top of page
Esta página web se diseñó con la plataforma
.com
. Crea tu página web hoy.Comienza ya

Gobierno de la información

Cuando los Datos y el Conocimiento se convierten en Información y la Sabiduría de cómo cuidarla.


Confidencialidad, Integridad y Disponibilidad. Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a la diferencia.

Gobierno de la Información implica conocer cuáles son los datos que poseemos y como se convierten en información a través de cada uno de los Procesos de Negocio, que al interactuar con quienes la tratan corre el riesgo de perder fiabilidad y de no estar disponible en el momento que sea necesario utilizarla, inclusive para salvar una vida.


Las entidades de salud presentan un ámbito complejo con respecto a la información que manejan, ya que no solo se trata de datos comerciales o administrativos sino que el núcleo de su actividad se plantea entorno a los datos de salud de sus Afiliados.


Por esa razón, la forma de gobernar esta información es el de reconocer que la información confiada por parte de pacientes y afiliados requiere de un entorno estratégico de gestión relacionado con los Usuarios de la Organización y los Prestadores, que son socios “solidarios” que interactúan con la información que nos han confiado y por quienes tenemos que responder.


Esto conlleva a plantear un entorno de respuesta a la coordinación de gestión de la información, lo que requiere:


  • Planificación y gestión de recursos, implementando para cada proceso la asignación y administración de recursos acordes al tipo de información tratada


  • Gestión financiera, asignando el recurso económico acorde al tipo de información tratada

  • Gestión de la demanda, asociando al proceso la previsibilidad relacionada con el cumplimiento del marco regulatorio y las necesidades del negocio

  • Gestión de contratos, relacionados con la información, tales como guarda externa de documentación, transmisión de información relativa a la salud, etc.

  • Gestión de tratamiento de la información, para cumplimentar técnicamente todo su ciclo

  • Gestión de funcionalidad de la información, basado en el conocimiento y aplicado a cómo utilizarla para obtener mejores resultados a nivel de calidad e aseguramiento de integridad

Y para poder aplicar lo antes dicho, debemos necesariamente conocer cuáles son los procesos de nuestra Organización y como se trata la información en cada uno de ellos para de esta forma establecer cuáles son los alcances respecto de su “Ciclo de Vida” y que actividades vamos a establecer para la Gestión de cada uno de los Activos de Información. Esto nos ayudará a entender cuál es la “cadena de información” y así poder establecer los medios tecnológicos para tratarla en cada uno de sus estados en el paso de cada uno de los diferentes procesos.

Si sabemos que la información es el dato que ha adquirido la entidad de “conocimiento” para la Organización, también sabemos que para su gobierno debemos basarnos en tres pilares de acción fundamentales: clasificación acorde a su importancia y sensibilidad para la Organización y las personas, tratamiento mediante métodos adecuados que garanticen su fiabilidad y disponibilidad y destrucción que asegure su confidencialidad aún al haber concluido su ciclo de vida.


La clasificación, el tratamiento y destrucción de la información requieren que dentro de cada proceso establezcamos puntos de control y registración, con el fin de gestionarla desde cada sector de las Empresas e Instituciones de Salud dejando las evidencias necesarias para poder establecer la trazabilidad de su tratamiento durante todo el proceso. Conforme al tratamiento de algo tan sensible como el resguardar las Historias Clínicas de nuestros pacientes y la información asociada surgida de cada etapa del proceso administrativo y clínico es lo que debe movernos a establecer un buen Gobierno de la Información.


Estás pautas parecen básicas, pero son fundamentales para mantener en cuidado la información que obtenemos de las consultas y diferentes estudios, y que nos confían cada uno de los pacientes que nos visitan, para ello y como primer medida debemos identificar a los diferentes actores que mediante un trabajo en equipo aportarán el conocimiento necesario para establecer los parámetros de protección y seguridad adecuados tanto en su entorno operativo físico como digital.


Claramente estamos hablando de los conocedores de los procesos y diferentes sistemas de información ya sean estos digitales tales como aplicaciones, software o equipos de imágenes hasta físicos como documentación de ingresos a mesa de entradas, resultados clínicos o radiográficos. Estos conocedores son usuarios de áreas administrativas o profesionales de la salud que interactúan con la información del paciente o con la información administrativa de la Organización, no personal de las áreas técnicas o administrativas de la Gerencia de Sistemas.


Recordemos el concepto de “Servicio” que brindan las áreas de IT al Negocio, y las entidades de salud no escapan a este concepto. Por lo tanto, IT es quien ofrece el servicio a los responsables de los datos para que la gestión de los mismos asegure su Confidencialidad, Integridad y Disponibilidad. No quería dejar pasar este concepto que es importante al querer establecer una gobernabilidad objetiva y eficaz respecto de la información que administramos.


Bien, volviendo al Dueño de Datos normalmente son aquellos que pertenecen a la Alta Gerencia y son responsables, entre otras cosas, de validar los niveles de clasificación asignados a la información de la Organización así como los recursos necesarios para mantenerla segura.


Teniendo en cuenta el tipo de información administrada y que se involucra en los diferentes procesos de las entidades que prestan servicios de salud, debemos tener en claro que el titular de los datos personales frente al marco legal planteado por la Ley de Protección de Datos Personales es el Afiliado y la Empresa nombra un representante ante la Dirección Nacional de Protección de Datos Personales (DNPDP), quien debe asegurar “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.”


Los Dueños de la Información como responsables del proceso, delegan en Usuarios Claves la definición de la clasificación de la información basándose en su entorno operativo. En muchos casos, los Usuarios Claves entienden cada paso de entradas y salidas de los diferentes procesos, lo que les permite estar en mejor posición de clasificarla correctamente y brindarnos la información necesaria para saber cuáles y donde debemos aplicar los controles adecuados.


Los Usuarios Clave en términos generales definen los siguientes pasos involucrados en la clasificación:


Evaluar el posible impacto en caso de que la información de documentos o archivos electrónicos sea divulgada. Se debe considerar el nivel de impacto, el daño potencial a los Afiliados y Pacientes así como la reputación de la Organización.


Evaluar la probabilidad de divulgación de la información de documentos o archivos electrónicos.


Asignar la clasificación correcta según el contenido y sensibilidad de la información.


Sugerir las medidas de seguridad apropiadas para el almacenamiento, distribución y desecho del documento y/o archivo electrónico o físico, y proporcionar instrucciones adecuadas a los demás usuarios o receptores que deseen comunicar la información.



Independientemente de la existencia de un Dueño de Datos y Usuarios Clave asignados, la premisa de protección de información debe indicar en sus Políticas Internas que cada persona que maneja Información, incluyendo empleados y contratistas, son responsables de garantizar que cualquier información sensible sea manejada de forma correcta y apropiada.


El Gobierno de la Información requiere que la Política, estructura organizativa, los procedimientos, los procesos, y los recursos humanos y técnicos estén alineados bajo un concepto común respecto de la importancia de la información que de alguna forma u otra están gestionando, incluyendo hasta lo que transmiten verbalmente.


Es importante saber que es fundamental clasificar la información aunque nos resulte de por más obvio saber cual es en nuestro caso, la Historia Clínica. Ahora bien, ¿Que otro tipo de información podemos encontrar alrededor de ella? ¿En qué medios digitales o físicos podemos encontrarlos? Archivos de planilla de cálculo con datos relacionados a contratos con prestadores, imágenes creadas desde sistemas independientes a los de procesamiento central, escaneo de documentación, estudios impresos, etc., hacen que sea necesario ahondar en cada uno de los procesos para que el Usuario Clave con la validación del Dueño de Datos nos aporten los datos necesarios para:


  • Validar y certificar que las personas que acceden a la información son las indicadas. Identificar la información y poder categorizarla ayuda a certificar que la misma es accedida por aquellas personas que realmente deben conocerla y tratarla.

  • Establecer los mecanismos necesarios y acotados a la información sensible y confidencial

  • Optimizar los recursos utilizados en la seguridad de la información

  • Optimizar los recursos necesarios para procesar la información

  • Minimizar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información

  • Minimizar la exposición negativa de la Organización, Prestadores y Profesionales ante fallas o incidentes humanos o técnicos que afecten a la información


Durante todo el proceso de prestación de servicios de salud los distintos tipos de información y las diferentes formas de tratamiento que hacen al entorno de la Historia Clínica, pueden convertirse en un riesgo potencial para su Confidencialidad, Integridad y Disponibilidad en caso de no estar controlados y debidamente identificados.


Por ello es necesario que sepamos qué gobernamos y cuál es el alcance de ese Gobierno para poder establecer un modelo de protección de información que cuente con componentes que nos permita un entorno gobernable sin que ello impacte en la operatoria diaria. La lista de componentes comunes para este modelo es:

  • Documentación normativa y regulatoria sobre clasificación y protección de información, así como de funciones de propietarios de la información


  • Documentación de soporte al proceso, en el que se pueda identificar a los dueños de datos y usuarios clave, establecer un procedimiento de clasificación y protección de información que incluya los conceptos de retención y disposición final de activos de información


  • Concientización y capacitación, que involucre y se dirija a cada uno de los niveles internos de la Organización a través de presentaciones, correos electrónico, posters y encuestas.


Otros documentos asociados al proceso de protección que deben reflejar y soportar lo indicado son los referentes a tratamiento de áreas restringidas, encripción, administración de resguardos y restauración de información, administración de accesos físicos y lógicos a la información, desarrollo seguro y recuperación del entorno tecnológico y continuidad del Negocio.


Conclusión


Establecer un Gobierno ordenado y metodológico de la Información nos permitirá administrarla de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, protegiendo a la Entidad de Salud y brindando un entorno fiable de trabajo para cada uno de sus empleados y Profesionales, y por sobre todo calidad y tranquilidad en el servicio a Afiliados y Pacientes.


Fabián Descalzo

Certificado en Dirección de Seguridad de la Información (Universidad CAECE)

Analista de Seguridad Informática - Auditoria y Control de Información

ITIL V3 Certified - ISO 20000 Internal Audit Certified




Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page