Cómo adoptar servicios cloud con seguridad en las organizaciones sanitarias, según ENISA

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar Ciberseguridad orientada al futuro Leer

ENISA acaba de publicar el informe “Cloud Security for Healthcare Services” que reúne una serie de pautas de seguridad para las organizaciones sanitarias sobre cómo adoptar servicios cloud con seguridad para lo que ha tomado como base otros trabajos previos y al mismo tiempo que la Comisión Europea avanza en la iniciativa “European Health Data Space”, con la que quiere promover el acceso seguro a los datos de salud, así como en la protección del intercambio de datos de pacientes.

En este documento, ENISA incide, como ha sido palpable a lo largo de todo el año pasado, en que la pandemia ha evidenciado una mayor necesidad de servicios de salud digitales eficientes y, a la vez, seguros. En este sentido, las soluciones cloud permiten la provisión flexible y rápida de recursos para ofrecer servicios digitales como la telemedicina, pero su adopción puede verse frenada por la preocupación a la hora de proteger los datos confidenciales que manejan las organizaciones.

ENISA está trabajando en un esquema de certificación de la ciberseguridad en cloud para la UE que ahora mismo está siendo sometido a consulta pública. Mientras, siguiendo la línea del futuro esquema, ofrece una serie de orientaciones, principalmente en tres áreas:

• El historial electrónico (EHR): los sistemas que recopilan, almacenan, gestionan y transmiten datos de salud, como la información de los pacientes o los resultados de exámenes médicos.

• Salud a distancia: agrupa los consejos en torno a la telemedicina, que soporta las consultas en remoto entre doctores y pacientes.

• Dispositivos médicos: en este punto se incluyen los servicios cloud que respaldan el funcionamiento de los dispositivos médicos para que los datos están disponibles para los implicados en los procesos de atención o los servicios que facilitan la monitorización de dispositivos.

Para cada uno de estos casos de uso, el trabajo de ENISA destaca los factores principales que deben tenerse en cuenta cuando las organizaciones realizan la evaluación de riesgos relevante cuando se trata, por ejemplo, de temas como datos confidenciales de los pacientes o la disponibilidad de un servicio médico.

El informe también propone un conjunto de medidas de seguridad como establecer procesos para la gestión de incidentes, definir los requisitos de cifrado de datos y garantizar la portabilidad e interoperabilidad de los datos.

Sin embargo, estas pautas son solo un primer paso para que los proveedores de atención médica se adapten de manera segura a la nube. Se necesita más apoyo, como estándares establecidos de la industria sobre seguridad en la nube, instrucciones específicas de las autoridades nacionales y de la UE, y más pautas de las autoridades de protección de datos sobre la transferencia de datos de atención médica a la nube.

Aparte de todo esto, también los despliegues deben cumplir con los requisitos de las autoridades nacionales y comunitarias así como con las de las agencias de protección de datos.