seguritecnia 408

SEGURITECNIA Mayo 2014 89 tablecimos y que está teniendo muy buenos resultados es la implan- tación de salvapanta- llas con mensajes sobre seguridad en todos los equipos del Instituto. Se impartió de nuevo for- mación sobre seguridad de forma interna y por parte la OSSI llegando al 80 por ciento de los trabajadores, lo cual de- muestra, en nuestra opi- nión, la especial sensi- bilización del personal del Instituto a la protec- ción de datos persona- les, la cual siempre ha sido muy alta dado el estigma que acompaña al paciente mental en la sociedad. La evaluación obtenida en las auditorias de este año por la OSSI ha sido muy buena, llegando incluso a felicitarnos por el trabajo realizado. Presente y futuro, todos los miembros del comité estamos empeñados en me- jorar y aprender todo lo que podamos para avanzar el grado de seguridad de nuestros sistemas de información; por ello se ha definido un plan de actua- ciones para este año, con tres objetivos principales, creación de un plan de con- tinuidad de negocio (BCP, Business Conti- nuity Plan ), aumentar el Control de Usua- rios en todos los sistemas de Informa- ción y difundir e implicar a todos los trabajadores del Hospital en la importan- cia de la Seguridad de la Información. El hacker Kevin Mitnick ha señalado: “Las organizaciones gastan millones de dólares en firewalls y dispositivos de se- guridad, pero tiran el dinero porque ninguna de éstas medidas cubre el es- labón más débil de la cadena de segu- ridad: la gente que usa y administra los ordenadores”. Para el Comité, el activo más valioso en seguridad, y que decir tiene en la seguridad de la información, son nuestros pacientes y su informa- ción, y la implicación de nuestros tra- bajadores. Hagamos que el eslabón sea indestructible. S tró cómo con programas hackers de ata- que para sacar contraseñas. En concreto, el software empleado conseguía revelar en cuestión de minutos las contraseñas de varios usuarios que pensaban que éstas eran seguras. En el año 2013, presentamos en el Congreso Nacional de Hospitales una ponencia verbal denominada “Implanta- ción en un Centro Hospitalario de un Sis- tema de Gestión de la Seguridad de la Información”. Durante ese periodo cabe destacar la creación de planes de con- tingencia para los servicios de Consultas Externas, Farmacia y Hospitalización, pro- bándose la utilidad de estos planes. Tuvimos dos auditorías por parte de la OSSI y una auditoria externa sobre RLOPD, en las que nos informaron de la necesidad de mejorar algunos pro- cedimientos, colocación de carteles so- bre LOPD más visibles y una mayor di- fusión a los trabajadores de normati- vas, procedimientos, guías, etcétera. El comité, en su afán de aprender y mejo- rar los resultados, procedió a realizar un plan de actuación para cumplir con to- das las anotaciones efectuadas en las auditorias. Cabe destacar que se creó una Intranet con acceso para todos los trabajadores donde, como punto des- tacado, está colocada toda la informa- ción sobre seguridad. Una idea que es- guir unas normas estable- cidas por el departamento de Calidad y, sobre todo, la unión entre seguridad física y seguridad en los sistemas de información. En junio de este mismo año se nom- bra oficialmente como res- ponsable de Seguridad de la Información al responsa- ble de Informática, y como secretario del Comité al res- ponsable de Seguridad. Se realiza un calendario de re- uniones de este comité du- rante el año 2012, para lo que se realizaron cinco re- uniones para implantar y desarrollar planes de seguri- dad durante este año. El principal objetivo del comité ha sido identificar y detectar los posibles fallos o mejoras necesarias en seguridad de la información. Una vez analizados, se desarrollaron procedi- mientos, normas e instrucciones técni- cas para aumentar el grado de seguri- dad. Asimismo, durante este periodo nos apoyamos en la OSSI (Oficina de Segu- ridad de Sistemas de Información) de la Consejería de Sanidad para su asesora- miento y se realizó por parte de esa ofi- cina dos auditorías internas. La puntua- ción obtenida fue de 5,23 sobre seis, es- tando la media de los hospitales en 4,01. En 2012 se impartieron por primera vez formación a los trabajadores sobre la Ley Orgánica de Protección de Datos (LOPD) y seguridad de la información, a la que asistió el 30 por ciento de los tra- bajadores. Fue curioso comprobar cómo durante la formación se realizó, a modo de ejemplo, un ataque de ingeniería so- cial en el que los trabajadores vieron cómo éramos capaces de obtener in- formación precisa sobre un usuario, ob- teniendo login y el password de varios usuarios. Insistiendo en este punto so- bre ingeniería social, conseguimos que los asistentes al curso tomaran concien- cia a nivel laboral y personal de cómo se puede extraer información confidencial si no tenemos cuidado. Otro ejemplo cu- rioso en la formación fue que se les mos- Seguridad en Hospitales