miércoles, 4 de octubre de 2017

Resumen de la segunda jornada de VII Reunión del Foro para la Gobernanza de las TIC en Salud: ciberseguridad de los datos sanitarios y liderazgo digital

Durante los días 27 y 28 de Septiembre tuvo lugar en Mérida la VII Reunión del Foro para la Gobernanza de las TIC en Salud,  organizado por la Sociedad Española de Informática de la Salud (SEIS) [@SEISeSalud , este año bajo el lema "Retos del líder digital" , y de cuya primera jornada ya publicamos un resumen: nube pública, ¿sí o no en Sanidad?

Siguiendo el programa, te la segunda jornada comenzaba con la segunda Mesa de Debate sobre un tema muy de actualidad: "Ciberseguridad ¿Estamos preparados para el reto de la Seguridad Digital?", moderado  por el Subdirector General de Innovación y Arquitectura Tecnológica de la Dirección General de Sistemas de Información Sanitaria del SERMAS,  David LLeras Iglesias, en sustitución del propio Director General.




Pablo López, segundo Jefe de Departamento de Ciberseguridad del Centro Criptológico Nacional, reconoció el impacto que ha tenido en los medios los recientes ciberataques de los gusanos WannaCry y NotPetya, y si bien opina que no debe cundir el pánico si debe haber un refuerzo del esquema básico de prevención, detención y respuesta en las organizaciones. También dijo que sería conveniente un centro nacional de monitorización y vigilancia más allá del actual centro que realiza notificaciones y alertas y sobre todo, compartir la información,  "la única manera de poder vencer".  Ya en especial sobre los datos de Sanidad, reseñó cómo en el mundo sanitario se conjugan datos muy atractivos con equipos médicos informáticos "legacy" o complejos que son difíciles de actualizar para aplicar los parches de seguridad , lo que  junto con el hecho de que "a nivel de usuario no hay buenas práctias", genera una "superficie de exposición alta" a los ataques de seguridad.
 
Pablo López


Juan Díaz García,  Coordinador del Comité Técnico de Seguridad de la Información   Sanitaria de la SEIS y   Responsable de la  Unidad de Gestión de Riesgos Digitales, del Servicio   Andaluz de Salud reconoció que "no estamos los suficientemente preparados como nos gustaría" calificando de positiva la nueva norma europea que obligará a las empresas a publicar información si sufren robos de datos.


Carlos Royo Sánchez, de  GMV,  empresa proveedora de soluciones de seguridad apostilló que "el ciudadano sigue prefiriendo que le roben la historia clínica a que le roben la  cartera" y que los profesionales no están "bien asesorados" en temas de seguridad. Por su parte, David Reche Martínez, de Intersystems, empresa especializada en facilitar la conectividad de datos sanitarios incidió precisamente  en cómo también hay más potenciales problemas de seguridad porque cada vez hay más equipos interconectados (lo que en sí arroja enormes beneficios)

Javier Jarauta Sánchez, de SIA, trasladó datos de la "internet profunda" según los cuales el valor de unos dato sanitarios personales robados  suele alcanzar los 20 dólares por encima de los 10 dólares en los que se cotizan los datos de una tarjeta , situándose ya los datos sanitarios entre los primeros tipos de datos que se roban en los ciberataques.

Alfredo Reina, de Accenture,  por su parte incidió en la importancia de invertir en seguridad: "cuanto más tardemos  en responder más nos va a acabar costando". Ramsés Gallego, de la empresa especializada en seguridad Symantec, recomendó a los asistentes "integren la seguridad" en todos sus sistemas ya y háganse siempre en cada uno de ellos las 5 preguntas de "quién ,qué, dónde, cómo y cuando" debe tener y tienen acceso.

El debate continuó con los asistentes de la sala. Así, José Manuel Laperal, de la Oficina de Seguridad Sanitaria del SERMAS, reseñó las propias dificultades que tienen las actualizaciones masivas y frecuentes de los sistemas informáticos para corregir sus problemas de seguridad, hasta el punto que el propio proceso de aplicar las actualizacoines pueden paralizar la actividad durante demasiado tiempo o incluso de ser imposible de llevar a la práctica, sugiriendo sino habría que buscar soluciones de "bastionado" que mitiguen este inconveniente. También demandó que el Centro Criptológico Nacional realice alguna tarea de coordinación entre CCAA ante oleadas de ataques en vez de limitarse a aportar información.
Pablo López del CCN defendió como imprescindibles las actualizaciones y reconoció que falta llegar a ese nivel de coordinación, si bien si están realizando alguna ayuda más proporcionando sondas al menos en la adminstración del Estado.
Juan Miguel Signes, responsable de seguridad de sanidad de la C. Valenciana, comentó que no se mide el impacto económico de los incidentes de seguridad o de su prevención, con lo que es muy difícil justificar inversiones en este área.

A continuación tuvo lugar la tercera y última mesa de Debate con el lema de las jornadas cmo título: "Retos del Líder Digital", donde sus ponentes, tanto de la industria como de la AAPP, comentaron entre otras cosas que la transformación digital no debe ser vertical de jefe a empleado, sino más bien de fuera a dentro, de tal forma que un buen líder es aquel que ayuda a crear otros lideres y de ser capaz de "hacer que las cosas ocurran" seduciendo, o dicho de otro modo, "no tiene por que ser el mejor del equipo sin conseguir lo mejor de su equipo"


Por último tras una conferencia de Pilar Torres , Directora Sector Público para España y Portugal de  Amazon Web Services, en la que detalló los principios sobre liderazgo que se utilizan su empresa, llegó la clausura de las jornadas a cargo de Ceciliano Franco Rubio, Director Gerente del Servicio Extremeño de Salud, quien afirmó que "merece la pena asumir riesgos innovando" en SSII,como se hizo en Extremadura con la Receta Electrónica o la Historia Clínica Electrónica. Sobre el líder digital sanitario aprovechó para indicar que "debe tener una sensiblidad especial "con el mundo sanitario", donde se debe situar en primer lugar al paciente. También tuvo palabras de agradecimiento a las empresas y a sus propios profesionales de informática.
 

No hay comentarios: