Normatividad de ciberseguridad en el sector salud en México

Panorama legal y buenas prácticas para la protección de la información en salud

La digitalización de los servicios de salud en México ha traído consigo grandes avances en la calidad, eficiencia y accesibilidad de la atención médica. Sin embargo, el uso masivo de tecnologías de la información y comunicación (TIC) también expone a las instituciones y a las personas a riesgos tecnológicos, como la filtración de datos sensibles, ataques de ransomware, acceso no autorizado y manipulación de información clínica. En este contexto, la ciberseguridad se convierte en un pilar fundamental para garantizar la confidencialidad, integridad y disponibilidad de los datos del sector salud.

A continuación, se presenta un análisis de las principales normatividades, lineamientos y buenas prácticas que rigen la ciberseguridad en el sector salud en México, así como los retos y oportunidades para fortalecer la protección de la información sensible.

1. Marco normativo general sobre ciberseguridad y datos personales

El entorno regulatorio mexicano en materia de ciberseguridad en salud parte de un conjunto de leyes y disposiciones generales sobre protección de datos y seguridad de la información, que aplican tanto a entidades públicas como privadas.

Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)

Esta ley, vigente desde 2010, regula la recolección, uso, almacenamiento y transferencia de datos personales por parte de empresas y organizaciones privadas. Dada la naturaleza sensible de los datos de salud, la LFPDPPP considera estos datos como “datos personales sensibles” y exige medidas de seguridad reforzadas para su tratamiento.

  • Requiere el consentimiento expreso de la persona titular para el tratamiento de sus datos de salud.
  • Obliga a implementar medidas de seguridad administrativas, técnicas y físicas que protejan los datos contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
  • El incumplimiento puede derivar en sanciones económicas y responsabilidades penales.

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO)

Vigente desde 2017, esta ley regula el tratamiento de datos personales por parte de entidades públicas, incluidas las instituciones públicas de salud. Refuerza la obligatoriedad de adoptar medidas de seguridad y la gestión adecuada del riesgo.

Reglamento de la LFPDPPP

Este reglamento detalla los procedimientos y controles mínimos de seguridad, haciendo énfasis en la evaluación de riesgos, la capacitación del personal y la notificación de incidentes de seguridad.

Ley de Firma Electrónica Avanzada

Es relevante en el sector salud ya que habilita la validez jurídica de documentos y recetas electrónicas, siempre que se apliquen mecanismos de autenticación y protección de identidad.

2. Normatividades específicas para el sector salud

Además de la normativa general, el sector salud en México cuenta con disposiciones especiales que buscan proteger la información médica y garantizar la operación segura de los sistemas de registro de salud.

Norma Oficial Mexicana NOM-024-SSA3-2012

La NOM-024 establece los criterios para los sistemas de información de registros electrónicos para la salud:

  • Obliga a que los sistemas de expedientes clínicos electrónicos (ECE) tengan controles de acceso, autenticación de usuarios, respaldo de información y bitácoras de auditoría.
  • Requiere la protección de la confidencialidad e integridad de los datos clínicos.
  • Establece lineamientos para el almacenamiento, conservación y transferencia segura de información médica.

Otros lineamientos y acuerdos

  • Lineamientos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) sobre seguridad de datos en salud.
  • Acuerdos internos de la Secretaría de Salud y de los Institutos Nacionales de Salud para la protección y tratamiento seguro de información crítica.
  • Recomendaciones de la Comisión Federal para la Protección contra Riesgos Sanitarios (COFEPRIS) sobre software médico y dispositivos conectados.

3. Buenas prácticas y estándares internacionales aplicables

Aunque la normativa mexicana marca los mínimos, existen buenas prácticas y estándares internacionales que instituciones de salud pueden adoptar para fortalecer su postura de ciberseguridad:

HIPAA (Health Insurance Portability and Accountability Act)

En Estados Unidos, la HIPAA es una de las leyes más conocidas, y aunque no aplica directamente en México, sirve de referencia para instituciones que colaboran internacionalmente. La HIPAA exige salvaguardas físicas, técnicas y administrativas para proteger la información de salud identificable.

  • Requiere el establecimiento de políticas de privacidad y seguridad de la información médica.
  • Impone sanciones severas en caso de incumplimiento.
  • Incluye la obligación de notificar incidentes de seguridad.

Reglamento General de Protección de Datos (GDPR)

El GDPR, en la Unión Europea, es otro marco de referencia importante por su enfoque en la protección de datos personales, incluyendo datos de salud. Instituciones mexicanas que tratan datos de personas europeas deben cumplir con el GDPR.

  • Requiere el consentimiento explícito para el tratamiento de datos de salud.
  • Establece derechos para las personas, como el acceso, rectificación y supresión de sus datos.

  • Incorpora la obligación de realizar evaluaciones de impacto en privacidad

Estándares y buenas prácticas de ciberseguridad

  • ISO/IEC 27001: Certificación de sistemas de gestión de seguridad de la información.
  • ISO 27799: Guía específica sobre seguridad de la información en salud.
  • Guía CIS Controls: Controles críticos para la defensa cibernética.
  • NIST Framework: Marco de referencia para la gestión de riesgos y respuestas ante incidentes.

Integrar estos estándares ayuda a crear una cultura de seguridad, identificar riesgos emergentes y responder de manera efectiva a incidentes, más allá del cumplimiento legal.

4. Principales retos en la ciberseguridad del sector salud mexicano

El sector enfrenta desafíos considerables:

  • Infraestructura obsoleta: Muchos hospitales y clínicas aún utilizan sistemas antiguos, difíciles de actualizar o proteger.
  • Capacitación insuficiente: El personal médico y administrativo suele carecer de formación especializada en ciberseguridad.
  • Recursos limitados: Las restricciones presupuestales afectan la inversión en tecnología y en medidas de protección.
  • Ataques en aumento: El sector salud es blanco frecuente de ransomware y otros ataques avanzados, debido al valor de la información médica.
  • Integración de dispositivos IoT y telemedicina: La conectividad de dispositivos médicos y el crecimiento de la atención a distancia aumentan la superficie de ataque.

5. Recomendaciones para fortalecer la ciberseguridad en el sector salud

  • Implementar controles de acceso estrictos a sistemas y expedientes.
  • Implementar herramientas de ciberseguridad en los principales vectores de comunicación empresarial: correo electrónico, navegación en la web, uso de aplicaciones nube, seguridad en el perímetro de la red local e internet, así como lugares designados para almacenamiento de la información, ya sea en la red local o en la nube.
  • Igualar políticas de ciberseguridad para personal trabajando dentro de las instalaciones, oficinas remotas o desde casa, así como acceso seguro a la información y aplicaciones.
  • Utilizar cifrado para el almacenamiento y transmisión de datos sensibles.
  • Actualizar y parchear regularmente los sistemas.
  • Realizar copias de seguridad periódicas y ensayar planes de recuperación ante desastres.
  • Capacitar continuamente al personal en reconocimiento de amenazas y buenas prácticas digitales.
  • Monitorear en tiempo real e investigar incidentes de seguridad.
  • Evaluar y adaptar los controles de acuerdo a las nuevas amenazas y tecnologías.

6. ¿Cómo implementar una estrategia efectiva de ciberseguridad en el sector salud?

La complejidad en la administración y operación de soluciones de ciberseguridad requiere de personal de tecnologías de la información capacitado en diferentes disciplinas, así como experiencia con diversas marcas o fabricantes.

 Por este motivo, es altamente recomendado para clínicas, hospitales o centros de investigación, contratar servicios integrales de ciberseguridad, comúnmente llamados “Servicios administrados”. Estos servicios tienen las siguientes ventajas:

  • Pago mensual de servicios 100% deducible de impuestos
  • Incluye las soluciones de ciberseguridad, licencias y suscripciones necesarias para operar el servicio, sin que el cliente invierta en comprarlas.
  • Estos servicios incluyen la implementación, gestión y operación de las soluciones, sin un costo adicional.
  • Gestión del servicio por personal altamente calificado y certificado por los marcas o fabricantes que brindan las soluciones.
  • No requiere de inversión adicional anual por licenciamiento o por actualización de hardware o software.
  • Con estos servicios se minimiza la inversión en tecnología y se mantiene una estrategia de ciberseguridad eficaz.

Podemos recomendar los servicios administrados de Cobra Networks, expertos en ciberseguridad, dentro de sus servicios destacados, podemos encontrar:

  • Seguridad integral para computadoras con el servicio “Endpoint Security 360” protege a los equipos al recibir información por correo, a través de memorias usb o por bluetooth. Clic para ver servicio.
  • Seguridad en el perímetro entre la red empresarial e internet con Barracuda CloudGen Firewall. Protege a los usuarios al navegar en Internet, descargar archivos, almacenarlos en la nube, gestionar sitios web que se pueden usar, acceso remoto seguro y muchos más servicios para asegurar las redes empresariales. Clic para ver servicio. 
  • Seguridad para correo electrónico empresarial, mitigue las amenazas y ataques transmitidos por este medio, que sigue siendo el más usado. Clic para ver servicio.
  • Respaldo de archivos y carpetas directo a la nube y desde cualquier ubicación para computadoras y servidores. Clic para ver servicio.
  • Seguridad la navegar y uso de aplicaciones nube desde cualquier ubicación. Clic para ver soluciones.
  • Capacita a tus usuarios y envía simulaciones de ataques por correo electrónico, capacitación 100% en línea en múltiples idiomas. Clic para ver solución.

Para consultar más servicios, no dudes en comunicarte con nosotros, nuestros expertos podrán asesorarte de forma personalizada.

7. Perspectivas y futuro de la ciberseguridad en salud

El avance de la inteligencia artificial, la medicina personalizada y la interoperabilidad entre sistemas implicará nuevos retos y oportunidades en la protección de datos de salud. El marco legal tenderá a endurecerse, con mayor fiscalización y sanciones para quienes no cumplan con los estándares de seguridad. Al mismo tiempo, la colaboración entre sector público y privado, así como el intercambio de buenas prácticas, serán claves para hacer frente a las amenazas emergentes.

En conclusión, la ciberseguridad en el sector salud mexicano requiere una visión integral, que combine el cumplimiento normativo con la adopción proactiva de estándares internacionales y la constante capacitación del recurso humano. Solo así se podrá garantizar una atención médica de calidad, segura y respetuosa de los derechos de las personas.

 

 

  • Barracuda Premier Partner

    Cobra Networks es socio Premier de Barracuda Networks, el nivel Premier
    es el nivel más alto que un socio del fabricante puede alcanzar, lo que
    garantiza a nuestros clientes, los mejores precios y servicio