Este artículo se hace con la finalidad de mostrar cómo sería determinar la categoría del sistema de información que, de conformidad con el artículo 40 del Esquema Nacional de Seguridad (RD 311/2022 de 3 de mayo), resulta aplicable a los sistemas de información que dan soporte a los servicios de monitorización de glucosa y sistemas de infusión de insulina que deben intervenir en la transmisión de los datos de salud y que, a su vez, han de integrarse con la historia clínica electrónica.
Antecedentes
Multitud de servicios y consejerías de salud optan por implantar este tipo de sistemas para mejorar la calidad de vida y la atención de los pacientes que sufren estos trastornos en los niveles de glucosa.
Y tal y como establece el artículo 2.3 del RD 311/2022 de 3 de mayo, y lo establece específicamente, «los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes declaraciones o certificaciones de conformidad con el ENS». La necesidad de cumplir con estos requisitos es lo que da pie a este informe técnico.
Consideraciones preliminares
Lo primero que este técnico quiere establecer es el motivo por el cual es fundamental categorizar un sistema de información correctamente.
La correcta determinación de la categoría de un sistema de información es un proceso fundamental, ya que de la categoría del sistema de información depende la selección de medidas de seguridad que un organismo debe seleccionar e implantar para proteger adecuadamente sus sistemas de información, porque con esto se minimiza el impacto (daño) que un incidente de seguridad provocaría.
Una mala categorización genera que el sistema de información pueda ser más vulnerable frente a las amenazas a las cuales el sistema se ve expuesto, ya que las medidas a implantar para protegerlo están vinculadas a esa categorización.
Documentación de referencia
Para la generación del presente informe se han tenido en consideración las siguientes disposiciones normativas:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Guía 803 valoración de un sistema de información en el ENS (Guía de Seguridad de las TIC CCN-STIC 803).
- Guía CCN-STIC-808 verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad.
Metodología
Para llevar a cabo la categorización del sistema de información que nos permita decidir en último término la categoría de seguridad que le corresponde, estos son los pasos que deben llevarse a cabo:
- Crearemos un modelo con lo que deberían tener los sistemas de información que dan soporte a los servicios de monitorización de glucosa y sistemas de infusión de insulina que han de intervenir en la transmisión de los datos de salud y que, a su vez, deben integrarse con la historia clínica electrónica.
- Valoraremos, según la Guía 803 del Centro Criptológico Nacional (CCN), la información y los servicios en las dimensiones de disponibilidad en caso de los servicios demandados; y la autenticidad, integridad, confidencialidad y trazabilidad en el caso de los datos.
- Determinaremos la categoría del sistema de información basándonos en la valoración que hayamos hecho de los diferentes niveles.
Para la categorización del sistema nos basaremos en las guías anteriormente mencionadas que han sido elaboradas por el CCN: Guía de seguridad de las TIC CCN-STIC 803 valoración de sistemas y CCN-STIC-808 verificación del cumplimiento de las medidas en el ENS.
Requerimientos
Estos requerimientos se han extraído de diferentes pliegos que los servicios de sanidad o las consejerías de salud han publicado recientemente (ver modelo de la siguiente página). Además, debe aparecer la exigencia de que haya un software para descargar datos de las bombas o los sensores, y que la descarga se haga a través de una plataforma web.
Sobre la base de dichos requerimientos que establece, he construido, como se verá a continuación, un sistema de información que contiene la infraestructura, la estructura de los datos y los procesos que serían necesarios para que este sistema cumpliese con esos requisitos.
Es un sistema simplificado, pero que contiene todos los datos necesarios para permitir realizar su categorización.
El sistema de información contará, al menos, con una base de datos, una tabla de usuarios con los datos de los pacientes, una tabla de sensores con los datos específicos de los diferentes tipos de sensores y sus características, una tabla donde el médico podrá configurar el número de mediciones y los parámetros de las mediciones que el sistema hacen sobre cada paciente, la periodicidad y los datos y, por último, una tabla en la que se guardan las mediciones de glucosa que se van haciendo.
Adicionalmente, la estructura de comunicaciones será:
- Los datos de la medición de glucosa en líquido intersticial podrían subir a la nube conectando el cable USB del lector del sensor o vía app. Tanto el lector como la app recibirán los datos del sensor por vía inalámbrica.
- Los datos de la medición de glucosa se guardarían en la nube y el facultativo los podría consultar para monitorizar al paciente y regular su tratamiento basándonos en esos datos. El backend emite periódicamente o a solicitud del médico un informe de un paciente y sobre la base de esos datos se toman decisiones que afectan al tratamiento de su enfermedad, como una modificación de la pauta de medicación con la insulina (horas de administración, dosis) o la recomendación de cambios dietéticos.
Uno de los objetivos esenciales es la «obtención de la mayor calidad posible en la asistencia prestada a los pacientes». Y para conseguir esa «mayor calidad de la atención», la plataforma de gestión de datos debe ser segura.
Por tanto, se considera necesaria y justificada la realización de las acciones precisas para la prestación de un servicio de control de glucosa para pacientes que estén afectados por diabetes mellitus de tipo I y II.
El «servicio de control de glucosa para personas con diabetes mellitus de tipo I y II» y ese control se materializa en la toma de decisiones y la regulación del tratamiento médico.
Categorización del sistema
Una vez determinados los datos que son necesarios y los servicios que se cubren a través del sistema de información vinculado a los sensores para monitorización de la glucosa en líquido intersticial de personas con diabetes, es necesario categorizar el sistema. Dicha categorización se realiza sobre la base del anexo I del ENS.
En este sentido, la norma establece como fundamentos para la determinación de la categoría de seguridad el impacto que nos produciría un incidente de seguridad de la información tratada para: alcanzar sus objetivos, proteger los activos a su cargo y garantizar la conformidad con el ordenamiento jurídico.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres ver el contenido completo?





