Los software de gestión tutelar como Proxima manejan datos entre los más sensibles del sector médico-social: patrimonio, ingresos, identidad civil, documentos médicos. La protección de esta información está sujeta a obligaciones regulatorias precisas, reforzadas desde la aplicación del RGPD y las recomendaciones recientes de la CNIL que apuntan específicamente a las estructuras que acompañan a mayores protegidos.
Registro de accesos y trazabilidad en Proxima: lo que exige la CNIL
La CNIL exige explícitamente que las herramientas utilizadas para los mayores protegidos integren un registro detallado de accesos: quién se ha conectado, cuándo, desde qué terminal. Esta exigencia no es solo una cuestión de comodidad técnica. Permite demostrar la conformidad en caso de control y rastrear cualquier incidente de seguridad.
Lectura recomendada : Cómo utilizar Netypareo Greta Montpellier en línea para su inscripción en el CFA
En Proxima, esta trazabilidad afecta a cada usuario que tenga acceso al software. Cada consulta de expediente, cada modificación de datos patrimoniales o personales debería dejar una huella aprovechable. La pregunta que se plantean los servicios tutelares es: ¿sus configuraciones actuales realmente cubren este nivel de detalle?
Los comentarios del terreno divergen en este punto. Algunas estructuras cuentan con registros de acceso completos y auditados regularmente, mientras que otras se conforman con un historial mínimo sin procedimiento de revisión. El marco regulatorio es el mismo para todos, pero la capacidad de gestionar su cuenta Proxima de manera segura depende en gran medida de la rigurosidad de los procedimientos internos implementados por cada servicio.
Para profundizar : Elegir su máquina de coser: ¿cómo proceder?
Procedimientos internos de seguridad: formalizar para resistir a los controles de la ARS y el Parquet
Desde 2023, varios tribunales judiciales y servicios de mandatos judiciales deben indicar en sus procedimientos internos escritos cómo aseguran el acceso a sus software de trabajo. Este documento debe cubrir las contraseñas, la autenticación, las copias de seguridad y la gestión de derechos de acceso.
La novedad no es la obligación de seguridad en sí, sino el hecho de tener que presentar estos procedimientos por escrito durante los controles de la Agencia Regional de Salud o del Parquet. Un servicio que utiliza Proxima correctamente pero no puede demostrar cómo lo asegura se expone a observaciones, e incluso a órdenes.
Lo que debe cubrir el documento de procedimiento
- La política de contraseñas: longitud mínima, renovación periódica, prohibición de compartir entre usuarios. Una contraseña única por cuenta de usuario es el mínimo esperado.
- La gestión de habilitaciones: quién accede a qué expedientes, con qué nivel de derechos (solo lectura, modificación, eliminación). Los perfiles deben corresponder a las misiones reales de cada profesional.
- El protocolo en caso de salida de un colaborador: desactivación inmediata de la cuenta, revisión de accesos compartidos, verificación de que no subsista ninguna contraseña colectiva.
- La frecuencia y el alcance de las copias de seguridad, así como las pruebas de restauración realizadas.
Los datos disponibles no permiten concluir sobre el porcentaje de estructuras realmente dotadas de tales procedimientos formalizados. Sin embargo, la tendencia al refuerzo de los controles hace que esta formalización sea difícil de eludir.
Autenticación multifactor y separación de cuentas: las recomendaciones de la guía CNIL 2024
La guía CNIL 2024 sobre ciberseguridad de las estructuras médico-sociales subraya un aumento de ataques por ransomware dirigidos a los establecimientos de salud y los servicios sociales. Entre las recomendaciones explícitas se encuentran la autenticación multifactor (MFA) y la estricta separación de cuentas profesionales y personales.
La autenticación multifactor añade un paso de verificación más allá de la contraseña: código enviado por SMS, aplicación de autenticación, llave física. Para un software como Proxima, que gestiona información patrimonial y documentos legales, esta capa de protección reduce considerablemente el riesgo de acceso fraudulento en caso de robo de contraseña.
Separar las cuentas: una medida simple pero raramente aplicada
La CNIL recomienda que cada profesional disponga de su propio identificador, sin mutualización. Una cuenta compartida entre varios mandatarios hace que el registro sea inútil: es imposible saber quién realmente consultó o modificó un expediente.
Esta separación también afecta a los terminales. Acceder a Proxima desde un ordenador personal, sin protección dedicada, expone los datos de los mayores protegidos a riesgos adicionales (software malicioso, Wi-Fi no seguro, ausencia de cifrado del disco).
Gestión de derechos de acceso Proxima: adaptar las habilitaciones a las misiones reales
Proxima permite definir niveles de acceso diferenciados según el rol de cada usuario. Un delegado mandatario no tiene las mismas necesidades que un contable o un responsable de servicio. Configurar estos derechos con precisión limita la exposición de los expedientes sensibles.
El principio del mínimo privilegio se aplica: cada usuario accede únicamente a la información necesaria para su misión. Un asistente administrativo no necesita consultar las cuentas bancarias de un mayor protegido. Un mandatario no necesita acceder a los expedientes gestionados por un colega, salvo en caso de sustitución formalizada.
Esta granularidad supone una revisión regular de las habilitaciones. Los cambios de puesto, las ausencias largas, las finalizaciones de contrato deben desencadenar una actualización inmediata de los derechos. Sin esta disciplina, las cuentas fantasma (usuarios que se han ido pero siguen activos en el sistema) representan una brecha de seguridad documentada por la CNIL en sus recomendaciones a las estructuras médico-sociales.
La gestión segura de una cuenta Proxima no se limita a elegir una buena contraseña. Implica una cadena de responsabilidades que va desde la configuración técnica hasta la redacción de procedimientos, pasando por la formación de cada usuario. Las estructuras que anticipan los controles formalizando estas prácticas se colocan en una postura de conformidad activa, donde un simple uso diario del software ya no es suficiente para demostrar la protección efectiva de los datos de los mayores protegidos.