BYOD y protección de datos en salud

En la sociedad actual los dispositivos móviles son utilizados de forma habitual en el día a día para realizar todo tipo de tareas como compras online, teletrabajo o trámites bancarios.

En el sector sanitario ocurre lo mismo, donde muchos profesionales utilizan sus dispositivos personales para realizar labores clínicas, sin que estos Smartphones, Tablets u ordenadores portátiles sean aprobados por el departamento de TI.  

Esta práctica supone un riesgo para la seguridad de la información y se deben tomar medidas para facilitar que los médicos u otro personal sanitario puedan utilizar su propio dispositivo para el trabajo en un entorno adecuado de protección de datos en salud. 

Qué es BYOD 

BYOD o Bring Your Own Device significa traer tu propio dispositivo, y hace referencia a la nueva tendencia en el mundo empresarial que permite a los empleados utilizar sus propios dispositivos en el trabajo. 

Cuáles son las ventajas de BYOD 

Con BYOD las empresas fomentan el uso de esta práctica por parte de sus empleados para poder beneficiarse de todas sus ventajas. 

Los beneficios que aporta a una empresa el uso de dispositivos de los trabajadores en el centro de trabajo o para acceder a los portales y sistemas de la empresa son: 

• Incremento de la productividad y eficiencia del trabajador, al trabajar con sus propios equipos los cuales conocen perfectamente y manejan con gran soltura y velocidad. 
• Ahorro de costes al reducir la inversión en dispositivos de hardware, como ordenadores de oficina, teléfonos móviles, portátiles y tablets. 

BYOD en el sector salud 

El uso de dispositivos personales de los trabajadores en hospitales, laboratorios, centros de salud y cualquier otra ubicación sanitaria, conlleva una serie de riesgos y desafíos importantes.  

Protección de datos en salud 

En el sector salud se trabaja con datos sensibles de los pacientes, como es la información sobre enfermedades y tratamientos a los que se someten. El uso de dispositivos personales por parte del personal sanitario, sin que antes sean aprobados por el departamento de TI, supone un alto riesgo para toda esta información. 

Complejidad técnica 

Poder mantener todos los dispositivos personales que se utilizan en el sector sanitario dentro de los parámetros y políticas de la empresa, conlleva un gran esfuerzo debido a la mayor complejidad técnica que supone respecto a limitar el uso a los propios dispositivos. 

Este problema se escala mientras mayor es el número de usuarios que utilizan sus propios dispositivos, al ampliar la variedad de modelos, marcas y sistemas operativos que se deben integrar de forma segura en el sistema. 

El BYOD supone dejar de lado la estrategia de estandarización de la infraestructura TI, dando paso a una política más flexible que requiere de un mayor control y esfuerzo. 

Aumento de los costes 

Implementar BYOD podría suponer un incremento en los costes de implementación y mantenimiento. Las políticas de seguridad y los sistemas se deben adaptar para poder soportar diferentes tipos de dispositivos lo que implica la dedicación de más tiempo y el uso de herramientas que faciliten el control e integración.  

BYOD y la protección de datos

Las empresas son las responsables de la aplicación y medidas de seguridad para la protección de la información, lo que abarca a todos los dispositivos que se utilizan en el entorno laboral, incluyendo a los dispositivos privados. Las normativas de protección de datos sitúan a la empresa como máxima responsable de la seguridad por lo que debe aplicar medidas a nivel técnico y administrativo para garantizar un uso seguro de los dispositivos privados en el ámbito laboral. 

Para conseguir controlar y adaptar los dispositivos privados en el entorno laboral es necesario que la empresa ejerza un cierto nivel de control sobre los mismos, y así poder aplicar las medidas y políticas de protección adecuadas. Muchos usuarios supondrán una barrera a la hora de permitir que la empresa pueda realizar determinadas acciones en sus propios dispositivos, lo que presenta una situación compleja y conflictiva que debe resolverse. 

Por qué es necesario establecer una política BYOD

La mejor forma de poder implementar una filosofía BYOD en el sector sanitario es estableciendo una política clara y transparente sobre el uso de estos dispositivos personales para uso clínico. Esta política debe ser pública y el personal sanitario deberá aceptarla y dar su consentimiento explícito, para poder aplicarla sin posteriores problemas legales. 

Con estas políticas se deben establecer los límites de uso, el uso de contraseñas seguras, la activación automática de sistemas de bloqueo, el mantenimiento del sistema operativo y aplicaciones en sus últimas versiones, restricciones de permisos, medidas de actuación ante pérdida del dispositivo y uso de programas de protección como redes VPN o software antimalware, entre otras. 

Cómo diseñar una buena estrategia para la implementación de BYOD 

La protección de datos en salud es prioritaria para las empresas del sector, y abrazar una filosofía con un alto grado de apertura como BYOD supone un incremento de los riesgos y una disminución del control. 

Ya hemos visto la importancia de establecer una política clara y transparente sobre el uso de dispositivos privados en el ámbito laboral. Para poder llevar a cabo una estrategia de implementación de BYOD exitosa es necesario tener en cuenta algunos factores: 

• Involucrar al personal sanitario. Los usuarios son un elemento fundamental para poder implementar con éxito el uso de dispositivos personales en el ámbito clínico. En este aspecto, la información es básica para trasladar a los profesionales sanitarios los riesgos a los que se expone el sistema con BYOD y cuál es su nivel de importancia para la seguridad de los datos. Invertir en formación en seguridad es una medida deseada que facilitará la comprensión por parte del personal y facilitará la implementación de las políticas BYOD. 
• Limitar el almacenamiento local de datos. Los dispositivos personales que se utilizan en el trabajo, también son usados por el personal para otros usos privados. Almacenar información clínica en estos dispositivos no es una práctica que debe realizarse, siendo lo recomendado y el trabajo en la nube, e impedir el almacenamiento local de esa información sensible. 
• Controlar los dispositivos y accesos. Una buena gestión de BYOD debe incluir un registro de todos los dispositivos personales que se conecten o utilicen en el trabajo. Disponer de una base de datos con toda la información sobre estos dispositivos y sus datos de acceso al sistema, incrementará notablemente el control sobre los mismos y la seguridad global del sistema. 
• Forzar accesos seguros. Desde los dispositivos BYOD siempre se deben utilizar sistemas de accesos seguros. Esto puede incluir el uso de redes privadas virtuales (VPN), contraseñas seguras o sistemas de doble autenticación cifrados, por ejemplo. 
• Actualizar las políticas de seguridad. Las políticas que se utilizaban antes de la implementación de BYOD se deben actualizar para poder integrar el uso de los dispositivos personales. 

El uso de BYOD en el sector sanitario aporta numerosos beneficios, tanto a los profesionales sanitarios como a las empresas. Es necesario establecer una estrategia adecuada para poder implementar BYOD y minimizar los riesgos que lleva consigo, como la exposición de datos sensibles o el robo de credenciales que permita accesos no autorizados a las plataformas y sistemas. 

AMBIT BST

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.