Introducción

Alojar datos sanitarios personales exige madurez por parte de los equipos informáticos. Es un proyecto en sí mismo, que requiere tener en cuenta componentes técnicos, organizativos y humanos. Como en cualquier proyecto de transformación digital, es importante adoptar los reflejos adecuados para evitar futuros fallos de funcionamiento.

Tras un preámbulo dedicado al contexto de los ciberataques en el sector sanitario, este capítulo presenta los siete errores que se pueden cometer si no se alojan los datos sanitarios. Así que es mejor conocerlos para evitar estos errores y seguir los consejos que se dan al final de cada sección.

Por último, al final del capítulo se hará una presentación de las normas de certificación HDS actuales y futuras.

Preámbulo

1. Ransomware, ¡mi mejor enemigo!

Desde finales de 2019, los principales hospitales franceses han sido claramente atacados: el Hospital Universitario de Rouen, el Hospital de Dax, el Hospital de Villefranche-sur-Saône, la dirección de ORPEA, etc. Algunos servicios habrán tardado más de cuatro meses en poder reiniciarse en modo normal. ¡Al hacker no le queda ética!

Cada vez, el modus operandi es el mismo: un ataque de phishing, ransomware, cifrado de estaciones de trabajo y servidores, parálisis del SI y petición de rescate. Y en la mayoría de los casos, hay que empezar de cero:

Producción de estaciones de trabajo y servidores a partir de una imagen de disco (denominada "maestro").
Restaurar datos y máquinas virtuales a partir de copias de seguridad.

Ransomware: el temor de todo usuario

En 2020, el primer ransomware fue sospechoso de ser la causa de una muerte en Alemania (hospital de Düsseldorf): se denegó el acceso a los servicios de urgencias y el paciente murió mientras era trasladado a otro hospital.

Hasta la fecha (abril de 2021), se ha producido "un intento de ataque por semana a infraestructuras como EHPAD, CHU, hospitales y clínicas u otras entidades vinculadas a los servicios sanitarios". En el mundo industrial privado también se producen muchos ataques, pero son menos visibles y menos críticos que en los hospitales, aunque hay contraejemplos como el ataque en mayo de 2021 a Colonial Pipeline, uno de los mayores sistemas de oleoductos de pozos de petróleo refinado de Estados Unidos. Una versión obsoleta de Exchange permitió a los hackers bloquear las operaciones durante 5 días y pedir un rescate...

Siete errores que puede cometer para que su proyecto HDS salga mal

1. No hacer un análisis de riesgos adecuado

a. Oído en la vida real

¿"Análisis de riesgos"? Realmente no tengo tiempo, quiero que todo esté disponible en todo momento. Y además, con un alojamiento HDS, son ellos los que asumen toda la responsabilidad del buen funcionamiento de mi SI, ¡hasta hay penalizaciones por ello!".

b. Análisis de riesgos

Es tentador querer externalizar su historial clínico electrónico, por razones normativas, por ejemplo, y querer actuar con rapidez. Pero, ¿cuáles son los riesgos reales? Indisponibilidad del sistema, corrupción de datos, divulgación de datos, etc. Sólo un análisis de riesgos y sus resultados pueden ofrecer una imagen clara del objetivo que hay que alcanzar. Mejor aún, este análisis es esencial antes de lanzar un proyecto de externalización. "¿Qué quiero externalizar exactamente? ¿Estoy amenazado, por qué, por quién y cómo? ¿Cuáles son mis puntos vulnerables? Es esencial un trabajo preparatorio meticuloso: identificación de activos esenciales, activos de apoyo y sus relaciones - estudio de sucesos temidos y escenarios de amenazas - evaluación y valoración de riesgos - medidas de seguridad y plan de acción. Una vez evaluados y clasificados los riesgos, teniendo en cuenta factores como la probabilidad de que se produzcan y su impacto, hay que establecer un conjunto de medidas de seguridad para reducirlos.

Dicho esto, dos ejemplos con casi veinte años de diferencia ilustran que el riesgo cero no existe:

09/11/2001 - Nueva York: algunas empresas tenían sus salas de ordenadores en las torres gemelas (producción en la torre 1 y copia de seguridad en la torre 2). Un acontecimiento de baja probabilidad (derrumbe de las dos torres al mismo tiempo) con un impacto muy elevado (desaparición completa del SI y quiebra de las empresas afectadas). Un centro de respaldo situado en un punto geográfico suficientemente alejado del centro de producción habría permitido reanudar la actividad.
17/03/2020 - Francia: la crisis Covid-19 provoca un bloqueo general del país y la implantación del teletrabajo para 8 millones de personas en el espacio de unas horas. Un acontecimiento...

Certificación HDS

1. La norma HDS 1.0 (actualmente en vigor)

Las directrices de certificación HDS de julio de 2018 suponen una ruptura con el anterior sistema de homologación HDS, basado en un procedimiento declarativo sin controles por parte de las autoridades. A partir de ahora, la certificación HDS se basará en requisitos y, en particular, en la necesidad de contar con la certificación ISO 27001, un importante ticket de entrada.

Principales requisitos para la certificación HDS

Requisitos normativos de referencia

ISO 27001/Diciembre 2013: SGSI, toda la norma más 4 requisitos adicionales.
ISO 20000-1/Junio 2012: Gestión de servicios - Parte 1. Requisitos del sistema de gestión de servicios. Requisitos del sistema de gestión de servicios, en parte: 4 capítulos más 1 requisito adicional, lo que hace un total de 26 requisitos.
ISO 27018:2014: código de buenas prácticas para la protección de la información de identificación personal (PII) en el alojamiento en la nube, en parte, 30 requisitos.