Protección de instalaciones hospitalarias con una sola tarjeta de identificación
Los hospitales modernos deben lidiar con la problemática combinación de los crecientes índices de criminalidad, el endurecimiento de las regulaciones y los desafíos económicos, mientras que los administradores y sus equipos de seguridad se esfuerzan por proteger a las personas, los bienes y los datos confidenciales de los pacientes.
Desafortunadamente, la Asociación Internacional para la Protección y Seguridad de los Centros de Atención Hospitalaria (IAHSS, por sus siglas en inglés) reportó en su Estudio sobre Tendencias en Crimen y Seguridad (2012) que el número de los delitos cometidos en instalaciones de salud aumentó en casi 37% en tan solo dos años, pasando de poco menos de 15.000 en 2012 a más de 20.500 en 2012. Las áreas de cumplimiento normativo y privacidad de los pacientes son dos de las que más preocupación generan en el sector de la salud, especialmente si se tiene en cuenta un estudio reciente realizado por el Instituto Ponemon, el cual reveló que el 33% de las personas consultadas necesitan tener acceso a información de salud protegida (PHI, por sus siglas en inglés) para poder realizar su trabajo. Dadas las limitaciones de tiempo a las que están sometidos los profesionales médicos, los hospitales necesitan implementar una solución intuitiva y versátil para que sus empleados accedan a la información que necesitan.
Si bien numerosas prácticas médicas y tecnológicas han hecho avanzar continuamente el sector de la salud de innumerables maneras, ciertos procesos siguen sumidos en la ineficiencia. Quizás el más visible en la experiencia cotidiana a los ojos de doctores y otros profesionales médicos es también aparentemente el más simple: iniciar y terminar sesión en computadores compartidos. Debido a que a través de ellos se accede a historias clínicas y a otra información fuertemente regulada, estas estaciones de trabajo compartidas son el portal a información altamente confidencial. Adicionalmente, estas estaciones de trabajo compartidas, que suelen emplear escritorios virtuales con aplicaciones Citrix y VMW para cada usuario, tienen un muy elevado nivel de protección, y, por consiguiente, es necesario seguir una serie de pasos para obtener acceso. En este proceso los doctores pueden invertir una parte considerable de su valioso tiempo.
Sin embargo, la facilidad de acceso es todo menos fácil de lograr. Cada vez más, los departamentos de seguridad e informática de los hospitales trabajan juntos para diseñar, implementar y mantener políticas y estrategias de control de acceso seguras y robustas. Numerosas organizaciones, no solamente las instalaciones de salud, suelen tener problemas para lograr esta unificación, puesto que tradicionalmente los dominios de la seguridad física y virtual han sido mundos separados. No obstante, de la misma manera que se están diluyendo los límites del perímetro que se debe proteger —a medida que la población de usuarios de una organización determinada se hace cada vez más distribuida, móvil y variada—, así también se están borrando los límites entre la seguridad física y la virtual. Obviamente, las instalaciones de salud también deben moderar los costos y minimizar la inversión de capital y los gastos operativos asociados a la implementación y gestión de sistemas de control de acceso.
Todos estos requerimientos y presiones están motivando a los hospitales a implementar un enfoque más coordinado para gestionar las identificaciones de los empleados y el acceso a la información de los pacientes. Una credencial única para el acceso físico, virtual y a las redes de las organizaciones permite una aproximación más efectiva.
Tarjetas inteligentes
Aunque los dispositivos de contraseña de uso único (OTP, por sus siglas en inglés), y de otro tipo, incrementan el nivel de seguridad, pueden ralentizar las actividades de trabajo cuando es necesario usarlos en repetidas ocasiones durante todo el día. Además, se convierten en otro objeto más que los profesionales de la salud tienen que recordar llevar consigo. Por el contario, las credenciales de identificación son objetos que los empleados ya llevan consigo. Adicionalmente, es cómodo usarlas para la verificación de identidad y para tener acceso a instalaciones, así como a áreas de ingreso restringido a las que deben entrar para realizar su trabajo. Gracias a los desarrollos alcanzados en las tecnologías de tarjetas inteligentes, un doctor, enfermera o administrador puede emplear la misma credencial de identificación para ingresar a zonas de acceso restringido y tener acceso a los recursos que necesitan de su PC o estación de trabajo compartida. Lo único que deben hacer es tocar el lector con la credencial e inmediatamente ingresan a los registros que necesitan, sin necesidad de recordar o portar ningún objeto adicional.
Las tarjetas inteligentes vienen en dos presentaciones, con contacto y sin contacto, y pueden brindar tres niveles de seguridad con uno, dos o tres factores de autenticación. Con un solo factor de autenticación sólo es necesaria la tarjeta para autorizar el ingreso a un sistema o para abrir una puerta. La autenticación de dos factores —el nivel más comúnmente empleado en la autenticación con tarjetas inteligentes en los hospitales del Reino Unido— incorpora un nivel de seguridad adicional con un código PIN. La autenticación de tres factores va un paso más allá, empleando un PIN y una medida de seguridad adicional, por ejemplo, un escáner biométrico. Tradicionalmente, las tarjetas inteligentes sin contacto se emplean en el control de acceso físico y actualmente se están utilizando también para el acceso lógico.
Una de las áreas en las que esta tecnología puede tener un profundo impacto es en el control de infecciones. Todos hemos visto las botellas de gel antibacterial para las manos ubicadas a la entrada de los pabellones hospitalarios, y tampoco escapamos a los volantes sobre la gripa porcina que inundaron los hogares de todo el país. Pensemos por un momento en la ronda médica matutina. En solo cuestión de horas, los médicos pueden visitar hasta 20 pacientes en cinco pabellones diferentes, ingresando a diferentes áreas del hospital y a distintos sistemas informáticos. Con tal cantidad de puntos de contacto potenciales, es fácil entender cómo se puede propagar una infección. Las tarjetas inteligentes sin contacto (que simplemente se pasan frente al lector) están desempeñando un papel fundamental en contener la propagación de infecciones. Después de todo, si una tarjeta nunca toca el lector, no puede propagar gérmenes.
Con tantas ventajas parecería obvia la implementación de la tecnología de tarjetas inteligentes sin contacto. Sin embargo, algunos hospitales siguen empleando la forma más básica de control de acceso: la tarjeta de banda magnética, en la que los datos se almacenan en la parte posterior del dispositivo.
Aunque las tarjetas de banda magnética son económicas de producir, pueden ser más costosas en términos de mantenimiento. Este tipo de tarjetas entra en contacto con el lector cuando es insertada, y cualquier residuo que se acumule en la tarjeta termina en la parte interna del lector y en sus pines de contacto. También son susceptibles a la interferencia magnética y al desgaste: pasar constantemente la tarjeta por el lector hace que la banda se deteriore y, en último término, falle. Este tipo de tarjetas también es muy limitado en términos de su capacidad de almacenamiento de datos, en comparación con las tarjetas inteligentes. Con todo, su más grande desventaja es que son muy fáciles de clonar.
Con una base segura de tarjetas inteligentes, los hospitales pueden optimizar sus operaciones, mejorar la gestión de riesgos y cumplir con las nuevas reglamentaciones y normativas. El uso de una tarjeta de identificación permite hacer frente, de una forma cómoda, a los desafíos de seguridad y autenticación que plantean las instalaciones de salud, con una participación mínima de empleados. Aprovechar esa misma tarjeta para tener acceso a los recursos físicos y electrónicos puede mejorar los flujos de trabajo existentes de los trabajadores de la salud; expandir el uso de las inversiones en infraestructura de acceso de la organización; y brindar la seguridad que se necesita para cumplir con las reglamentaciones de confidencialidad y de protección de datos.
Es necesario decir que algunos hospitales pueden considerar el costo de una actualización a las tarjetas inteligentes como un impedimento para implementarlas. Sin embargo, al sopesar los costos de la tecnología de tarjetas inteligentes sin contacto con los beneficios de una solución de control de acceso que ofrece mayor seguridad con una sola tarjeta, queda claro que esta tecnología ofrece un valor agregado excepcional al sector de la salud, que permite ahorrar tiempo y dinero, proteger a los pacientes y empleados, además de salvaguardar sus datos personales.