Seguritecnia 509

/ Septiembre-Octubre 2024 36 Seguridad en hospitales deshabilitación de los puertos USB de los ordenadores, desactivación de puntos de red no usados, contraseñas con diversos caracteres, uso exclusivo de correo cor- porativo y desactivación de accesos a cuentas personales, etcétera, para inten- tar hacer frente a las amenazas existen- tes a nivel mundial. Es necesario explicar el porqué de todas estas acciones, poner ejemplos las vulnerabilidades que existen si no se aplican y, por supuesto, una vez puestas en marcha, presentar resultados de mejora. Un ejemplo representativo es que, desde la aplicación de la deshabi- litación de los puertos USB, en un mes se ha pasado de recibir 120 alertas de amenazas a solo 14. Seguridad normativa Como hemos comentado, no solo debe- mos centrarnos en la parte más operati- va del día a día. Los centros asistenciales también debemos cumplir una serie de medidas relacionadas con la legislación y normativa vigente, que van de la mano de la parte operativa. Nos referimos, en- tre otras, a normas como el Reglamento General de Protección de Datos Europeo (RGPD), el Esquema Nacional de Segu- ridad (ENS), la Ley de Firma Electrónica Avanzada, la Ley de Protección de Datos Personales y Garantía de Derechos Digi- tales o la Ley Reguladora de Autonomía de Paciente y Derechos y Obligaciones en materia de información y documenta- ción clínica. Además de esta base, pos- teriormente, en función de la tecnología que se vaya aplicando, existen nuevas normativas como, por ejemplo, el Regla- mente Europeo de Inteligencia Artificial, que ha visto la luz recientemente. Con todo ello, es muy importante no solo controlar lo que existe ya dentro de los centros asistenciales, sino también lo que se va a introduciendo con el paso del tiempo. Por ello, cada vez que se quiere incorporar un nuevo sistema de información o un nuevo equipo que se conecta a la red, se recomienda cumpli- mentar un análisis de viabilidad previo, que determine su aptitud. Este análisis de viabilidad de seguridad forma parte de un análisis general más completo, realizado desde cuatro perspectivas, a saber: perspectiva funcional (donde se exponen todas las necesidades fun- cionales, circuitos de trabajo, procesos entre otros), técnica (donde se expo- nen las necesidades de cumplimiento tecnológicas de una organización en cuanto a bases de datos, servidores de aplicaciones, frameworks de desarrollo, integraciones, comunicaciones, puesto de trabajo entre otros), económica (si es asumible o no por la organización) y la ya comentada de seguridad. En esta última es donde, previamente a la implantación, se revisa el cumpli- miento en las materias operativa y le- gislativa, y por supuesto la adaptación a las políticas corporativas definidas por la organización asistencial sobre la que se quiere implantar. Como hemos comentado a lo largo de todo el documento, estos hitos no nos aseguran el éxito absoluto, pero sir- ven como base incremental para que, al menos, pongan unas medidas que contengan vulnerabilidades y posibles amenazas. Por último, creemos necesario tener registrados todos los proveedores exis- tentes en el hospital, con el fin de que, ante cualquier brecha de seguridad por parte de alguno de ellos, seamos rápida- mente conscientes y podamos actuar de manera rápida en caso de tener implan- tados equipos o conexiones externas a nuestros sistemas. Aunque nos avisa la propia empresa por protocolo, o el CERT del Centro Criptológico Nacional, debe- mos ser proactivos en la gestión de inci- dentes de seguridad asociados a estas vulnerabilidades. Como se puede observar, no hay una única medida a aplicar para decir que estamos completamente protegidos ante amenazas externas e internas. Al revés, debemos ser metódicos y aplicar todo lo comentado, para saber que es- tamos en el buen camino, pero nunca perder de vista que todos somos vulne- rables en cualquier momento.