La Cámara de Cuentas de Andalucía (CCA) ha incluido en el Plan de Actuaciones del ejercicio 2021 una auditoría sobre la receta médica electrónica del Servicio Andaluz de Salud (SAS), a partir de la cual ha recomendado al mismo mejorar la ciberseguridad y la protección de datos tras verificar el cumplimiento de Esquema Nacional de Seguridad (ENS).
Se trata de una fiscalización sobre controles de ciberseguridad, y abre una nueva línea de actuación por la Cámara de Cuentas de Andalucía, encaminada a la verificación del ENS y de protección de datos, según ha explicado la CCA en su informe.
El ENS se aplica a todo el sector público y a los sistemas que tratan información clasificada, así como a los sistemas de información de las entidades del sector privado, cuando presten servicios o provean soluciones a las entidades del sector público, para el ejercicio de sus competencias y potestades administrativas.
Ante estas medidas de seguridad, condicionadas al nivel de seguridad --autenticidad, integridad, confidencialidad, trazabilidad, disponibilidad-- y a la categoría del sistema de información de que se trate (básica, media, alta), se establece la necesidad de verificar y de controlar el cumplimiento de los requerimientos del ENS y de protección de datos.
CUMPLIMIENTO DEL ESQUEMA NACIONAL DE SEGURIDAD
En opinión de la Cámara de Cuentas de Andalucía, el modelo de gobierno y gestión de la seguridad implantado por el SAS, en el contexto del entorno de Receta XXI, cumple en todos los aspectos significativos con la normativa de aplicación.
En cambio, señala la entidad fiscalizadora, los principales incumplimientos incluidos en el informe son, incumplimiento de la medida que exige la singularidad de la identificación como elemento base del acceso al sistema. Todo usuario ha de emplear un identificador único determinado por su rol, de tal manera que garantice saber quién y qué derechos de acceso recibe, y qué ha realizado. Además, se ha detectado el uso compartido de cuentas de usuario, según explica la Cámara de Cuentas andaluza.
Por otra parte, se ha detectado que en los mecanismos de autenticación frente al sistema, se pueden usar diferentes factores de autenticación. Y se ha comprobado que no se ha implementado el doble factor de autenticación.
De igual modo, se deben recopilar los datos necesarios para conocer el grado de implantación de las medidas de seguridad, para llevar a cabo el informe anual requerido ENS, y, según la audotiría de la CCA, el SAS no tiene implementada dicha medida.
Por último, los equipos informáticos deberían bloquear sus pantallas transcurrido un cierto tiempo de inactividad, impidiendo su utilización por personas no autorizadas. Medida que tampoco está implantada en la actualidad, según ha podido comprobar la fiscalización llevada a cabo por la Cámara de Cuentas.
CUMPLIMIENTO DE PROTECCIÓN DE DATOS
En cuanto al cumplimiento de la protección de datos, la Cámara de Cuentas de Andalucía ha detectado como los principales incumplimientos los siguientes, por un lado, que el SAS no dispone de un procedimiento específico de 'Privacidad por Diseño' que garantice que las nuevas iniciativas de tratamiento puedan ser objeto del análisis oportuno por el Delegado de Protección de Datos.
Y por otro lado, el SAS no tiene formalizada una metodología de análisis de riesgos de privacidad que permita garantizar la identificación, evaluación y gestión de los riesgos de privacidad.
Ante estas irregularidades detectadas, la entidad fiscalizadora recomienda a los responsables de la información y de servicios, así como a los responsables del tratamiento de datos, la adopción de las medidas que se exponen en el informe, en aras a la mejora de la ciberseguridad y de protección de datos.
En cumplimiento de la 'Guía práctica para la elaboración de recomendaciones', aprobada por la Cámara de Cuentas de Andalucía, se ha asignado una prioridad alta o media a cada recomendación, teniendo en cuenta que se trate de una debilidad material o una deficiencia significativa.
La CCA destaca como recomendaciones de prioridad alta más relevantes en lo que respecta al Esquema Nacional de Seguridad, priorizar las actuaciones precisas con el objeto de alcanzar la versión definitiva de la normativa de seguridad del SAS, ya que esta circunstancia permitirá reforzar y, sobre todo, personalizar las prácticas de actuación que deben ser atendidas por el personal en el uso de los activos de información.
Asimismo, destaca como recomendación de prioridad alta que, en los procedimientos de seguridad y procesos de autorización, se debieran priorizar las actuaciones necesarias para alcanzar la versión definitiva de la relación de procedimientos de seguridad identificada por el propio SAS, ya que solo, de esta forma, se podrá evaluar la efectividad de los procesos de seguridad que conforman el Modelo de Gestión de la Seguridad en el SAS.
En cuanto a las recomendaciones sobre protección de datos, la CCA señala una como prioridad alta, y es alcanzar la formalización del Modelo de Gobierno y Gestión de la Privacidad del SAS, a través del cual, puedan ser atendidas, entre otras, la identificación de los objetivos que conforman la Estrategia de Privacidad del SAS, o el detalle del ciclo de vida operativo asociado a las distintas iniciativas de tratamiento a evaluar.
En el informe también se ha tenido en cuenta el cumplimiento de la legislación vigente de seguridad y de protección de datos en las farmacias, ya que éstas son el enlace directo entre el usuario final y el SAS. Este entorno de información actúa como soporte al servicio de receta electrónica del SAS, en el contexto de la gestión de la atención sanitaria.
Por ello, los trabajos de fiscalización se han ampliado para incorporar una muestra de tres oficinas de farmacia identificadas por el Cacof, en la medida que estas son el enlace directo entre el paciente y el SAS. Así, la auditoría que afecta únicamente al SAS, ha permitido revisar las actuaciones de las oficinas de farmacia seleccionadas como usuarios del entorno de información de Receta XXI.
