Evaluación de confianza en e-Health: Análisis y comentario del artículo Trust assessment of security for e-health systems

La presente publicación resume y analiza los elementos recogidos en el artículo Trust assessment of security for e-health systems de Bahtiyar, Ş. and M. U. Çağlayan publicado en Electronic Commerce Research and Applications 13(3): 164-177.

Los sistemas actuales de telemedicina (también llamados e-Health) son una fuente enorme de datos personales; de los cuales, además, se incluyen datos tan privados como nuestra historia clínica (en la que se recoge nuestras visitas, enfermedades, etc.). Por tanto, no es de extrañar que actualmente sea uno de los sistemas con el punto de mira de los ciberdelincuentes con la finalidad de traficar con los datos que se recaban. Los autores Serif Bahtiyar y Mehmet Ufuk Çaglayan en el artículo que se comenta analizan un modelo para poder evaluar su confianza y seguridad.

1. Definiciones

Según los autores, la seguridad en la información sí que ha sido definida y tratada con el siguiente número de procesos: autentificación, confidencialidad, integridad y disponibilidad [1]. En cambio la definición de confianza, tal y como se indica en el artículo, puede llegar a ser estudiada por diversos campos de la ciencia, aunque sin llegarse a un acuerdo.

Bahtiyar y Çağlayan definen el sistema de seguridad como un conjunto de mecanismos que se encuentran implementados dentro de una política de seguridad. Ésta a su vez la definen como una colección de reglas que permiten o prohíben la realización de ciertas acciones, procesos o cualquier otro elemento relacionado con la seguridad.

Tras haber definido estos dos 2 términos, vamos a centrarnos en “entidad”, el cual  se entiende como cualquier persona, entidad e incluso plataforma IT que el usuario final utiliza para poder acceder a la información dentro de un sistema informático. Aunque ésta última definición abarque una gran variedad de elementos, cuanto mayor sea la confianza que tal entidad tenga en la infraestructura, mayor será su uso, y por tanto si estamos hablando de sistemas de telemedicina, ese aumento puede ayudar a disminuir los recursos y el coste de ciertas intervenciones médicas (por ejemplo: gestión de historial clínico, realización de teleconsultas a pacientes crónicos en su propio domicilio, etc.).

Existen 3 tipos de información de confianza: En el artículo se comentan modelos computacionales utilizados en entornes de e-commerce [2,3,4]; pero según los autores no dan la confianza necesaria para poder ser utilizados en entornos abiertos de telemedicina, desde el punto de vista de la entidad que los utiliza. Para ello han desarrollado su propio modelo más flexible y que utilizando unas métricas propias permite tener un mayor control del entorno; y, por tanto, hacen más confiable su uso pudiendo ser más o menos restrictivo en función de las propias necesidades de la entidad.

2. Modelos computacionales sobre confianza

– Directa: se obtiene a través de la experiencia.
– Indirecta: se obtiene a través de información de confianza.
– Existente: se obtiene tras la evaluación de información de confianza que proviene de una entidad.

Estos tres tipos de información se usan en los modelos computacionales, ya sea de forma particular, o relacionando los tipos entre ellos.

En tanto que los sistemas de comercio electrónico (e-commerce) y los sistemas de telemedicina requieren diferentes requisitos de confianza sobre los servicios de seguridad, ésta se determina a partir de las métricas de confianza en los modelos computacionales. Pero estas métricas han de poder abarcar todo el conjunto de elementos que conforman un sistema, una entidad o varios sistemas/entidades. A partir de ello Bahtiyar y Çağlayan han han agrupado los elementos en 6 métricas para medir la confianza de un sistema de seguridad basado en las necesidades de una entidad.

3. Arquitectura de evaluación de confianza

Los componentes principales de este modelo son tres:
– Entidad.
– Servicio.
– Sistema de evaluación de la confianza (TAS).

4. Sistema de evaluación de la confianza (TAS)

El TAS puede ser un sistema independiente de los otros 2 componentes, pero es el que se encarga de realizar la unión entre ambos y de intercambiar la información los elementos: entidad y servicio.

En este modelo cada entidad tiene su propio TAS, y por tanto gestiona la confianza en el sistema de seguridad a sus propias necesidades, además (según los autores) la privacidad de una entidad se preservará mejor y los problemas de comunicación disminuirán considerablemente. Es por ello que Bahtiyar y Çağlayan han introducido en el análisis de cada una de las entidades de su arquitectura del modelo computacional el TAS.

5. Entorno de trabajo

El entorno en el que se desarrollará es un campo donde hay diversas entidades y servicios de telemedicina trabajando en diferentes plataformas (PDAs, smartphones, PCs, etc.)
6. Entidad

Se refiere a cualquier elemento o software que represente a un paciente. Por ejemplo una aplicación con interfaz web usada por el usuario para conocer su historia clínica.

Se requiere realizar un sistema de evaluación de confianza de cada entidad; esto se obtiene auditando la seguridad y observando los diversos servicios con los que se comunica dicha entidad. Cada uno de estos servicios debería de enviar los informes o registros de actividad a la entidad para que pudieran ser evaluados a posteriori. Por tanto la entidad, y su sistema de evaluación de confianza, se encargan en todo momento de recibir la información de todos los servicios asociados a la misma; dependiendo de sus propios requisitos de seguridad.
7. Servicio

Se entiende por servicio aquellos sistemas de telemedicina que se conectan con las entidades. Estos sistemas a su vez contienen los siguientes elementos:

  •  Política de seguridad: incluye el comportamiento de un sistema de seguridad en diversos entornos.

Por ejemplo: La longitud de la contraseña para poder acceder a un servicio. Si es inferior a un número mínimo de caracteres no dejará continuar con el proceso de login.

  • Mecanismos de Seguridad: cualquier elemento que aumente la seguridad del servicio.

Por ejemplo: los algoritmos de encriptación de la información residente en el servicio.

  • Registros de actividad: es toda la información originada, almacenada y registrada durante el uso del servicio, que posteriormente puede ser revisado por un técnico.

Por ejemplo: el archivo log .txt donde se almacena el nombre de los ficheros encriptados, para posteriormente evaluarlos si fuera necesario.
8. BIBLIOGRAFÍA

[1] Sun, Y.L., Han, Z., Liu, K.J.R., 2008. Defense of trust management vulnerabilities in
distributed networks. IEEE Communications Magazine 46, 112–119.
[2] Jøsang, A., Ismail, R., Boyd, C., 2007. A survey of trust and reputation systems for
online service provision. Decision Support Systems 43, 618–644.
[3] Massa, P. Trust in E-services: Technologies, Practices and Challenges. Idea Group
Inc., Ch. A Survey of Trust Use and Modeling in Real Online Systems, 2007,
51–83.
[4] Yan, Z. Trust management for mobile computing platforms. Ph.D. thesis,
Department of Electrical and Communication Engineering, Helsinki University
of Technology, Network Laboratory, 2007.

Licencia Creative Commons
Evaluación de confianza en e-Health: Análisis y comentario del artículo Trust assessment of security for e-health systems por Rafael Camero Gómez se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional.

Anuncios
Esta entrada fue publicada en Dirección Hospitales, Gestión Clínica, Telemedicina, Telesalud y etiquetada , , , . Guarda el enlace permanente.

Deje Usted un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s