Seguretat de la informació

Servei de Salut de les Illes Balears (Ibsalut)

Preguntes freqüents de seguretat de la informació

La seguretat de la informació és un element clau que garanteix la integritat, disponibilitat i confidencialitat de les dades.

El Servei de Salut de les Illes Balears està compromès a protegir adequadament la informació, per la qual cosa vetla per complir els principis i requisits de seguretat definits en l'Esquema Nacional de Seguretat.

Així doncs, en aquest sentit, el Servei de Salut de les Illes Balears compta amb una política pròpia de seguretat de la informació que assegura l'eficàcia de les mesures de seguretat implementades, a més d'un Codi de Bones Pràctiques que estableix i proporciona informació i directrius bàsiques sobre com s’han d'aplicar aquestes mesures.

Per tot això, en aquesta secció s'han resolt algunes de les consultes més recurrents en matèria de seguretat de la informació:

Índex

1. ÚS DELS RECURSOS INFORMÀTICS

2. MESURES DE SEGURETAT

3. ALTRES PREGUNTES

 

1. Ús dels recursos informàtics

1) Puc accedir a internet des del meu dispositiu mòbil per fer-ne un ús personal fora de l’acompliment de les funcions que són pròpies del meu lloc de feina?

Aquesta pràctica és contrària al Codi de bones pràctiques, que estableix que els recursos informàtics del Servei de Salut han de ser emprats per a les tasques pròpies del personal d’acord amb les funcions que té assignades, tret que tengui autorització.

D’altra banda, d’acord amb el criteri de l’Audiència Nacional, aquest accés a internet no es pot considerar en règim d’autoprestació, atès el caràcter restrictiu de la interpretació que se n’ha de fer de conformitat amb la SAN 3886/2011, de 1r de setembre; per tant, és obligatori complir les mateixes obligacions que la resta dels operadors de xarxes i serveis de comunicacions electròniques; entre d’altres, les següents:

  • Obligació d’inscripció registral en el registre d’operadors de la Comissió del Mercat de les Telecomunicacions.
  • Garantia del secret de les comunicacions adoptant les mesures necessàries.
  • Garantia dels nivells de protecció de les dades de caràcter personal mentre exerceix les seves funcions.
  • Deure de conservació de dades relatives a les comunicacions electròniques i a les xarxes públiques de comunicacions.

 

2) Es poden emprar el correu electrònic i l’agenda corporativa per enviar correus massius, cadenes de missatges, etc.?

El Codi de bones pràctiques estableix que el Servei de Salut posa a la disposició del personal l’accés a determinats recursos informàtics amb la finalitat de facilitar el desenvolupament del seu treball. Així mateix, recorda que els recursos en qualsevol cas són propietat del Servei de Salut i, com a tals, han de ser utilitzats per a les labors pròpies del personal d’acord amb les funcions que té assignades.

D’altra banda, respecte a l’ús del correu electrònic i les agendes, el Codi de bones pràctiques determina que el correu electrònic i l’agenda proporcionats pel Servei de Salut són per fer-ne un ús professional, com a eines de feina que són. És necessari tenir l’autorització corresponent per a qualsevol ús particular, que ha de ser puntual i limitat en freqüència i durada. En cap cas l’ús autoritzat per a finalitats personals pot consistir en una activitat comercial o amb ànim de lucre ni pot ser inadequat o ofensiu.

Igualment, quant a l’ús del correu electrònic i l’agenda, el Codi de bones pràctiques determina expressament que el correu electrònic és un mitjà de comunicació interpersonal, no un mitjà de difusió massiva i indiscriminada d’informació. Per això, cal evitar qualsevol pràctica que pugui posar en risc el funcionament i el bon ús del sistema.

Així mateix, es considera expressament un ús inadequat del servei de correu electrònic i l’agenda el fet que s’emprin com a mitjà per propagar cartes encadenades o participar en esquemes piramidals o activitats similars, o per enviar missatges o informació de manera massiva, la qual cosa consumeix injustificadament recursos tecnològics.

Per tot això, no està permès emprar l’agenda ni el correu corporatius per difondre missatges amb aquestes finalitats.

 

3) Es poden emprar solucions d’emmagatzematge ofertes per serveis com DropBox, Mega i Google Drive?

Amb caràcter general, el Codi de bones pràctiques estableix que s’ha d’evitar emprar, instal·lar o distribuir programes fora dels estàndards i les recomanacions aprovats pel Servei de Salut, perquè poden comprometre la seguretat dels sistemes d’informació.

En particular, aquest tipus de solucions d’emmagatzematge no permeten aplicar les mesures de seguretat requerides per garantir la protecció de les dades ni complir les obligacions relatives a la comunicació de dades que requereixin el consentiment previ de la persona afectada.

Per això, l’Oficina de Seguretat no autoritza l’ús d’aquests serveis en l’àmbit professional perquè no ofereix garanties suficients de seguretat per al tractament de dades de caràcter personal, en particular les de nivell alt, protegides especialment.

 

4) Es pot emprar SharePoint com a repositori de documentació clínica?

Segons la LOPDGDD, el Servei de Salut té l’obligació d’implementar les mesures de seguretat establertes en l’ENS. Però SharePoint no té actualment les mesures de seguretat necessàries per garantir el nivell de seguretat requerit per al tractament de documentació clínica, perquè aquesta recull categories especials de dades. Per això, l’Oficina de Seguretat proposa aplicar determinats criteris per determinar si es pot utilitzar SharePoint per a determinades finalitats, en funció del tractament i la categorització de les dades.

S’entén per categories especials de dades les relatives a dades personals que revelin l’origen ètnic, les opinions polítiques, les conviccions religioses o filosòfiques, l’afiliació sindical, les dades genètiques i biomètrics dirigides a identificar de manera unívoca una persona física, les dades relatives a la salut i les dades relatives a la vida sexual o l’orientació sexual d’una persona física. Si les dades que s’han de tractar entren en aquesta definició, es recomana no emprar SharePoint per tractar-los.

 

5) Quines mesures s’han d’assegurar per enviar dades clíniques per mitjà del correu?

Segons la LOPDGDD, el Servei de Salut té l’obligació d’implementar les mesures de seguretat establertes en l’ENS per protegir els actius. Quant a la informació que contenguin tant el cos dels missatges dels correus electrònics com els arxius adjunts, ha d’estar protegida en totes les seves categories, independentment de quina sigui la dimensió de seguretat. Per això, el Codi de bones pràctiques estableix que, amb caràcter general, cal evitar enviar per correu electrònic informació que contengui dades personals de salut i que, si és estrictament necessari, han d’estar xifrades.

Segons el criteri tècnic de la Subdirecció General d’Inspecció de l’AEPD, manifestat en l’Informe 0494/2009, [traducció de l’original] «tant el xifrat que ofereixen els productes que generen arxius PDF o el realitzat per WinZip tenen vulnerabilitats conegudes i es disposa d’eines de lliure distribució que aprofiten aquestes vulnerabilitats. Més concretament, no només es poden obtenir en internet fàcilment utilitats que trenquen les proteccions dels arxius PDF o ZIP, sinó que el mateix algorisme en què descansa la xifra de documents PDF, l’algorisme RC4, és manifestament vulnerable. Tot i que per a l’ús particular es poguessin considerar adequades, no és així per a l’intercanvi d’informació amb les garanties que es precisen en el Reglament». L’Informe afegeix que [traducció de l’original] «aquesta garantia necessària per preservar la confidencialitat de les comunicacions no només descansa en el sistema de xifrat, sinó també en el sistema de gestió de claus, en particular».

Per aquests motius és preceptiu que l’intercanvi d’informació es dugui a terme fent servir certificats electrònics, de manera que sigui possible protegir la seguretat de la comunicació amb mecanismes de xifrat de clau pública basats en l’ús d’un parell de claus que permetin xifrar el contingut amb una d’aquestes —que queda en poder del propietari— i desxifrar el contingut amb l’altra i només amb aquesta.

 

6) Si un organisme (p. ex. un jutjat) sol·licita dades de categories especials d’un usuari del centre (dades de salut, etc.) per un mitjà de comunicació que es pot considerar insegur (fax, correu electrònic sense xifrar), s’ha de cursar-la sol·licitud?

Des de la perspectiva de la protecció de les dades, no s’ha d’emprar el fax per enviar documentació que contengui dades de categories especials. Per això, cal informar l’organisme sol·licitant que per enviar-la hi ha actualment altres vies, senzilles, igual de ràpides i més segures (correu electrònic xifrat).

 

7) Està permès emprar usuaris genèrics per accedir als sistemes d’informació?

Segons la LOPDGDD, el Servei de Salut té l’obligació d’implementar les mesures de seguretat establertes en l’ENS per protegir l’operació del sistema, una de les quals és el control d’accessos, que cobreix el conjunt d’activitats preparatòries i executives perquè una entitat determinada (usuari o procés) pugui (o no) accedir a un recurs del sistema. Quant a la identificació, s’estableix que cada entitat que accedeixi a un sistema ha de tenir un identificador singular i ha d’estar associada a un identificador únic. En aquest sentit, no s’admet crear usuaris genèrics, doncs cada usuari s’ha d’identificar de manera inequívoca i personalitzada.

 

8) En els llocs de guàrdia o en aquells on es facin proves mèdiques, es faci feina per torns o hi hagi equips en funcionament les 24 hores del dia per necessitats del servei, és possible compartir l’usuari del sistema d’informació per evitar sortir i entrar del sistema?

No es pot compartir l’usuari ni desvetlar la clau d’accés associada a cap empleat, company o una altra persona. Tampoc s’han d’emprar usuaris genèrics compartits. Per tant, cada empleat ha d’iniciar la sessió amb el seu usuari quan comença la seva jornada i tancar-la en acabar.

 

9) Es pot instal·lar iTunes, Spotify o qualsevol altre sistema no corporatiu en els equips de feina del Servei de Salut?

El Codi de bones pràctiques estableix que el Servei de Salut posa a la disposició del personal l’accés a determinats recursos informàtics que faciliten el desenvolupament del seu treball i recorda que aquests recursos són propietat del Servei de Salut; com a tals, han de ser utilitzats per a les labors pròpies del personal d’acord amb les funcions que tingui assignades.

D’altra banda, quant a l’ús dels recursos informàtics determina expressament que ha d’evitar-se usar equips o aplicacions que no estiguin especificats directament com a part del suport lògic o del suport físic estàndard del Servei de Salut, tret que es tingui autorització expressa i per escrit de la gerència.

 

10) Es pot configurar el compte de correu corporatiu per redirigir els missatges de correu electrònic a comptes personals?

Amb caràcter general, el Codi de bones pràctiques estableix que en cap cas les comunicacions durant les tasques professionals s’han d’enviar des de comptes de correu electrònic personals ofertes per proveïdors d’internet. Tampoc està permès en cap cas redirigir a comptes particulars missatges de correu electrònic de caràcter professional rebuts en el compte proporcionat pel Servei de Salut. Per tant, s’ha de restringir la configuració dels comptes d’usuari per redirigir els missatges de correu electrònic a altres comptes personals (o professionals), però alienes al compte corporatiu proporcionat pel Servei de Salut.

 

11) Quin protocol ha de seguir cada gerència per a la gestió dels ordinadors dels usuaris quant a l’ús dels recursos informàtics del Servei de Salut?

  1. Enviar una nota interna per informar sobre la prohibició d’emmagatzemar arxius d’àudios, vídeo i imatge en les unitats de xarxa per a ús personal i sobre l’advertiment que aquests arxius s’esborraran en una data determinada.
  2. Uns dies abans de la data prevista per esborrar-los, s’ha d’enviar un recordatori.
  3. En la data en qüestió, s’ha de fer una còpia de seguretat de les dades i posteriorment esborrar tots els arxius excepte aquells que els usuaris hagin demanat expressament que es conservin.

 

12) Es pot modificar la configuració de l’equip d’usuari?

El Codi de bones pràctiques estableix que el Servei de Salut és el responsable de determinar les normes, les condicions i les responsabilitats oportunes per protegir els recursos informàtics.

Per no comprometre les mesures de seguretat establertes pel Servei de Salut, els usuaris han d’evitar emprar equips o aplicacions que no estiguin especificats directament com a part del suport lògic o del suport físic estàndard del Servei de Salut. En cap cas es pot modificar la configuració establerta dels recursos. Per tant, cal evitar emprar, instal·lar o distribuir programes fora de les recomanacions i dels estàndards aprovats pel Servei de Salut, ja que poden comprometre la seguretat dels sistemes d’informació.

Si és necessari instal·lar programes aliens a l’estàndard establert, cal demanar autorització al responsable del servei, tot i que és necessària la valoració prèvia del servei d’informàtica.

La instal·lació de programes informàtics ha de ser sempre a càrrec del servei d’informàtica corresponent o ha de ser monitorada per aquest a fi d’assegurar que es compleixen les mesures de seguretat requerides i que es compta amb les garanties de suport oportunes. 

Amb l’objectiu de mantenir uns nivells adequats de protecció de la informació i dels recursos informàtics, el Servei de Salut ha desenvolupat les pautes necessàries per mantenir les mesures de seguretat que garanteixin que es compleix la normativa vigent en la prestació dels serveis sanitaris.

 

13) Es pot facilitar una còpia de la bústia de correu i dels documents d’un usuari que està actiu en l’organització?

Sempre que l’usuari estigui actiu i tingui l’autorització de la direcció, es pot facilitar la còpia sol·licitada. En canvi, si l’usuari no està actiu s’ha de denegar la petició, ja que el Codi de bones pràctiques estableix que quan un usuari finalitza la relació o vinculació amb el Servei de Salut deixa de tenir accés als seus sistemes d’informació i a les dades que contenen. Així mateix, ha de retornar qualsevol suport que contingui dades a què hagi tingut accés en el marc de la vinculació o relació amb el Servei de Salut.

 

14) Quines restriccions s’estableixen quant a la navegació i l’ús d’internet?

El Codi de bones pràctiques estableix que, per motius de seguretat i de rendiment de la xarxa del Servei de Salut, els serveis informàtics poden monitorar i limitar l’ús d’internet . A més, el sistema que proporciona el servei de navegació pot disposar filtres d’accés que bloquegin l’accés a webs amb continguts inadequats, programes lúdics de descàrrega massiva o pàgines potencialment insegures o que contenguin virus o codis malignes.

Per aquest motiu, tenint en compte la necessitat d’optimitzar els recursos disponibles, el volum del tràfic de dades i els riscos de seguretat associats a l’ús d’internet, s’han establert certes restriccions en la navegació per internet, per motius de seguretat i de qualitat del servei i per complir en tot moment els requisits que estableix la legislació vigent, i de conformitat amb l’article 23 de l’ENS.

En conseqüència, aquestes restriccions s’han de mantenir, però si es requereix accedir a determinades pàgines web per motius professionals, es pot establir un sistema de peticions per sol·licitar accés a aquestes pàgines per revisar-les des del punt de vista dels riscs de seguretat i, si escau, habilitar-hi l’accés.

 

15) Es pot enviar per correu electrònic informació que contingui informació sensible o dades de caràcter personal?

L’Oficina de Seguretat recomana que no s’enviïn dades de salut per correu electrònic; en tot cas, seria necessari xifrar els correus; a més, es corre el risc que es guardi informació de categories especials de dades en els correus.

Es recomana enviar per correu una URL en què estiguin allotjades les dades i que el sistema en què s’emmagatzemin no sigui públic i només hi tenguin accés les persones que ho requereixin per exercir les seves funcions.

 

16) Es pot emprar Whatsapp, Telegram, etc. per enviar informació sensible que contengui dades de caràcter personal?

L’Oficina de Seguretat desaconsella emprar el servei de Whatsapp o altres aplicacions de missatgeria per a usos professionals, perquè no ofereixen garanties de seguretat suficients per al tractament de dades personals, en particular les dades considerades categories especials de dades.

 

17) Puc emprar una xarxa wifi pública que no sigui del Servei de Salut per fer feina?

L’Oficina de Seguretat ha decidit que de cap manera es pot emprar una xarxa wifi pública per fer feina, perquè qualsevol persona no autoritzada podria capturar informació sensible, atès que no és una xarxa segura.

 

18) És segur emprar els serveis d’Office 365 per introduir en els formularis els números d’història clínica?

L’entorn d’Office 365 està totalment protegit, però hem de reforçar el missatge que les eines ofimàtiques no són aplicacions de gestió d’històries clíniques, per la qual cosa no s’han d’utilitzar amb aquesta finalitat. Així mateix, hem de recordar que la Llei d’autonomia de pacients estableix que la història clínica ha de ser única, per la qual cosa no pot estar separada en carpetes personals, cosa que dificultaria salvaguardar els drets dels interessats, entre altres aspectes.

 

2. Mesures de seguretat

1) Quines mesures de seguretat cal establir per identificar i autenticar pacients per mitjà d’internet?

En el marc de les administracions públiques cal tenir en compte allò que preveu la Llei 39/2015 pel que fa a la identificació i la signatura dels interessats en el procediment administratiu. Es poden identificar electrònicament per aquests mitjans:

  1. Sistemes basats en certificats electrònics reconeguts o qualificats de signatura electrònica expedits per prestadors inclosos en la llista de confiança de prestadors de serveis de certificació.
  2. Sistemes basats en certificats electrònics reconeguts o qualificats de segell electrònic expedits per prestadors inclosos en la llista de confiança de prestadors de serveis de certificació.
  3. Sistemes de clau concertada i qualsevol altre sistema que les administracions públiques considerin vàlid, en els termes i les condicions que s’estableixin.

Els interessats poden signar electrònicament per aquests mitjans:

  1. Sistemes de signatura electrònica reconeguda o qualificada i avançada basats en certificats electrònics reconeguts o qualificats de signatura electrònica expedits per prestadors inclosos en la llista de confiança de prestadors de serveis de certificació.
  2. Sistemes de segell electrònic reconegut o qualificat i de segell electrònic avançat basats en certificats electrònics reconeguts o qualificats de segell electrònic inclosos en la llista de confiança de prestadors de serveis de certificació.
  3. Qualsevol altre sistema que les administracions públiques considerin vàlid, en els termes i les condicions que s’estableixin.

De conformitat amb la LOPDGDD, el Servei de Salut, com a organisme públic, té l’obligació d’implementar les mesures de seguretat establertes en l’ENS. Per això cal adoptar les mesures de seguretat que garanteixin la protecció de les dades en la identificació i autenticació dels usuaris, de conformitat amb el marc normatiu aplicable.

 

2) Quines previsions cal adoptar per registrar dades d’imatges de pacients?

En primer lloc, cal determinar la finalitat del tractament de les imatges en el moment en que hom faciliti informació al pacient perquè pugui decidir si vol signar el document de consentiment informat:

  1. Si la finalitat és assistencial, de diagnòstic o tractament, estaria coberta per la finalitat del tractament «Historia clínica».
  2. Si la finalitat del registre d’aquestes imatges és la recerca, estudis, etc., entraria en la finalitat del tractament «Recerca sanitària».

D’altra banda, pel que fa a l’aplicació de mesures de seguretat, d’acord amb la disposició addicional primera de la LOPDGDD, en els tractaments de dades cal implementar les mesures de seguretat establertes en l’ENS.

 

3) Quines mesures de seguretat cal adoptar per destruir documentació d’una manera segura?

Per garantir que la documentació es destrueix de manera segura cal atendre les instruccions i les mesures establertes en el document Procedimiento de destrucción de documentos y soportes con datos personales del Servicio de Salud de las Islas Baleares, en el qual es descriuen les mesures tècniques i organitzatives per garantir la destrucció correcta dels documents i dels suports d’informació.

Així mateix, la legislació que regula la destrucció de documentació en aspectes relacionats amb la seguretat de la informació indica, d’una banda, que la documentació amb dades de caràcter personal s’ha de destruir adoptant mesures dirigides a evitar que es pugui recuperar posteriorment i, d’altra banda, la documentació afectada per l’ENS ha de ser destruïda de manera segura.

D’altra banda, si es contractàs una empresa especialitzada, aquesta tindria la consideració d’encarregat de tractament, per la qual cosa caldria complir allò que la legislació de protecció de dades estipula, igual que altres empreses que tracten dades de caràcter personal per compte del Servei de Salut.

Per establir un procediment de destrucció de documentació cal exigir que la destrucció compleixi la norma espanyola UNE-EN-15713:2010 («Destrucció segura del material confidencial. Codi de bones pràctiques»), que regula tots els aspectes recomanables perquè el procediment es faci de manera segura, entre d’altres, els següents:

  • Mesures que han de complir les dependències.
  • Mesures que han de complir els empleats.
  • Com s’ha de recollir, custodiar i transportar la documentació.
  • Què s’ha de fer amb el material resultant una vegada destruïda la documentació.

En relació amb la mida dels residus resultants de la destrucció, cal exigir que la destrucció es faci seguint la normativa DIN/CEN 32757, d’àmbit internacional, que estipula quina ha de ser la mida dels trossos de paper depenent de la confidencialitat de la documentació. Tenint en compte que la documentació pot contenir dades de caràcter personal, cal exigir que es compleixi com a mínim el nivell de seguretat núm. 3, indicat en la normativa esmentada. Finalment, cal certificar la destrucció segura de la documentació.

 

4) Quina és la política sobre l’accés del personal sanitari a aplicacions clíniques des de ca seva?

Amb caràcter general, no es permet que accedeixin a aplicacions clíniques des de fora de les instal·lacions si l’accés no està justificat correctament. Aquesta habilitació ha d’estar condicionada per una necessitat funcional i assistencial que justifiqui l’accés de determinats professionals.

En aquest punt és important ressaltar l’obligació de control d’accés, que estableix que els usuaris tindran accés als recursos que necessitin per acomplir les seves funcions. Pot arribar a ser necessari habilitar l’accés a professionals que facin feina des de fora de les instal·lacions o estiguin de guàrdia, però aquests permisos s’han de revocar o negar sempre que no es doni alguna d’aquestes dues condicions.

Habilitar la possibilitat que els professionals es connectin des de l’exterior de la xarxa del Servei de Salut augmenta els riscs per a la seguretat i per a la confidencialitat i, en conseqüència, incrementa les mesures de seguretat que cal aplicar, que no són només tècniques sinó també organitzatives.

Per això, com a norma general no s’aconsella concedir permisos per accedir a aplicacions clíniques des de l’exterior de la xarxa del Servei de Salut. Així doncs, aquests permisos s’han de donar exclusivament basant-se en necessitats i durant el temps que durin aquestes necessitats.

 

5) Quines recomanacions cal seguir per comunicar dades per mitjans telemàtics fora de la xarxa del Servei de Salut?

De conformitat amb la LOPDGDD, el Servei de Salut, com a organisme públic, té l’obligació d’implementar les mesures de seguretat establertes en l’ENS, que són les següents quant a la protecció de les comunicacions:

  • Emprar xarxes privades virtuals quan la comunicació discorri per xarxes fora del domini de seguretat.
  • Emprar algorismes acreditats pel Centre Criptològic Nacional, ja sigui per mitjà del xifrat simètric, protocols d’acord de clau, algorismes asimètrics o funcions resum.

 

6) Quines recomanacions cal seguir per crear una contrasenya segura?

En el procés de generar i gestionar contrasenyes, cal tenir en consideració les regles següents:

  • Han de tenir una longitud de vuit caràcters o més.
  • Han de consistir en una combinació de caràcters alfanumèrics (lletres majúscules i minúscules, dígits numèrics i signes especials).
  • No convé que tenguin caràcters idèntics consecutius.
  • Idealment, la contrasenya no ha de ser igual a cap de les tres darreres contrasenyes emprades.
  • La contrasenya s’ha de canviar periòdicament, cada tres mesos.
  • No han d’estar basades en dades que algú altre pugui endevinar o obtenir fàcilment.
  • Han de ser fàcils de recordar. Per tant, cal trobar una solució de compromís entre la robustesa de la contrasenya i la facilitat de recordar-la.
  • Cal evitar comunicar les contrasenyes per escrit.
  • És especialment important mantenir el caràcter secret de la contrasenya.
  • És recomanable emprar sistemes de gestió de contrasenyes.

 

3. Altres preguntes

1) Es poden considerar segurs els mitjans electrònics?

Sí, perquè estan regulats per la Llei 39/2015, d’1 d’octubre, del procediment administratiu comú de les administracions públiques, i la Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic.