Profesión

Los avestruces no saben de ciberseguridad

Uno de los cambios más profundos de las sociedades modernas es el que ha provocado la irrupción de las tecnologías de la información y comunicación (TIC). Es una obviedad que internet ha cambiado la vida de las personas del mundo desarrollado y las condiciones en las que deben trabajar para aumentar su competitividad en los distintos sectores económicos. No es el objeto de este artículo glosar las oportunidades que ofrecen estas tecnologías, que son muchas, sino analizar y reflexionar sobre las nuevas obligaciones y responsabilidades que comporta la implantación de un cambio tan radical.

En esta última década, las oficinas de farmacia se han visto obligadas a incorporar las TIC de forma relevante en su operativa diaria. La implantación extensiva y exhaustiva de la receta electrónica en toda España ha significado un punto de inflexión en la tendencia alcista del grado de tecnificación del sector, lo que a su vez ha implicado que su dependencia de las TIC, tanto desde el punto de vista profesional como desde el empresarial, se haya incrementado de forma exponencial.

Cualquier análisis de las responsabilidades de las oficinas de farmacia en este ámbito deberá tener en cuenta que, como establecimiento sanitario que son, el manejo de sus datos deberá ajustarse a los estándares estrictos que dicta la nueva normativa europea en materia de protección de datos del Reglamento General de Protección de Datos de la UE (RGPD, 2016/679), y a la vez, como empresa altamente tecnificada que también es, deberá velar por el buen funcionamiento de sus infraestructuras informáticas y por la integridad de los datos necesarios para la correcta gestión de la empresa.

Avestruces2La penetración intensiva de las TIC en el quehacer diario de las farmacias ha generado nuevos sistemas de relación entre farmacias, colegios profesionales, asociaciones empresariales, administraciones, mayoristas y proveedores en un teatro de operaciones llamado «ciberespacio», integrado por el conjunto de sistemas de información, sistemas e infraestructuras de telecomunicaciones, internet, redes sociales y por los usuarios que interactúan con ellos. Este mundo «hiperconectado» abre, aún más si cabe, las puertas a la explotación de las vulnerabilidades de todas estas tecnologías con fines maliciosos. Tanto para la seguridad de la propia farmacia, como para las instituciones y empresas con las que las farmacias están permanentemente conectadas.

La explotación de las posibles vulnerabilidades de los sistemas de información, cada vez más expuestos a posibles ataques (tanto desde el exterior como desde el interior de las propias farmacias), puede conllevar importantes perjuicios económicos, sanciones, así como graves deterioros en la reputación frente a los clientes y a la Administración.

A nuestro entender, con demasiada frecuencia se oyen voces (sobre todo entre los usuarios domésticos y también entre los profesionales autónomos y las pequeñas y medianas empresas, a diferencia de las grandes corporaciones, que, de forma mayoritaria y sistemática, dedican recursos importantes a blindar sus sistemas de información) que proclaman la idea de que lo natural es convivir en un estado de inseguridad.

«La inseguridad en el ciberespacio es inevitable.» Es peligroso que esta afirmación se convierta en un mantra que consolide la creencia de que la inversión en ciberseguridad es un gasto superfluo y que el único método posible para afrontar esta situación es cruzar los dedos. Existe una diferencia crucial entre afirmar que la seguridad absoluta no existe (por lo que las ofertas de servicios que lo aseguren no son creíbles) y asumir como algo inevitable la vulnerabilidad. No saber diferenciar entre lo uno y lo otro puede derivar en perjuicios muy importantes para las farmacias.

Garantizar la invulnerabilidad es una exageración que puede rozar la irresponsabilidad, pero tampoco es responsable afirmar que es imposible intervenir de forma efectiva para reducir los riesgos y minimizar los perjuicios. Tampoco es acertado pensar que la oficina de farmacia no tiene «interés» para los cibercriminales, lo que proporciona una falsa sensación de seguridad que es un gran aliado para los que nos pueden atacar. Las farmacias y las organizaciones a las que están conectadas siempre son susceptibles de ser atacadas por los datos sensibles que manejan.

Es importante destacar que se puede y se debe actuar frente a las amenazas existentes. Las farmacias deben asumir que este escenario en el que tienen que ejercer su profesión también comporta inversiones de tiempo y dinero en el campo de la ciberseguridad, y deben buscar productos que, minimizando en lo posible su inversión, maximicen la seguridad de su entorno tecnológico.

Estrategias para maximizar la seguridad
¿Qué producto debe buscar una farmacia para lograr este objetivo? Lamentablemente, no existe un producto único o una fórmula magistral que pueda resolver todos los posibles problemas de seguridad, pero sí existen estrategias orientadas a minimizar las amenazas, a detectar posibles ataques y a disponer de mecanismos de respuesta y recuperación.

Entre las distintas estrategias que se aplican en el ámbito de la ciberseguridad, la estrategia de defensa en profundidad1 es aquella que implementa diferentes mecanismos y estrategias que se complementan entre sí, con el objeto de que, en caso de vulneración de uno de los mecanismos, no se vea comprometida la totalidad del sistema.

Es recomendable establecer mecanismos que cubran las distintas capas de un sistema de información: capa física, capa de red, servidores y estaciones de trabajo, capa de aplicación, capa de datos y, finalmente, la capa humana.

Antes de implantar sofisticados mecanismos, dispositivos y herramientas, es recomendable no empezar la casa por el tejado y optar por la implantación de un conjunto de mecanismos iniciales que ayudarán a mejorar la seguridad de cada uno de los diferentes niveles.

Avestruces3Capa física
La seguridad en esta capa debe contemplar el conjunto de medidas que impidan físicamente el fácil acceso a los sistemas de información centrales de la oficina de farmacia (servidores, equipos de comunicaciones, equipos de seguridad...) por parte de personas no autorizadas, pero también un conjunto de equipos que garanticen la operativa de dichos sistemas.

Es recomendable que los sistemas centrales estén ubicados en una dependencia dotada de un conjunto de requisitos, como:

• Control físico de acceso.
• Vigilancia mediante la propia alarma de la oficina de farmacia y con conexión a una central receptora de alarmas.
• Sistema de climatización.
• Cuadro eléctrico dedicado.
• Sistema de alimentación ininterrumpida (SAI).

Mecanismos más avanzados contemplarían sistemas de videovigilancia remota (TVCC) y la monitorización de la temperatura y del suministro eléctrico.

Capa de red
Es necesario reforzar la red y su perímetro, y para ello es recomendable:

• Configurar correctamente todos los elementos de la red.
• Configurar correctamente los switches2, bien mediante listas de control de accesos3, bien mediante bloqueo de puertos4, o bien mediante asignación de direcciones MAC5, con el objeto de evitar conexiones no deseadas.
• Segmentar la red de la oficina de farmacia mediante VLAN6 (redes virtuales) y aplicar mecanismos de filtrado entre subredes7, de manera que dispositivos no autorizados, bien vía wifi, bien vía ADSL particular, etc., no tengan acceso a los equipos con información sensible.
• Configurar el acceso wifi, en caso de que se disponga de él, de manera profesional, satisfaciendo todas las medidas de seguridad inalámbrica.
• Los accesos remotos al servidor o a las estaciones de trabajo, bien por parte del titular, bien por parte de los proveedores (empresas de informática, programas de gestión, etc.), deben ser gestionados mediante conexiones seguras y cifradas, tipo VPN8.
• Modificar los passwords por defecto9 de los diferentes elementos de la red y actualizar las versiones de software de los mismos.

Asimismo, sería recomendable incrementar los niveles de seguridad mediante otras medidas:
• La implantación de un equipo firewall10 o cortafuego (FW), debidamente configurado con listas de acceso (ACL) para controlar el tráfico entre la red de la oficina de farmacia y las redes externas, a partir de un conjunto de reglas establecidas.
• Mecanismos de detección y prevención de intrusiones (IDS/IPS)11, monitorizados de manera permanente, con el objeto de detectar o predecir accesos no autorizados mediante el reconocimiento de firmas de ataques12.
• Auditorías permanentes de la superficie expuesta mediante técnicas de pentesting13. Dada la continua aparición de vulnerabilidades y de nuevas versiones, de poco sirven las auditorías anuales o semestrales.

Capa de servidor/es y estaciones de trabajo
En esta capa son recomendables las siguientes medidas:
• Mantener los diferentes aplicativos actualizados con la última versión del fabricante, dado que muchas de ellas solventan bugs14 de seguridad publicados y de fácil explotación.
• Disponer de un buen software antimalware15, también permanentemente actualizado.
• Realizar un uso profesional de las estaciones de trabajo, accediendo a webs profesionales y seguras.
• Evitar mantener abiertos servicios16 por defecto, no necesarios, que son normalmente vías de posibles ataques.
• Asimismo, sería recomendable incrementar los niveles de seguridad del servidor mediante sistemas de prevención de intrusiones (HIPS)17 debidamente monitorizados.

Capa de aplicación
En esta capa son recomendables las siguientes medidas:
• Mantener los diferentes aplicativos actualizados con la última versión del fabricante.
• Asegurar una correcta configuración de los protocolos, como smtp, dns...
• Implantar una adecuada política de autentificación mediante contraseña y un segundo factor de autentificación. La efectividad de los sistemas de seguridad basados sólo en usuario y password es claramente mejorable.
• Minimizar los privilegios, de manera que cada elemento disponga únicamente de los privilegios necesarios para su operativa. No todos los usuarios necesitan utilizar todos los servicios del sistema.

Capa de datos
Dada la sensibilidad de algunos de los datos, así como la criticidad de otros necesarios para garantizar la continuidad de la operativa de la oficina de farmacia, es recomendable:
• Realizar un estricto control de acceso a los datos, de manera que sólo sean accesibles desde dispositivos y aplicaciones autorizados.
• Proteger los datos mediante técnicas de encriptación.
• Realizar diariamente copias de seguridad encriptadas, debidamente monitorizadas, en infraestructuras externas (CPD, Cloud...).

Capa humana
Los usuarios suelen ser el eslabón más débil de la cadena, sea por posibles actos maliciosos o por desconocimiento y falta de concienciación. Son normalmente uno de los puntos más vulnerables y fáciles de atacar, mediante técnicas de ingeniería social18, phising19, etc.
• Es fundamental la formación y concienciación de los usuarios en materia de seguridad, dado que el sistema es tanto más seguro cuanto más lo sea su eslabón más débil.
• De nada sirve todo lo anterior si los usuarios que se conectan a la red de la oficina de farmacia tienen sus portátiles infectados con malware, con software no seguro o Apps no seguras en sus dispositivos móviles.

A grandes rasgos, éstas son las recomendaciones generales que una oficina de farmacia debería seguir para aumentar de forma sensible su seguridad. Es cierto que la especificidad del sector desde el punto de vista profesional y empresarial dificulta que los productos estandarizados existentes en el mercado se adapten a ella, por lo que es necesario que los proveedores hagan un análisis inicial de esas especificidades para diseñar productos y servicios adecuados, útiles y competitivos en precio.
El peligro de ataques cibernéticos es real. La percepción del peligro que representan para el buen funcionamiento es una cuestión personal del responsable de la farmacia, y las decisiones sobre el riesgo que es capaz de asumir cada farmacéutico son intransferibles, pero lo que es incontestable es que la peor elección frente a esa realidad es imitar a los avestruces, porque de ciberseguridad no saben nada.

Avestruces glosario 2

 

Valorar este artículo
(1 Votar)
Francesc Pla Santamans

Farmacéutico comunitario. Director de El Farmacéutico

Dejar un comentario

En el último número de la revista...

xxxxxx

La estrategia preponderante del sector en estos años se ha basado en reforzar el papel sanitario de la red de farmacias para justificar precisam ...

La farmacia se consolidó hace ya mucho tiempo como un establecimiento de cercanía que tiene la particularidad de haber ido adquiriendo m& ...

La Asociación para el Autocuidado de la Salud (anefp) cumple 40 años este 2018. Es un buen momento para hacer balance, y con este objetiv ...

La radiación solar es fuente de vida indispensable para los seres vivos. Nos ayuda a sintetizar la vitamina D necesaria para el desarrollo &oacu ...

La dermatitis atópica, también conocida como «eccema atópico», es una enfermedad dermatológica inflamatoria cr& ...

Seguimiento del sobrepeso en la oficina de farmacia

Carmen del Campo Arroyo1, Anna Bach-Faig2, Judith Abizanda3, Teresa Cayuela y Linares3, Georgina Pujol-Busquets4,
Profesión

Para abordar el problema del sobrepeso y la obesidad se ha implicado a todos los profesionales de la salud, incluidos médicos, nutricionistas, e ...

Diabetes mellitus en el anciano

Leire Celimendiz, Alba Gallardo, Leyre Gaztelurrutia, Leire Loizaga, Eleder Viota,
Cursos

La diabetes mellitus (DM) es una enfermedad frecuente en las personas mayores, ya que su prevalencia aumenta directamente con la edad. En España ...

Cuando se habla de marketing en la oficina de farmacia todo empieza a mitad de la película con un cliente que ya está en el mostrador, qu ...

Conocer los principales incentivos fiscales en el ejercicio de una actividad empresarial (en nuestro caso, una oficina de farmacia) debería cons ...

«Consulta de gestión patrimonial» es una sección dedicada a contestar preguntas que el farmacéutico se plantea diariam ...

El maridaje con pescado es ligeramente más complejo que el que se lleva a cabo con la carne roja o blanca debido a su contenido en yodo.

...

Selección de las últimas novedades literarias.

...

Cuando regreso a casa, siempre veo a Francisco sentado en la parada del autobús. Esperance, su cuidadora congolesa, lo deja un rato allí ...

Según una encuesta de la Fundación Española para la Ciencia y la Tecnología (FECYT) sobre prácticas pseudocient&iacu ...

 

Lo más leído este mes

ConArtritis


Hablan los pacientes

La Coordinadora Nacional de Artritis, ConArtritis, tiene como misión integrar y representar a las asociaciones de personas con artritis…
Visto 2521 veces

Dos farmacias en una


Un día en la farmacia de...

Maria Rosa Sala es la farmacéutica de El Port de la Selva, un pueblo situado en las proximidades del…
Visto 1436 veces

Un «agujero negro» en la farmacia: el «stock» muerto


Gestión de la farmacia

Efectivamente, no quiero ser alarmista pero se nos ha colado un agujero negro en la botica y es difícil…
Visto 1368 veces

Farmacoterapia en personas mayores


Cursos

IntroducciónEl proceso de envejecimiento supone cambios fisiológicos, orgánicos y sistémicos que afectan a todos los seres vivos. Estas modificaciones…
Visto 1300 veces

Solares: consejos desde la oficina de farmacia


Profesión

La radiación solar es fuente de vida indispensable para los seres vivos. Nos ayuda a sintetizar la vitamina D…
Visto 1253 veces

Concedido el III Premio «El Farmacéutico Joven» de Implantación de Servicios Farmacéuticos


En abierto

El Decanato de la Facultad de Farmacia de la Universidad de Barcelona y la revista online El Farmacéutico Joven…
Visto 1205 veces

Afecciones del sueño


Profesión

El sueño es una de las conductas humanas más significativas y ocupa una tercera parte de la vida de…
Visto 1028 veces

Complementos vitamínicos


Profesión

La mejor fuente de vitaminas es una dieta equilibrada y variada. Sin embargo, los estados carenciales afectan también a…
Visto 978 veces

Revista El Farmacéutico

HTML 5La revista El Farmacéutico y su web son un producto de Ediciones Mayo, S.A. dedicado a la formación e información de los profesionales farmacéuticos. Los contenidos de la revista y la web requieren de una formación especializada para su correcta interpretación. En ningún caso la información proporcionada por El Farmacéutico reemplazará la relación de los profesionales farmacéuticos con los pacientes.