Profesión

Los avestruces no saben de ciberseguridad

Uno de los cambios más profundos de las sociedades modernas es el que ha provocado la irrupción de las tecnologías de la información y comunicación (TIC). Es una obviedad que internet ha cambiado la vida de las personas del mundo desarrollado y las condiciones en las que deben trabajar para aumentar su competitividad en los distintos sectores económicos. No es el objeto de este artículo glosar las oportunidades que ofrecen estas tecnologías, que son muchas, sino analizar y reflexionar sobre las nuevas obligaciones y responsabilidades que comporta la implantación de un cambio tan radical.

En esta última década, las oficinas de farmacia se han visto obligadas a incorporar las TIC de forma relevante en su operativa diaria. La implantación extensiva y exhaustiva de la receta electrónica en toda España ha significado un punto de inflexión en la tendencia alcista del grado de tecnificación del sector, lo que a su vez ha implicado que su dependencia de las TIC, tanto desde el punto de vista profesional como desde el empresarial, se haya incrementado de forma exponencial.

Cualquier análisis de las responsabilidades de las oficinas de farmacia en este ámbito deberá tener en cuenta que, como establecimiento sanitario que son, el manejo de sus datos deberá ajustarse a los estándares estrictos que dicta la nueva normativa europea en materia de protección de datos del Reglamento General de Protección de Datos de la UE (RGPD, 2016/679), y a la vez, como empresa altamente tecnificada que también es, deberá velar por el buen funcionamiento de sus infraestructuras informáticas y por la integridad de los datos necesarios para la correcta gestión de la empresa.

Avestruces2La penetración intensiva de las TIC en el quehacer diario de las farmacias ha generado nuevos sistemas de relación entre farmacias, colegios profesionales, asociaciones empresariales, administraciones, mayoristas y proveedores en un teatro de operaciones llamado «ciberespacio», integrado por el conjunto de sistemas de información, sistemas e infraestructuras de telecomunicaciones, internet, redes sociales y por los usuarios que interactúan con ellos. Este mundo «hiperconectado» abre, aún más si cabe, las puertas a la explotación de las vulnerabilidades de todas estas tecnologías con fines maliciosos. Tanto para la seguridad de la propia farmacia, como para las instituciones y empresas con las que las farmacias están permanentemente conectadas.

La explotación de las posibles vulnerabilidades de los sistemas de información, cada vez más expuestos a posibles ataques (tanto desde el exterior como desde el interior de las propias farmacias), puede conllevar importantes perjuicios económicos, sanciones, así como graves deterioros en la reputación frente a los clientes y a la Administración.

A nuestro entender, con demasiada frecuencia se oyen voces (sobre todo entre los usuarios domésticos y también entre los profesionales autónomos y las pequeñas y medianas empresas, a diferencia de las grandes corporaciones, que, de forma mayoritaria y sistemática, dedican recursos importantes a blindar sus sistemas de información) que proclaman la idea de que lo natural es convivir en un estado de inseguridad.

«La inseguridad en el ciberespacio es inevitable.» Es peligroso que esta afirmación se convierta en un mantra que consolide la creencia de que la inversión en ciberseguridad es un gasto superfluo y que el único método posible para afrontar esta situación es cruzar los dedos. Existe una diferencia crucial entre afirmar que la seguridad absoluta no existe (por lo que las ofertas de servicios que lo aseguren no son creíbles) y asumir como algo inevitable la vulnerabilidad. No saber diferenciar entre lo uno y lo otro puede derivar en perjuicios muy importantes para las farmacias.

Garantizar la invulnerabilidad es una exageración que puede rozar la irresponsabilidad, pero tampoco es responsable afirmar que es imposible intervenir de forma efectiva para reducir los riesgos y minimizar los perjuicios. Tampoco es acertado pensar que la oficina de farmacia no tiene «interés» para los cibercriminales, lo que proporciona una falsa sensación de seguridad que es un gran aliado para los que nos pueden atacar. Las farmacias y las organizaciones a las que están conectadas siempre son susceptibles de ser atacadas por los datos sensibles que manejan.

Es importante destacar que se puede y se debe actuar frente a las amenazas existentes. Las farmacias deben asumir que este escenario en el que tienen que ejercer su profesión también comporta inversiones de tiempo y dinero en el campo de la ciberseguridad, y deben buscar productos que, minimizando en lo posible su inversión, maximicen la seguridad de su entorno tecnológico.

Estrategias para maximizar la seguridad
¿Qué producto debe buscar una farmacia para lograr este objetivo? Lamentablemente, no existe un producto único o una fórmula magistral que pueda resolver todos los posibles problemas de seguridad, pero sí existen estrategias orientadas a minimizar las amenazas, a detectar posibles ataques y a disponer de mecanismos de respuesta y recuperación.

Entre las distintas estrategias que se aplican en el ámbito de la ciberseguridad, la estrategia de defensa en profundidad1 es aquella que implementa diferentes mecanismos y estrategias que se complementan entre sí, con el objeto de que, en caso de vulneración de uno de los mecanismos, no se vea comprometida la totalidad del sistema.

Es recomendable establecer mecanismos que cubran las distintas capas de un sistema de información: capa física, capa de red, servidores y estaciones de trabajo, capa de aplicación, capa de datos y, finalmente, la capa humana.

Antes de implantar sofisticados mecanismos, dispositivos y herramientas, es recomendable no empezar la casa por el tejado y optar por la implantación de un conjunto de mecanismos iniciales que ayudarán a mejorar la seguridad de cada uno de los diferentes niveles.

Avestruces3Capa física
La seguridad en esta capa debe contemplar el conjunto de medidas que impidan físicamente el fácil acceso a los sistemas de información centrales de la oficina de farmacia (servidores, equipos de comunicaciones, equipos de seguridad...) por parte de personas no autorizadas, pero también un conjunto de equipos que garanticen la operativa de dichos sistemas.

Es recomendable que los sistemas centrales estén ubicados en una dependencia dotada de un conjunto de requisitos, como:

• Control físico de acceso.
• Vigilancia mediante la propia alarma de la oficina de farmacia y con conexión a una central receptora de alarmas.
• Sistema de climatización.
• Cuadro eléctrico dedicado.
• Sistema de alimentación ininterrumpida (SAI).

Mecanismos más avanzados contemplarían sistemas de videovigilancia remota (TVCC) y la monitorización de la temperatura y del suministro eléctrico.

Capa de red
Es necesario reforzar la red y su perímetro, y para ello es recomendable:

• Configurar correctamente todos los elementos de la red.
• Configurar correctamente los switches2, bien mediante listas de control de accesos3, bien mediante bloqueo de puertos4, o bien mediante asignación de direcciones MAC5, con el objeto de evitar conexiones no deseadas.
• Segmentar la red de la oficina de farmacia mediante VLAN6 (redes virtuales) y aplicar mecanismos de filtrado entre subredes7, de manera que dispositivos no autorizados, bien vía wifi, bien vía ADSL particular, etc., no tengan acceso a los equipos con información sensible.
• Configurar el acceso wifi, en caso de que se disponga de él, de manera profesional, satisfaciendo todas las medidas de seguridad inalámbrica.
• Los accesos remotos al servidor o a las estaciones de trabajo, bien por parte del titular, bien por parte de los proveedores (empresas de informática, programas de gestión, etc.), deben ser gestionados mediante conexiones seguras y cifradas, tipo VPN8.
• Modificar los passwords por defecto9 de los diferentes elementos de la red y actualizar las versiones de software de los mismos.

Asimismo, sería recomendable incrementar los niveles de seguridad mediante otras medidas:
• La implantación de un equipo firewall10 o cortafuego (FW), debidamente configurado con listas de acceso (ACL) para controlar el tráfico entre la red de la oficina de farmacia y las redes externas, a partir de un conjunto de reglas establecidas.
• Mecanismos de detección y prevención de intrusiones (IDS/IPS)11, monitorizados de manera permanente, con el objeto de detectar o predecir accesos no autorizados mediante el reconocimiento de firmas de ataques12.
• Auditorías permanentes de la superficie expuesta mediante técnicas de pentesting13. Dada la continua aparición de vulnerabilidades y de nuevas versiones, de poco sirven las auditorías anuales o semestrales.

Capa de servidor/es y estaciones de trabajo
En esta capa son recomendables las siguientes medidas:
• Mantener los diferentes aplicativos actualizados con la última versión del fabricante, dado que muchas de ellas solventan bugs14 de seguridad publicados y de fácil explotación.
• Disponer de un buen software antimalware15, también permanentemente actualizado.
• Realizar un uso profesional de las estaciones de trabajo, accediendo a webs profesionales y seguras.
• Evitar mantener abiertos servicios16 por defecto, no necesarios, que son normalmente vías de posibles ataques.
• Asimismo, sería recomendable incrementar los niveles de seguridad del servidor mediante sistemas de prevención de intrusiones (HIPS)17 debidamente monitorizados.

Capa de aplicación
En esta capa son recomendables las siguientes medidas:
• Mantener los diferentes aplicativos actualizados con la última versión del fabricante.
• Asegurar una correcta configuración de los protocolos, como smtp, dns...
• Implantar una adecuada política de autentificación mediante contraseña y un segundo factor de autentificación. La efectividad de los sistemas de seguridad basados sólo en usuario y password es claramente mejorable.
• Minimizar los privilegios, de manera que cada elemento disponga únicamente de los privilegios necesarios para su operativa. No todos los usuarios necesitan utilizar todos los servicios del sistema.

Capa de datos
Dada la sensibilidad de algunos de los datos, así como la criticidad de otros necesarios para garantizar la continuidad de la operativa de la oficina de farmacia, es recomendable:
• Realizar un estricto control de acceso a los datos, de manera que sólo sean accesibles desde dispositivos y aplicaciones autorizados.
• Proteger los datos mediante técnicas de encriptación.
• Realizar diariamente copias de seguridad encriptadas, debidamente monitorizadas, en infraestructuras externas (CPD, Cloud...).

Capa humana
Los usuarios suelen ser el eslabón más débil de la cadena, sea por posibles actos maliciosos o por desconocimiento y falta de concienciación. Son normalmente uno de los puntos más vulnerables y fáciles de atacar, mediante técnicas de ingeniería social18, phising19, etc.
• Es fundamental la formación y concienciación de los usuarios en materia de seguridad, dado que el sistema es tanto más seguro cuanto más lo sea su eslabón más débil.
• De nada sirve todo lo anterior si los usuarios que se conectan a la red de la oficina de farmacia tienen sus portátiles infectados con malware, con software no seguro o Apps no seguras en sus dispositivos móviles.

A grandes rasgos, éstas son las recomendaciones generales que una oficina de farmacia debería seguir para aumentar de forma sensible su seguridad. Es cierto que la especificidad del sector desde el punto de vista profesional y empresarial dificulta que los productos estandarizados existentes en el mercado se adapten a ella, por lo que es necesario que los proveedores hagan un análisis inicial de esas especificidades para diseñar productos y servicios adecuados, útiles y competitivos en precio.
El peligro de ataques cibernéticos es real. La percepción del peligro que representan para el buen funcionamiento es una cuestión personal del responsable de la farmacia, y las decisiones sobre el riesgo que es capaz de asumir cada farmacéutico son intransferibles, pero lo que es incontestable es que la peor elección frente a esa realidad es imitar a los avestruces, porque de ciberseguridad no saben nada.

Avestruces glosario 2

 

Valorar este artículo
(1 Votar)
Francesc Pla Santamans

Farmacéutico comunitario. Director de El Farmacéutico

Dejar un comentario

En el último número de la revista...

xxxxxx

La sociedad desarrollada en la que vivimos nos proporciona multitud de productos y servicios que nos hacen la vida más cómoda. Muchos m&a ...

En España, la farmacia comunitaria no es una mera dispensadora de medicamentos. También presta cuidados de salud, servicios asistenciales ...

Tras 8 años en el cargo, Francisco Javier Guerrero dejó de ser presidente de la SEFAR el pasado mes de marzo, pero sigue estrechamente vi ...

Bienestar digestivo

Joaquim Braun, Alba Cuxart,
Profesión

Nuestro sistema digestivo es la vía directa de entrada de un gran número de sustancias y microorganismos, principalmente a través ...

La Asociación Internacional para el Estudio del Dolor (IASP por sus siglas en inglés) lo define como «una experiencia sensorial o e ...

Hablar de cáncer supone abarcar un conjunto de más de 200 enfermedades con características epidemiológicas y clínica ...

Depresión

Elena Rivas Díez, Víctor Rivas Díez, Nuria Mielgo García, Beatriz Casas Torcida, Raquel Ramos Pérez, Ramón Valdés Solís Fernández de Retana,
Cursos

La depresión se presenta como un conjunto de síntomas de predominio afectivo (tristeza patológica, apatía, desesperanza, de ...

En nuestro artículo anterior (El Farmacéutico, n.º 565) recordamos la existencia de la figura del «jubilado activo&ra ...

Eterna tesitura la que planteamos en el titular de nuestra tribuna empresarial de este mes. Podemos considerar que este abanico de posibilidades revolo ...

«Consulta de gestión patrimonial» es una sección dedicada a contestar preguntas que el farmacéutico se plantea diariam ...

Cuando te invitan a visitar una bodega en compañía del propietario y elaborador es difícil negarse. Hace un par de meses, en pleno ...

Selección de las últimas novedades literarias.

...

A Josefa le gustaba escribir poesías para una hija que nunca las pudo escuchar. Ahora le tiembla la mano, las letras no le salen como a ella le ...

«Si quieres saber quiénes son tus amigos, haz que te metan en la cárcel». Esta frase la leí en cierta ocasión, ...

 

Lo más leído este mes

Farmacéutico de familia: un nuevo servicio de los farmacéuticos comunitarios belgas


La farmacia en el mundo

BélgicaEn este país, con unos 11,5 millones de habitantes y 4.875 farmacias comunitarias, los pacientes casi siempre tienen cerca…
Visto 14184 veces

Los farmacéuticos destacan su papel como expertos en el medicamento en la conmemoración de su día mundial


Crónicas

Los 72.500 farmacéuticos colegiados españoles celebran hoy su día mundial, conmemoración organizada por la Federación Internacional Farmacéutica (FIP). Este…
Visto 5694 veces

Estudiar una segunda carrera


El color de mi cristal

Laura Tuneu y Amaia González estudiaron Farmacia, pero ambas han decidido reorientar su carrera profesional. Laura es ahora médico…
Visto 3384 veces

Botiquín del viajero


Profesión

Llega el verano, el buen tiempo y las vacaciones. Algunas personas cambian temporalmente de residencia y otras se preparan…
Visto 2033 veces

«Los farmacéuticos tenemos que estar muy orgullosos de ser lo que somos»


CANAL EF

El pasado mes de junio Jesús Aguilar renovó su cargo al frente del Consejo General de Colegios Oficiales de…
Visto 1903 veces

Enfermedad de Parkinson


Cursos

La enfermedad de Parkinson es un proceso crónico y degenerativo neuronal progresivo del sistema nervioso central (SNC) que conlleva…
Visto 1867 veces

Nace la red de farmacias Luda para cubrir desabastecimientos y solucionar la compra online


Notifarma

El principal reto de la farmacia española es combatir a los nuevos jugadores sobre el terreno de la distribución…
Visto 1570 veces

La gestión de horarios y turnos en verano


Gestión para novatos

Cuando llega la época estival, también comienza el reparto de vacaciones y turnos del personal de la farmacia. Este…
Visto 1461 veces

Revista El Farmacéutico

HTML 5La revista El Farmacéutico y su web son un producto de Ediciones Mayo, S.A. dedicado a la formación e información de los profesionales farmacéuticos. Los contenidos de la revista y la web requieren de una formación especializada para su correcta interpretación. En ningún caso la información proporcionada por El Farmacéutico reemplazará la relación de los profesionales farmacéuticos con los pacientes.