Oficina de Seguretat: Novetats

Una altra vegada som aquí per presentar el segon número del butlletí E-SEGURETAT. Per mitjà dels successius butlletins que enviem des de l’Oficina de Seguretat de l’Oficina de les Tecnologies de la Informació i les Comunicacions (OTIC) del Servei de Salut, tenim la intenció de tractar de temes relacionats principalment amb la seguretat de la informació i la protecció de les dades de caràcter per-sonal.

En aquest sentit, per començar hem decidit abordar el tema de les xarxes d’intercanvi de fitxers P2P, més conegudes per alguns dels programes que exploten aquest tipus de xarxes, com ara eMule o Ares.

Per als números següents hem pen-sat abordar altres temes, com ara les xarxes socials i la protecció de dades o l’ús d’Internet per part dels menors.

imagenAixí mateix, tenc la satisfacció d’anunciar que aviat estarà disponible el curs en línia sobre el Codi de bones pràctiques.

Mitjançant aquesta for-mació es podrà aprendre d’una ma-nera interactiva i pràctica els drets i les obligacions principals dels pro-fessionals amb relació a l’ús dels sistemes d’informació i el tractament de dades de caràcter personal en l’àmbit del Servei de Salut. Quan el curs estigui disponible, n’enviarem la informació oportuna mitjançant l’àrea de formació de cada gerència.

No dubteu de fer-nos saber qualse-vol suggeriment o si us interessa que abordem qualque tema concret: escriviu-nos a l’adreça de correu Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la..

Josep E. Romero

OTIC Seguridad

 

Les P2P i la protecció de dades

Recentment, en diversos mitjans de comunicació s’han publicat notícies sobre les sancions imposades per l’Agència Espanyola de Protecció de Dades a clíni-ques que estaven compartint historials de pacients per mitjà de xarxes P2P.

La Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, estableix com a falta molt greu la comunicació de dades a terceres per-sones sense el consentiment previ de la persona interessada o sense que una llei ho permeti.

En la majoria de les ocasions, la informació s’ha difós per mitjà de les xarxes P2P per una configuració incorrecta dels programes utilitzats per compartir fit-xers. D’altra banda, també cal recordar que moltes de les descàrregues d’a-questes xarxes d’intercanvi (música o pel·lícules) estan protegides per drets de la propietat intel·lectual.

El Codi de bones pràctiques en l’ús dels sistemes d’informació i en el tractament de les dades de caràcter personal, aprovat per la Circular 4/2009, de 28 d’abril de 2009, del director general del Servei de Salut, considera com a ús incorrecte del servei d’Internet ”descarregar i transmetre indiscriminadament imatges, so i vídeo, ja que la mida satura l’ample de banda i disminueix la velocitat de trans-missió, cosa que perjudica els altres usuaris”.

Així mateix, el Codi de bones pràctiques estableix (punt 4) que s’ha d’evitar em-prar equips o aplicacions que no estiguin especificats directament com a part del programari o del maquinari estàndard del Servei de Salut i que, si fes falta ins-tal·lar programes aliens a l’estàndard establert, s’ha de sol·licitar l’autorització del responsable del servei, per a la qual cosa és necessària la valoració prèvia del Servei d’Informàtica.

Per tot això, és important subratllar que la instal·lació i l’ús de programes d’i-ntercanvi basats en xarxes P2P (com ara eMule o Ares) estan totalment pro-hibits en els equips informàtics del Servei de Salut.

imagen

Preguntes més freqüents sobre el Codi de bones pràctiques

imagenA fi d’explicar d’una manera més comprensible el contingut del Codi de bones pràctiques en l’ús dels sistemes d’informació i el tractament de les dades de caràcter personal del Servei de Salut, en aquesta secció respondrem algunes de les preguntes més freqüents que sorgeixen respecte a l’aplicació del Codi.

Quin és l’objecte del Codi de bones pràctiques?

L’objecte del Codi de bones pràctiques és que tots els professionals del Ser-vei de Salut sàpiguen les pautes que han de seguir per emprar els recursos informàtics a fi de mantenir la seguretat, la confidencialitat, la disponibilitat i la integritat de les dades de caràcter personal, i també per complir la legislació vigent.

Qui ha d’aplicar el Codi de bones pràctiques?

Tot el personal que tengui accés als sistemes d’informació del Servei de Salut ha de saber i aplicar els requisits establerts en el Codi de bones pràctiques.

Sobre quins recursos s’ha d’aplicar el Codi de bones pràctiques?

Els requisits establerts pel Codi de bones pràctiques es refereixen a l’ús de tots els recursos (sistemes d’informació, ordinadors personals, mitjans de transmissió…).

Quines mesures de seguretat cal tenir en compte per emprar els sistemes d’informació?

El reglament que desplega la Llei orgànica de protecció de dades de caràcter personal descriu totes les mesures de seguretat que cal aplicar per al funcionament correcte dels sistemes que tractin amb dades de caràcter personal. Com a regla general, els professionals han de seguir aquestes pautes:

imagen Guardar un estricte secret professional.

imagen Saber els principis de la Llei orgànica de protecció de dades de caràcter personal.

imagen Garantir la confidencialitat de les dades a les quals tengui accés.

imagen Evitar deixar informació confidencial desatesa (memòria USB sense xi-frar o sense guardar, equips sense bloquejar...).

imagen No accedir a les dades per mitjans diferents als proporcionats pel Servei de Salut.

imagen Evitar generar fitxers temporals.

Quan acaba el compromís de confidencialitat subscrit amb el Servei de Salut?

Mai. El personal que hagi tengut accés a dades de caràcter personal en l’a-compliment de la seva feina ha de guardar un estricte secret professional du-rant temps indefinit, fins i tot després que s’extingeixi la seva relació amb el Servei de Salut.

Quines mesures de seguretat cal aplicar per al tractament de documentació que contengui dades de caràcter personal?

imagen Guardar la documentació confidencial dins calaixos o armaris tancats amb pany.

imagen Destruir de manera segura la documentació confidencial.

imagen

 Evitar generar documentació impresa en paper.

imagen

 Evitar que la documentació confidencial impresa en paper quedi a l’ab-ast de persones no autoritzades (en impressores, faxos, llocs de tre-ball...).

imagen