30a Conferencia Anual Internacional IEEE EMBS Vancouver,

Columbia Británica, Canadá, 20-24 de agosto de 2008

Sobre la diversidad de los sistemas y mecanismos de seguridad en eSalud

Sasan Adibi, Gordon B. Agnew,Miembro, IEEE

TT
Resumen: este documento examina los requisitos de seguridad para
los registros de eHealth (Electronic Health) y las soluciones tecnológicas
actuales y futuras proporcionadas. Esto incluye los requisitos de
seguridad y privacidad (S&P) para diversos sistemas electrónicos de salud.
información, los marcos y estándares actuales
mantener manejo adecuado (procesamiento, almacenamiento
transmitiendo) y de dicha información sensible y los relacionados
arquitecturas de red.
YoNTRODUCCIÓN
METRO
un reto. Esto se vuelve más crítico para Electronic
Mantener la privacidad de la información siempre ha sido
Información de salud (eHealth), ya que tenemos que mantener la
privacidad, la seguridad y el anonimato de la información de los pacientes
y los médicos.
En la siguiente sección, analizaremos las amenazas y los problemas de
seguridad relacionados con la información de eHealth. Sección III
TT
ha sufrido algún tipo de modificación o retraso indebido en
Se deben utilizar procesamiento, funciones hash criptográficas y
marcas de tiempo con hash.
Amenaza a la autenticidad del usuario: Si un atacante puede
disfrazarse de usuario legítimo, la seguridad puede verse
comprometida. Los usuarios deben ser identificables y
autenticados de forma única por el sistema.
Amenaza a la disponibilidad: en este tipo de ataques, la integridad
del sistema se ve comprometida al hacer que no esté disponible para
los usuarios legítimos. Uno de esos ataques es un ataque de
denegación de servicio (DoS), en el que el atacante lanza una serie de
consultas continuas para inundar la red. Esto evita que los usuarios
legítimos tengan acceso al sistema. En los sistemas inalámbricos, la
interferencia del enlace de comunicaciones tendrá un efecto similar.
Amenaza al almacenamiento de datos: cuando se almacenan datos,

analiza los estándares y marcos de eSalud, y la sección IV examina deben protegerse contra accesos no autorizados, adiciones, eliminaciones

los requisitos del sistema criptográfico y las arquitecturas de o copias. Esto se aplica no solo a la base de datos activa, sino también a

seguridad disponibles. Finalmente, la sección V incluye las copias de seguridad que también se estén almacenando.

recomendaciones para el manejo adecuado de la seguridad y la privacidad de la Amenaza a la transmisión de datos: la información transferida
información de eSalud. se puede interceptar sobre la marcha. El uso de cifrado reduce la
posibilidad de que una entidad no autorizada vea o manipule la
II. TOdios ADAKOTA DEL NORTE RISKAVALORACIÓN (TRA) información transmitida. Sin embargo, cuanto más sólida sea la
técnica de cifrado, más lento será el procesamiento de datos.
La tarea de la Evaluación de riesgos y amenazas (TRA) es
Esto se debe a los cálculos adicionales necesarios para cifrar y
garantizar que la Información de salud personal (PHI) y todos los
descifrar con algoritmos de cifrado muy sólidos.
datos / aplicaciones pertinentes se mantengan seguros y privados
contra diversas amenazas contra; Confidencialidad, integridad,
A. Evaluación de amenazas y riesgos (TRA)
autenticidad, disponibilidad y privacidad de los datos [1]. La
Con el fin de abordar diversos riesgos y amenazas a los registros
información (datos) puede estar en uno de tres estados;
médicos electrónicos (EHR), se han creado estándares de
Almacenamiento, transmisión o procesamiento. Cada estado tiene
colaboración. Uno de estos conjuntos de estándares ha sido creado
diferentes amenazas y requisitos de seguridad, como [2]:
por Canadian Infoway / Inforoute. Para gestionar estos estándares,
Amenaza para el usuario / confidencialidad de los datos / privacidad: en
se ha desarrollado una nueva estructura de gobernanza simplificada,
muchos casos, como los tratamientos contra el VIH, se requiere el
que se denomina Modelo de gobernanza. Los siguientes son
anonimato tanto del paciente como del médico. Esto incluye el anonimato
principios del modelo de gobernanza (adaptado de [3]):
de todos los documentos e información pertinentes. Por lo general, esto
1. “Proporcionar prácticas de toma de decisiones para garantizar
se hace disociando los nombres de los pacientes de la base de datos de
la apertura y el equilibrio de intereses, lo que respalda la
eHealth almacenándolos en bases de datos separadas. Los datos también
coordinación estratégica y la dirección de los estándares
suelen estar cifrados.
canadienses de información de salud y los servicios de
Amenaza a la integridad de los datos: existen varias amenazas
colaboración.
relacionadas con la integridad de los datos. Un no autorizado o
2. Optimización de las estructuras y procesos de gobernanza de los
El usuario autorizado puede cambiar de forma deliberada o inadvertida
estándares canadienses de información sanitaria.
los registros de un paciente. Para asegurar que la información de salud no
3. Apoyar una solución a largo plazo para los Estándares

Manuscrito recibido el 6 de abril de 2008. Este trabajo fue apoyado en parte por el
Consejo de Investigación de Ciencias Naturales e Ingeniería de Canadá.
S. Adibi es un Ph.D. estudiante en el Departamento de ECE en la Universidad de
Waterloo, Waterloo, ON N2L 3G1 Canadá, teléfono: 519-888-4567, correo electrónico:
sadibi@engmail.uwaterloo.ca.
GB Agnew es profesor en el Departamento de ECE de la Universidad de
Waterloo, Waterloo, ON N2L 3G1 Canadá, teléfono: 519-888-4567, correo electrónico:
gbagnew@engmail.uwaterloo.ca.
Colaborativos.
4. Proporcionar una estructura de gobierno central flexible para
establecer grupos de trabajo para abordar problemas con un
alcance y un cronograma específicos.
5. Reconocer los procedimientos y políticas de gobernanza existentes
de la Organización para el Desarrollo de Normas.

978-1-4244-1815-2 / 08 / $ 25.00 © 2008 IEEE. 1478

6. Asegurar un enfoque eficiente y eficaz para coordinar y
gestionar los estándares de información sanitaria.
7. Mantener un alto nivel de comunicación con todos los
interesados en los estándares.
8. Asegurar la transparencia del proceso y el avance de los
actores de las normas ”.
El modelo de gobernanza para la gestión de riesgos y los
propietarios de empresas se muestra en la Figura 1 (adaptada de [4]).
Figura 1. El modelo de gobernanza
1) Modelo de riesgo básico: El El Modelo de Riesgo Básico (BRM) es un
lógico y secuencial combinación de:
vulnerabilidades, activos, riesgos, valores, protecciones y
salvaguardias. Esta combinación se muestra en la Figura 2
(adaptada de [4]). Según la Figura 2, las fases de TRA incluyen:
determinar los requisitos de protección, que son cumplidos por
las salvaguardas. Esto reduce los riesgos asociados con las
amenazas. Identificar y reducir las amenazas reducirá las
vulnerabilidades. Explorar los activos identificará los valores y los
impactos potenciales. Los valores de riesgo generales ajustarán
la protección requerida.
Figura 2. Modelo de riesgo básico (BRM)
III. SESTÁNDARES ADAKOTA DEL NORTE FRAMEWORKS
Como se mencionó anteriormente, manejar la información del paciente
de manera segura es una tarea desafiante. Hay varios escenarios y
criterios, lo que hace que sea imposible abordar todos los problemas en
un solo borrador. Es por eso que numerosos estándares
y se han creado marcos centrados en la seguridad de los HCE.
Generalmente, eHealth se preocupa por el manejo óptimo (transmisión,
procesamiento, almacenamiento, etc.) de información relacionada con la
salud (como recetas, resultados de laboratorio, referencias, radiografías,
etc.). También incluye información relacionada con las prácticas
comerciales (servicios de TI, correos electrónicos, contratos, etc.). La Ley
de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) fue creada
por el gobierno de los Estados Unidos en 1996 [5]. Fue diseñado para
mejorar la continuidad y portabilidad de la cobertura de salud y para
combatir el fraude y los abusos de los seguros de salud [6]. La ley de
seguridad y privacidad de HIPAA incluye [5]: “Transacciones y conjuntos
de códigos, identificadores de salud únicos, seguridad, privacidad y firmas
electrónicas”.
En Canadá, gran parte de la política y la financiación de la atención
de la salud se relega a provincias individuales. En la provincia de
Ontario, por ejemplo, la atención médica se centra en un sistema de
atención integrado que respalda el acceso oportuno a los servicios, la
seguridad del paciente y la responsabilidad. Estos se dividen en
siguiendo tres temas; Conectividad, información para compartir y
aplicaciones y herramientas [7]. Esto se ha convertido en un estándar
basado en Ontario; OHISC (Consejo de Normas de Informática de la
Salud de Ontario). El SMP (proceso de gestión de estándares) es la
forma en que OHISC ha adoptado su modelo de responsabilidad
para la revisión y recomendación de estándares. Los pasos de SMP
incluyen (adaptado de [8]):
amenazas
1. “El examen de intercambio de información intersectorial de calidad,
2. El esquema de idoneidad estándar,
3. Los problemas de viabilidad con la implementación estándar,
4. Todos los elementos relacionados con la interoperabilidad del
sistema ”. El Marco Pancanadiense de Privacidad y Confidencialidad
de la Información de Salud (PCHI-PCF) incluye la revisión y revisión
de las disposiciones de eSalud tanto nacionales como
internacionales para proteger la PHI y las HCE [8,9]. Esto
El marco consta de disposiciones fundamentales para
proteger la privacidad de los pacientes y su PHI. Este marco
se ha armonizado con la Ley de Protección de la Información
y Documentos Electrónicos (PIPEDA) [10] y la Carta
Canadiense de Derechos y Libertades (CCPR) [11]. Este Marco
cubre la PHI registrada y no registrada.
PIPEDA identifica una serie de cuestiones principales, que incluyen
(adaptado de [10]):
1. "Responsabilidad por la información
2. Información para fines de identificación,
3. Limitar la recopilación de información personal,
4. Limitación, retención y divulgación de información
5. Consentimiento para recopilar y utilizar información personal
6. Acceso individual a la información personal
7. Desafiando el cumplimiento,
8. Precisión,
9. Salvaguardias y
10. Apertura de la información ”.
Otro marco es el Comité Asesor sobre Información y
Tecnologías Emergentes (ACIET), que fue creado en
diciembre de 2002. ACIET incluye cinco iniciativas (adaptado
de [12]):
1479
1. "Evaluación de tecnologías emergentes,
2. Avances estratégicos en productos farmacéuticos,
3. Genómica,
4. Privacidad,
5. Orientaciones estratégicas para el marco de privacidad y
confidencialidad de la información sanitaria pancanadiense ”.
La Organización Internacional de Normalización (ISO) es un organismo
de normalización internacional que también se ocupa de la seguridad y la
privacidad de la salud electrónica. Las normas ISO importantes, que se
ocupan de cuestiones de eSalud, son [13]:
1. La ISO 27002 (2005) es el código de prácticas para la
gestión de la seguridad de la información y es un
estándar renombrado de ISO 17799, que aborda los
requisitos específicos, que incluyen (adaptado de [9]):
un. “Estructura, evaluación y tratamiento de riesgos,
B. Politica de seguridad,
C. Seguridad física,
D. Organización de Seguridad de la Información,
mi. Seguridad de los recursos humanos,
F. Control de acceso,
gramo. Gestión de activos,
h. Gestión de comunicaciones y operaciones,
I. Adquisición de sistemas de información,
j. Desarrollo,
k. Mantenimiento,
l. Cumplimiento,
metro. Gestión de incidentes de seguridad de la información,
norte. Continuidad del negocio".
2. ISO 27799 es la gestión de la seguridad en salud utilizando ISO /
IEC 27002 (17799). El propósito de ISO 27799 es brindar
orientación a las organizaciones de salud para mantener la
confidencialidad, integridad y disponibilidad de los HCE. El
borrador actual está en proceso de publicación internacional
final, al 12 de junio.th 2008.
IV. CRYPTO SSISTEMA REQUIPOS ADAKOTA DEL NORTE SSEGURIDAD
AARQUITECTURAS
Los sistemas de seguridad / privacidad de eHealth requieren un
análisis exhaustivo y recomendaciones para un cifrado y descifrado
sólidos. Hay varias áreas de protección que los sistemas
criptográficos pueden abordar. Estos incluyen [14]: Privacidad de
datos, Integridad de datos, Autenticación de usuario y No repudio.
La privacidad de los datos es la capacidad de mantener privada la
comunicación entre las partes autorizadas. Esto asegura que una
entidad no autorizada no podrá interpretar ninguna parte de la
información transmitida. En un sentido más fuerte, el
La entidad no autorizada no debería poder identificar a las
partes comunicantes. En el sentido más fuerte, incluso el hecho
de que se haya producido alguna comunicación debe evitarse.
En el escenario de eHealth, los pacientes y los proveedores de
atención médica son las partes comunicantes. Lo que se
transmite entre ellos (recetas, diagnósticos, referencias, etc.)
1480
debe mantenerse en privado. También existe el peligro de una fuga
involuntaria de información si un atacante puede asociar a un paciente con un
proveedor de atención médica o una prueba en particular.
La capacidad del paciente para reconocer y confiar en el
médico y en la del médico para reconocer y proporcionar
información secreta al paciente correcto es un aspecto
importante. A esto se le llama autenticación de usuario. En el
área de la salud, ambas partes deben poder autenticarse
entre sí (autenticación mutua).
La integridad de los datos es la capacidad de garantizar que la
información intercambiada no esté sujeta a adiciones, eliminaciones,
modificaciones o demoras indebidas.
El no repudio es la capacidad de evitar que un usuario autorizado
niegue la participación previa en una comunicación. Las
herramientas criptográficas que garantizan la seguridad y la
privacidad son: cifrado / descifrado, códigos de autenticación de
mensajes (funciones de hash criptográficas) y firmas digitales.
Se requiere que la información médica electrónica permanezca
confidencial durante mucho tiempo. Por lo tanto, se deben utilizar
algoritmos criptográficos muy fuertes. Criptográfico
Los algoritmos están diseñados para una vida útil limitada y segura. Esto se
debe a las compensaciones entre seguridad y usabilidad. A medida que la
tecnología evoluciona, el requisito de utilizar herramientas de seguridad más
sólidas es inevitable; sin embargo, con la adopción de las herramientas
criptográficas más sólidas disponibles en la actualidad, la necesidad de volver a
cifrar la información en el futuro puede retrasarse. En
En 2006, la NSA publicó una serie de algoritmos recomendados para
sistemas criptográficos para uso gubernamental (Suite B) [15]. Estos
han establecido el estándar para el nivel actual de mejores prácticas
en sistemas criptográficos.
A. Arquitecturas de privacidad y seguridad
El propósito de identificar las amenazas y los requisitos de
seguridad es crear un marco de políticas de seguridad más amplio
para abordar las necesidades de seguridad específicas de un sistema
de atención médica. La Figura 3 (adaptada de [16]) muestra el
proceso de arquitectura de privacidad y seguridad. La Figura 4
(adaptada de [16]) también muestra la arquitectura de seguridad de
eHealth e Infoway sanitaria canadiense propuesta. Esta arquitectura
incluye registros, datos y servicios. Dos entidades importantes son
los servicios de registro longitudinal (LRS) y la capa de acceso a la
información de salud (HIAL). El último actúa como un filtro para
proporcionar los datos / servicios adecuados a un departamento
específico (farmacia, radiología, etc.) y para mantener el resto de los
datos / servicios protegidos de la exposición.
V. RECOMENDACIONES
Los avances tecnológicos también aumentan las amenazas a la
privacidad, ya que los atacantes tienen herramientas más poderosas
a mano. Por lo tanto, proteger la información sensible es de gran
importancia. Resumimos nuestras recomendaciones a los
proveedores de atención médica para entornos relativamente más
seguros y más seguros, con los siguientes elementos:

Figura 3. El proceso de arquitectura de privacidad y seguridad
Figura 4. Arquitectura conceptual de privacidad y seguridad
1. Análisis de activos / amenazas / riesgos: Se requiere un TRA
exhaustivo y actualizado de acuerdo con la naturaleza del
sistema de atención médica para identificar vulnerabilidades y
realizar un análisis completo de activos / amenazas / riesgos.
2. Algoritmo de cifrado / descifrado sólido: todos los datos, incluidos
nombres, recetas, medicamentos, procedimientos, etc., deben
protegerse utilizando los algoritmos criptográficos más sólidos
disponibles.
3. Autenticidad / anonimato del usuario: la autenticación mutua
reduce la posibilidad de un ataque exitoso.
4. No repudio: Ninguna de las partes de la comunicación
(pacientes y médicos) debe poder negar su participación
en comunicaciones anteriores. Para ello, debe estar
presente un sólido esquema de firma digital que
acompañe a cada comunicación individual que se lleve a
cabo.
5. Transmisión segura: se sugiere un túnel seguro de extremo a
extremo para reducir la posibilidad de que una entidad no
autorizada capture y / o manipule la información que se
transmite. Para este asunto, se sugieren túneles VPN / IPSec
sólidos con capacidades de múltiples rutas.
6. Almacenamiento seguro: se requieren bases de datos de
almacenamiento redundante múltiple para almacenar EHR. Esto
debería ir acompañado de técnicas de cifrado muy sólidas.
1481
7. Solución de protección de la privacidad y atención médica segura: de
acuerdo con la Figura 3, se deben tomar medidas para asignar las
obligaciones legislativas a las políticas de privacidad y derivar
arquitecturas de sistemas conceptuales / lógicas / detalladas para
generar el sistema de privacidad y seguridad más confiable que
satisfaga la mayoría de los criterios .
VI. REFERENCIAS
[1] S. Dritsas, L. Gymnopoulos, M. Karyda, T. Balopoulos, S. Kokolakis,
C. Lambrinoudakis, SKKatsikas, "Un enfoque basado en el conocimiento de los
requisitos de seguridad para aplicaciones de salud electrónica", Revista electrónica de
herramientas y aplicaciones de comercio electrónico (eJETA), Número especial sobre
paradigmas de seguridad emergentes en la era del conocimiento, octubre de 2006
[2] Sasan Adibi, Gordon B. Agnew, "Medidas de seguridad para redes móviles
AdHoc (MANET)", Publicación global de IGI, Capítulo 31, Manual de investigación
sobre seguridad inalámbrica, Modelo de gobernanza colaborativa de
[3] estándares de Infoway de marzo de 2008
http://www.infoway-inforoute.ca/en/WhatWeDo/Standards
Collaboration.aspx
[4] Keith Jonah, "Evaluaciones de amenazas y riesgos en entornos sensibles
de eSalud", presentado en el Taller de seguridad de la información de
eHealth, 26 de marzoth - 28th, 2008, Universidad de Waterloo, Ontario,
Canadá
[5] “LEY DE PORTABILIDAD Y RESPONSABILIDAD DEL SEGURO DE
SALUD - HIPAA”, Resumen ejecutivo y resumen, Phoenix Health
System,
http://www.hipaadvisory.com/programs/prest/HIPAAExecPresHiLeve
ledit.ppt
[6] Descripción general de la privacidad y seguridad de HIPAA
http://www.ahc.umn.edu/privacy/hipaa/home.html
[7] Bahram Jalayer, “e-Health, Electronic Health Record and Technology
Infrastructure”, Presentación a WHO-EMRO, septiembre de 2004
[8] Ontario Health Informatics Standards Council (OHISC)
http://www.health.gov.on.ca/ehealth/standards/standards_mn.html
[9] Marco Pancanadiense de Privacidad y Confidencialidad de la Información
de Salud, http://www.hc-sc.gc.ca/hcs-sss/pubs /ehealth-esante/
2005pancanad-priv/index_e.html
[10] Kate Boschee, “Ley canadiense de protección de datos: Ley de protección de
información personal y documentos electrónicos (PIPEDA), preparado para la
Asociación de Abogados de Estados Unidos el 12 de febrero de 2004
[11] "Carta Canadiense de Derechos y Libertades", transcripción confiable de la Parte 1
de la Ley de la Constitución, 1982
http://www.hackcanada.com/canadian/freedom/ccrf.html
[12] Infostructura sanitaria de Canadá, Comité Asesor Federal /
Provincial / Territorial sobre Información y Tecnologías Emergentes,
http://www.hc-sc.gc.ca/hcs-sss/ehealthesante/
infostructure/aciet_ccint_e.html
[13] La serie 27000 de ISO normas YO ASI sitio web,
http://www.27000.iso.org
[14] GB Agnew, "Cifrado y tecnologías de cifrado para el cuidado de la salud",
presentado en el Taller de seguridad de la información de eHealth, 26 de
marzoth - 28th, 2008, Universidad de Waterloo, Ontario, Canadá
[15] “Hoja informativa sobre criptografía NSA Suite B”, http://
www.nsa.gov/ia/industry/Crypto_suite_b.cfm
[16] Stan Ratajczak, "Canadian Health Infoway - Descripción general de la arquitectura
de seguridad de eHealth - ¿Qué tan seguro y mejorador de la privacidad es su
iEHR?", Presentado en el Taller de seguridad de la información de eHealth, 26 de
marzoth - 28th, 2008, Universidad de Waterloo, Ontario, Canadá