Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2

Diaz Ordoñez, Paulo Ernesto

View/Open

Texto completo (5.002Mb)

Date

2020

Author

Diaz Ordoñez, Paulo Ernesto

Advisor

Mateus Hernández, Milton Javier

TY - GEN T1 - Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2 AU - Diaz Ordoñez, Paulo Ernesto Y1 - 2020 UR - http://hdl.handle.net/20.500.12622/4462 PB - Instituto Tecnológico Metropolitano AB - Se puede afirmar que dentro de las entidades de salud nace la necesidad de implementar un sistema de información electrónico para poder enviar datos e información, que en la mayoría de los casos es de carácter privado y confidencial; generalmente esta información es muy sensible para los pacientes porque contiene datos personales e historiales que registran enfermedades que padecen, datos que pueden ser utilizados negativamente si llegan a caer a manos de terceros como delincuentes informáticos, quienes tendrían toda posibilidad para robar su identidad e inclusive estar expuestos a altos riesgos que podrían incidir en la misma vida de los pacientes o en la perdida de confiabilidad de las entidades que utilizan dichos datos. Es por eso que la empresa HL7 pensando en los problemas de comunicación y envío de información de una entidad a otra en el sector salud crea un estándar llamado HL7 CDA(Clinical Document Architecture) R2 (Release 2) el cual permite realizar esta comunicación pensando en un carácter netamente de interoperabilidad, para que así se puedan realizar envíos de diferentes tipos de archivos y en diferentes plataformas, pero que puedan ser leídos por el sistema de otras entidades transmitiendo historiales médicos. Es así como surge una pregunta: ¿Es seguro el Estándar HL7 CDA en su Confidencialidad?; partiendo de proyectos realizados hace algunos años se puede concluir que se ha trabajado muy poco en la seguridad de este estándar dejando ver algunos riesgos de seguridad que llevan a vulnerabilidades del estándar, de mucha importancia en la confidencialidad de los documentos que se transmiten por este medio, principalmente vulnerabilidades de XSS (Cross site scripting) y vulnerabilidades de obtención de información. Se entrega como resultado final del proyecto desarrollado un Prototipo de framework que permita brindar más seguridad en el estándar HL7 CDA R2, es por ello que se ha iniciado un estudio de varias herramientas de detección y prevención, de trabajo en conjunto bajo características fundamentales como, que sean OPEN SOURCE. Esta investigación se realizó bajo 3 fases metodológicas, primera fase Identificar problemas y Determinar Herramientas, donde se identificaron y caracterizaron los problemas de confidencialidad del estándar, se buscaron las mejores herramientas para detectar y prevenir los problemas que afectaron la confidencialidad del estándar. La segunda fase Desarrollo del prototipo de Framework, donde se recolectaron los historiales médicos electrónicos, se investigó acerca de un visor de documentos CDA web, se identificaron las medidas de seguridad para las vulnerabilidades encontradas y se simuló un envío de historiales médicos para su posterior análisis de vulnerabilidades. Para desarrollar el prototipo de framework se acoplo dos módulos (IDS, IPS) open source para trabajar en conjunto y de manera equilibrada, mostrando los ataques con su nivel de criticidad en score de CVE vulnerability. La tercera Fase es Evaluar el Prototipo de Framework Propuesto, donde se implementó el prototipo de framework en un servidor Ubuntu y se realizaron las pruebas pertinentes para corroborar que las vulnerabilidades fueron mitigadas, el desarrollo del prototipo se realizó con el fin de brindar confidencialidad de la información en los historiales clínicos, los cuáles son transmitidos por este estándar. ER - @misc{20.500.12622_4462, author = {Diaz Ordoñez Paulo Ernesto}, title = {Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2}, year = {2020}, abstract = {Se puede afirmar que dentro de las entidades de salud nace la necesidad de implementar un sistema de información electrónico para poder enviar datos e información, que en la mayoría de los casos es de carácter privado y confidencial; generalmente esta información es muy sensible para los pacientes porque contiene datos personales e historiales que registran enfermedades que padecen, datos que pueden ser utilizados negativamente si llegan a caer a manos de terceros como delincuentes informáticos, quienes tendrían toda posibilidad para robar su identidad e inclusive estar expuestos a altos riesgos que podrían incidir en la misma vida de los pacientes o en la perdida de confiabilidad de las entidades que utilizan dichos datos. Es por eso que la empresa HL7 pensando en los problemas de comunicación y envío de información de una entidad a otra en el sector salud crea un estándar llamado HL7 CDA(Clinical Document Architecture) R2 (Release 2) el cual permite realizar esta comunicación pensando en un carácter netamente de interoperabilidad, para que así se puedan realizar envíos de diferentes tipos de archivos y en diferentes plataformas, pero que puedan ser leídos por el sistema de otras entidades transmitiendo historiales médicos. Es así como surge una pregunta: ¿Es seguro el Estándar HL7 CDA en su Confidencialidad?; partiendo de proyectos realizados hace algunos años se puede concluir que se ha trabajado muy poco en la seguridad de este estándar dejando ver algunos riesgos de seguridad que llevan a vulnerabilidades del estándar, de mucha importancia en la confidencialidad de los documentos que se transmiten por este medio, principalmente vulnerabilidades de XSS (Cross site scripting) y vulnerabilidades de obtención de información. Se entrega como resultado final del proyecto desarrollado un Prototipo de framework que permita brindar más seguridad en el estándar HL7 CDA R2, es por ello que se ha iniciado un estudio de varias herramientas de detección y prevención, de trabajo en conjunto bajo características fundamentales como, que sean OPEN SOURCE. Esta investigación se realizó bajo 3 fases metodológicas, primera fase Identificar problemas y Determinar Herramientas, donde se identificaron y caracterizaron los problemas de confidencialidad del estándar, se buscaron las mejores herramientas para detectar y prevenir los problemas que afectaron la confidencialidad del estándar. La segunda fase Desarrollo del prototipo de Framework, donde se recolectaron los historiales médicos electrónicos, se investigó acerca de un visor de documentos CDA web, se identificaron las medidas de seguridad para las vulnerabilidades encontradas y se simuló un envío de historiales médicos para su posterior análisis de vulnerabilidades. Para desarrollar el prototipo de framework se acoplo dos módulos (IDS, IPS) open source para trabajar en conjunto y de manera equilibrada, mostrando los ataques con su nivel de criticidad en score de CVE vulnerability. La tercera Fase es Evaluar el Prototipo de Framework Propuesto, donde se implementó el prototipo de framework en un servidor Ubuntu y se realizaron las pruebas pertinentes para corroborar que las vulnerabilidades fueron mitigadas, el desarrollo del prototipo se realizó con el fin de brindar confidencialidad de la información en los historiales clínicos, los cuáles son transmitidos por este estándar.}, url = {http://hdl.handle.net/20.500.12622/4462} }RT Generic T1 Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2 A1 Diaz Ordoñez, Paulo Ernesto YR 2020 LK http://hdl.handle.net/20.500.12622/4462 PB Instituto Tecnológico Metropolitano AB Se puede afirmar que dentro de las entidades de salud nace la necesidad de implementar un sistema de información electrónico para poder enviar datos e información, que en la mayoría de los casos es de carácter privado y confidencial; generalmente esta información es muy sensible para los pacientes porque contiene datos personales e historiales que registran enfermedades que padecen, datos que pueden ser utilizados negativamente si llegan a caer a manos de terceros como delincuentes informáticos, quienes tendrían toda posibilidad para robar su identidad e inclusive estar expuestos a altos riesgos que podrían incidir en la misma vida de los pacientes o en la perdida de confiabilidad de las entidades que utilizan dichos datos. Es por eso que la empresa HL7 pensando en los problemas de comunicación y envío de información de una entidad a otra en el sector salud crea un estándar llamado HL7 CDA(Clinical Document Architecture) R2 (Release 2) el cual permite realizar esta comunicación pensando en un carácter netamente de interoperabilidad, para que así se puedan realizar envíos de diferentes tipos de archivos y en diferentes plataformas, pero que puedan ser leídos por el sistema de otras entidades transmitiendo historiales médicos. Es así como surge una pregunta: ¿Es seguro el Estándar HL7 CDA en su Confidencialidad?; partiendo de proyectos realizados hace algunos años se puede concluir que se ha trabajado muy poco en la seguridad de este estándar dejando ver algunos riesgos de seguridad que llevan a vulnerabilidades del estándar, de mucha importancia en la confidencialidad de los documentos que se transmiten por este medio, principalmente vulnerabilidades de XSS (Cross site scripting) y vulnerabilidades de obtención de información. Se entrega como resultado final del proyecto desarrollado un Prototipo de framework que permita brindar más seguridad en el estándar HL7 CDA R2, es por ello que se ha iniciado un estudio de varias herramientas de detección y prevención, de trabajo en conjunto bajo características fundamentales como, que sean OPEN SOURCE. Esta investigación se realizó bajo 3 fases metodológicas, primera fase Identificar problemas y Determinar Herramientas, donde se identificaron y caracterizaron los problemas de confidencialidad del estándar, se buscaron las mejores herramientas para detectar y prevenir los problemas que afectaron la confidencialidad del estándar. La segunda fase Desarrollo del prototipo de Framework, donde se recolectaron los historiales médicos electrónicos, se investigó acerca de un visor de documentos CDA web, se identificaron las medidas de seguridad para las vulnerabilidades encontradas y se simuló un envío de historiales médicos para su posterior análisis de vulnerabilidades. Para desarrollar el prototipo de framework se acoplo dos módulos (IDS, IPS) open source para trabajar en conjunto y de manera equilibrada, mostrando los ataques con su nivel de criticidad en score de CVE vulnerability. La tercera Fase es Evaluar el Prototipo de Framework Propuesto, donde se implementó el prototipo de framework en un servidor Ubuntu y se realizaron las pruebas pertinentes para corroborar que las vulnerabilidades fueron mitigadas, el desarrollo del prototipo se realizó con el fin de brindar confidencialidad de la información en los historiales clínicos, los cuáles son transmitidos por este estándar. OL Spanish (121)

Bibliographic managers

Refworks

Zotero

BibTeX

CiteULike

Metadata

Show full item record

PDF Documents

Abstract

Se puede afirmar que dentro de las entidades de salud nace la necesidad de implementar un sistema de información electrónico para poder enviar datos e información, que en la mayoría de los casos es de carácter privado y confidencial; generalmente esta información es muy sensible para los pacientes porque contiene datos personales e historiales que registran enfermedades que padecen, datos que pueden ser utilizados negativamente si llegan a caer a manos de terceros como delincuentes informáticos, quienes tendrían toda posibilidad para robar su identidad e inclusive estar expuestos a altos riesgos que podrían incidir en la misma vida de los pacientes o en la perdida de confiabilidad de las entidades que utilizan dichos datos. Es por eso que la empresa HL7 pensando en los problemas de comunicación y envío de información de una entidad a otra en el sector salud crea un estándar llamado HL7 CDA(Clinical Document Architecture) R2 (Release 2) el cual permite realizar esta comunicación pensando en un carácter netamente de interoperabilidad, para que así se puedan realizar envíos de diferentes tipos de archivos y en diferentes plataformas, pero que puedan ser leídos por el sistema de otras entidades transmitiendo historiales médicos. Es así como surge una pregunta: ¿Es seguro el Estándar HL7 CDA en su Confidencialidad?; partiendo de proyectos realizados hace algunos años se puede concluir que se ha trabajado muy poco en la seguridad de este estándar dejando ver algunos riesgos de seguridad que llevan a vulnerabilidades del estándar, de mucha importancia en la confidencialidad de los documentos que se transmiten por este medio, principalmente vulnerabilidades de XSS (Cross site scripting) y vulnerabilidades de obtención de información. Se entrega como resultado final del proyecto desarrollado un Prototipo de framework que permita brindar más seguridad en el estándar HL7 CDA R2, es por ello que se ha iniciado un estudio de varias herramientas de detección y prevención, de trabajo en conjunto bajo características fundamentales como, que sean OPEN SOURCE. Esta investigación se realizó bajo 3 fases metodológicas, primera fase Identificar problemas y Determinar Herramientas, donde se identificaron y caracterizaron los problemas de confidencialidad del estándar, se buscaron las mejores herramientas para detectar y prevenir los problemas que afectaron la confidencialidad del estándar. La segunda fase Desarrollo del prototipo de Framework, donde se recolectaron los historiales médicos electrónicos, se investigó acerca de un visor de documentos CDA web, se identificaron las medidas de seguridad para las vulnerabilidades encontradas y se simuló un envío de historiales médicos para su posterior análisis de vulnerabilidades. Para desarrollar el prototipo de framework se acoplo dos módulos (IDS, IPS) open source para trabajar en conjunto y de manera equilibrada, mostrando los ataques con su nivel de criticidad en score de CVE vulnerability. La tercera Fase es Evaluar el Prototipo de Framework Propuesto, donde se implementó el prototipo de framework en un servidor Ubuntu y se realizaron las pruebas pertinentes para corroborar que las vulnerabilidades fueron mitigadas, el desarrollo del prototipo se realizó con el fin de brindar confidencialidad de la información en los historiales clínicos, los cuáles son transmitidos por este estándar.

Abstract

It can be affirmed that within the health entities the need arises to implement an electronic information system to be able to send data and information, which in most cases is private and confidential; This information is generally very sensitive for patients because it contains personal data and records that record illnesses that they suffer, data that can be used negatively if they fall into the hands of third parties such as computer criminals, who would have every possibility to steal their identity and even be exposed to high risks that could affect the life of the patients or the loss of reliability of the entities that use said data. That is why the company HL7 thinking about communication problems and sending information from one entity to another in the health sector creates a standard called HL7 CDA (Clinical Document Architecture) R2 (Release 2) which allows to carry out this communication thinking about a purely interoperability character, so that different types of files can be sent and on different platforms, but can be read by the system of other entities transmitting medical records. This is how a question arises: Is the HL7 CDA Standard safe in its Confidentiality ?; Based on projects carried out a few years ago, it can be concluded that very little work has been done on the security of this standard, revealing some security risks that lead to vulnerabilities in the standard, of great importance in the confidentiality of the documents transmitted by this means. , mainly XSS (Cross site scripting) vulnerabilities and information gathering vulnerabilities. It is delivered as a final result of the project developed a prototype framework that allows to provide more security in the HL7 CDA R2 standard, that is why a study of various detection and prevention tools has begun, working together under fundamental characteristics such as , that are OPEN SOURCE. This research was carried out under 3 methodological phases, first phase Identify problems and Determine Tools, where the confidentiality problems of the standard were identified and characterized, the best tools were sought to detect and prevent the problems that affected the confidentiality of the standard. The second phase Development of the Framework prototype, where electronic medical records were collected, investigated about a web CDA document viewer, identified security measures for the vulnerabilities found, and simulated sending medical records for subsequent analysis. of vulnerabilities. To develop the framework prototype, two open source modules (IDS, IPS) were coupled to work together and in a balanced way, showing the attacks with their criticality level in the CVE vulnerability score. The third phase is to Evaluate the Proposed Framework Prototype, where the framework prototype was implemented on an Ubuntu server and the relevant tests were carried out to corroborate that the vulnerabilities were mitigated, the development of the prototype was carried out in order to provide confidentiality of the Information in the medical records, which are transmitted by this standard.