Titulo:Seguridad,InformacinySalud.

Autores:
Lic.MaraVidalLedo*,Lic.GonzaloGarcaPierrot**,Tec.GuillermoCazes***
*Lic.CibernticaMatemtica.Prof.Auxiliar,ISCMLH/CECAMyENSAP,email:
mvidal@infomed.sld.cu
**Lic.CibernticaMatemtica.Resp.SeguridadInformtica.ACERPROT.
***EspecialistaenAnlisisdeSistema.CentrodeDesarrolloInformticodeSaludPblica.
CeDiSap.
ndicegeneral
Resumen.
Introduccin.
Recomendacin.
Bibliografa.
Resumen
DadalacomplejidaddelSistemadeSaludCubanoylaestrategiadeInformatizacinqueelSector
estllevandoacabolaactividaddeSeguridadInformticaseplanteacomounobjetivoprincipal,
teniendoencuentaquecadadatoaprotegernoessimplementeundatoestadsticoouna
anotacin,esunpacientereflejadoenunsistemainformtico.
EltrabajodefinecomoelementosfundamentalesdelaSeguridadInformticaenlaSaludla
confidencialidad,integridadydisponibilidaddelosdatosqueunidolaautenticidadyotrosle
concedenunaimportanciaprimordialdebidoalainformacinaltamentesensiblequeseprocesa
desdeelpuntodevistadelpaciente,latomadedecisionesencuntoaldiagnsticoyseguimiento
delosprocesosyactividadesdelasalud,queconformanlosSistemasdeInformacinenSalud,
tantoclnicoscomodedireccinoperacional.Enelmismoseconceptualizacadaunodeestos
elementos,supapelenlosprocesosdelaSaludylosaspectosatenerencuentaensuseguridad.
SeenfatizalaimportanciadelapolticadeSeguridadInstitucionalyalgunasdesusreglasbsicas
queconstituyeunapremisaparaelaborarelPlandeSeguridadyContingenciasInformticas,ylos
elementosqueintervienen.Finalmentesebrindanunconjuntoderecomendacionesprcticasque
siempredebenestarpresentesysealertaque"Noexisteningnsistemacompletamenteseguro",
porloquehayquedefinirunplandecontingenciaparacuandofalleelsistema,noporsifallael
sistema,profundizndoseenloselementosparaunaprontarecuperacinencasodefallo.
Finalmenteseabogaporlograrunaculturadeseguridadenlostrabajadoresdelasaludqueintegre
asuconductacotidiana,elcumplimientodepolticainstitucionalylasmedidasdelPlande
Seguridaddemaneratilyfuncional,locualequivaleagarantizarla"salud"delosdatosque
constituyenla"vida"delSistemaNacionaldeSalud.

Introduccin
EnlaactividaddeSeguridadInformticaenlaSalud,elprincipalobjetivoestomarconcienciacon
respectoaquecadadatoaprotegernoessimplementeundatoestadsticoounaanotacin,esun
pacientereflejadoenunsistemainformticoconelobjetivodeque,apoyndoseenlasnuevas
Tecnologas,suestudioycuracinseanmasrpidosyseguros.Esporelloimportantedefinirla
polticaquehadeseguircadainstitucin,losprincipiosquelarigen,elanlisisygestinderiesgos
quedebemostrabajarylasmedidasquedebenprevalecerencadalugardondeexistaunequipoen
funcindelasaluddenuestrospas,yaquelospropsitospuedensermltiplesperocadaunose
entrelazaenunamismafuncin.

Aunquepuedaparecerestosimple,lacomplejidaddenuestroSistemadeSaluddadassus
caractersticasdeuniversalidad,cobertura,gratuidadyaccesibilidad,permitenqueunciudadanose
atiendapordiferentesinstitucionesenfuncindesusalud,yaseaenelConsultorio,Policlnico,
Hospital,ClnicaEstomatolgica,Farmacia,uotrotipodeinstitucinenelcualgenerainformacin
queseintegraalosdiferentesSistemasdeInformacinenSalud,paralatomadedecisinclnicao
paraelprocesodedireccinensaludenlosdiferentesniveles.
EldesarrolloalcanzadoenlaaplicacindeequiposInteligentesoporestadoscomparativosde
diagnstico,convariablescomotensinarterial,parmetroscirculatorios,pruebasHemodinmicas
yotrasarrojanunresultadoobjetivodelestadodesaluddelpacientequepermiteestablecerun
diagnstico,seguirsuevolucinytrazareltratamientoencadacasoascomorealizarestudios
sobreeldiagnsticodesaluddelapoblacin.Esporellonecesariolatomadeconcienciaporparte
denuestrosprofesionales,tcnicosytrabajadoresengeneral,sobreelcuidadoyprocesodeestos
datos,sobretodocuandoeltratamientoeselectrnico.
SeguridadInformtica.
Noexisteunadefinicinestrictadeloqueseentiendeporseguridadinformtica,puestoquesta
abarcamltiplesymuydiversasreasrelacionadasconlosSistemasdeInformacin.reasque
vandesdelaproteccinfsicadelordenadorcomocomponenteshardware,desuentorno,hastala
proteccindelainformacinquecontieneodelasredesquelocomunicanconelexterior.
Tampocoesnicoelobjetivodelaseguridad.Sonmuydiversoslostiposdeamenazascontralos
quedebemosprotegernos.Desdeamenazasfsicas,comoloscorteselctricos,hastaerroresno
intencionadosdelosusuarios,pasandoporlosvirusinformticosoelrobo,destruccino
modificacindelainformacin.
Noobstanteshaytresaspectosfundamentalesquedefinenlaseguridadinformtica:
Confidencialidad.
Integridad.
Disponibilidad.
Enlasaludlaimportanciadeestostresfactoresesprimordialeinclusoentranenjuegootros
elementoscomolaautenticidadoelnorepudio,dadalainformacinaltamentesensiblequese
procesa,desdeelpuntodevistaindividualencuantoalpaciente,comoparalatomadedecisiones
encuntoaldiagnsticoyseguimientodelosprocesosyactividadesdelasalud,conformandolos
SistemasdeInformacinenSalud,tantoclnicoscomodedireccinoperacional.
ExisteunconsensoyconcienciageneralsobrelaimportanciadelaSeguridaddelosSistemasde
Informacin(SSI).LosSSIestnrelacionadosconladisponibilidad,confidencialidadeintegridadde
lainformacintratadaporlosordenadoresylasredesdecomunicacin.Independientementedel
trminoqueseuse,seguridaddelainformacin,seguridaddelosordenadores,seguridaddedatos
oproteccindelainformacinloscuales,enesencia,tienenelmismosignificado,estaactividad
merecelamayorprioridadporpartedetodoslosinvolucrados.
PodramosconsiderarqueunSistemaInformticoessegurosipodemoscontarconquesu
hardwareysusoftwaresecomportencomoseesperadeellos.
Confidencialidad
Seentiendeporconfidencialidadelserviciodeseguridad,ocondicin,queaseguraquela
informacinnopuedaestardisponibleoserdescubiertaporoparapersonas,entidadesoprocesos
noautorizados.
Laconfidencialidad,avecesdenominadasecretooprivacidad,serefierealacapacidaddelsistema
paraevitarquepersonasnoautorizadaspuedanaccederalainformacinalmacenadaenl.
Enlasalud,lasnormasticas,tcnicasydeprocesosaseguranquelosusuariospuedenacceder
soloalainformacinasistencialquelesestpermitidaenbaseasuniveldeautoridadojerarqua,
normalmenteimpuestaspordisposicioneslegales,administrativasodelservicioquebrinda.
Enentornosdeadministrativosodireccin,laconfidencialidadaseguralaproteccinenbasea
disposicioneslegalesocriteriosestratgicosdeinformacinprivada,talcomodatosdelasnminas
delosempleados,documentosinternossobreestrategias,situacionesinusualesenelestadode
saluddelapoblacin,quesonrequeridosenlatomadedecisiones.
Algunosdelosmecanismosutilizadosparasalvaguardarlaconfidencialidaddelosdatosson,por
ejemplo:
Elusodetcnicasdecontroldeaccesoalossistemas.
Elcifradodelainformacinconfidencialodelascomunicaciones.
Integridad
Seentiendeporintegridadelserviciodeseguridadquegarantizaquelainformacinesmodificada,
incluyendosucreacinyborrado,sloporelpersonalautorizado.
Suelenintegrarsevariosconceptosanlogosenestesegundoaspectodelaseguridad:
precisin(accuracy)
integridad(integrity)
autenticidad(auntenticity).
Elconceptodeintegridadsignificaqueelsistemanodebemodificarocorromperlainformacinque
almacene,opermitirquealguiennoautorizadolohaga.

Estapropiedadpermiteasegurarquenosehafalseadolainformacin.Porejemplo,quelosdatos
recibidosorecuperadossonexactamentelosquefueronenviadosoalmacenados,sinquesehaya
producidoningunamodificacin,adicinoborrado.
Dehechoelproblemadelaintegridadnosloserefiereamodificacionesintencionadas,sino
tambinacambiosaccidentalesonointencionados.
Enelmbitodelasredesylascomunicaciones,unaspectoovariantedelaintegridadesla
autenticidad.Setratadeproporcionarlosmediosparaverificarqueelorigendelosdatosesel
correcto,quinlosenviycundofueronenviadosyrecibidos.
Enlosprocesosdesaludnormalmenteesmuyimportantemantenerlaintegridadyprecisindelos
datosyaquedeacuerdoaellosseacta,yaseaenlatomadedecisinmdicopaciente,como
enlatomadedecisindedireccindelSistema,encuantoalosprocesosinvolucradosenlasalud
ycalidaddevidadelapoblacin.
Enelcampodelacriptografahaydiversosmtodosparamantener/asegurarlaautenticidaddelos
mensajesylaprecisindelosdatosrecibidos.Seusanparaellocdigos/firmasaadidosalos
mensajesenorigenyrecalculadas/comprobadaseneldestino.Estemtodopuedeasegurarno
slolaintegridaddelosdatos(loenviadoesigualalorecibido),sinolaautenticidaddelamisma
(quinloenvaesquiendicequees).
Disponibilidad
Seentiendepordisponibilidad
Elgradoenqueundatoestenellugar,momentoyformaenqueesrequeridoporelusuario
autorizado.
LasituacinqueseproducecuandosepuedeaccederaunSistemaInformticoenunperiodode
tiempoconsideradoaceptable.
Unsistemasegurodebemantenerlainformacindisponibleparalosusuarios.Disponibilidad
significaqueelsistema,tantohardwarecomosoftware,semantienenfuncionandoeficientementey
queescapazderecuperarserpidamenteencasodefallo.
Loopuestoadisponibilidad,yunodelosposiblesmtodosdeataqueaunsistemainformtico,se
denomina"denegacindeservicio"(denialofservice).Unadenegacindeserviciosignificaquelos
usuariosnopuedenobtenerdelsistemalosrecursosdeseados:
ElordenadorpuedeestarestropeadoohaberunacadadelSistemaOperativo.
Nohaysuficientememoriaparaejecutarlosprogramas.
Losdiscos,cintasoimpresorasnoestndisponiblesoestnllenos.
Nosepuedeaccederalainformacin.
Dehecho,muchosataques,comoelfamosocasodelgusanode1988,nobuscabanborrar,robar,
omodificarlainformacin,sinobloquearelsistemacreandonuevosprocesosquesaturaban
recursos,locualesmuypeligrosoenelcasodelasalud,sobretodoenlasreasdeatencina
pacientes.
Estosprincipiosdebenformarpartedelapolticadeseguridaddelainstitucin.
PolticadeSeguridadInstitucional
Lapolticasereflejaenunaseriedenormas,reglamentosyprotocolosaseguir,dondesedefinen

lasdistintasmedidasatomarparaprotegerlaseguridaddelsistema,lasfuncionesy
responsabilidadesdelosdistintoscomponentesdelaorganizacinylosmecanismosparacontrolar
sucorrectofuncionamiento.
Sonlosdirectivos,juntoconlosexpertosentecnologasdelainformacin,quienesdebendefinir
losrequisitosdeseguridad,identificandoypriorizandolaimportanciadelosdistintoselementosde
laactividadrealizada,conlocuallosprocesosmsimportantesrecibirnlaproteccinadecuada.
Laseguridaddebeconsiderarsecomopartedelacultura,ticayprocedimientoshabituales,no
comoalgoextraqueseaadealalaborcotidiana.
ElcompromisodelaDireccinconlaSeguridaddelosSistemasdeInformacindebetomarla
formadeunapolticadeseguridadformalmenteacordadaydocumentada.Dichapolticatieneque
serconsistenteconlasprcticasdeseguridaddetodaslasreas,puestoquemuchasamenazas
(incendio,inundacin)soncomunesaotrasactividadesdelaorganizacin.
Algunasreglasbsicasalahoradeestablecerunapolticadeseguridad.
Todapolticadeseguridaddebeserholstica,esdecir,debecubrirtodoslosaspectos
relacionadosconelsistema.
Debeprotegerelsistemaentodoslosniveles:fsico,humano,lgicoylogstico.
Debetenerencuentanoslolosdistintoscomponentesdelsistema,talescomoelhardware,
software,entornofsicoyusuarios,sinotambinlainteraccinentrelosmismos.
Debetenerencuentaelentornodelsistema,estoes,eltipodeentidadysusinterrelacionescon
otras(Policlnico,Hospital,Farmacia,...).
Lapolticadeseguridaddebeadecuarseanuestrasnecesidadesyrecursos,elvalorqueseleda
alosrecursosyalainformacin,elusoquesehacedelsistemaentodoslosdepartamentos.
Debenevaluarselosriesgos,elvalordelsistemaprotegidoyelcostedeatacarlo.Lasmedidasde
seguridadtomadasdebenserproporcionalesaestosvalores.
Todapolticadeseguridaddebebasarsefundamentalmenteenelsentidocomn.Esnecesario:
Elconocimientodelsistemaaprotegerydesuentorno.
Elconocimientoyexperienciaenlaevaluacinderiesgosyelestablecimientodemedidasde

seguridad.
Elconocimientodelanaturalezahumana,delosusuariosydesusposiblesmotivaciones.
Unavezconformadalapolticainstitucional,elaborarelPlandeSeguridadyContingencias
Informticas,basadoenlaidentificacinyanlisisderiesgos,encuntoalavulnerabilidadenlos
puntosoaspectosquehacenalSistemaInformticosusceptibledeseratacado,quenosonmas
quelasdebilidadesoaspectosfaliblesoatacablesenelsistemainformtico.Lasamenazas
precisadasencuntoalosposiblesataquesdepersonas,programasmalignos,sucesosnaturales
odeotrandoleylasmedidastcnicasdeproteccinfrentealasamenazasidentificadas.
Laseguridadinformticaseencargadelaidentificacindelasvulnerabilidadesdelsistemaydel
establecimientodecontramedidasqueevitenquelasdistintasamenazasposiblesexplotendichas
vulnerabilidades.
EnCubaexisteunametodologamuycompletaparalaelaboracindelPlandeSeguridad
Informtica,demaneraquepuedeaplicarseentodaslasInstitucionesyServiciosinformatizados.
Sinembargo,dadalaimportanciadeltemadeseguridadenlainformacin,ancuandonoest
informatizadoelproceso,serecomiendarealizarelanlisisderiesgosenaquelloslugarescomo
ArchivosdeHistoriasClnicas,Imagenologa,Bibliotecayotros,dondesearchivaycustodia
informacinsensibleyqueamedianoolargoplazodebeserobjetodeatencinenelprocesode
InformatizacindelSector.
Unamximadelaseguridadinformticaesque:"Noexisteningnsistemacompletamenteseguro".
Existensistemasmsomenossegurosymsomenosvulnerables,perolaseguridadnuncaes
absoluta.Esporelloqueinsistimosenunconjuntodeaspectosimportantesquesiempredeben
estarpresentes.

Recomendacin
1Elpersonalquetieneasignadounequipodebemantenerestecontodaslascondicionesquese
establecenenelplandeseguridad,quesonlasmaselementales:lospasswordenelSetup,Red,y
Refrescantedepantalla,comomedidapreventivaestasclavesdebenestarensobreselladoenla
direccin,yaqueantecualquiersituacinespecialodecontingencia,sepuedahacerusodel
equipo,lafuncindelaactividaddeSalud.
2MantenerytenerinstaladounAntivirusdeacuerdoaloslineamentosonormasestablecidas,
siendolomasimportantetenerconstantementelaactualizacindadoquepuedenrecibirseataques
quepersiguenafectarlasaluddelaspersonas,laeconoma,lasinvestigaciones,latomade
decisinolosserviciosengeneral,yaqueexisteelriesgodepenetraralequipoyrobarinformacin
quepuedesersensibleoclasificada.
3Enelordendelascomunicacionesesnecesariocontrolarosupervisarestosmediosatravsde
lastrazasorientandotambinsuuso,explicandolanecesidaddemanteneresterecursolomas
optimoynocongestionadoparaquesuaccesosealomasrpidoposibleynosesobrecarguenlas
Redes,lneastelefnicasyservidores,conmensajesycorreosnoobjetivosparanuestraactividad.
Sehacenecesarioincluirenelcdigodeticaadecuadoacadaniveldeestructuradeacuerdoa
suactividadespecifica,lasconductasqueseintegrenalaculturarequeridaeneldesempeodelas
funciones..
4Esnecesariomanteneractualizadoslosestudiosdevulnerabilidad,quedebenserdinmicosya
quenospermiteteneruncontroldelosmediosylatcnicadelacualdisponemosennuestrocentro
ydarconocimientoalosnivelessuperioresparaqueasuvezseretroalimenteelprocesode
decisinysepuedaefectuarlasmejorasenlosequiposylossoftwareconlasnuevasnecesidades,
ascomoconocerlospuntoscrticosyestarpreparadosparacualquiersituacinemergente.
5Lascondicioneselctricasyclimatizacinsonmuynecesariasenelcuidadoyconservacindela
tcnica.Detectardondelosrecursosdebenestarporsuimportanciaytomarlasmedidasde
proteccinfsicaylgica,sobrelosequiposylainformacincontenidaenellos,dadoquesepuede
provocaralteracindeinformacinporcadadevoltajeyroturadelmismo.
6Conservacinycustodia,mediantemtodosdealmacenamientoycompactacinquepermitan
clasificaryguardarlainformacinenelmasmnimoespaciodentrodeunacarpetaovarias
carpetas,organizadasyclasificadasporgruposdereferenciaparasumasrpidoaccesodeforma
compactadayprotegidadeacuerdoasuniveldeconfiabilidad.Realizarlassalvasfsicas
peridicasyubicarlasenlugaresapropiadosfueradelreadondeseoriginan,yaqueencasode

contingenciapuederestaurarselainformacinhastalafechadelaltimasalvadelosdatos.
Aunquehastaelmomentosehanplanteadomedidasqueserefierenalaprevencinanteposibles
amenazas.Sinembargo,dadoquecomoyahemoscomentadoanteriormente,"ningnsistemaes
completamenteseguro",hayquedefinirunaestrategiaaseguirencasodefalloodesastre.De
hecholosexpertosdeseguridadafirmansutilmentequehayquedefinirunplandecontingencia
paracuandofalleelsistema,noporsifallaelsistema.
Laclavedeunabuenarecuperacinencasodefalloesunapreparacinadecuada.Por
recuperacinentendemostantolacapacidaddeseguirtrabajandoenunplazomnimodespusde
quesehayaproducidoelproblema,comolaposibilidaddevolveralasituacinanterioralmismo
habiendoreemplazadoorecuperadoelmximodelosrecursosenequiposeinformacin.
Adicionalmenteexistenotrosaspectosrelacionadosconlarecuperacincomosonladeteccindel
fallo,laidentificacindelorigendelataqueydelosdaoscausadosalsistemaylatomade
medidasaposterioricontraelatacante.Todoellosebasaenbuenamedidaenelusodeuna
adecuadapolticademonitorizacinyauditoriadelsistema.
Larecuperacindelainformacinsebasaenelusodeunapolticadecopiasdeseguridad
adecuada,mientraslarecuperacindelfuncionamientodelsistemasebasaenlapreparacinde
recursosalternativos.
Unabuenapolticadecopiasdeseguridaddebecontemplarlossiguientesaspectos:
Qutiposdebackupsserealizan:completosoincrementales.
Conqufrecuenciaserealizacadatipodebackup.
Cuntascopiasserealizanydndeseguardan.
Durantecuntotiemposeguardanlascopias.
Dependiendodeltipodeentidadpuedesernecesariorecuperarelfuncionamientoenunplazoms
omenosbreveLasentidadespuedenmantenerocontratardostiposdeinstalacionesalternativas:
fras(coldsite)ocalientes(hotsite),deacuerdoalSistemaoProcesodesaludalquesirve.
Unainstalacinfraconsisteenunlugarconlasmedidasdeseguridadfsicadisponibles,donde
poderinstalarelhardwareyelsoftwareyfuncionarenmenosdeunasemana.Unainstalacin
calienteincluyeademsordenadores,perifricos,lneasdecomunicacionesyotrosmediose
inclusopersonalparavolverafuncionarenunaspocashoras.
Losprocesosdelasaludengeneralyaquellosdirigidosalaatencindirectaapacientes,comoson
losdeapoyoaldiagnstico,atencinytratamiento,sonaltamentesensiblesyesporelloquesu
seguridadesunaconstantepreocupacinenelprocesodeinformatizacindelSector,locualha
motivadoqueestaseaunadelasprincipalesestrategiasmaestrasdedesarrollo.Deahquesus
objetivosseencaminenalograrunaculturadeseguridadenlostrabajadoresdelasaludque
integreasuconductacotidiana,elcumplimientodepolticainstitucionalylasmedidasdelPlande
Seguridaddemaneratilyfuncional,locualequivaleagarantizarla"salud"delosdatosque
constituyenla"vida"delSistemaNacionaldeSalud....entonces,atendmosloycuidmosloconel
mdicolohaceconsupaciente.

Bibliografia
(1)RODRIGUEZ,R.J.,GATTINI,C.,ALMEIDA,G.Etcol.ElestablecimientodeSistemasde
informacinenserviciosdeatencindesalud.Guaparaelanlisisderequisitos,especificacinde
lasaplicacionesyadquisicin.PanAmericanHealthOrganization.Washington,D.C.:PAHO,1999.
ISBN9275122660.1999.SeccinA1.p.8
(2)VidalL,M.Cazes,G.Seguridad,datosysalud.CDTecnologadeSalud.Informacin
InformticayEstadsticadeSalud.CDS.ISBN9597158086.2004.
(3)GarcaP,G.SeguridadInformtica.Folletodocente.Tema1.IntroduccinalaSeguridad
Informtica.CDTecnologadeSalud.InformacinInformticayEstadsticadeSalud.CDS.ISBN
9597158086.2004.p.126.
(4)VidalL,M.SeguridadInformtica.Trminosrelacionados.Folletodocente.Tema1.Introduccin
alaSeguridadInformtica.CDTecnologadeSalud.InformacinInformticayEstadsticade
Salud.CDS.ISBN9597158086.2004.p.111.
(5)GostG,J.GestinSanitariayTecnologasdelaInformacin.ServiciodeMedicinaPreventiva.