El sector sanitario es uno de los más vulnerables a los ciberataques, al mismo tiempo que la digitalización en el sector sanitario avanza, y las soluciones digitales o los registros electrónicos sustituyen continuamente a los procesos basados en papel. La transformación afecta a los servicios a lo largo de toda la cadena de prestación de asistencia sanitaria, como la medicación, la programación de citas, los historiales de los pacientes, la atención hospitalaria y ambulatoria, así como la monitorización hospitalaria.

La digitalización ofrece nuevas soluciones para mejorar la atención al paciente y conseguir la excelencia operativa. Las soluciones en la nube para servicios sanitarios ofrecen una excelente oportunidad para aumentar la eficiencia operativa, recortar gastos en TI y mejorar la ciberseguridad. Esto se debe a que los proveedores de servicios en la nube disponen de recursos como personal, conocimientos de tecnología y medios financieros para mejorar continuamente la ciberseguridad y la protección de datos.

Una mayor integración de los servicios de computación en nube en el sector sanitario también plantea problemas de seguridad y protección de datos. Por ello, este informe pretende contribuir a garantizar la seguridad de la nube en el sector sanitario.

Objetivo

El objetivo general de este informe es proporcionar al público destinatario un conjunto de directrices para garantizar la ciberseguridad y la seguridad del tratamiento de datos personales en la contratación de servicios en la nube para la prestación de servicios sanitarios, así como una comprensión clara de las responsabilidades correspondientes.

Los objetivos son proporcionar una visión general del panorama de los instrumentos legislativos aplicables de la UE pertinentes para los servicios en la nube en el sector sanitario y los principales retos de ciberseguridad y protección de datos de los clientes de servicios del sector sanitario.

Estudio

El ámbito del estudio son los servicios en nube que apoyan el ecosistema más amplio de la sanidad electrónica, como los servicios e instalaciones sanitarios, los dispositivos y equipos médicos, los servicios médicos o la atención gestionada. El estudio se centra en mostrar las amenazas, medidas y responsabilidades pertinentes mediante el análisis de tres casos de uso representativos:

• La historia clínica electrónica
• La teleasistencia
• Los dispositivos médicos

El conjunto de directrices para la seguridad en la nube de los servicios sanitarios se dirige principalmente a los clientes de la nube, como organizaciones sanitarias o fabricantes de dispositivos médicos. El estudio, la investigación y los resultados se centran en la Unión Europea y los Estados miembros de la Asociación Europea de Libre Comercio (AELC).

Metodologia

Paso 1

Investigación documental: Amplia investigación documental para recopilar información que identifique los servicios en la nube que dan soporte a los servicios sanitarios, las amenazas a la seguridad en la nube y los controles de seguridad para proporcionar seguridad en la nube a los servicios sanitarios en general y durante el proceso de contratación.

Paso 2

Cuestionario y entrevistas semiestructuradas: Expertos y representantes del sector sanitario y de la tecnología en la nube de la red de expertos de ENISA han proporcionado información sobre los servicios sanitarios basados en la nube, sus riesgos y oportunidades asociados, los requisitos de seguridad y ciberseguridad en la nube en general, y las medidas de ciberseguridad y protección de datos aplicadas o identificadas desde su punto de vista. Se han realizado entrevistas para recoger valiosas aportaciones adicionales de los expertos.

Paso 3

Análisis: El análisis de los resultados de los pasos 1 y 2 proporciona información para el informe y sus objetivos. Este paso contribuye a la identificación de los retos de seguridad y a la validación de los casos de uso. Basándose en los resultados del análisis, se ha redactado el primer borrador del informe.

Paso 4

Revisión y validación: El último paso comprende la revisión y validación por parte del grupo de expertos de ENISA. Se redacta la versión final del informe, teniendo en cuenta los comentarios de los expertos.

Estructura del documento

Sección 1 – Introducción:

Proporciona información introductoria sobre el informe y describe el alcance, los objetivos, el público objetivo y la metodología aplicada.

Sección 2 - Servicios en la nube en el sector sanitario:

Describe la terminología, las características y las responsabilidades de los servicios en la nube. Incluye una visión general de los servicios en la nube en la sanidad identificados mediante investigación documental y entrevistas.

Sección 3 - Consideraciones de ciberseguridad en la nube para la sanidad:

Consideraciones de ciberseguridad y protección de datos para el uso de la nube en los servicios sanitarios. También incluye una taxonomía de amenazas basada en la guía de contratación de ENISA.

La sección 4 - Casos de uso:

Muestra una descripción de los posibles casos de uso, los factores que deben tenerse en cuenta al realizar los respectivos análisis de riesgos en términos de probabilidad de riesgo e impacto, y las medidas de seguridad adecuadas, pertinentes para el tratamiento de datos personales, para la mitigación de riesgos.

Sección 5 - Medidas de seguridad en la nube para la asistencia sanitaria:

Enumera y presenta medidas para garantizar la seguridad en la nube de los servicios de asistencia sanitaria, incluidas consideraciones adicionales sobre protección de datos.

Puede acceder al documento completo en la página de la Agencia de ciberseguridad de la Unión Europea, haciendo clic aquí.