Seguridad de la Informacin Auditora de Sistemas

SEGURIDAD DE LA INFORMACIN EN LA INDUSTRIA DE LA SALUD Auditoria de la Seguridad e Informtica en la Salud Como sabemos, a travs de la Auditoria Mdica se garantiza la calidad de servicio que se extiende como un mtodo sistemtico, planificado y continuo para monitorear, evaluar y mejorar la calidad de los servicios de salud, mediante la revisin y el estudio de las historias clnicas, estadsticas hospitalarias y registros de lo efectuado demostrando que hay una relacin directa entre la calidad de los registros y la de la atencin prestada. Partiendo de este concepto podemos decir que hay una relacin directa entre la Auditoria Mdica y el control de la informacin, formando entre ambos un sistema de Gestin de Auditoria y Seguridad de la Informacin Mdica orientado a: Disponer de un proceso de control que asegure a la Auditoria Mdica en el tratamiento de la informacin auditada Brindar un proceso que asegure los datos de Pacientes y Afiliados, asegurando su Confidencialidad, Integridad y Disponibilidad Dnde iniciar nuestro sistema de gestin? Es una buena prctica conocer cul es el Marco de Referencia existente sobre el cual estipular las bases necesarias para conformar una Gestin de Auditoria y Seguridad exitosa. Este marco de referencia delimita diferentes tipos de responsabilidades de las empresas de salud, ya sea por sus exigencias ante afiliados o pacientes o bien por leyes regulatorias nacionales o provinciales, tales como: Ley 25.326 Proteccin de Datos Personales (Habeas Data) Ley 17.132 Ejercicio de la Medicina, Odontologa y Actividades de Colaboracin (Artculo 11) Ley 3.076 Salud Pblica de la Provincia de Ro Negro, por ejemplo La industria de la salud no escapa a las generalidades de cualquier otro tipo de industria, y si puede con respecto a otras, tener responsabilidades mucho ms importantes sobre la informacin que procesa y gestiona teniendo en cuenta lo delicado de su Negocio al que debe responder no solo en la Calidad de Servicio sino tambin en la Seguridad que brinda a los datos de sus pacientes y afiliados, sin dejar de lado a los profesionales y prestadores que colaboran con ella asegurndoles datos fidedignos sobre los cuales trabajar. Qu herramientas utilizar? Podemos comenzar con nuestra gestin optando por implementar los objetivos de calidad y control establecidos por: ISO 9001 ISO 27799 ISO TC 215 ISO 20000 Sistema de Gestin de Calidad (requisitos) Sistema de Gestin de seguridad en materia de salud Comit Tcnico Health informatics Tecnologa de la Informacin - Gestin del Servicio

Estas herramientas, que adaptaremos como marco de referencia para cumplir con los requisitos legales y de calidad necesarios para la industria de la salud, nos permitirn cubrir los

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Seguridad de la Informacin Auditora de Sistemas

aspectos relacionados con las personas y sus datos asociados teniendo en cuenta estas dos clases principales: Confidenciales Sensibles Datos personales: Filiatorios y domiciliarios Datos de Salud: Historia Clnica y estudios complementarios

Tener en claro el tipo de informacin del cual disponemos y ser consciente de la importancia en su tratamiento nos permitir establecer las medidas necesarias para la proteccin de datos y privacidad de la informacin personal y sensible, prevencin del uso indebido de las instalaciones de procesamiento de la informacin, regulacin de los controles criptogrficos, cumplimiento de las polticas de seguridad y cumplimiento tcnico, sistemas de informacin concebidos desde las consideraciones de auditora en salud. Hay diversos puntos de contacto entre las personas y las entidades de salud, y en cada uno de ellos se generan diferentes tipos de componentes de informacin. La Afiliacin genera una traslacin de datos que se recopilan en los sistemas para identificar a un Afiliado partiendo de sus datos personales, que son confiados a la Entidad para su uso INTERNO con el solo hecho de quedar registrado y ser posteriormente contactado solo por la Entidad a la cual se afili. Por otra parte, la Historia Clnica como expediente clnico es un documento mdico legal, que surge del contacto entre el mdico y el paciente, la cual contiene informacin CONFIDENCIAL entre ambos y que solo debe ser utilizada por aquellas entidades prestadoras que estn involucradas en el tratamiento del paciente si fuese necesario. Para cada uno de estos tipos de informacin nos encontramos ante la necesidad de proteccin y confidencialidad de los datos, sumado a que la Historia Clnica requiere de Afiliados, Pacientes y Prestadores la INTEGRIDAD necesaria para asegurar diagnsticos y prescripciones fiables que en caso de no ser consistente afectaran directamente sobre la salud de afiliados y reputacin de Entidades de Salud y Profesionales. Debido a ello, las Entidades de la Salud son las encargadas de custodiar, vigilar, regular y facilitar el acceso a una informacin fiable, consistente y disponible para quien est autorizado a tratarla. Poder clasificar la informacin permitir establecer controles adecuados y tomar medidas concretas para cada uno de los entornos en los cuales se encuentre la informacin confiada por nuestros afiliados, pacientes o prestadores. Esta clasificacin la podemos establecer inicialmente por su forma de transmisin y como est contenida: Fsico, Documentos en papel, incluyendo historia clnica, faxes y copias fotostticas, radiografas, recetas, estudios clnicos. Formato electrnico, Documentos electrnicos en procesador de texto, hojas de clculo, datos en aplicaciones (historia clnica electrnica, resultados por correo electrnico) Interpersonal, comunicada de una persona a otra verbalmente por telfono o en persona, o por escrito va fax, correo postal o correo electrnico.

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Seguridad de la Informacin Auditora de Sistemas

Tener esta visin nos permitir desarrollar y fomentar una cultura y comportamiento en nuestra Entidad que debe aplicarse en la proteccin de la informacin en todas las actividades relacionadas con la atencin del Paciente y en cada uno de los mbitos de gestin del servicio de salud en los que los recursos humanos deben tener en cuenta: La Seguridad Fsica La Seguridad Lgica El Comportamiento en el lugar de trabajo El Comportamiento en pblico

Hagamos el ejercicio de trazar el camino de la informacin, y as descubriremos que desde que el afiliado (antes de serlo) se presenta en una Entidad de Salud sus datos recorren dos caminos, el documental y el informtico, y en cada paso que hace desde este inicio su informacin recorre diferentes sectores o entidades externas (prestadores y profesionales) que tratan esta informacin para cumplir con los fines del proceso de negocio en el que estn involucrados. Esta necesidad de tratamiento por los procesos de negocio exponen a la informacin del paciente o afiliado tanto en el aspecto lgico como fsico en el cual se mueven los diferentes actores internos o externos de una Entidad de Salud. Permisos de acceso, disociacin de la informacin, disposicin final de la informacin, mtodos seguros de transmisin, son acciones comunes dentro de cualquier tipo de entorno de trabajo que debemos controlar. El entorno de la informacin debe propocionar Confidencialidad e Integridad de datos en: Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar Espacios Fsicos: Teniendo en cuenta la ubicacin de sector que traten informacin sensible, sus accesos fsicos, mobiliario utilizado y la guarda externa de documentacin. Teniendo aplicaciones con seguridad de acceso, sabiendo que compartir por Correo electrnico, que publicar en Intranet/Internet, asegurando sus comunicaciones, asegurando la Integridad y Disponibilidad de datos

Medios informticos

Pero en el entorno ms difcil, el interpersonal, debera preguntarme si protejo los archivos y papeles, Porqu cuento lo que dicen?, S quien debe conocer esta informacin?. Una buena capacitacin a lo largo del tiempo, dando a conocer las normas sobre proteccin de informacin puede ayudar a cambiar esta cultura. Debe de saberse que no todos necesitan o deben conocer la informacin que poseemos. Cada usuario de una Entidad de Salud debe conocer que es parte importante en esta Gestin ya que l asegura que, con el apoyo de las reas de control y tecnologa, la informacin se mantenga Confidencial, Integra y Disponible. Una mala gestin de la seguridad de la informacin en la industria de la salud se traduce en: Incumplimiento de normas de regulacin legal y sanitaria Exposicin de los datos sensibles de las personas (historias clnicas, resultados de investigaciones) Exposicin ante posibles medidas legales tanto en el mbito comercial como penal.

Seguridad de la Informacin Auditora de Sistemas

Errores de gestin de seguridad con Gerenciadoras de contratos, Distribuidoras, Drogueras, Farmacias, Obras sociales y Empresas de Medicina Prepaga, Mdicos Exposicin negativa ante la competencia y pblico en general

Implementar para el mbito sanitario un conjunto detallado de controles para la gestin de la seguridad de la informacin para el mbito de la salud, nos permitir contar con una buena gestin de la seguridad orientada a la informacin sanitaria en todos sus aspectos y en cualquiera de sus formas (palabras, nmeros, grabaciones sonoras, dibujos, vdeo e imgenes mdicas o radiografas), sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrnico) y a travs de cualquier medio de transmisin (valijas o mensajera, faxes, redes informticas o correo electrnico). Utilizar estndares de seguridad y calidad en los Sistemas de Informacin en Salud nos permitir una ventaja competitiva y una mayor prestacin en los servicios ya que: El uso de estndares simplifica el procesamiento de la informacin Facilitan la interoperabilidad entre los sistemas Mejoran la especificidad clnica requerida para medir resultados asistenciales Definen polticas y procedimientos para proteger la confidencialidad Aportan en la evaluacin de los programas de salud Establecen requerimientos mnimos para la seguridad e integridad de los datos Definen el intercambio entre los equipos mdicos y los sistemas de informacin en salud. Facilitan y aseguran la comunicacin con laboratorios, drogueras, distribuidoras, farmacias, prestadores y proveedores varios. Establecen un modelo de intercambio de documentos clnicos Mejoran el intercambio, gestin e integracin de informacin relacionada con la atencin mdica y la gestin de servicios de salud Aseguran la integridad de la informacin en la transferencia de observaciones clnicas entre sistemas independientes (resultados de laboratorio) Aseguran la integridad de la informacin en la trasferencia de informacin entre instrumentos clnicos (equipos de laboratorio y sistemas informticos) Define el formato de mensajes y estndares de comunicaciones para imgenes teraputicas y diagnsticas.

Si hemos logrado establecer una buena gestin, hemos conseguido nuestros objetivos: Asegurar a la Auditoria Mdica calidad de los registros Brindar Confidencialidad e Integridad de sus datos a Pacientes y Afiliados Asegurar a la Entidad de Salud una mejor imagen en el Mercado Brindar a sus Profesionales Mdicos y Tcnicos un ambiente seguro de trabajo
Fabin Descalzo Cidicom S.A. CSO Chief Security Officer

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar