top of page

SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DE LA SALUD - Auditoria de la Seguridad e Informática e

Como sabemos, a través de la Auditoria Médica se garantiza la calidad de servicio que se extiende como un método sistemático, planificado y continuo para monitorear, evaluar y mejorar la calidad de los servicios de salud, mediante la revisión y el estudio de las historias clínicas, estadísticas hospitalarias y registros de lo efectuado demostrando que hay una relación directa entre la calidad de los registros y la de la atención prestada.


Partiendo de este concepto podemos decir que hay una relación directa entre la Auditoria Médica y el control de la información, formando entre ambos un sistema de Gestión de Auditoria y Seguridad de la Información Médica orientado a:


1. Disponer de un proceso de control que asegure a la Auditoria Médica en el tratamiento de la información auditada

2. Brindar un proceso que asegure los datos de Pacientes y Afiliados, asegurando su Confidencialidad, Integridad y Disponibilidad


¿Dónde iniciar nuestro sistema de gestión? Es una buena práctica conocer cuál es el Marco de Referencia existente sobre el cual estipular las bases necesarias para conformar una Gestión de Auditoria y Seguridad exitosa. Este marco de referencia delimita diferentes tipos de responsabilidades de las empresas de salud, ya sea por sus exigencias ante afiliados o pacientes o bien por leyes regulatorias nacionales o provinciales, tales como:


- Ley 25.326 Protección de Datos Personales (Habeas Data)

- Ley 17.132 Ejercicio de la Medicina, Odontología y Actividades de Colaboración (Artículo 11º)

- Ley 3.076 Salud Pública de la Provincia de Río Negro, por ejemplo


La industria de la salud no escapa a las generalidades de cualquier otro tipo de industria, y si puede con respecto a otras, tener responsabilidades mucho más importantes sobre la información que procesa y gestiona teniendo en cuenta lo delicado de su Negocio al que debe responder no solo en la Calidad de Servicio sino también en la Seguridad que brinda a los datos de sus pacientes y afiliados, sin dejar de lado a los profesionales y prestadores que colaboran con ella asegurándoles datos fidedignos sobre los cuales trabajar.


¿Qué herramientas utilizar? Podemos comenzar con nuestra gestión optando por implementar los objetivos de calidad y control establecidos por:


- ISO 9001 Sistema de Gestión de Calidad (requisitos)

- ISO 27799 Sistema de Gestión de seguridad en materia de salud

- ISO TC 215 Comité Técnico Health informatics

- ISO 20000 Tecnología de la Información - Gestión del Servicio


Estas herramientas, que adaptaremos como marco de referencia para cumplir con los requisitos legales y de calidad necesarios para la industria de la salud, nos permitirán cubrir los aspectos relacionados con las personas y sus datos asociados teniendo en cuenta estas dos clases principales:


Confidenciales Datos personales: Filiatorios y domiciliarios

Sensibles Datos de Salud: Historia Clínica y estudios complementarios


Tener en claro el tipo de información del cual disponemos y ser consciente de la importancia en su tratamiento nos permitirá establecer las medidas necesarias para la protección de datos y privacidad de la información personal y sensible, prevención del uso indebido de las instalaciones de procesamiento de la información, regulación de los controles criptográficos, cumplimiento de las políticas de seguridad y cumplimiento técnico, sistemas de información concebidos desde las consideraciones de auditoría en salud.


Hay diversos puntos de contacto entre las personas y las entidades de salud, y en cada uno de ellos se generan diferentes tipos de componentes de información. La Afiliación genera una traslación de datos que se recopilan en los sistemas para identificar a un Afiliado partiendo de sus datos personales, que son confiados a la Entidad para su uso INTERNO con el solo hecho de quedar registrado y ser posteriormente contactado solo por la Entidad a la cual se afilió.


Por otra parte, la Historia Clínica como expediente clínico es un documento médico legal, que surge del contacto entre el médico y el paciente, la cual contiene información CONFIDENCIAL entre ambos y que solo debe ser utilizada por aquellas entidades prestadoras que estén involucradas en el tratamiento del paciente si fuese necesario.


Para cada uno de estos tipos de información nos encontramos ante la necesidad de protección y confidencialidad de los datos, sumado a que la Historia Clínica requiere de Afiliados, Pacientes y Prestadores la INTEGRIDAD necesaria para asegurar diagnósticos y prescripciones fiables que en caso de no ser consistente afectarían directamente sobre la salud de afiliados y reputación de Entidades de Salud y Profesionales. Debido a ello, las Entidades de la Salud son las encargadas de custodiar, vigilar, regular y facilitar el acceso a una información fiable, consistente y disponible para quien esté autorizado a tratarla.


Poder clasificar la información permitirá establecer controles adecuados y tomar medidas concretas para cada uno de los entornos en los cuales se encuentre la información confiada por nuestros afiliados, pacientes o prestadores. Esta clasificación la podemos establecer inicialmente por su forma de transmisión y como está contenida:


Físico, Documentos en papel, incluyendo historia clínica, faxes y copias fotostáticas, radiografías, recetas, estudios clínicos.


Formato electrónico, Documentos electrónicos en procesador de texto, hojas de cálculo, datos en aplicaciones (historia clínica electrónica, resultados por correo electrónico)


Interpersonal, comunicada de una persona a otra verbalmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico.


Medicos.png

Tener esta visión nos permitirá desarrollar y fomentar una cultura y comportamiento en nuestra Entidad que debe aplicarse en la protección de la información en todas las actividades relacionadas con la atención del Paciente y en cada uno de los ámbitos de gestión del servicio de salud en los que los recursos humanos deben tener en cuenta:


- La Seguridad Física

- La Seguridad Lógica

- El Comportamiento en el lugar de trabajo

- El Comportamiento en público


Hagamos el ejercicio de trazar el camino de la información, y así descubriremos que desde que el afiliado (antes de serlo) se presenta en una Entidad de Salud sus datos recorren dos caminos, el documental y el informático, y en cada paso que hace desde este inicio su información recorre diferentes sectores o entidades externas (prestadores y profesionales) que tratan esta información para cumplir con los fines del proceso de negocio en el que están involucrados.


Esta necesidad de tratamiento por los procesos de negocio exponen a la información del paciente o afiliado tanto en el aspecto lógico como físico en el cual se mueven los diferentes actores internos o externos de una Entidad de Salud. Permisos de acceso, disociación de la información, disposición final de la información, métodos seguros de transmisión, son acciones comunes dentro de cualquier tipo de entorno de trabajo que debemos controlar.


El entorno de la información debe proporcionar Confidencialidad e Integridad de datos en:


Espacios Físicos:

Teniendo en cuenta la ubicación de sector que traten información sensible, sus accesos físicos, mobiliario utilizado y la guarda externa de documentación.


Medios informáticos:

Teniendo aplicaciones con seguridad de acceso, sabiendo que compartir por Correo electrónico, que publicar en Intranet/Internet, asegurando sus comunicaciones, asegurando la Integridad y Disponibilidad de datos


Pero en el entorno más difícil, el interpersonal, debería preguntarme “si protejo los archivos y papeles, ¿Porqué cuento lo que dicen?, ¿Sé quien debe conocer esta información?”. Una buena capacitación a lo largo del tiempo, dando a conocer las normas sobre protección de información puede ayudar a cambiar esta “cultura”. Debe de saberse que no todos necesitan o deben “conocer” la información que poseemos. Cada usuario de una Entidad de Salud debe conocer que es parte importante en esta Gestión ya que él asegura que, con el apoyo de las áreas de control y tecnología, la información se mantenga Confidencial, Integra y Disponible.


Una mala gestión de la seguridad de la información en la industria de la salud se traduce en:

- Incumplimiento de normas de regulación legal y sanitaria

- Exposición de los datos sensibles de las personas (historias clínicas, resultados de investigaciones)

- Exposición ante posibles medidas legales tanto en el ámbito comercial como penal.

- Errores de gestión de seguridad con Gerenciadoras de contratos, Distribuidoras, Droguerías, Farmacias, Obras sociales y Empresas de Medicina Prepaga, Médicos

- Exposición negativa ante la competencia y público en general


Implementar para el ámbito sanitario un conjunto detallado de controles para la gestión de la seguridad de la información para el ámbito de la salud, nos permitirá contar con una buena gestión de la seguridad orientada a la información sanitaria en todos sus aspectos y en cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e imágenes médicas o radiografías), sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrónico) y a través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas o correo electrónico).


Utilizar estándares de seguridad y calidad en los Sistemas de Información en Salud nos permitirá una ventaja competitiva y una mayor prestación en los servicios ya que:


- El uso de estándares simplifica el procesamiento de la información

- Facilitan la interoperabilidad entre los sistemas

- Mejoran la especificidad clínica requerida para medir resultados asistenciales

- Definen políticas y procedimientos para proteger la confidencialidad

- Aportan en la evaluación de los programas de salud

- Establecen requerimientos mínimos para la seguridad e integridad de los datos

- Definen el intercambio entre los equipos médicos y los sistemas de información en salud.

- Facilitan y aseguran la comunicación con laboratorios, droguerías, distribuidoras, farmacias, prestadores y proveedores varios.

- Establecen un modelo de intercambio de documentos clínicos

- Mejoran el intercambio, gestión e integración de información relacionada con la atención médica y la gestión de servicios de salud

- Aseguran la integridad de la información en la transferencia de observaciones clínicas entre sistemas independientes (resultados de laboratorio)

- Aseguran la integridad de la información en la trasferencia de información entre instrumentos clínicos (equipos de laboratorio y sistemas informáticos)

- Define el formato de mensajes y estándares de comunicaciones para imágenes terapéuticas y diagnósticas.


Si hemos logrado establecer una buena gestión, hemos conseguido nuestros objetivos:

- Asegurar a la Auditoria Médica calidad de los registros

- Brindar Confidencialidad e Integridad de sus datos a Pacientes y Afiliados

- Asegurar a la Entidad de Salud una mejor imagen en el Mercado- Brindar a sus Profesionales Médicos y Técnicos un ambiente seguro de trabajo

Fabián Descalzo

Certificado en Dirección de Seguridad de la Información (Universidad CAECE)

Analista de Seguridad Informática - Auditoria y Control de Información

ITIL V3 Certified - ISO 20000 Internal Audit Certified

Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB
Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page