Profesión

Los avestruces no saben de ciberseguridad

Uno de los cambios más profundos de las sociedades modernas es el que ha provocado la irrupción de las tecnologías de la información y comunicación (TIC). Es una obviedad que internet ha cambiado la vida de las personas del mundo desarrollado y las condiciones en las que deben trabajar para aumentar su competitividad en los distintos sectores económicos. No es el objeto de este artículo glosar las oportunidades que ofrecen estas tecnologías, que son muchas, sino analizar y reflexionar sobre las nuevas obligaciones y responsabilidades que comporta la implantación de un cambio tan radical.

En esta última década, las oficinas de farmacia se han visto obligadas a incorporar las TIC de forma relevante en su operativa diaria. La implantación extensiva y exhaustiva de la receta electrónica en toda España ha significado un punto de inflexión en la tendencia alcista del grado de tecnificación del sector, lo que a su vez ha implicado que su dependencia de las TIC, tanto desde el punto de vista profesional como desde el empresarial, se haya incrementado de forma exponencial.

Cualquier análisis de las responsabilidades de las oficinas de farmacia en este ámbito deberá tener en cuenta que, como establecimiento sanitario que son, el manejo de sus datos deberá ajustarse a los estándares estrictos que dicta la nueva normativa europea en materia de protección de datos del Reglamento General de Protección de Datos de la UE (RGPD, 2016/679), y a la vez, como empresa altamente tecnificada que también es, deberá velar por el buen funcionamiento de sus infraestructuras informáticas y por la integridad de los datos necesarios para la correcta gestión de la empresa.

Avestruces2La penetración intensiva de las TIC en el quehacer diario de las farmacias ha generado nuevos sistemas de relación entre farmacias, colegios profesionales, asociaciones empresariales, administraciones, mayoristas y proveedores en un teatro de operaciones llamado «ciberespacio», integrado por el conjunto de sistemas de información, sistemas e infraestructuras de telecomunicaciones, internet, redes sociales y por los usuarios que interactúan con ellos. Este mundo «hiperconectado» abre, aún más si cabe, las puertas a la explotación de las vulnerabilidades de todas estas tecnologías con fines maliciosos. Tanto para la seguridad de la propia farmacia, como para las instituciones y empresas con las que las farmacias están permanentemente conectadas.

La explotación de las posibles vulnerabilidades de los sistemas de información, cada vez más expuestos a posibles ataques (tanto desde el exterior como desde el interior de las propias farmacias), puede conllevar importantes perjuicios económicos, sanciones, así como graves deterioros en la reputación frente a los clientes y a la Administración.

A nuestro entender, con demasiada frecuencia se oyen voces (sobre todo entre los usuarios domésticos y también entre los profesionales autónomos y las pequeñas y medianas empresas, a diferencia de las grandes corporaciones, que, de forma mayoritaria y sistemática, dedican recursos importantes a blindar sus sistemas de información) que proclaman la idea de que lo natural es convivir en un estado de inseguridad.

«La inseguridad en el ciberespacio es inevitable.» Es peligroso que esta afirmación se convierta en un mantra que consolide la creencia de que la inversión en ciberseguridad es un gasto superfluo y que el único método posible para afrontar esta situación es cruzar los dedos. Existe una diferencia crucial entre afirmar que la seguridad absoluta no existe (por lo que las ofertas de servicios que lo aseguren no son creíbles) y asumir como algo inevitable la vulnerabilidad. No saber diferenciar entre lo uno y lo otro puede derivar en perjuicios muy importantes para las farmacias.

Garantizar la invulnerabilidad es una exageración que puede rozar la irresponsabilidad, pero tampoco es responsable afirmar que es imposible intervenir de forma efectiva para reducir los riesgos y minimizar los perjuicios. Tampoco es acertado pensar que la oficina de farmacia no tiene «interés» para los cibercriminales, lo que proporciona una falsa sensación de seguridad que es un gran aliado para los que nos pueden atacar. Las farmacias y las organizaciones a las que están conectadas siempre son susceptibles de ser atacadas por los datos sensibles que manejan.

Es importante destacar que se puede y se debe actuar frente a las amenazas existentes. Las farmacias deben asumir que este escenario en el que tienen que ejercer su profesión también comporta inversiones de tiempo y dinero en el campo de la ciberseguridad, y deben buscar productos que, minimizando en lo posible su inversión, maximicen la seguridad de su entorno tecnológico.

Estrategias para maximizar la seguridad
¿Qué producto debe buscar una farmacia para lograr este objetivo? Lamentablemente, no existe un producto único o una fórmula magistral que pueda resolver todos los posibles problemas de seguridad, pero sí existen estrategias orientadas a minimizar las amenazas, a detectar posibles ataques y a disponer de mecanismos de respuesta y recuperación.

Entre las distintas estrategias que se aplican en el ámbito de la ciberseguridad, la estrategia de defensa en profundidad1 es aquella que implementa diferentes mecanismos y estrategias que se complementan entre sí, con el objeto de que, en caso de vulneración de uno de los mecanismos, no se vea comprometida la totalidad del sistema.

Es recomendable establecer mecanismos que cubran las distintas capas de un sistema de información: capa física, capa de red, servidores y estaciones de trabajo, capa de aplicación, capa de datos y, finalmente, la capa humana.

Antes de implantar sofisticados mecanismos, dispositivos y herramientas, es recomendable no empezar la casa por el tejado y optar por la implantación de un conjunto de mecanismos iniciales que ayudarán a mejorar la seguridad de cada uno de los diferentes niveles.

Avestruces3Capa física
La seguridad en esta capa debe contemplar el conjunto de medidas que impidan físicamente el fácil acceso a los sistemas de información centrales de la oficina de farmacia (servidores, equipos de comunicaciones, equipos de seguridad...) por parte de personas no autorizadas, pero también un conjunto de equipos que garanticen la operativa de dichos sistemas.

Es recomendable que los sistemas centrales estén ubicados en una dependencia dotada de un conjunto de requisitos, como:

• Control físico de acceso.
• Vigilancia mediante la propia alarma de la oficina de farmacia y con conexión a una central receptora de alarmas.
• Sistema de climatización.
• Cuadro eléctrico dedicado.
• Sistema de alimentación ininterrumpida (SAI).

Mecanismos más avanzados contemplarían sistemas de videovigilancia remota (TVCC) y la monitorización de la temperatura y del suministro eléctrico.

Capa de red
Es necesario reforzar la red y su perímetro, y para ello es recomendable:

• Configurar correctamente todos los elementos de la red.
• Configurar correctamente los switches2, bien mediante listas de control de accesos3, bien mediante bloqueo de puertos4, o bien mediante asignación de direcciones MAC5, con el objeto de evitar conexiones no deseadas.
• Segmentar la red de la oficina de farmacia mediante VLAN6 (redes virtuales) y aplicar mecanismos de filtrado entre subredes7, de manera que dispositivos no autorizados, bien vía wifi, bien vía ADSL particular, etc., no tengan acceso a los equipos con información sensible.
• Configurar el acceso wifi, en caso de que se disponga de él, de manera profesional, satisfaciendo todas las medidas de seguridad inalámbrica.
• Los accesos remotos al servidor o a las estaciones de trabajo, bien por parte del titular, bien por parte de los proveedores (empresas de informática, programas de gestión, etc.), deben ser gestionados mediante conexiones seguras y cifradas, tipo VPN8.
• Modificar los passwords por defecto9 de los diferentes elementos de la red y actualizar las versiones de software de los mismos.

Asimismo, sería recomendable incrementar los niveles de seguridad mediante otras medidas:
• La implantación de un equipo firewall10 o cortafuego (FW), debidamente configurado con listas de acceso (ACL) para controlar el tráfico entre la red de la oficina de farmacia y las redes externas, a partir de un conjunto de reglas establecidas.
• Mecanismos de detección y prevención de intrusiones (IDS/IPS)11, monitorizados de manera permanente, con el objeto de detectar o predecir accesos no autorizados mediante el reconocimiento de firmas de ataques12.
• Auditorías permanentes de la superficie expuesta mediante técnicas de pentesting13. Dada la continua aparición de vulnerabilidades y de nuevas versiones, de poco sirven las auditorías anuales o semestrales.

Capa de servidor/es y estaciones de trabajo
En esta capa son recomendables las siguientes medidas:
• Mantener los diferentes aplicativos actualizados con la última versión del fabricante, dado que muchas de ellas solventan bugs14 de seguridad publicados y de fácil explotación.
• Disponer de un buen software antimalware15, también permanentemente actualizado.
• Realizar un uso profesional de las estaciones de trabajo, accediendo a webs profesionales y seguras.
• Evitar mantener abiertos servicios16 por defecto, no necesarios, que son normalmente vías de posibles ataques.
• Asimismo, sería recomendable incrementar los niveles de seguridad del servidor mediante sistemas de prevención de intrusiones (HIPS)17 debidamente monitorizados.

Capa de aplicación
En esta capa son recomendables las siguientes medidas:
• Mantener los diferentes aplicativos actualizados con la última versión del fabricante.
• Asegurar una correcta configuración de los protocolos, como smtp, dns...
• Implantar una adecuada política de autentificación mediante contraseña y un segundo factor de autentificación. La efectividad de los sistemas de seguridad basados sólo en usuario y password es claramente mejorable.
• Minimizar los privilegios, de manera que cada elemento disponga únicamente de los privilegios necesarios para su operativa. No todos los usuarios necesitan utilizar todos los servicios del sistema.

Capa de datos
Dada la sensibilidad de algunos de los datos, así como la criticidad de otros necesarios para garantizar la continuidad de la operativa de la oficina de farmacia, es recomendable:
• Realizar un estricto control de acceso a los datos, de manera que sólo sean accesibles desde dispositivos y aplicaciones autorizados.
• Proteger los datos mediante técnicas de encriptación.
• Realizar diariamente copias de seguridad encriptadas, debidamente monitorizadas, en infraestructuras externas (CPD, Cloud...).

Capa humana
Los usuarios suelen ser el eslabón más débil de la cadena, sea por posibles actos maliciosos o por desconocimiento y falta de concienciación. Son normalmente uno de los puntos más vulnerables y fáciles de atacar, mediante técnicas de ingeniería social18, phising19, etc.
• Es fundamental la formación y concienciación de los usuarios en materia de seguridad, dado que el sistema es tanto más seguro cuanto más lo sea su eslabón más débil.
• De nada sirve todo lo anterior si los usuarios que se conectan a la red de la oficina de farmacia tienen sus portátiles infectados con malware, con software no seguro o Apps no seguras en sus dispositivos móviles.

A grandes rasgos, éstas son las recomendaciones generales que una oficina de farmacia debería seguir para aumentar de forma sensible su seguridad. Es cierto que la especificidad del sector desde el punto de vista profesional y empresarial dificulta que los productos estandarizados existentes en el mercado se adapten a ella, por lo que es necesario que los proveedores hagan un análisis inicial de esas especificidades para diseñar productos y servicios adecuados, útiles y competitivos en precio.
El peligro de ataques cibernéticos es real. La percepción del peligro que representan para el buen funcionamiento es una cuestión personal del responsable de la farmacia, y las decisiones sobre el riesgo que es capaz de asumir cada farmacéutico son intransferibles, pero lo que es incontestable es que la peor elección frente a esa realidad es imitar a los avestruces, porque de ciberseguridad no saben nada.

Avestruces glosario 2

 

Valorar este artículo
(1 Votar)
Francesc Pla Santamans

Farmacéutico comunitario. Director de El Farmacéutico

Dejar un comentario

En el último número de la revista...

xxxxxx

Vuelve Infarma, la cita más importante de la farmacia en España. En esta edición le corresponde al Col·legi de Farmac&egrav ...

La teoría darwiniana de la supervivencia del más fuerte ha sido rebatida por varios autores/as y científicos/as que ofrecen una vi ...

Jordi de Dalmases preside Infarma por última vez. En esta entrevista expresa su satisfacción por haber participado del éxito del c ...

Francisca Aranzana es consciente de su responsabilidad como directora de Infarma, pero sabe que juega con buenas cartas para conseguir el éxito. ...

Un médico «influencer» será este año el encargado de pronunciar la conferencia inaugural de Infarma. Como no pod&iacut ...

Desde hace 37 años, Àngel Torres Sancho es titular de la farmacia del municipio de Santa Eulàlia de Riuprimer, situado en la comar ...

Recuerdo cuando en mi infancia escuchaba la frase siguiente: «Ya te enterarás de lo que vale un peine...». Mi asociación de i ...

Disponer de una sanidad de calidad requiere de una colaboración estrecha entre todos los agentes sanitarios y también entre niveles asist ...

Prevención de caídas en personas mayores y uso de ayudas técnicas

Aitor Aparicio Sierra, Silvia Maeso de la Fuente,
Cursos

La Organización Mundial de la Salud (OMS) define el término «caída» como el acontecimiento involuntario que hace perde ...

«Consulta de gestión patrimonial» es una sección dedicada a contestar preguntas que el farmacéutico se plantea diariam ...

Las Islas Canarias fueron un importante puerto de aprovisionamiento –vino entre otros productos– en la ruta de Europa hacia las Amér ...

Selección de las últimas novedades literarias.

...

Que para hacerse un buen profesional de la salud se necesita trabajar con pacientes lo saben ellos, los pacientes, mejor que nadie. Sin embargo, los qu ...

Matilde Ras (Tarragona 1881-Madrid 1969) es casi una desconocida incluso para los considerados como eruditos. No les suena el nombre. ¿Actriz, c ...

 

Lo más leído este mes

Proxamol: complemento alimenticio que contribuye al funcionamiento normal de las vías urinarias en hombres


Notifarma

A partir de los 50 años, más de la mitad de los hombres presentan molestias relacionadas con el funcionamiento…
Visto 9568 veces

Un «trasatlántico» en el océano farmacéutico


Un día en la farmacia de...

La farmacia de José Ibáñez en Gavà (Barcelona) es un verdadero desafío. Es como un gran trasatlántico que requiere…
Visto 1606 veces

Rinitis: ¿resfriado o alergia?


Protocolos en la farmacia

DefiniciónLa obstrucción nasal, los estornudos, la secreción de moco acuoso y/o la sensación de picazón en la nariz son…
Visto 1282 veces

Afecciones de la garganta


Protocolos en la farmacia

Definición y prevalenciaA menudo se presenta en la farmacia algún cliente que quiere consultar o pedir consejo sobre un…
Visto 1242 veces

«Debemos dejar de pensar tanto en nosotros mismos y empezar a participar con los pacientes en la toma de decisiones»


CANAL EF

Un médico «influencer» será este año el encargado de pronunciar la conferencia inaugural de Infarma. Como no podía ser…
Visto 1015 veces

Pacientes y usuarios de homeopatía se manifiestan en Bilbao, Santa Cruz de Tenerife y Zaragoza


Crónicas

Pacientes y usuarios de homeopatía han salido este fin de semana a las calles de Bilbao, Santa Cruz de…
Visto 982 veces

Realizada con éxito la primera prueba en real de verificación de medicamentos en una farmacia en España


Crónicas

El Sistema Español de Verificación de Medicamentos (SEVeM) ha llevado a cabo con éxito este lunes la primera prueba…
Visto 936 veces

Fallece Francisco Javier Guerrero, expresidente y cofundador de SEFAR


Crónicas

Este fin de semana ha fallecido Francisco Javier Guerrero, expresidente y cofundador de la Sociedad Española de Farmacia Rural…
Visto 848 veces

Revista El Farmacéutico

El Farmacéutico

La revista El Farmacéutico y su web son un producto de Ediciones Mayo, S.A. dedicado a la formación e información de los profesionales farmacéuticos. Los contenidos de la revista y la web requieren de una formación especializada para su correcta interpretación. En ningún caso la información proporcionada por El Farmacéutico reemplazará la relación de los profesionales farmacéuticos con los pacientes.