Edgard Ansola, director de seguridad de ASEPEYO.Consejos básicos para un BYOD Bring Your Own Device seguro

Como Consultoría de Servicios Integrales de Seguridad http://siseguridad.es SISEGURIDAD from Julian Flores @juliansafety on Vimeo.

  • Segurpricat Seguridad internacional

    www.segurpricat.com/

    Tenemos como objetivos Segurpricat: La consultoria, planificación y asesoramiento en materias de actividades de Seguridad privada.

  • Segurpricat: La Empresa

    www.segurpricat.com.es/

    Segurpricat Consulting Consultoria de Seguridad Internacional le asesoramos en el de su empresa: Consideramos como parte fundamental del servicio de …

  • CONTÁCTENOS – Segurpricat

    www.segurpricat.com.es/contactenos

    Si esta interesado en los Servicios que desarrolla Segurpricat Consulting., rellene este formulario. Si desea una entrevista en nuestra oficina con horas …

  • QUIÉNES SOMOS? – Segurpricat – Segurpricat

    www.segurpricat.com.es/es/segurpricat/quienes-somos

    Segurpricat Consulting Quiénes somos. Segurpricat Consulting es una empresa de Servicios especializados de consultoria de seguridad nacional siendo su …

Consejos básicos para un BYOD Bring Your Own Device seguro: correo electrónico http://wp.me/p2n0XE-4vJ via @juliansafety

Entrevista con… Edgard Ansola, director de seguridad de ASEPEYO

06/04/2015, por INCIBE

Cuenta con veinte años de experiencia profesional en el sector de las TIC, quince de ellos en el mundo de la seguridad de la información. Actualmente ocupa la posición de Director del área funcional de Seguridad de la Información en Asepeyo. Está diplomado en informática de gestión, (casi) graduado en psicología y con un master en auditoria informática. Habilitado como perito judicial tecnológico. Dispone de las certificaciones Certified Information Systems Auditor (CISA), Certified Information Systems Security Professional (CISSP), Certified Ethical Hacker (CEH), CCNA-Security y ISO27001 Lead Auditor.

1. Si para cualquier empresa la información que maneja es de vital importancia, en el caso de Asepeyo que su información está relacionada con salud, aún más. En ese sentido, ¿en qué líneas se orienta el reto de proteger la información cuando ésta es tan sensible?

Efectivamente, en el sector de las mutuas colaboradoras con la Seguridad Social, la información sanitaria es uno de los principales activos a proteger. No obstante, si bien la historia clínica del paciente constituye el núcleo de la información que gestionamos, no podemos quitarle importancia a la información de carácter económico-administrativa que se deriva de un accidente de trabajo, una enfermedad profesional o una contingencia común, así como aquella relacionada con las distintas prestaciones económicas que debemos atender (ayudas sociales, cuidado del menor, riesgo durante el embarazo, cese de actividad de autónomos, etc.). Centrándonos en la información sanitaria, su protección, tanto en soporte electrónico como en soporte papel, se articula alrededor de un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001. El alcance del SGSI abarca los sistemas de información que soportan los servicios de asistencia sanitaria y los servicios de apoyo asistencial, diagnóstico y terapéutico de nuestra red de centros asistenciales y hospitales. A través del SGSI se articulan las distintas medidas y controles que nos permiten mantener un nivel óptimo de seguridad. A grandes rasgos los objetivos que a corto plazo nos hemos marcado son:

  • Garantizar la disponibilidad de la historia clínica electrónica por cuanto disponemos de dos hospitales propios y varios centros asistenciales con un horario de atención 24 horas x 7 días a la semana.
  •  Potenciar el intercambio electrónico de información con terceros (centros concertados, mutuas colaboradoras, servicios públicos de salud, etc.) de forma segura.
  • Disponer de una trazabilidad total de las actuaciones realizadas sobre la historia clínica que nos permita, entre otras finalidades, la identificación de usos ilegítimos o injustificados.

2. Hemos hablado de que manejan información relacionada con la salud, principalmente a través de historias clínicas de pacientes. ¿Cómo ha evolucionado la forma de proteger este tipo de información?

Desde sus inicios, hace más de quince años, la historia clínica en formato electrónico ha estado conviviendo con una cantidad importante de documentación en soporte papel. A medida que la tecnología y las comunicaciones han ido evolucionando, el volumen de documentación en formato papel se ha reducido drásticamente. A día de hoy toda la información que se incorpora en la historia clínica se encuentra íntegramente en formato electrónico. Paralelamente, toda la red asistencial está haciendo un esfuerzo importante en la digitalización de la documentación sanitaria que todavía existe en formato papel. El despliegue de la imagen digital diagnóstica, soportada en sistemas PACS (Picture Archiving and Communication System), así como la mejora de las prestaciones de las redes de comunicaciones, han sido los aspectos determinantes que nos han permitido alcanzar el escenario actual. De un escenario en el que la documentación sanitaria estaba físicamente distribuida por toda la red asistencial, hemos pasado a uno en el que la información está centralizada bajo un entorno virtualizado. En este sentido, también podríamos añadir las ventajas que representa la externalización de la gestión de la infraestructura tecnológica. En este contexto, la gestión de la seguridad de la información resulta mucho más eficiente y eficaz, por cuanto únicamente nos tenemos que centrar en la vertiente digital de la información.

Edgard Ansola

3. En un sector tan complejo como en el de la salud, ¿cómo impacta la subcontratación de servicios en la gestión de la seguridad?

En nuestro caso particular, y desde la perspectiva estrictamente tecnológica, el proveedor de servicios TIC tiene un papel esencial en la gestión de la seguridad de la infraestructura y las comunicaciones. En este contexto de externalización de servicios, es primordial que aspectos clave como son las competencias y responsabilidades de ambas partes, el seguimiento y control de los indicadores de nivel de servicio y la organización de la seguridad estén claramente definidos. La posibilidad de abstraernos del ámbito más tecnológico de la infraestructura nos permite centrar nuestra atención en aquellos aspectos de la seguridad de la información inherentes a nuestra actividad y a la información que tratamos. Obviamente hay que contar con proveedores que acrediten capacidad, conocimiento y experiencia acorde a nuestros requerimientos. Desde esta perspectiva, nuestro proveedor de servicios TIC está especializado en el sector sanitario y sus servicios están certificados bajo la norma ISO27001.

4. En una organización compleja como la suya, que cuenta con más de 150 centros repartidos por la geografía española y con más de 3.000 empleados, ¿cómo han conseguido la implicación del personal en la protección de la información que manejan diariamente?

En general contamos con un personal especialmente sensibilizado con la confidencialidad de la información que maneja. En ocasiones quizás extremadamente celoso de ella. En nuestro sector, la información sanitaria que tratamos está estrechamente relacionada con el ámbito económico-laboral del paciente. Esta particularidad, propia de la relación a tres partes que se establece entre mutua-empresa-trabajador, nos obliga a delimitar fronteras muy claras y concisas respecto a la información que corresponde conocer a cada una de las partes implicadas. En este sentido, el deber de secreto, característico del código ético y deontológico de la profesión médica, tiene mucho que ver. No obstante, a pesar del satisfactorio grado de concienciación de la organización, existen una serie de acciones de carácter pedagógico y divulgativo que pretenden fomentar y reforzar esta cultura de la seguridad de la información. En el plano puramente formativo, destacaríamos la acción formativa virtual en materia de seguridad de la información y protección de datos que todo empleado está obligado a realizar durante los primeros meses tras su incorporación. De forma complementaria, recientemente se ha puesto a disposición del personal administrativo una acción formativa específica para este colectivo. En ella se abordan, con un carácter eminentemente práctico y mediante técnicas de juego de roles, diversas situaciones que reflejan su día a día. También se llevan a cabo sesiones específicas en materia de seguridad de la información integradas en las acciones formativas presenciales dirigidas a los directores de centro asistencial.

Con un carácter más divulgativo, en la intranet corporativa se publican de forma periódica unas breves animaciones que, a través de la exposición de casos prácticos, describen cómo se debe actuar en determinados supuestos. Durante las auditorías de seguridad que se llevan a cabo en los centros asistenciales, uno de los objetivos que se persiguen es la divulgación y aclaración de los aspectos de seguridad de la información con los usuarios. Por último, también se presta especial interés en que todo el personal conozca la política de seguridad de la información corporativa y la distinta normativa de seguridad asociada a ésta.

Fruto de esta cultura de la seguridad, los canales de comunicación especialmente habilitados para plantear dudas, inquietudes, sugerencias, etc. relacionadas con la seguridad de la información son usados de forma habitual por el personal. Es habitual que determinadas situaciones detectadas y reportadas desde la red asistencial supongan la implantación de medidas y controles de seguridad a nivel corporativo.

5. ¿Qué iniciativas en ciberseguridad ha abordado Asepeyo recientemente? ¿Cuáles tiene previsto abordar en un futuro?

Desde hace escasos meses se ha completado el despliegue de una herramienta de gestión centralizada de certificados digitales. Teniendo en cuenta el notable impulso de las gestiones telemáticas con distintos organismos públicos, resultaba imprescindible disponer de un sistema que nos facilitase la administración de los certificados digitales existentes, así como el registro de las operaciones de autenticación y firma realizadas diariamente. Actualmente estamos inmersos en plena fase de despliegue de una nueva solución antimalware en toda la infraestructura tecnológica (servidores, estaciones de trabajo, etc.). En paralelo, también estamos desplegando una nueva plataforma corporativa que no requiere almacenar físicamente ningún dato en la estación de trabajo (ni tan solo el sistema operativo basado en Linux) al estar virtualizadas bajo Citrix. Desde la perspectiva de seguridad hemos aislado aún más los sistemas corporativos del terminal físico. Las aplicaciones y configuraciones locales se cargan al iniciar el equipo a partir de la imagen que reside en el servidor. Esto facilita enormemente el control, distribución y actualización del software de la estación. También se ha integrado una capa de transferencia o intercambio de datos con sistemas externos (dispositivos de almacenamiento, web, etc.) en la que se realizan acciones de filtrado, registro, análisis, etc. de todos los archivos que entran o salen de la red corporativa.

En las próximas semanas se desplegará en toda la organización un servicio que permitirá certificar, con validez legal, la entrega y el contenido de todo correo electrónico enviado a direcciones externas.

Durante el segundo trimestre está planificada la implantación de una nueva aplicación de gestión y administración de identidades. Esta solución nos permitirá una gestión más eficiente de las políticas en materia de accesos, privilegios, roles, etc. de los usuarios.

Por último, y no menos importante, dada la especial relevancia que las TIC tienen en nuestra organización, también tenemos previsto abordar durante este año el desarrollo de un plan de continuidad de negocios (PCN) alineado con los importantes cambios realizados sobre la infraestructura tecnológica.

6. ¿Cómo ve el futuro de la ciberseguridad en su sector?

Para ser sincero no me atrevería a hacer ningún pronóstico. Recientemente he leído que los datos sanitarios despiertan cada vez más interés para los ciberdelincuentes. Los ataques que acaban siendo noticia (mucho me temo que sólo alcanzamos a conocer la parte visible del iceberg) son cada vez más sofisticados y claramente dirigidos. Por ese motivo no hay que descartar que el sector sanitario empiece a verse afectado. La verdad es que últimamente estamos percibiendo un incremento significativo en la detección de malware a través del correo electrónico, visitas a páginas web, etc. En todo caso, e independientemente de la forma en que ésta se produzca, la fuga de información sanitaria es una de las amenazas que más preocupa a nuestro sector.

INCIBE – Instituto Nacional de Ciberseguridad

https://www.incibe.es/

INCIBE pone a tu disposición todos los recursos relacionados con la ciberseguridad, para que te protejas ante los peligros de la red.

Qué es INCIBE – Quiénes somos

Página de inicio de Qué es INCIBE. Quiénes somos. Organigrama …

Qué hacemos

Qué hacemos. La actividad de INCIBE se apoya en tres pilares …

Guías y Estudios

Estas guías y estudios tienen como finalidad aportar tanto …

Avisos de seguridad

CERTSI … Blog · Alerta Temprana … Estos avisos de seguridad …

Perfil de contratante

Perfil de contratante. El Instituto Nacional de Ciberseguridad de …

Respuesta y Soporte

INCIBE da respuesta y soporte en temas de seguridad informática …

Siseguridad Hoteles

www.siseguridad.eu/

Siseguridad Hoteles

www.siseguridad.eu/

26 de mar. de 2015 – Inicio Consultoria de seguridad Segurpricat Siseguridad Consulting “Care on Safety” es una empresa de servicios especializados de …

26 de mar. de 2015 – Inicio Consultoria de seguridad Segurpricat Siseguridad Consulting “Care on Safety” es una empresa de servicios especializados de …

1 comentario

  1. Edgard Ansola, director de seguridad de ASEPEYO.Consejos básicos para un BYOD Bring Your Own Dev… http://wp.me/p2n0XE-4Bc @juliansafety ¿Cómo ve el futuro de la ciberseguridad en su sector?

    Para ser sincero no me atrevería a hacer ningún pronóstico. Recientemente he leído que los datos sanitarios despiertan cada vez más interés para los ciberdelincuentes. Los ataques que acaban siendo noticia (mucho me temo que sólo alcanzamos a conocer la parte visible del iceberg) son cada vez más sofisticados y claramente dirigidos. Por ese motivo no hay que descartar que el sector sanitario empiece a verse afectado. La verdad es que últimamente estamos percibiendo un incremento significativo en la detección de malware a través del correo electrónico, visitas a páginas web, etc. En todo caso, e independientemente de la forma en que ésta se produzca, la fuga de información sanitaria es una de las amenazas que más preocupa a nuestro sector.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s