Embed Size (px)
DESCRIPTION
Presentación de la disertación sobre Seguridad de la Información en el Ambiente de Sanidad
Citation preview
SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DE LA SALUDFabián Descalzo – Buenos Aires - ARGENTINA
Gestión de la
Información en el
Ámbito de Sanidad
2
Gestión de la
Información en el
Ámbito de SanidadNueva visión de la seguridad (seguridad vs aseguramiento)Necesidades y obligaciones de las InstitucionesObjetivos de aseguramientoRiesgos del servicio asistencialCasos de exposiciónIdentificación de componentes de informaciónMarco de protección:
Enfoque metodológicoIntegración de estándaresPrincipales objetivos de controlEntorno de la informaciónRequerimientos para un entorno controladoDominios clave Herramientas de implementaciónObjetivos logrados
Liderazgo y poder de delegación
Nueva visión de la seguridad
3
Agregar valor al Servicio
Visión basada en riesgos asociados al Servicio
Disponer de una gestión
que asegure el tratamiento
de la información de sanidad y sus procesos
asociados
Requerimientos legales y reglamentarios de la actividad
Frameworks que aportan valor agregado al
actividad
4
Necesidad de las Instituciones
Ley de Protección de Datos Personales y Acción de “Habeas Data”
Confidenciales
Datos personalesFiliatorios y
domiciliarios
Sensibles
Datos de SaludHistoria Clínica y
estudios complementarios
5
Obligaciones de las Instituciones
• Investigaciones clínicas. • Consentimientos informados, Respeto absoluto al secreto profesional y a las normas de
confidencialidad aplicables a los datos recolectados según la Ley de Habeas Data. • Consentimiento para el tratamiento, cesión y/o transferencia de datos personales.• Verificación del sistema de disociación de datos
Profesionales de la salud y establecimientos de sanidad
Obligaciones de las Instituciones
6
Alcancesdel control
Nivel de Capacitación del Responsable de la Base + Legalidad de los Datos
+ Idoneidad de los Medios Empleados en el Tratamiento y Toda Gestión
Anexa + Correcto Tratamiento incluyendo a Terceros + Publicidad y Formas
de Comunicación que involucren datos personales
• Toda la documentación• Contratos• Hardware• Software• Procesos informatizados y manuales• Lugares de almacenamiento• Capacitación del todo el personal asignado al
tratamiento de datos y al proceso de acceso a datos por parte de los titulares.
7
Obligaciones de las Instituciones
Alcancesdel control
Gestión de la Información de Sanidad
Garantizar la calidad de los servicios de
saluden base a la relación directa
entre la calidad de los registros y la calidad de la
atención prestada
Garantizar la calidad de los servicios de
saluden base a la relación directa
entre la calidad de los registros y la calidad de la
atención prestada
Brindar un proceso que asegure los datos de Pacientes y Socios
Brindar un proceso que asegure los datos de Pacientes y Socios
Confidencialidad, Integridad y Disponibilidad
Asegurar la información para
Prestadores y Profesionales
Asegurar la información para
Prestadores y Profesionales
8
Objetivos de aseguramiento
CONFIDENCIALIDAD
•datos personales referentes a la salud deben de ser tratados con el nivel más alto de protección.
•En esta variable conviene recordar que existen mayores riesgos cuando la información no está informatizada
INTEGRIDAD
•Indispensable para mantener la información médico-sanitaria
•Garantizar la seguridad de los pacientes en su atención
•Garantizar a prestadores y profesionales información fidedigna
DISPONIBILIDAD
•Fundamental para la eficacia de la prestación de servicios médicos
En el sector de sanidad la integridad y disponibilidad de una historia clínica es muy importante. La falta de integridad o disponibilidad de datos de sanidad en una historia clínica puede llegar a suponer la pérdida de vidas humanas
Habilitar una compatibilidad y coherencia de la información a salud y datos
Objetivos de aseguramiento
9
Incumplimiento de normas de regulación legal y de
sanidad
Exposición de datos sensibles a personas (historias
clínicas, resultados de investigaciones, resultados de laboratorio)
Errores de gestión de seguridad con Gerenciadoras de
contratos, Distribuidoras, Droguerías, Farmacias, Obras
Sociales y empresas de medicina prepaga, Médicos
Exposición negativa ante la competencia y público en
general
Riesgos para el servicio asistencial
10
Casos de exposición
Resumen: Papelería que contenía la información de al menos 66 pacientes del hospital fue perdida, aparentemente olvidada por un empleado, en un tren. Los datos incluían nombres, fechas de nacimiento e información médica (diagnósticos, proveedores, etc.). El hospital envío cartas a todos los pacientes cuyas identidades estaban en los papeles perdidos
11
Casos de exposición
12
13
Casos de exposición
Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que deberá contener la inscripción, entre los cuales figurarán necesariamente los siguientes:
A) Identificación de la base de datos y el responsable de la misma.B) Naturaleza de los datos personales que contiene.C) Procedimientos de obtención y tratamiento de los datos.D) Medidas de seguridad y descripción técnica de la base de datos.E) Protección de datos personales y ejercicio de derechos.F) Destino de los datos y personas físicas o jurídicas a las que pueden ser
transmitidos.G) Tiempo de conservación de los datos.H) Forma y condiciones en que las personas pueden acceder a los datos referidos
a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.
14
CONSECUENCIAS DE ERRORES EN LA HISTORIA CLINICA
PERDIDA DE DATOS¿QUÉ OCURRE SI NO SE ELABORA LA HC O SE OMITE ANOTAR ALGÚN PROCEDIMIENTO O MEDICACIÓN? Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente.
FALTA DE INTEGRIDAD DE LOS DATOS¿QUÉ OCURRE SI SE HACEN ANOTACIONES DE LAS CONDICIONES DE SALUD DE UNA PERSONA, O ACTOS MÉDICOS O PROCEDIMIENTOS QUE NUNCA SE REALIZARON? Se comente el delito de falsedad ideológica en documento privado. Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente.
FALTA DE CONFIDENCIALIDAD DE LOS DATOS¿QUÉ SANCIÓN TIENE UNA PERSONA PARTICULAR QUE REVELE ALGO QUE ESTE EN LA HISTORIA CLÍNICA DE OTRA PERSONA?Comete el delito de divulgación y empleo de documentos reservados.
Casos de exposición
Físico, Documentos en papel, incluyendo historia clínica, faxes y copias fotostáticas, radiografías, recetas, estudios clínicos.
Formato electrónico, Documentos electrónicos en procesador de texto, hojas de cálculo, datos en aplicaciones (historia clínica electrónica, resultados por correo electrónico)
Interpersonal, comunicada de una persona a otra verbalmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico.
Identificación de componentes de información
15
16
Marco de
Protección
Enfoque metodológico
• Implementación de frameworks de “Buenas Prácticas” integrados para facilitar el cumplimiento de leyes y regulaciones
• Se consideran los estándares y las políticas corporativas • El enfoque integrador, toda la Organización participa en el aseguramiento
de la información
Necesidades del Servicio
Tecnología Procesos Personas
Pro
ject M
anage
me
nt
Assessment(GAP, Plan Preliminar)
• Herramientas• Interfaces
• Documentación• Nivel de Madurez• GAP
• Estructura • Instituciones • Nivel de destrezas • Capacitación
Implementación(Procesos implantados)
• Herramientas • Migraciones• Interfaces
• Diseño lógico • Diseño Físico • Vinculaciones • Documentación • Validación de
Funcionamiento
• Roles y responsabilidades
• Entrenamiento • Cambio Cultural • Herramientas de
capacitación
Mejoramiento continuo• Herramientas • Interfaces
• Seguimiento • Ajustes • Refinamientos • Nuevos Procesos
• Entrenamiento • Capacitación
17
SEGURIDAD INTEGRAL
Frameworks de Gestión y Calidad
Frameworks de Control
Ge
stió
n d
e
Serv
icio
s IT
ITIL
/ISO
20
00
0
De
sarr
ollo
d
e
Ap
licac
ion
es
CM
MI
Segu
rid
ad
de
ITIS
O 2
77
99
Ge
stió
n d
e
Pro
yect
os
PM
I
Pla
ne
amie
nt
o IT
Estr
ateg
ia d
e IT
Sist
em
a d
e
Cal
idad
ISO
90
01
Operación de IT
Documentación legal, regulatoria y operativa
Gestión de la Seguridad Física
Operación Documental18
Enfoque metodológico
27000
El uso de estándares simplifica el procesamiento de la información
Facilitan la interoperabilidad entre los sistemas
Mejoran la especificidad clínica requerida para medir resultados asistenciales
Definen políticas y procedimientos para proteger la confidencialidad
Aportan en la evaluación de los programas de salud
Establecen requerimientos mínimos para la seguridad e integridad de los datos
19
Integración de estándares
20
Integración de estándares
21
Principales objetivos de control
Control Alcance
1,00 Auditoría, evidencias y monitoreo2,00 Autenticación y control de acceso
3,00 Confidencialidad y No-Repudiación4,00 Personal externo y contratistas5,00 Tolerancia a fallas, backup y recuperación
6,00 Respuesta y reporte de incidentes7,00 Mantenimiento y operaciones8,00 Red de datos9,00 Acceso físico
10,00 Documentación electrónica y en papel11,00 Accesos remotos12,00 Concientización y entrenamiento en Seguridad13,00 Política de administración de la seguridad
14,00 Configuración del sistema15,00 Desarrollo de sistemas y control de cambios16,00 Proveedores, profesionales y prestadores
InterpretaciónTecnología
InterpretaciónUnidades
Administrativas
InterpretaciónUnidades de Servicio
Entorno Físico
• Ubicación de sector acorde a la información de procesan
• Identificación de Áreas Restringidas
• Control de acceso y vigilancia de espacios físicos
• Mobiliario utilizado• Guarda externa de documentación• Data Center y salas de sistemas
Entorno de la información
22
Entorno informático
• Aplicaciones = Seguridad de Acceso• Correo electrónico = Que compartir• Internet = Que publicar• Comunicaciones = Asegurarse de la
transmisión propia y de terceros• Archivos digitales = Como almacenarlos
(La Secretaría de Salud Pública de la Nación establece en 15 años el período que obligatoriamente debe guardarse la historia clínica)
• Asegurar la Integridad y Disponibilidad(Desarrollo seguro, esquemas de contingencia y alta disponibilidad, política de licenciamiento)
Entorno de la información
23
Entorno laboral
Si protejo los archivos y papeles• ¿Porqué divulgo lo que dicen? • ¿Sé quien debe conocer esta
información?
Entorno de la información
24
¿Cómo comparto la información con “Terceras Partes”?¿Aseguro que la información se mantenga Confidencial, Integra y Disponible?
¿Todos necesitan “conocer”?
Centro de Atención
INFORMACIÓN DOCUMENTALINFORMACIÓN DOCUMENTAL
INFORMACIÓN ELECTRÓNICA
Entorno de la información
25
Circuito de la información
Asociado
A través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas o correo electrónico).
Sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrónico)
Implementar para el ámbito sanitario, un conjunto detallado de controles para la gestión
de la seguridad de la información para el ámbito de la salud
Información de sanidad en todos sus aspectos y en cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e imágenes de sanidad o radiografías)
26
Requerimientos para un entorno controlado
Soluciones integrales para procesos deInformación de Sanidad
Sistemas de Gestión de Seguridad de la Información
Planes Directores de Seguridad
Evaluación y diagnóstico de la Seguridad de la Información
Planes de continuidad de actividades
Adecuación a buenas prácticas (ITIL / ISO 20000)
Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)
Planes de formación concientización
Governance, Risk & Compliance
Auditoria y adecuación Habeas Data
27
Objetivos logrados
Asegura a las Instituciones
una mejor imagen en el
Mercado
Brinda a sus Profesionales
Médicos y Técnicos un
ambiente seguro de trabajo
Brinda a sus Profesionales
Médicos y Técnicos un
ambiente seguro de trabajo
Brinda Confidencialidad e Integridad de
sus datos a Pacientes y
Socios
Brinda Confidencialidad e Integridad de
sus datos a Pacientes y
Socios
28
