Journal Information
Vol. 29. Issue 1.
Pages 74-76 (January - February 2015)
Visits
Not available
Vol. 29. Issue 1.
Pages 74-76 (January - February 2015)
Carta a la directora
Open Access
Estudio sobre la importancia y la seguridad de uso de las contraseñas en el ámbito laboral sanitario
Study of the importance and security level of passwords in the healthcare setting
Visits
6673
José Luis Fernández-Alemána,
Corresponding author
aleman@um.es

Autor para correspondencia.
, Ana Sánchez-Henarejosa, Víctor Manuel García-Amicisa, Ambrosio Tovala, Ana Belén Sánchez-Garcíab, Isabel Hernández-Hernándezb
a Departamento de Informática y Sistemas, Facultad de Informática, Universidad de Murcia, Murcia, España
b Hospital General Universitario Reina Sofía, Murcia, España
This item has received

Under a Creative Commons license
Article information
Full Text
Bibliography
Download PDF
Statistics
Tables (1)
Tabla 1. Características de la muestra y porcentaje de participantes con buenas prácticas de seguridad según las variables sociodemográficas. Asociación entre las variables sociodemográficas y tener buenas prácticas de seguridad, con análisis de regresión logística bivariada (N=180)
Full Text
Sra. Directora:

La seguridad de las contraseñas es fundamental en los sistemas de información de cualquier centro asistencial o de salud pública. Un estudio reciente de Verizon informaba de que alrededor del 90% de las brechas de seguridad en 2012 tuvieron su origen en una contraseña por defecto o débil, o bien en una contraseña robada y reutilizada1. Existen importantes obstáculos para recordar una contraseña en un entorno hospitalario: uso infrecuente, complejidad (extensión y composición) y número excesivo de contraseñas que es necesario recordar para desempeñar la labor asistencial2. Estos problemas conducen a contraseñas con múltiples vulnerabilidades: débiles, comunes o evidentes. Sin embargo, se ha prestado escasa atención a la necesidad de formación de los trabajadores en prácticas de seguridad adecuadas3.

Se realizó un estudio para analizar la formación y las buenas prácticas de seguridad de las contraseñas por parte de los trabajadores en el entorno del Hospital General Universitario Reina Sofía de Murcia. Se llevó a cabo una búsqueda sobre buenas prácticas de seguridad y privacidad entre personal sanitario, utilizando bases de datos relacionadas con el ámbito de la salud y la seguridad informática: PubMed, ACM, IEEE y Scirus. Para armonizar las guías y recomendaciones encontradas, se confeccionó el Catálogo de requisitos de buenas prácticas de seguridad de los trabajadores de las organizaciones sanitarias (CAT_BPS)4, que fue utilizado para crear un cuestionario que incluía seis preguntas sobre características demográficas y nueve preguntas específicas relacionadas con la fortaleza y el buen uso de las contraseñas.

De los 205 profesionales consultados, 180 accedieron a participar en el estudio. La edad media de los participantes fue de 45,2 años (desviación estándar: 8,9). Las características sociodemográficas y profesionales relacionadas con la seguridad de las contraseñas se muestran en la tabla 1. Los resultados indicaron que el 62,2% de los participantes tenía una contraseña débil, esto es, su contraseña constaba de nombres de personas, fechas, información personal, o no incluía al menos ocho dígitos, letras minúsculas, mayúsculas, algún número y algún carácter especial. Un 16,0% del total había escrito alguna vez la contraseña en algún lugar fácilmente accesible a terceros, la enviaron por correo electrónico o utilizaron la opción de guardado automático del navegador.

Tabla 1.

Características de la muestra y porcentaje de participantes con buenas prácticas de seguridad según las variables sociodemográficas. Asociación entre las variables sociodemográficas y tener buenas prácticas de seguridad, con análisis de regresión logística bivariada (N=180)

Características de la muestra  Muestra desglosada según BPSOR (IC95%) BPS 
  N (%)  N (%) BPS  N (%) no BPS   
Edad (años)
18-30  24 (13,3)  4 (16,7)  20 (83,3)  0,70 (0,20-2,44) 
31-50  102 (56,7)  20 (19,6)  82 (80,4)  0,85 (0,38-1,91) 
51-67  54 (30,0)  12 (22,2)  42 (77,8) 
Sexo
Femenino  142 (78,9)  114 (80,3)  28 (19,7)  1,08 (0,44-2,62) 
Masculino  38 (21,1)  30 (78,9)  8 (21,1) 
Nivel de estudios
Enseñanza obligatoria o inferior  4 (2,2)  1 (25,0)  3 (75,0)  1,11 (0,10-11,68) 
Enseñanza secundaria  51 (28,3)  7 (13,7)  44 (86,3)  0,53 (0,19-1,47) 
Diplomados universitarios  73 (40,6)  16 (21,9)  57 (78,1)  0,93 (0,40-2,19) 
Licenciados universitarios y doctores  52 (28,9)  12 (23,1)  40 (76,9) 
Ocupación
Personal de administración  30 (16,7)  5 (16,7)  25 (83,3)  0,62 (0,18-2,10) 
Celador  7 (3,9)  2 (28,6)  5 (71,4)  1,24 (0,20-7,55) 
Técnico de laboratorio/radiología  11 (6,1)  0 (0,0)  11 (100,0)  0,00 (-) 
Enfermero/a  61 (33,8)  14 (23,0)  47 (77,0)  0,92 (0,35-2,41) 
Auxiliar de enfermería  34 (18,9)  6 (17,6)  28 (82,4)  0,66 (0,20-2,12) 
Médico  37 (20,6)  9 (24,3)  28 (75,7) 
Experiencia en el puesto actual (años)
>25  15 (8,3)  4 (26,7)  11 (73,3)  1,14 (0,31-4,16) 
21-25  18 (10,0)  4 (22,2)  14 (77,8)  0,89 (0,25-3,17) 
16-20  21 (11,7)  7 (33,3)  14 (66,7)  1,57 (0,52-4,66) 
11-15  19 (10,6)  2 (10,5)  17 (89,5)  0,37 (0,07-1,80) 
6-10  49 (27,2)  5 (10,2)  44 (89,8)  0,35 (0,11-1,07) 
0-5  58 (32,2)  14 (24,1)  44 (75,9) 
Experiencia en otro puesto del sector sanitario (años)
>25  8 (4,5)  2 (25,0)  6 (75,0)  1,51 (0,28-8,13) 
21-25  9 (5,0)  2 (22,2)  7 (77,8)  1,29 (0,24-6,78) 
16-20  21 (11,7)  5 (23,8)  16 (76,2)  1,41 (0,45-4,39) 
11-15  24 (13,3)  6 (25,0)  18 (75,0)  1,51 (0,52-4,37) 
6-10  24 (13,3)  4 (16,7)  20 (83,3)  0,90 (0,27-2,99) 
0-5  94 (52,2)  17 (18,1)  77 (81,9) 

OR: odds ratio; IC95%: intervalo de confianza del 95%; BPS: buenas prácticas de seguridad.

Son necesarios una adecuada formación y entrenamiento en el ámbito de la seguridad de las contraseñas en los sistemas de información digital, junto con una normativa y un protocolo de seguridad suficientemente claros, que fijen incentivos y penalizaciones. Una fórmula práctica para obtener una contraseña segura, fácil de recordar y que ha demostrado su eficacia experimentalmente, consiste en utilizar la primera letra de cada palabra de una frase que pueda recordarse con facilidad, alternando mayúsculas y minúsculas, insertando un carácter especial y un número tras cada letra5. Por ejemplo, la frase «soy doctor especializado en neumología», el año 2014 y los caracteres”, =, ! y $ (correspondientes a los dígitos 2 0 1 4 del teclado) podrían utilizarse combinados para obtener la contraseña segura «S”2d=0E!1e$4N».

Contribuciones de autoría

J.L. Fernández Alemán contribuyó a la concepción y el diseño del estudio, la recopilación, el análisis y la interpretación de los datos, y la elaboración del manuscrito. A. Sánchez Henarejos, V.M. García Amicis, I. Hernández, A.B. Sánchez García y A. Toval contribuyeron al análisis y la interpretación de los datos, y a la elaboración del manuscrito. Todos los autores han aprobado la versión final del artículo.

Financiación

Este trabajo forma parte del proyecto PEGASO-PANGEA (TIN2009-13718-C02-02) financiado por el Ministerio de Ciencia e Innovación, y del proyecto GEODAS-REQ (TIN2012-37493-C03-02) financiado por el Ministerio de Economía y Competitividad, y con fondos europeos FEDER.

Conflictos de intereses

Ninguno.

Agradecimientos

A Javier Iniesta, del Hospital General Universitario Reina Sofía de Murcia, por su colaboración en la recogida de datos y en la obtención del consentimiento informado. Este trabajo es parte de un estudio más amplio que presenta un catálogo de buenos hábitos de seguridad informática para profesionales sanitarios y un método para evaluar el cumplimiento de la normativa de protección de datos, que fue galardonado con un accésit en la categoría de investigación de los Premios de Protección de Datos de 2013 de la Agencia Española de Protección de Datos.

Bibliografía
[1]
Lemos R. Targeted attacks, weak passwords top IT security risks in 2013, eWeek. (Consultado el 04/02/14.) Disponible en: http://www.eweek.com/security/targeted-attacks-weak-passwords-top-it-security-risks-in-2013/
[2]
J.I. Fernando, L.L. Dawson.
The health information system security threat lifecycle: an informatics theory.
Int J Med Inform., 78 (2009), pp. 815-826
[3]
J.L. Fernández-Alemán, I.C. Senor, P.A. Lozoya, et al.
Security and privacy in electronic health records: a systematic literature review.
J Biomed Inform., 46 (2013), pp. 541-562
[4]
A. Sánchez-Henarejos, J.L. Fernández-Alemán, A. Toval, et al.
Guía de buenas prácticas de seguridad informática en el tratamiento de datos de salud para el personal sanitario en atención primaria.
Aten Primaria., 46 (2014), pp. 214-222
[5]
Vu K-PL, R.W. Proctor, A. Bhargav-Spantzel, et al.
Improving password security and memorability to protect personal and organizational information.
Int J Hum Comput St., 65 (2007), pp. 744-757
Copyright © 2014. SESPAS
Download PDF
Idiomas
Gaceta Sanitaria
Article options
Tools
es en

¿Es usted profesional sanitario apto para prescribir o dispensar medicamentos?

Are you a health professional able to prescribe or dispense drugs?