Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2

Abstract

Se puede afirmar que dentro de las entidades de salud nace la necesidad de implementar un sistema de información electrónico para poder enviar datos e información, que en la mayoría de los casos es de carácter privado y confidencial; generalmente esta información es muy sensible para los pacientes porque contiene datos personales e historiales que registran enfermedades que padecen, datos que pueden ser utilizados negativamente si llegan a caer a manos de terceros como delincuentes informáticos, quienes tendrían toda posibilidad para robar su identidad e inclusive estar expuestos a altos riesgos que podrían incidir en la misma vida de los pacientes o en la perdida de confiabilidad de las entidades que utilizan dichos datos. Es por eso que la empresa HL7 pensando en los problemas de comunicación y envío de información de una entidad a otra en el sector salud crea un estándar llamado HL7 CDA(Clinical Document Architecture) R2 (Release 2) el cual permite realizar esta comunicación pensando en un carácter netamente de interoperabilidad, para que así se puedan realizar envíos de diferentes tipos de archivos y en diferentes plataformas, pero que puedan ser leídos por el sistema de otras entidades transmitiendo historiales médicos. Es así como surge una pregunta: ¿Es seguro el Estándar HL7 CDA en su Confidencialidad?; partiendo de proyectos realizados hace algunos años se puede concluir que se ha trabajado muy poco en la seguridad de este estándar dejando ver algunos riesgos de seguridad que llevan a vulnerabilidades del estándar, de mucha importancia en la confidencialidad de los documentos que se transmiten por este medio, principalmente vulnerabilidades de XSS (Cross site scripting) y vulnerabilidades de obtención de información. Se entrega como resultado final del proyecto desarrollado un Prototipo de framework que permita brindar más seguridad en el estándar HL7 CDA R2, es por ello que se ha iniciado un estudio de varias herramientas de detección y prevención, de trabajo en conjunto bajo características fundamentales como, que sean OPEN SOURCE. Esta investigación se realizó bajo 3 fases metodológicas, primera fase Identificar problemas y Determinar Herramientas, donde se identificaron y caracterizaron los problemas de confidencialidad del estándar, se buscaron las mejores herramientas para detectar y prevenir los problemas que afectaron la confidencialidad del estándar. La segunda fase Desarrollo del prototipo de Framework, donde se recolectaron los historiales médicos electrónicos, se investigó acerca de un visor de documentos CDA web, se identificaron las medidas de seguridad para las vulnerabilidades encontradas y se simuló un envío de historiales médicos para su posterior análisis de vulnerabilidades. Para desarrollar el prototipo de framework se acoplo dos módulos (IDS, IPS) open source para trabajar en conjunto y de manera equilibrada, mostrando los ataques con su nivel de criticidad en score de CVE vulnerability. La tercera Fase es Evaluar el Prototipo de Framework Propuesto, donde se implementó el prototipo de framework en un servidor Ubuntu y se realizaron las pruebas pertinentes para corroborar que las vulnerabilidades fueron mitigadas, el desarrollo del prototipo se realizó con el fin de brindar confidencialidad de la información en los historiales clínicos, los cuáles son transmitidos por este estándar.