lunes, abril 23, 2018

¿Sabías que los datos médicos cada vez se enfrentan a más peligros?

Kaspersky dibuja un panorama inquietante. Y es que las amenazas y presiones en el sector salud van a seguir aumentando a medida que los centros médicos cuenten con más dispositivos conectados y aplicaciones web



Un médico consulta en Internet.
A pesar de lo sensible que es la información médica y de los niveles de protección que exigen sobre estos datos leyes como la LOPD en España o el famoso GDPR europeo, los datos de salud siguen estando muy descuidados. Los analistas de Kaspersky han alertado precisamente del alto nivel de desprotección de la información médica y de los datos de los pacientes almacenados en la infraestructura sanitaria conectada, así como de lo fácil que es su acceso online. Cualquier cibercriminal con un mínimo interés puede llegar a hacerse con esta información.
En su investigación, Kaspersky detectó que más de 1.500 dispositivos utilizados para procesar imágenes de los pacientes tenían abierto su acceso. También se descubrió que un volumen importante del software médico conectado y de aplicaciones web, tenían vulnerabilidades para las cuales ya existían “exploits”. Además, este riesgo aumenta a medida que los cibercriminales van aprendiendo el valor que tiene la información sobre la salud, lo sencillo que es hacerse con ella y la disponibilidad de los centros médicos a pagar por recuperarla.
Panorama pesimista
Las amenazas y presiones en el sector salud van a seguir aumentando a medida que los centros médicos cuenten con más dispositivos conectados y aplicaciones web. La sanidad conectada está impulsada por toda una serie de factores, entre los que podemos citar: la necesidad de una mayor eficiencia en los recursos utilizados y en las inversiones realizadas; un mayor interés por la atención domiciliaria remota en afecciones crónicas como la diabetes: el número creciente de personas mayores que viven solas junto con un envejecimiento de la población; el deseo del consumidor de un estilo de vida más saludable; y el reconocimiento por parte de las autoridades sanitarias que el intercambio de datos y la monitorización de los pacientes puede mejorar la calidad y la efectividad de la atención médica.
Estas son las amenazas a las que se enfrentan los datos médicos en los próximos meses:
Aumento de los ataques dirigidos contra equipos médicos con intención de extorsionar o afectar al servicio. El número de equipos médicos conectados a las redes informáticas sigue creciendo. Muchas de estas redes son privadas, pero una conexión externa a Internet puede ser suficiente para que los ciberdelincuentes entren e infecten cientos de equipos con su malware aprovechando la red “cerrada”. El equipo atacado puede dejar de funcionar e interrumpir la atención médica que presta, con resultados fatales. No es de extrañar que la disponibilidad de las víctimas a pagar sea muy alta para evitarlos.
Crecimiento en el número de ataques dirigidos al robo de información. La cantidad de datos de pacientes y de información médica que procesan y mantienen los sistemas conectados de atención médica, no para de crecer. Esos datos son muy atractivos para el mercado negro, y pueden utilizarse para el chantaje y la extorsión. No son únicamente los ciberdelincuentes externos los atraídos, también puede haber intereses ocultos por parte del jefe del paciente o de una compañía aseguradora, interesados en saber cómo podría llegar a afectar a las primas o a la seguridad laboral.
Mayor número de incidentes de ransomware contra instituciones sanitarias. Esto implicará cifrado de datos y bloqueo de dispositivos. Los equipos médicos conectados suelen ser costosos y, en muchas ocasiones, vitales, lo que les convierte en un importante objetivo para el ataque y la extorsión.
El perímetro corporativo es cada vez más difícil de perfilar en las instituciones médicas, donde hay un número cada vez mayor de estaciones de trabajo, servidores, dispositivos móviles y equipos conectados. Los ciberdelincuentes cuentan así con más oportunidades para acceder a la información médica y a las redes. Mantener las defensas activas y los dispositivos seguros será todo un desafío para los equipos de ciberseguridad. Cada nuevo dispositivo conectado ofrece un nuevo punto de acceso a la infraestructura corporativa.
La información sensible y confidencial transmitida entre los wearables, incluidos implantes, y los profesionales del sector sanitario, continuará creciendo como objetivo de los ciberdelincuentes a medida que su uso en diagnóstico médico, tratamiento y cuidado preventivos se incremente. Marcapasos y bombas de insulina son un buen ejemplo.
Los sistemas estatales y locales de salud, que comparten datos e información sin cifrar de terceros, como hospitales, centros de salud, laboratorios, etc, seguirán atrayendo a los ciberdelincuentes interesados por interceptar los datos que circulan sin la protección de los firewalls corporativos. Lo mismo ocurrirá con el flujo de información entre instituciones médicas y compañías aseguradoras.
El creciente uso que hacen los consumidores de monitores de actividad física y salud pone a disposición de los ciberdelincuentes un importante volumen de datos personales prácticamente desprotegidos. La popularidad de estos dispositivos para el deporte hace que se esté generando un volumen de información personal con una protección muy débil, y que los cibercriminales no van a desaprovechar.
Ataques disruptivos, ya sea bajo la forma de denegación de servicio o “ransomware” que simplemente destruye datos, como es el caso de Wannary, representan una amenaza creciente para unas instalaciones médicas cada vez más digitalizadas. El número cada vez mayor de estaciones de trabajo, gestión de registros electrónicos y procesos comerciales digitales presentes en cualquier organización moderna, amplía el número de objetivos potenciales. En el cuidado de la salud, se le añade un elemento crítico, pues cualquier interrupción puede convertirse, en términos reales, en cuestión de vida o muerte.
Por último, y no por ello menos importante, tecnologías emergentes como prótesis artificiales conectadas, implantes inteligentes para mejoras fisiológicas, realidad aumentada incorporada, etc, diseñadas para abordar discapacidades y crear unos seres humanos mejores, más fuertes y más en forma, ofrecerán a los atacantes una serie de nuevos objetivos, salvo que incorporen medidas de seguridad desde su diseño.
Denis Makrushin, analista de seguridad de Kaspersky, comenta: “Cada conexión, cada dispositivo, cada dato que circula por y entre redes en el sistema conectado de salud, es potencialmente víctima de sufrir un ciberataque. Los datos sanitarios son muy valorados en el mercado negro, y los sistemas médicos pueden llegar a ser vitales, lo que convierte a las organizaciones médicas en víctimas fáciles de extorsiones. Es fundamental que la comunidad de seguridad trabaje estrechamente con el sector sanitario y que sus proveedores incrementen la protección de los dispositivos actuales, asegurando que los nuevos sistemas sean seguros desde su diseño, y que los equipos médicos estén entrenados para enfrentarse adecuadamente a estos problemas.
Leído en Channel Partner

Interfaces biométricas, el desafío de la privacidad



La correcta identificación de los usuarios dentro de los sistemas de información ha sido y sigue siendo un importante caballo de batalla en todas las organizaciones, incluyendo las sanitarias. 
La seguridad de la información y la trazabilidad de los cambios en la misma exigen que siempre deba conocerse sin ninguna duda el usuario que está conectado. Para ello, una rápida y efectiva identificación de la persona es clave en la adopción y uso de los mecanismos de autenticación.
El desarrollo de mecanismos de identificación que utilizan características biométricas ha permitido ampliar los procedimientos por los cuales los sistemas informáticos reconocen a las personas. No obstante, en muchas ocasiones estos mecanismos adolecen de poca fiabilidad y menor usabilidad lo que complica su uso e impide que éste se extienda más allá del ámbito doméstico, donde la seguridad no es tan crítica.
Identificación biométrica: muchos y muy diversos mecanismos.
La tecnología ha puesto a nuestra disposición muchos y muy diversos mecanismos que pueden ser utilizados para identificar inequívocamente a una persona. Algunos de ellos, por señalar los más conocidos, pueden ser:
·       Lectura de la huella dactilar.
·       Escaneado de la pupila.
·       Reconocimiento facial.
·       Identificación vocal.
·       Geometría de la mano.
Hasta hace no demasiado tiempo muchos de estos sistemas formaban parte de la ciencia ficción, pero empresas como Apple (con su Touch ID y su más reciente Face ID) o Samsung han popularizado su uso de tal forma que algunos de ellos son completamente habituales en sistemas domésticos como teléfonos inteligentes, ordenadores, portátiles y otros.
Sin embargo, aún está lejos el momento en que estos mecanismos sean implementados en los entornos empresariales, que aún recurren al tradicional usuario y contraseña o, en algunos casos, a tarjetas de identificación.
Gran seguridad en la identificación de personas
Todos los métodos comparten una característica muy importante: aportan mayor nivel de seguridad a la hora de identificar a una persona, evitando errores, fraudes o pérdidas de contraseñas, tarjetas, etc.
Y es que la gran cantidad de datos recabados por los sensores biométricos hace que los ciberataques sean más complejos y que, por lo tanto, sea mucho más difícil (que no imposible, como ha sido reiteradamente demostrado) suplantar la identidad de una persona.
También aportan facilidad a los usuarios, quienes pueden dejar de recordar numerosas y complejas (o no tanto) contraseñas y sustituirlas por características personales que, simplemente, van con ellos.
Muchas aplicaciones, también en el ámbito sanitario
Es evidente que una correcta identificación de las personas tiene innumerables aplicaciones prácticas. Todos habremos pensado en la sustitución del tradicional usuario y contraseña, pero existen muchas otras aplicaciones en las que sería de gran utilidad.
Para empezar, la correcta identificación de los pacientes simplificaría y evitaría errores en el acceso a la historia clínica, previniendo al mismo tiempo fraudes por suplantación de identidad (mucho más comunes de lo que nos imaginamos).
Al mismo tiempo estos mecanismos podrían ser claves en todos los procesos relacionados con la seguridad del paciente: en la recogida de información clínica y su correcta asociación con la historia digital, en la administración de medicamentos, en la transfusión de hemoderivados, en la realización de pruebas diagnósticas … En todas ellas, disponer de una identificación unívoca del paciente puede ser clave para prevenir y evitar errores.
Pero poca usabilidad práctica
Sin embargo, lo que también ha quedado demostrado en numerosas ocasiones es que el diseño de los sistemas que usan la identificación biométrica no se realiza teniendo en cuenta el punto de vista del usuario final, que es quien finalmente debe utilizarlos.
A pesar de que la gran mayoría de la población acepta estos métodos como válidos para la identificación (y como muestra tenemos los teléfonos inteligentes, que incorporan la identificación por huella dactilar en muchos modelos), aún no vemos extendido su uso en el entorno empresarial y sus sistemas corporativos. Y esto tiene mucho que ver con el diseño tanto de los propios mecanismos como de las aplicaciones que deben utilizarlos.
Y es que la poca usabilidad en la implementación de los procesos de identificación hace que sea muchas veces sea más sencillo utilizar mecanismos tradicionales en lugar de los biométricos. Pensemos por un momento quiénes tenemos lector de huellas dactilares en nuestros portátiles y cuántos de nosotros los empleamos. Seguro que el número no es grande, lo que nos da una medida de la adopción que tienen en la práctica.
El desafío de la seguridad y de la privacidad
El objetivo que persiguen todos estos mecanismos es siempre el mismo: proteger la información para que únicamente quien esté autorizado pueda acceder a ella. Sin embargo, su implementación práctica presenta en muchas ocasiones contradicciones difíciles de explicar.
Por un lado, no son pocas las ocasiones en las que las tecnologías biométricas han sido implantadas sin las medidas adecuadas de seguridad para la información personal que recogen. Hay que tener en cuenta que, si las contraseñas de una persona quedan comprometidas o son robadas, a pesar de las dificultades y molestias que pueda entrañar, se pueden cambiar. Sin embargo, si se compromete un patrón de huella dactilar o un patrón de escaneado de iris, el daño es irreversible ya que, a diferencia de las contraseñas, los datos biométricos de un individuo no pueden modificarse y por lo tanto el sistema en su totalidad queda invalidado y deja de ser confiable.
Adicionalmente, existe la preocupación de que las técnicas biométricas puedan ser utilizadas para disminuir las libertades de las personas o ser empleadas por empresas y organizaciones con fines lucrativos o comerciales. Y es que, por si no estuviéramos suficientemente monitorizados, disponer de características físicas de los individuos abriría una inmensa puerta a servicios de seguimiento y personalización que podría acabar con muchas de las libertades que disfrutamos ahora mismo.
En este sentido hemos visto recientemente cómo el gobierno chino ha puesto en marcha una iniciativa que permite la identificación de delincuentes a través de sistemas de reconocimiento facial. Este sistema, según se ha podido conocer, es capaz de identificar a prácticamente cualquier individuo lo que en la práctica supone que es posible hacer un seguimiento de la población ininterrumpido y ubicuo, con las consecuencias que en materia de privacidad tiene este control. Ésta es solo una muestra de lo que se puede llegar a conseguir a través de la identificación biométrica.
El futuro de la seguridad digital
En cualquier caso y a pesar de las reticencias que puedan surgir, está claro que la identificación biométrica es el futuro de la seguridad digital. Las tecnologías de reconocimiento ya están en el mercado y han sido reiteradamente probadas y validadas. Únicamente resta aplicarlas de forma práctica y sencilla para que todos comencemos a emplearlas tanto de forma doméstica como empresarial.
Publicado por PEDRO GONZALO
Leído en Hablando eSalud

jueves, abril 19, 2018

Recomendaciones para implementar las 6 metas internacionales de seguridad del paciente


INTRODUCCION Y JUSTIFICACION:
Desde la publicación del libro “errar es humano”… en 1999, la política sanitaria ha evolucionado en la prevención y disminución de riesgos  por la atención en salud,  a través del establecer y difundir técnicas simples, sencillas e implementables, a llevar a cabo en cualquier institución médica, por todo el personal de salud.

META 1 SE DEBE IDENTIFICAR EN FORMA CORRECTA AL PACIENTE
Finalidad: identificar con exactitud al paciente para la realización de una acción sea por personal médico o paramédico.
·       Utilizar dos identificadores como mínimo.
·       No utilizar abreviaturas.
·       Universalizar códigos.
·       Nunca utilizar la identificación del paciente por el número de cama o habitación.
·       Confirmar por identificadores al paciente previo a cada acción
META 2 MEJORAR LA COMUNICACIÓN EFECTIVA 
Finalidad: disminuir daños por acciones del personal de salud, por malos entendidos en la ejecución de una acción.
·       Cotejar dos indicadores siempre previos a cada acción.
·       Estandarizar las comunicaciones entre personal al tiempo de entregar al paciente, la comunicación debe ser efectiva, inequívoca, comprendida y exacta.
·       Establecer indicadores y procedimientos de comunicación.
·       Mejorar el proceso de recepción de órdenes verbales o telefónicas.
·       Verificar, cotejar y avalar todas las indicaciones por todo el equipo responsable.
·       Medir y determinar la puntualidad de los reportes de los resultados y valores críticos de pruebas clínicas.
·       Valorar las órdenes verbales sólo en caso de urgencia, para ratificarse después de resolverse la urgencia.
·       Plasmar por escrito toda indicación médica en el expediente clínico tanto por el emisor como el receptor (verbal o telefónica) y avalar con firma del emitente de dicha indicación.
·       Promover una adecuada relación médico-paciente, aclarar dudas, opciones de tratamiento, explicación de diagnóstico y estado actual del paciente.
META 3 MEJORAR LA SEGURIDAD DE LOS MEDICAMENTOS DE ALTO RIESGO
Finalidad: administrar adecuadamente cada medicamento indicado.
·       Con el apoyo de meta 2 verificar la administración del medicamento al paciente correcto.
·       Etiquetar y resguardar en forma especial, por similitud con otros medicamentos tanto en nombre o presentación.
·       Resguardar dichos medicamentos con fecha de caducidad e inventariar la existencia de entradas y salidas.
·       Establecer procedimientos para la clasificación y resguardo de dichos medicamentos.
·       Evitar que los medicamentos estén al alcance de pacientes o familiares, ni de personal no autorizado.
·       Establecer en dichos medicamentos etiquetado de alerta.
·       Etiquetar “diluir” en caso de requerirlo en los concentrados de medicamentos de alto riesgo.
·       Contar con el personal específico a cargo para registro de la salida y también para la administración de dichos medicamentos.
·       Verificar la forma, vía de administración en el paciente correcto, forma correcta con el apoyo de otra enfermera.
·       Estandarizar las concentraciones disponibles en cada institución y servicio de atención médica.
META 4 GARANTIZAR CIRUGÍAS EN EL PACIENTE CORRECTO, LUGAR CORRECTO, CON EL PROCEDIMIENTO CORRECTO.
Finalidad:  mejorar los resultados de las acciones durante procedimientos quirúrgicos, a través de pausa quirurgica o tiempo fuera previo a cada intervención.
·       Con el apoyo de la meta 1, verificar que los datos y el paciente coincidan con el expediente clínico.
·       Llevar a cabo un proceso verificable preoperativo.
·       Llevar a cabo un tiempo límite o tiempo fuera antes de empezar cualquier procedimiento quirúrgico, verificado por personal a cargo.
·       Animar a los pacientes a ser incluidos en su propio cuidado como estrategia.
·       Solicitar consentimiento informado explicando ventajas, desventajas, riesgos y posibles complicaciones, previo a cada cirugía.
·       Marcar el sitio correcto de la cirugía.
·       Contar con el instrumental y equipo necesario previo al inicio de la cirugía, tomando en cuenta probables riesgos y complicaciones.
·       Conocer al paciente, su historia clínica con estudios de laboratorio y gabinete previo a cada procedimiento, incluyendo al personal médico y paramédico en formación.
·       Contar por parte del personal en formación, siempre con supervisión.
·       A capacitarse continuamente, contar con pericia sentar las acciones de verificación en el expediente clínico.
META 5 DISMINUIR EL RIESGO DE INFECCIONES NOSOCOMIALES
Finalidad:  mejorar el pronóstico del paciente mediante acciones higiénicas al alcance de todo el personal de salud que disminuyan los daños prevenibles.
·       Promover la higiene de manos como medida principal para la prevención de infecciones asociadas a la atención de la salud.
·       Desarrollar guías, trípticos, manuales, videos de la técnica adecuada de lavado de manos.
·       Reportar los eventos centinela asociados a una infección durante el cuidado médico.
·       Conocer la técnica adecuada de lavado de manos con la aplicación de jabón y alcohol en gel.
·       Conocer la norma oficial mexicana para el manejo de residuos biológico e infecciosos.
·       Establecer en toda institución de salud la ruta de manejo de rpbi (residuos peligrosos biológicos infecciosos).
·       Usar la ropa adecuada para áreas restringidas y para manejo de rpbi.
·       Evaluar el avance en el apego a los procedimientos.
·       Llevar a cabo campaña permanente de higiene de manos, y establecer los avances.
·       Involucrar al paciente y a familiares en la prevención de infecciones.
·       Toda persona debe realizar higiene de manos antes y después del contacto con cada paciente, y para evitar la transmisión de microorganismos a un paciente diferente

META 6 PREVENIR EL DAÑO A PACIENTES POR SU RIESGO DE CAIDAS
Finalidad: prevenir lesiones con clasificación de riesgo por traumatismos intrahospitalarios totalmente prevenibles.
·       Establecer políticas y procedimientos por cada institución clínica para reducir riesgo de daño por caídas.
·       Establecer el riesgo de caída de cada paciente.
·       Establecer alarmas visuales de acuerdo con esta clasificación tanto a la cabecera o puerta de cada habitación, cama o camilla.
·       Registrar el riesgo en el expediente clínico.
·       Informar al familiar sobre el riesgo existente, causas y formas de prevenir las caídas, así como valorar la asistencia y compañía de un familiar de acuerdo al riesgo.
·       Actualizar el riesgo según la evolución del paciente.
·       Asistir por personal calificado en situaciones de riesgo (baño, deambulación).
·       Fomentar el conocimiento de medidas preventivas como elevar barandales, aseo, secado, pulido de pisos, asistencia por personal capacitado.
·       Capacitar al personal a cargo, médico y paramédico.
·       Notificar, reportar y solucionar, cada evento centinela por el personal responsable del servicio y del paciente.
·       Notificar los avances de los procedimientos.

Autor: COMEGO