Auditoria software receta electrónica privada

Auditoria software receta electrónica privada

Auditoria software receta electrónica privada

En este post quiero explicar uno de las últimas auditorias informáticas como Auditor CISA que he realizado, en concreto la primera Auditoria software receta electrónica privada realizada en España. El software que he auditado opta a ser el primer software certificado por la OMC (Organización Medica Colegial) para poder conectar la receta que realiza el médico en su consulta privada con la oficina de dispensación o farmacia.

Auditoria software receta electrónica privada

La auditoria ha seguido los requisitos que la OMC indicaba. Estos requisitos, dado que ha sido la primera solución software en optar a esta certificación, se han centrado en la funcionalidad, documentación, seguridad, interoperabilidad, seguridad y GDPR entre otras cuestiones.

En este sentido y como Auditor CISA he querido añadir dos bloques de checkpoints que no estaban en los requisitos inciiales. El primero de ellos a nivel de accesibilidad web, donde he usado el estandar WCAG 2.0 y he certificado en un porcentaje muy elevado el nivel AAA de dicha solución de receta electronica. Por otro lado a nivel de ciberseguridad he realziado una serie de test de pentetración para comprobar que efectivamnte el portal no tiene riesgos conocidos de vulnerabiulidad que un hacker pudiera explotar.

En este video hablo de dicha auditoria y de como he podido certificar positivamente la solución:

 

Mi metodología 

Como Auditor CISA la metodología empleada se ha basado en los siguientes pasos:

  1. Requisitos de homologación. Estudio y comprensión de los requisitos de la homologación de certificación de sistemas de receta médica privada electrónica desarrollados por la Organización Médica Colegial de España y el Consejo General de Colegios Oficiales de Médicos.
  2. Sistema objeto del análisis. Desarrollo de los documentos comentados a lo largo de esta auditoria relacionados con los requisitos funcionales, diseño de sistemas y bases de datos, arquitectura, implementación, seguridad, casos de uso y protección de datos que me han permitido entender en su amplitud el sistema objeto de la auditoria, así como acceso al sistema para realización de una batería de test.
  3. Evidencia fiel del cumplimiento. Una vez entendido la norma de certificación y el sistema a auditar en su completitud me reúno con el proveedor en sus oficinas para extraer evidencias de cada uno de los puntos de control de la norma reflejados en los puntos anteriormente comentados, accediendo al sistema para realizar el Check de cada punto de control de la norma de certificación objeto de esta auditoría.
  4. Riesgos de seguridad. Capítulo aparte por su importancia requiere en análisis de los puntos de seguridad y sus riesgos, analizando los puntos de control no solo de la norma de certificación sino planificando un completo análisis de los 114 puntos de control que realizare en la fase 2 de esta auditoría de la ISO27001.
  5. Otros.
    1. Plan de continuidad de negocio. Como auditor CISA uno de los apartados clave que en toda auditoria de sistemas se debe contemplar es la continuidad del negocio. Este plan de continuidad de negocio deberá contener:
      1. Plan de continuidad de operaciones.
      2. Plan de recuperación ante desastres o DRP.
      3. Plan de comunicación interna y externa de incidentes o crisis.
      4. Plan de respuesta y contingencia del sistema de información ante incidentes.
      5. Incluir una completa identificación de riesgos, activos y probabilidades así como los mecanismos de controles que se aplicaran.
      6. Identificar la metodología de desarrollo, de dirección de proyectos y estándares tecnológicos utilizados. Procedimientos de gestión de calidad, control de cambios y liberación y puesta en marcha de nuevas versiones incluyendo la gestión de la capacidad.
    2. WCAG 2.0
    3. Pruebas de pentesting y ciberseguridad.

Tecnologia Cloud

A nivel de tecnologia Cloud se ha utilizado Microsoft Azure. MS Azure ofrece las herramientas que permiten gestionar y garantizar el servicio contratado mediante contratos de nivel de servicio, así como informes de rendimiento y supervisión de recursos. En el ámbito de la seguridad, MS Azure ofrece una infraestructura de seguridad integral para todos los niveles y tipos de servicios en la nube. Esta incluye, directivas de seguridad para el acceso a los sistemas, administración de identidades y autenticación, copia de seguridad y retención de los datos.  Adicionalmente implementa características de seguridad física para el acceso a hardware coubicado en diferentes centros de datos. Además, los centros de datos cuentan con medidas de seguridad físicas que protegen los equipos y los datos frente a eventos adversos. Provee un sistema de alimentación y funcionalidad de red redundantes, así como un plan documentado de recuperación ante desastres y continuidad empresarial.

Conclusiones de la primera Auditoria software receta electrónica privada en España

Tras finalizar la auditoria llegue a las conclusiones que:

  • La entidad evaluada cumple sus propias políticas, objetivos y procedimientos.
  • Los servicios de confianza implementados se adecuan a los requisitos de los criterios de auditoría aplicables y que son seguidos por las políticas, objetivos y procedimientos, incluyendo el uso realizado y la estructura organizativa de terceros (subcontratistas) que suministran partes de los servicios de confianza que están siendo auditados.
  • Que la solución Cloud SaaS se adecua en seguridad a los niveles más altos necesarios para la ciberseguridad en la actualidad y en los próximos años, dado que se apoya en una infraestructura Microsoft Azure de alta disponibilidad, seguridad y en constante evolución lo que garantiza un nivel de obsolescencia muy bajo.
  • La accesibilidad del aplicativo web es de nivel muy alto, permitiendo su usabilidad en situaciones de limitación visual o minusvalía, siendo además Responsive design.
  • Los test de penetración realizados utilizando técnicas de Hacking ético nos muestran que se ha desarrollado bajo estrictos y elevados niveles de seguridad.
  • El nivel de cumplimiento de protección de datos es completo, incluso preparado para el nuevo RGPD que entrará en vigor en mayo de 2018.
  • La integración con herramientas de dispensación es completa, debido a una profesional y de alta calidad de la capa SOA de servicios web que interacciona con la farmacia.
  • El uso de DNI electrónico junto con una solución alternativa basada en un tercer código, que tiene por detrás un certificado digital producido por la propia herramienta, nos garantiza identidad e integridad en todo el proceso de una receta médica electrónica.
  • La trazabilidad completa de la aplicación, de todas sus acciones, en dos niveles, nivel de capa de aplicación y nivel de log de Base de datos garantiza el registro de todas las acciones.
  • El uso de doble autenticación da un paso más allá de la seguridad del médico que permite que, aunque su usuario y contraseña sea averiguado por un tercero, al intentar acceder por un dispositivo nuevo, obligue al conocimiento de un código que solo el medico conoce.

Por todo esto llegue a la conclusión final que el sistema es apto para la gestión completa de la receta electrónica médica privada.

Luis Vilanova Blanco. Auditor CISA e Interim Manager TIC

luis@luisvilanova.es

606954593