SIA asume espacio de seguridad en atención de salud
10 August, 2016
category: Gobierno, Salud, Seguridad física, Tarjetas Inteligentes
Por: Colaborador
Por Kelly Vlahos, escritora colaboradora, Asociación de la Industria de Seguridad
Un hombre, posiblemente drogado con metanfetamina, tuvo una inención singular: robarse a su hija recién nacida de la sala de maternidad antes que el estado pudiera llevársela.
Jason Matthew Bristol tomó la bebé de dos días de nacida, la envolvió con una colcha y una bolsa plástica, y trató de salir del Hospital Thunderbird en Glendale, Arizona, el 21 de enero de 2015. Pero una pulsera fijada a la niña inmediatamente dio la alarma y bloqueó las puertas del hospital antes de que pudiera salir. Esto salvó su vida porque según los oficiales, la colcha envolvía al bebé de una forma que podría haberla asfixiado.
Los hospitales pueden ser lugares frágiles y violentos. Según la Oficina de Estadísticas Laborales, de todos los asaltos a centros de trabajo entre los años 2011 a 2013 más del 74% se produjeron en instalaciones médicas o de servicios sociales. A esto se suma que hay pacientes que se escapan – incluyendo prisioneros y pacientes con afecciones mentales – y ampliando el espectro de recientes tiroteos masivos, gente que acude a las instalaciones hospitalarias y que por lo general se supone que no tienen por qué estar en ellas.
Como resultado, el sector de salud está reforzando sus servicios de seguridad para enfrentar esa amenaza. Las cámaras de videovigilancia, las credenciales ID y las pulseras habilitadas con identificación por radiofrecuencia (RFID) y otras tecnologías inteligentes para los pacientes y el personal, los sistemas integrados de alarma, las notificaciones masivas, los lectores de matrículas, y el control de acceso compatible con tarjeta inteligente, todo ello se combina para el tipo de arquitectura convergente de seguridad que está actualmente al alcance de los 5,627 hospitales registrados en el país, tanto de grandes como de pequeñas dimensiones. Las etiquetas para los menores, por ejemplo, ya son omnipresentes, y como resultado resultan raros los casos de raptos de niños, según el FBI.
Entretanto, la transición de los sistemas de control de acceso de una institución de salud a protocolos de (IP) y al mejoramiento de las redes celulares, ha decuplicado las capacidades de seguridad física. Por otra parte, la Internet de las Cosas (IoT) amplía el universo de posibilidades que requieren gestión a tiempo completo y ciberseguridad proactiva para mantener a raya a los hackers.
Todo esto es lo que espera acometer el año próximo el Grupo de Interés en Seguridad de Salud de la Asociación de la Industria de Seguridad (SIA). Creado a finales de 2015, el grupo está compuesto por miembros de SIA y profesionales involucrados directamente en el espacio de atención de la salud, desde directores de seguridad hospitalaria hasta proveedores y consultores de la industria.
La misión del grupo es evaluar el escenario actual con el fin de aportar una mejor comprensión y soluciones para los miembros de SIA y la industria de seguridad en la salud en su conjunto, señala Jim Stankevich, gerente global de seguridad de salud en Tyco Security Products. Stankevich está asumiendo la dirección como presidente del grupo de atención de salud, junto con Bonnie Michelman, directora de servicios de seguridad del Hospital General de Massachusetts y de Partners Health Care, que funge como copresidenta.
Con un enfoque hacia la seguridad física electrónica – así como el rol de la informática y la ciberseguridad – la meta del grupo será explorar la tecnología emergente de salud para los proveedores de salud y los pacientes, así como determinar que es lo que ahora funciona, cuáles son las posibilidades y que depara el futuro, explica Stankevich.
Además de identificar los retos que enfrentan las dependencias de salud – siendo una preocupación fundamental el incremento de la violencia – el grupo dará seguimiento a las tecnologías emergentes y no solo al hardware. El grupo quiere abordar el rol de la métrica y la analítica para aprovechar en la mayor medida posible los actuales sistemas y desarrollar capacidades para nuevos clientes. Su enfoque también estará dirigido a la protección de esos sistemas. Por último, el grupo también actuará como un centro para compartir información entre los miembros y trabajar con vistas al desarrollo de mejores prácticas en toda la vertical. Aunque estas pueden parecer metas muy ambiciosas, todo el trabajo del grupo tendrá siempre en cuenta la tendencia actual de reducción de los presupuestos y el retorno de la inversión.
“Hay mucho de consolidación hospitalaria y restricciones en los presupuestos, y pienso que los hospitales en general están buscando vías para hacer mejores compras, consolidarse y superar las ineficiencias”, dice Stankevich, y observa que para los hospitales con dificultades fiscales es un problema invertir en nuevos sistemas de seguridad física. “Realmente la seguridad no es generadora de ingresos, es un gasto”.
Hay dependencias de salud que no pueden ver más allá de esos obstáculos financieros, señala el miembro del grupo de trabajo Ben Scaglione, director de soluciones de seguridad de salud en G4S Secure Solutions. “Los gastos en atención de salud son en general por equipamiento médico. Todos tienen lectores de tarjetas, control de acceso y los sistemas de circuito cerrado parecen estar bien. Pero la integración y la tecnología avanzada realmente no está presente, todos sus sistemas tienen entre 5 y 10 años”, explica. “No hay una buena comprensión de que los sistemas necesitan cumplir otras funciones”.
La integración estratégica es clave para los sistemas de seguridad. Todos los elementos del aparato de seguridad requieren estar conectados para formar una red protectora y preventiva en torno a los pacientes y el personal. Por ejemplo, los lectores de matrículas y la videovigilancia no solo requieren tener resolución HD y ser accesibles para los dispositivos móviles y las plataformas habilitadas en la web, sino que además deben estar programados con analítica para activar alarmas y bloqueos en base a factores de riesgo de esa dependencia.
Pero eso no es todo. El movimiento hacia la conectividad IP hace transitar las soluciones tradicionales de seguridad hacia el siglo XXI y les permite comunicarse, explica Lauris Freidenfelds, director de servicios de seguridad del Centro Médico de la Universidad de Rush.
Eso incluye todos los sistemas de video y control de acceso, las comunicaciones inalámbricas de radio y voz, y los dispositivos de pánico en cada estación de trabajo PC, que se transmiten a través de la red hasta el centro de mando del campus, señala Freidenfelds. El personal de enfermería y otros también usan esos dispositivos cuando se desplazan por los edificios. La conectividad inalámbrica también posibilita las notificaciones masivas de emergencia, que son críticas para las alertas a nivel de campus.
La integración es también vital para el grupo de trabajo, dice Freidenfelds. Como la tecnología se hace más compleja, ha generado la necesidad de más analítica impulsada por los datos y la gestión para explotarla y emplearla. “No tenemos suficiente fuerza de trabajo para lograr todo lo que se necesita para mantener los hospitales protegidos sin tecnología”, añade.
Pero con toda esta tecnología surge un nuevo riesgo. En febrero, el hospital presbiteriano de Hollywood pagó $17,000 en Bitcoin como rescate por sus registros médicos electrónicos, que habían sido tomados y bloqueados por los hackers con una clave encriptada. Y no es la primera institución que ha tenido que pagar un rescate irrastreable por registros críticos y acceso a la red. Por lo menos dos departamentos de policía de Nueva Inglaterra han pagado rescates Bitcoin para recuperar archivos hackeados. Expertos estiman que se están pagando rescates por un monto de hasta $1,000 millones anuales.
Mientras que al parecer el hospital de Los Angeles fue víctima de una expedición de phishing – un empleado involuntariamente puede haber abierto un archivo de correo electrónico que introdujo el malware que posibilitó el ataque – existen vulnerabilidades en las redes de seguridad física que pueden servir como “rampas” hacia las redes informáticas de los hospitales donde radican los datos sensibles de pacientes y empleados, explica Michael Chipley, un experto de seguridad de edificios del Grupo PMC.
A medida que se amplía la IoT, marcada por el uso extendido de los datos generados por la computación móvil y en nube, la ciberseguridad será crítica para cualquier institución donde están en riesgo los datos privados de los individuos, o incluso sus vidas. Algunos hospitales aún están dando sus primeros pasos por integrar sus sistemas y todo esto habrá de jugar en la labor del grupo de trabajo en aras de proporcionarle un componente educativo a los profesionales y los vendedores que trabajan con ellos.