Blog

Juan Miguel SignesJuan Miguel Signes

Trabajo en la Generalitat como responsable de seguridad de la información en la Conselleria de Sanidad universal y Salud Pública, vengo a contaros una interesante experiencia de colaboración entre 4 asociaciones de profesionales cuya actividad interesa, o se desarrolla,  alrededor de las llamadas tecnologías de la información sanitaria, del gobierno de las tecnologías de la información,  estas asociaciones son ISACA, AVISA, APEP y la SEIS.

La experiencia, comenzó hace poco más de un año,  cuando alrededor de 1 centenar de profesionales, en su mayoría miembros de estas asociaciones,  nos reunimos en Valencia para debatir durante una tarde sobre las tensiones sobre funcionalidad, seguridad y privacidad en el ámbito de las tecnologías de la información sanitarias.

El motivo de la reunión era poner de manifiesto dichas tensiones, los conflictos que generaban,  e intentar buscar algún tipo de solución a todo ello.

¿Qué tensiones son esas y de donde surgen?

Últimamente el mundo se mueve muy rápido, seguro que lo han notado, no hay ningún sector, ni ninguna actividad,  que no se haya visto afectada por esta revolución tecnológica propiciada por las tecnologías de la información y las comunicaciones, el sector sanitario, desde luego,  no constituye una excepción, en este contexto la presión por sacar cuanto antes al mercado un nuevo producto, un nuevo servicio,  es enorme y, a menudo,  esas prisas tienen un precio y es que los productos y servicios dejan bastante que desear en lo que respecta a seguridad y protección de la privacidad.

Las consecuencias de estas carencias las pagamos los usuarios, los sufridos y, a menudo,  indefensos usuarios me atrevería a decir, puestos a buscar responsables son quienes desarrollan y están detrás de esos productos y servicios,  desde luego tienen su parte de responsabilidad, pero, no es menos cierto,  que quienes encargan y contratan estos servicios y productos, imponiendo plazos imposibles,  primando la funcionalidad sin valorar suficientemente la seguridad y la privacidad, también tienen una parte importante de responsabilidad en la calidad de lo que finalmente se pone a disposición de los usuarios.

En el sector sanitario, esto es incluso más grave,  que en otros sectores puesto que la salud e integridad física de un paciente depende en cierta medida de la integridad y disponibilidad de la información clínica para los profesionales que le atienden, por alguna razón,  tenemos asumidos que la tecnologías de la información de vez en cuando fallan y parece que nos hayamos resignado a que eso sea así,  renunciando a exigir unos niveles de calidad y seguridad comparables a los que exigimos, por ejemplo,  al equipamiento médico que se usa para diagnóstico y tratamiento, muchas veces las exigencias de seguridad o privacidad se contemplan como un freno o un obstáculo, un impedimento para el avance.

¿El avance hacia qué y hacia dónde y a costa de qué precio? El avance hacia aplicaciones y servicios que son estupendos aunque un tanto temperamentales o aplicaciones que son estupendas si dejamos de lado cualquier expectativa de intimidad o privacidad.

Cuando hablamos de seguridad estamos hablando de confianza:

  • confianza en que las cosas son lo que parecen,
  • confianza en que la información no se va a descomponer ni desintegrar ni mezclar con datos que no correspondan a la integridad,
  • confianza en que solo las personas autorizadas tendrán acceso a la información y en las circunstancias en que estén legitimadas,
  • confianza en que la información estará disponible para quienes la tengan que usarla en el momento en el que la necesiten, disponibilidad. Es difícil exagerar la importancia de esto en el sector sanitario cuando un médico atiende a un paciente y por ultimo
  • confianza en la trazabilidad de las actuaciones.

La transparencia obliga a registrar quien accede a la información, cuando y para qué, así los profesionales que nos reunimos aquella tarde de Octubre de 2014 en Valencia mostramos nuestro acuerdo con esa visión de la seguridad y la privacidad como freno para el desarrollo y apostamos por incluir y reclamar las exigencias de seguridad y privacidad desde el primer momento de desarrollo, o del encargo de las nuevas aplicaciones y servicios,  y una de las maneras de hacer patente nuestra visión de esas cosas era redactar una especie de manifiesto en el que exponer nuestras razones desde los puntos de vista que nos abrían llevado a esa conclusión, el manifiesto seria debatido internamente,  en cada una de esas asociaciones y, el texto consensuado,  se sometería a la innovación de las mismas operacionalmente en un acto conjunto proceder a la firma protocolaria del manifiesto por parte de los representantes de las 4 asociaciones.

Ese acto de firma tendrá lugar el próximo Martes 17 de Noviembre de la Facultad de Medicina dentro de la interesante jornada que Javier Peris Director del Master en Gobierno TI,  y el resto de participantes del programa están anunciando.

El manifiesto es un texto que implica a los miembros de las 4 asociaciones y que se ofrece a otras entidades administraciones, colectivos, tanto clientes como proveedores para que declaren públicamente su adhesión al mismo. Una pregunta interesante que flota en el aire cuando se presenta el manifiesto, es algo así como si no nos parece que esto nos parece algo presuntuoso,  o si esperamos que el manifiesto cambie algunas cosas y la verdad es que si, algo esperamos que cambie.

Todos tenemos la obligación de hacer de este mundo un lugar mejor para vivir y en la pequeña parcela de mundo donde tenemos alguna influencia o capacidad de actuación no tenemos otra que ejercerla, además pensar que quizás con esto ponemos un poco más lejos las distopias y futuros indeseables que algunos autores han descrito también el tipo 1964 de Orwell y otras pues hasta resulta divertido.

Os voy a leer algunos extractos del manifiesto para que tengáis una idea del tono y del contenido del mismo.

Manifiesto de Valencia sobre Privacidad y Seguridad de los Sistemas de Información Sanitarios: Las organizaciones abajo firmantes todas ellas sin ánimo de lucro y representantes de varios colectivos de profesionales y actividad interesa que desarrollan en el sector sanitario, conocedoras de la importancia de las tecnologías de la información en las comunicaciones para la sostenibilidad y la calidad de la asistencia sanitaria del carácter especialmente sensible de los datos relativos a la salud de las personas, de la necesidad de establecer controles que sustenten la confianza en las actuaciones de los profesionales y entidades involucradas y del deber de rendir cuentas por esas actuaciones con objeto de contribuir a crear confianza en los sistemas de información y los profesionales que se ocupan de ellos manifiestan lo siguiente.

  1. Que el enorme potencial de la tecnología ha de aprovecharse sin mermar derechos reconocidos ni introducir ni incrementar vulnerabilidades de las que nadie se hace responsable.
  2. Que la privacidad y la seguridad son una necesidad, un deber y una exigencia legal.
  3. La privacidad y la seguridad dependen de todos los miembros de una organización, desde directivos hasta personal subalterno o de servicio.
  4. Que la seguridad y el buen gobierno son condiciones inseparables.
  5. Que la privacidad y la seguridad son necesarias para generar confianza.
  6. Que la seguridad es un motor para mejorar las organizaciones ya que les exige alcanzar un nivel de madurez alto en el desempeño de sus funciones
  7. Que los sistemas de información deben hacer públicas sus funciones y ceñirse a ellas sin puertas traseras ni intenciones ocultas.
  8. Que ninguna entidad ni parte de ella, se bastan a sí mismas para hacer frente a todos los retos que plantea la seguridad, por lo que la colaboración con otros agentes es una necesidad y no un enigma y por tanto las asociaciones se comprometen a actuar conforme a estos principios a promover su cumplimiento, exigirlos cuando corresponda y darles la oportuna publicidad e invitan a otras entidades a hacer lo mismo declarando su adhesión a este manifiesto.

Deja tu comentario

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>