Guías Safer

Como ya sabéis Wannacry también hizo sus estragos en el Sistema Nacional de Salud de Reino Unido afectando a cerca de 25 hospitales y centros médicos. Las noticias hablan de que se paralizaron los sistemas y que en algunos casos se tuvo que desviar pacientes a otros hospitales.

En mi opinión, las organizaciones pertenecientes al sector sanitario deberían estar mínimamente preparadas para poder hacer frente a un ataque de este tipo y conseguir que la afectación fuese la menor posible.

Si hacemos un análisis diferencial de la organización con respecto a un estándar, mejores prácticas, etc., podremos tener una visión de cuáles son los puntos más débiles de la organización y sobre los que tendremos que actuar de manera inmediata. En el caso de los entornos sanitarios las referencias más conocidas son la HIPAA y la ISO 27799.

En este post os quería presentar otra referencia dirigida al entorno hospitalario. Se trata de las guías SAFER, un compendio de nueve guías en las que se ofrece un checklist para realizar un análisis de estado, además de ofrecer una serie de recomendaciones para cada control. Aunque el objetivo de las guías es garantizar la seguridad global del paciente, existen varios puntos de control que claramente tienen que ver con temas de seguridad desde el punto de vista informático.

A continuación explicaré brevemente cada una de ellas dejando para futuros post el análisis de alguna de ellas.

La primera guía se trata de High Priority Practices (Prácticas de alta prioridad), es decir, lo que deberían tener implementado todos los entornos sanitarios. Con la implementación de esta guía se pretende obtener una visión general del estado de las seguridad en la organización. A lo largo de la guía se evalúan aspectos relativos a redundancia de los sistemas, existencia de procedimientos, aspectos relacionados con las pruebas en las modificaciones del software y hardware.

La segunda guía es denominada Organizational Responsibilities (Responsabilidades Organizacionales). En esta guía se evalúa la asignación de responsabilidades en la organización, implicación de la alta dirección en temas de seguridad, existencia de miembros del equipo directivo que se encarguen de supervisar los problemas detectados.

Seguimos con la denominada Contingency Planning (Planes de contingencia), en la que se evalúan aspectos relacionados con la redundancia de equipos para las aplicaciones críticas, existencia de generador eléctrico y combustible por si existe un corte eléctrico prolongado, existencia de procedimientos ante paradas de emergencia.

A continuación pasamos a la guía System Configuration (Configuración del Sistema), en ella se evalúan aspectos como la implementación de mecanismos de autentificación en los sistemas o sistemas de acceso basados en roles de forma que cada usuario solo acceda a lo que le esté permitido. Además, ofrece recomendaciones sobre la posición de las pantallas y ordenadores en zonas de acceso público para evitar la pérdida de privacidad y seguridad de los datos de los pacientes.

La guía System Interfaces (Interfaces de sistema) hace referencia a si los sistemas están actualizados, la adecuada gestión de errores de interfaz, si los cambios de interfaz se prueban y se monitorizan antes de su paso a producción, si los avisos de un mal funcionamiento del sistema son claramente interpretable por los usuarios.

La siguiente guía se denomina Patient Identification (Identificación del paciente), esta guía es un poco más particular del entorno sanitario, no obstante ofrece controles que se pueden extrapolar para otros entornos, por ejemplo, se verifica si los números de historia clínica incorporan un dígito de control para asegurar que el número es correcto, la identidad del paciente se verifica en varios puntos del proceso de atención, la base de datos de identificación de paciente se monitoriza regularmente para comprobar que no hay errores.

Seguimos con Computerized Provider Order Entry with Decision Support (algo parecido a soporte a la toma de decisiones), entre los puntos de control que más tienen que ver con la seguridad podemos destacar que se evalúe el tener que introducir una contraseña para firmar una orden o si los usuarios han probado el sistema antes de su puesta en producción.

Pasamos a la guía Clinician Communication (comunicación clínica). En esta guía se revisan aspectos relacionados con mensajería electrónica, por ejemplo, si queda registro de la fecha y hora de las comunicaciones, si se puede ver el estado de los mensajes, que no se envíe ninguna información sin que se rellenen todos los campos obligatorios, se pueda etiquetar un mensaje como urgente.

Y por último, la guía Test Results Reporting an Follow-Up (resultados de las pruebas y seguimiento), guía que versa sobre la importancia de la gestión y tratamiento de las pruebas médicas claramente dirigida al entorno hospitalario. No obstante, se tratan detalles relacionados con la trazabilidad de las órdenes realizadas o capacidad de detección de fallos en el flujo de información.

Tenéis toda la información y las guías descargables en: https://www.healthit.gov/safer/safer-guides. También podéis encontrar información en español en la página de APISA (Asociación de profesionales de informática de la salud de Andalucía).

Comments

  1. Post muy completo y muy bien explicado :).

  2. Eva Lleonart says

    Muchas gracias por tu comentario Alberto. Un saludo