Gràcies a l’auge d’eines i serveis en núvol, els usuaris disposen d’una varietat de recursos més gran, que s’adapta a diferents necessitats i gusts. Això produeix l’efecte conegut com a “shadow IT”, un concepte que es refereix al conjunt de sistemes tecnològics, dispositius, programes, aplicacions i serveis en núvol que són fora del control del departament de tecnologia de la informació (IT, per information technology) d’una empresa i que no tenen l’aprovació explícita de l’organització.

Aquest concepte s’amplia amb el de “shadow data”, relatiu a la informació sensible de l’empresa que es comparteix i el tipus o la qualitat de la no han estat validats pel departament de tecnologia de la informació.

Per reduir els riscs que poden suposar aquestes pràctiques, cal recordar el que estableix l’apartat 7.4 (“Connexió de dispositius personals i emmagatzemament al nigul”) del “Codi de bones pràctiques del Servei de Salut en l’ús dels sistemes d’informació i en el tractament de les dades de caràcter personal”:

• No es pot connectar a la xarxa informàtica de comunicacions corporativa cap dispositiu diferent dels configurats, habilitats i admesos pel Servei de Salut, llevat que es disposi de l’autorització prèvia corresponent.
• No és permès transmetre o allotjar informació sensible, confidencial, dades de caràcter personal o informació protegida pròpia del Servei de Salut en servidors externs o solucions d’emmagatzemament al nigul.

Emprar aplicacions o serveis no validats implica els riscs següents:

• Els serveis que no són coneguts pel departament de tecnologia de la informació són més difícils de controlar.
• Atès que no estan inclosos en les anàlisis de risc, no es poden prendre contramesures i suposen un incompliment normatiu de l’Esquema Nacional de Seguretat.
• Si s’empren per al tractament de dades —especialment de dades sensibles— s’hi aplicaria Reglament general de protecció de dades i la Llei orgànica 3/2018.

Per aquesta raó, l’Oficina de Seguretat del Servei de Salut aprofita aquest butlletí de seguretat per insistir en aquests aspectes:

• Emprau exclusivament eines corporatives.
• Si necessitau un nou servei, cursau un requeriment intern perquè s’avaluï la millor eina (incloent-hi la vostra seguretat) per a aquest servei.
• No empreu eines no corporatives per enviar informació, sobretot mai i sota cap concepte per enviar dades relatives a la salut.
• Siau pacient: nous serveis o aplicacions requeriran noves anàlisis i avaluacions, necessàries per determinar la idoneïtat i la seguretat de la sol·

Gràcies a aquestes bones pràctiques disminuirem el risc de fuga d’informació sensible.