (edad, sexo, DNI, teléfono, dirección de casa, cuenta bancaria, correo electrónico, etc). Son datos que podríamos encontrar hurgando en internet, pero que deben ser protegidos igualmente.

Asegurado o no en compañías de salud.

Registro sobre pagos e impagos de los tratamientos odontológicos. Información muy sensible también.

Otra información a proteger, relativa a la administración de la clínica:

Contabilidad de la clínica.

Nóminas, contratos y otros datos de los trabajadores, como por ejemplo, bajas por enfermedad. Aunque normalmente éstos se administran en las asesorías, también pululan a veces por la clínica e incluso se puede acceder a esta información a través de una plataforma en internet.

Contratos, facturas y otros datos de proveedores.

Datos de empresas colaboradoras (laboratorios protésicos, otras clínicas y especialistas, etc.)

Consejos imprescindibles para mejorar nuestros sistemas de seguridad:

Los ordenadores y dispositivos personales no deberían utilizarse enganchándolos a la red privada de la clínica. ¿Puedes asegurar que tu equipo personal no está infectado? ¿o que no es una máquina zombi que pertenece a una red botnet controlada por un ciberdelincuente? Hay muchos casos así, más de los que imaginarías.

Evitar compartir la wifi con los pacientes, es mejor crear una wifi especial para invitados.

Instalación de un antivirus en cada equipo, siempre actualizado a la última versión. Realizar un escáner con frecuencia en busca de virus y gusanos.

Mantener los sistemas operativos de los ordenadores siempre actualizados con los últimos parches de seguridad.

Realizar copias de respaldo o copias de seguridad todas las semanas para evitar pérdidas de información en caso de que ocurra cualquier tipo de accidente o catástrofe.

No usar internet para cosas que no sean trabajo (Fuera Facebook, twitter, whatsapp web, compras online de productos para uso personal, etc).

Navegación segura. ¿Ves en tu navegador de internet el http con una “s” o sin ella (https://)? Pues debería tenerla… Pon una “s” de Security en tu vida, consulta con un técnico informático para que te ayude con este punto.

Siempre que se necesite hacer una descarga (de un programa o utilidad) que sea exclusivamente en las páginas oficiales (huye de sitios como Softonic, llevan premio).

No abras correos electrónicos de remitentes desconocidos, no descargues los adjuntos y sobre todo, si es un archivo.exe no lo ejecutes, también puede llevar regalito.

Nunca abandones la recepción o el gabinete de la clínica con los PC`s encendidos y con todas las aplicaciones abiertas a la vista de los pacientes y acompañantes, haz un simple botonazo: “botón de Windows + tecla L”, se cerrará el acceso a la sesión de Windows y sólo quien tenga la contraseña podrá reanudarla.

No está bien imprimir las nóminas de tus trabajadores en la impresora de la clínica, cualquier trabajador puede encontrar lo que ha sido imprimido anteriormente y ver lo que ganan sus compañeros. A pesar de que cada trabajador llega a un acuerdo con la empresa en cuanto a salario y condiciones, las diferencias entre trabajadores pueden levantar ampollas.

En cuanto a la parte de hardware, tenéis que saber que tener los cableados hechos una maraña no colabora en la correcta conservación de los diferentes dispositivos (datafonos, cableado del ordenador, centralita telefónica, cable de red, etc). Hay una cosa súper barata -ideal para los amantes del ahorro-, que ayuda a mantener todos los cables en orden: se llama velcro y se vende en bazares.

Los ordenadores no dejan de hacer ruido dándoles un puntapié. El internet no se arregla diciéndole a la pobre auxiliar que lo haga funcionar sea como sea (ella no es técnico de redes y sistemas). Necesitas contratar un servicio técnico para estas cosas. Algunos profesionales ofrecen tarifas planas para pequeños empresarios, ¡aprovecha!

Patrones de seguridad: usuarios y contraseñas.

Uso de contraseñas seguras. Por amor del cielo, no se lo pongas tan fácil a los malos, no utilices contraseñas como: 12345, el nombre de tu mujer, el de tu mascota o el año en que te casaste, ¿qué te hace pensar que eso es seguro?

No pinches en “recordar contraseña” cuando tu navegador web te lo sugiera. Las contraseñas tienen que ser introducidas manualmente cada vez que accedas a cualquier plataforma web, sistema o herramienta.

No guardes las contraseñas en una nota pegada debajo del teclado, o en el monitor del ordenador o en cualquier otro lugar de la recepción. Los usuarios y contraseñas deben memorizarse, nunca los escribas en ningún lugar.

Cambiar las contraseñas varias veces al mes y siempre cada vez que se cambie de personal o haya sucedido algo fuera de lo normal.

Consejos adicionales:

No preservar documentos ajenos a la clínica en los equipos informáticos, despachos o gabinetes. He llegado a ver hasta escrituras de una casa rondando por la clínica, -mecachis, si fuera perversa ahora podría ser dueña de un chalet en las afueras-.

Guardar bajo llave todas las historias clínicas y otros documentos importantes que estén en impresos en papel.

No dejar en la recepción historias clínicas u otros documentos a la vista de personas ajenas a la empresa.

No dejar teléfonos móviles, dispositivos USB, CD´s, PDA´s, Tablets, ordenadores portátiles, etc, sin vigilancia en la recepción y/o al alcance de cualquiera.

 

Conclusiones

Creo que hoy os he cubierto de información suficiente… Lo más importante ahora es poner todo esto en práctica en el día a día de la clínica o laboratorio.

Os puedo decir que no solo son consejos útiles y muy prácticos, están basados en conocimientos y experiencias vividas dentro de la propia clínica dental.

La mejor prevención reside en fortalecer los puntos débiles de la cadena. El eslabón más débil siempre es el factor humano, personas que por ignorancia no toman las decisiones adecuadas a la hora proteger los activos de la empresa (recordemos que la información es el activo más valioso de una empresa después de las personas).

Es responsabilidad de todo el personal de la clínica preservar la confidencialidad,  disponibilidad e integridad de los datos que se manejan, y si no sabes cómo hacerlo, “aprende que ya eres gordico”, como diría mi querida y sabia abuela.

¡Deseo que estos consejos sean de provecho para ti!

Un gran saludo

R. F. Higienista Bucodental, Protésico dental, Estudiante de Seguridad Informática.