Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Controles de acceso lógico

Se debe contar con controles de acceso lógico basados al menos en usuarios y contraseñas. Se debe evitar el uso de cuentas genéricas (en especial, aquellas que requieran accesos privilegiados) que no sea posible identificar con un usuario particular. En caso de ser necesario contar con usuarios genéricos, por ejemplo para la ejecución de ciertas aplicaciones o servicios, su uso debe estar documentado y debidamente aprobado.

Política general de gestión de acceso lógico

Se debe definir una política de gestión de acceso lógico que aborde o al menos detalle los siguientes aspectos: 

• Autorización del acceso (a redes, a aplicaciones, etc.).
• Identificación y autenticación (métodos de autenticación).
• Cómo se gestionan las autorizaciones de acceso (definición de procedimientos), así como la gestión de los usuarios y contraseñas, la cual es recomendable que se realice en forma centralizada.
• Acceso a dispositivos (definir el acceso a fotocopiadoras, escáneres, cámaras, grabadoras, equipos móviles, etc.). 
• Revisión periódica de los accesos lógicos. 
• Con relación al acceso a las redes (LAN, WiFi, etc.) y servicios de red, se deben indicar las redes y servicios a los cuales se permite acceder, los medios utilizados para el acceso (por ejemplo, VPN) y requisitos de autenticación, entre otros. 

Procedimientos

Para lograr una adecuada gestión del acceso, se deben establecer procedimientos formales para las altas, bajas y modificaciones de usuarios y derechos de acceso, que incluyan el registro de todas las acciones. Estos procedimientos, detallan los responsables de asignar o revocar privilegios y el paso a paso de cómo se debe desarrollar la solicitud, con todas las autorizaciones necesarias.

Políticas complementarias de acceso lógico

Asimismo, las organizaciones deberían implementar (o configurar) políticas de acceso en todos los sistemas de información (sistemas operativos, aplicaciones, etc.). Por ejemplo, generar una política de gestión de contraseñas que se encuentre alineada a la política de gestión de acceso lógico y acceso a redes y servicios de red. Se recomienda establecer los requisitos mínimos que requieren las contraseñas, los nombres de usuario, duración mínima y máxima de las contraseñas, historial de contraseña, entre otros aspectos. Se debe definir una política específica para la gestión de usuarios privilegiados (redes, aplicaciones, bases de datos, etc.) y se deben definir revisiones periódicas. 

Métodos de autenticación y verificación de identidad

En aquellos casos que se requiera una autenticación fuerte y verificación de identidad se podrá establecer la utilización de métodos alternativos (eID (cédula electrónica), token, factor de doble autenticación, etc.).

Definición de cuentas de usuario y control interno

Para la creación de los usuarios, es necesario contemplar la separación de funciones de acuerdo con los procesos de negocio para evitar posibles fraudes y accesos no autorizados. Se deben considerar principios como: menor privilegio (acceder solo a la información necesaria para cumplir con un legítimo propósito), necesidad de saber (solo se concede acceso a la información que se necesita saber), necesidad de utilizar (solo se da acceso a recursos de TI, información, activos de información, etc. que se requiere para llevar a cabo una tarea). 
Los usuarios con acceso privilegiado deberían contar con una identificación diferente a la que utilizan habitualmente en actividades del negocio donde no requieren de una cuenta privilegiada. Las cuentas de usuarios privilegiados deben ser revisadas periódicamente. 

Acceso lógico a dispositivos médicos

Dentro de la política de gestión de acceso lógico se debe incluir también el acceso a los dispositivos médicos con los que cuente la institución. Debe evitarse el uso de usuarios genéricos en los equipos médicos.

Trazas o logs

Con relación a la generación de trazas o “logs”, se debe tener en cuenta lo mencionado en el artículo 13 del decreto 242/017: “Todos los accesos a la historia clínica electrónica deben quedar debidamente registrados y disponibles. La información no podrá ser alterada o eliminada sin que quede registrada la modificación de que se trate. En caso de ser necesaria su corrección, se agregará el nuevo dato con la fecha, hora y firma electrónica del que hizo la corrección, sin suprimir lo corregido.”.

Identificación y autenticación

Asimismo, en el artículo 18, se menciona: “Las instituciones con competencias legales en materia de salud, públicas y privadas, a los efectos de conectarse a la Red Salud y acceder a la Plataforma de Historia Clínica Electrónica Nacional deberán estar debidamente identificadas electrónicamente. Del mismo modo, deberán garantizar mediante mecanismos informáticos seguros la autenticación de las personas cuyo acceso autorizan, así como la privacidad y la integridad de la información clínica intercambiada, de forma que ésta no sea revelada ni manipulada por terceros.”.

Gestión de accesos

Al momento del alta (y en principio, también al momento de la modificación) de usuarios, se debe determinar si dichos usuarios accederán o no a información de salud. 
Se debe definir específicamente la gestión de acceso del personal temporal (por ejemplo, residentes, pasantes, etc.) con acceso a información de salud de los usuarios y contar con procedimientos específicos para las bajas de usuarios de los sistemas, una vez que el personal abandona la institución. 
Para al acceso a las historias clínicas de los usuarios, es deseable que el acceso sea mediante doble factor de autenticación.

• Política de control de acceso lógico. 
• Política de gestión de usuarios y contraseñas.
• Mecanismos de autenticación utilizados.
• Esquema de seguridad de las aplicaciones críticas.
• Listado de ingresos y egresos de funcionarios en el período auditado con detalle de su cargo y accesos otorgados o dados de baja (RRHH).
• Formularios de solicitud de Alta/Baja de cuentas de usuario para acceso a equipos de red y comunicaciones, sistemas operativos, aplicativos, otros, para una muestra de funcionarios tomada del listado de ingresos y egresos obtenido de RRHH, para el período auditado.
• Formularios de solicitud de modificaciones de privilegios de cuentas de usuario para acceso a equipos de comunicaciones, sistemas operativos, aplicativos y otros, dentro del período auditado.
• Listados de altas y bajas de funcionarios a los equipos de comunicaciones, sistemas operativos y aplicativos (sistemas), dentro del periodo auditado.