Cuando los Datos y el Conocimiento se convierten en Información y la Sabiduría de cómo cuidarla.
Confidencialidad, Integridad y Disponibilidad. Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a la diferencia.
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
REVISTA CISALUD Gobierno de la informacion
1. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
1
Gobierno de la información
Cuando los Datos y el Conocimiento se convierten en Información y la Sabiduría de
cómo cuidarla.
Confidencialidad, Integridad y Disponibilidad. Estas tres palabras pueden transformarse
en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían.
Descubrir el centro de cómo implementarlas hace a la diferencia.
Gobierno de la Información implica conocer cuáles son los datos que poseemos y como se
convierten en información a través de cada uno de los Procesos de Negocio, que al interactuar
con quienes la tratan corre el riesgo de perder fiabilidad y de no estar disponible en el momento
que sea necesario utilizarla, inclusive para salvar una vida.
Las entidades de salud presentan un ámbito
complejo con respecto a la información que
manejan, ya que no solo se trata de datos
Gestión
estratégica de
comerciales o administrativos sino que el
usuarios
núcleo de su actividad se plantea entorno a
los datos de salud de sus Afiliados.
Por esa razón, la forma de gobernar esta
información es el de reconocer que la
Gestión de
Gestión
información confiada por parte de pacientes y
información
estratégica
afiliados requiere de un entorno estratégico
confidencial y
de
sensible de
de gestión relacionado con los Usuarios de la
Prestadores
Afiliados
Organización y los Prestadores, que son
socios “solidarios” que interactúan con la
información que nos han confiado y por
quienes tenemos que responder.
Esto conlleva a plantear un entorno de respuesta a la coordinación de gestión de la
información, lo que requiere:
· Planificación y gestión de recursos Implementando para cada proceso la asignación
y administración de recursos acordes al tipo de
información tratada
· Gestión financiera Asignando el recurso económico acorde al tipo
de información tratada
· Gestión de la demanda Asociando al proceso la previsibilidad
relacionada con el cumplimiento del marco
regulatorio y las necesidades del negocio
· Gestión de contratos Relacionados con la información, tales como
guarda externa de documentación, transmisión
de información relativa a la salud, etc.
2. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
2
· Gestión de tratamiento de la información Para cumplimentar técnicamente todo su
ciclo
· Gestión de funcionalidad de la información Basado en el conocimiento y aplicado a
cómo utilizarla para obtener mejores
resultados a nivel de calidad e
aseguramiento de integridad
Y para poder aplicar lo antes dicho, debemos
necesariamente conocer cuáles son los procesos de
Establecer el
Establecer el
nuestra Organización y como se trata la información en
desarrollo de
desarrollo de
cada uno de ellos para de esta forma establecer cuáles son
la cadena de
los medios
información
tecnológicos
los alcances respecto de su “Ciclo de Vida” y que
actividades vamos a establecer para la Gestión de cada
uno de los Activos de Información. Esto nos ayudará a
entender cuál es la “cadena de información” y así poder
establecer los medios tecnológicos para tratarla en cada
Gestión del Ciclo de
Gestión de los
Vida de la
activos de
uno de sus estados en el paso de cada uno de los
información
información
diferentes procesos.
Si sabemos que la información es el dato que ha adquirido
la entidad de “conocimiento” para la Organización, también
sabemos que para su gobierno debemos basarnos en tres
Establecer el
desarrollo de
pilares de acción fundamentales: clasificación acorde a su
los procesos
importancia y sensibilidad para la Organización y las
de negocio
personas, tratamiento mediante métodos adecuados que
garanticen su fiabilidad y disponibilidad y destrucción que asegure su confidencialidad aún al
haber concluido su ciclo de vida.
La clasificación, el tratamiento y destrucción de la información requieren que dentro de cada
proceso establezcamos puntos de control y registración, con el fin de gestionarla desde cada
sector de las Empresas e Instituciones de Salud dejando las evidencias necesarias para poder
establecer la trazabilidad de su tratamiento durante todo el proceso. Conforme al tratamiento de
algo tan sensible como el resguardar las Historias Clínicas de nuestros pacientes y la
información asociada surgida de cada etapa del proceso administrativo y clínico es lo que debe
movernos a establecer un buen Gobierno de la Información.
Estás pautas parecen básicas, pero son fundamentales para mantener en cuidado la
información que obtenemos de las consultas y diferentes estudios, y que nos confían cada uno
de los pacientes que nos visitan, para ello y como primer medida debemos identificar a los
diferentes actores que mediante un trabajo en equipo aportarán el conocimiento necesario para
establecer los parámetros de protección y seguridad adecuados tanto en su entorno operativo
físico como digital.
Claramente estamos hablando de los conocedores de los procesos y diferentes sistemas de
información ya sean estos digitales tales como aplicaciones, software o equipos de imágenes
hasta físicos como documentación de ingresos a mesa de entradas, resultados clínicos o
radiográficos. Estos conocedores son usuarios de áreas administrativas o profesionales de la
3. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
3
salud que interactúan con la información del paciente o con la información administrativa de la
Organización, no personal de las áreas técnicas o administrativas de la Gerencia de Sistemas.
Recordemos el concepto de “Servicio” que brindan las áreas de IT al Negocio, y las entidades
de salud no escapan a este concepto. Por lo tanto, IT es quien ofrece el servicio a los
responsables de los datos para que la gestión de los mismos asegure su Confidencialidad,
Integridad y Disponibilidad. No quería dejar pasar este concepto que es importante al querer
establecer una gobernabilidad objetiva y eficaz respecto de la información que administramos.
Bien, volviendo al Dueño de Datos normalmente son aquellos que pertenecen a la Alta
Gerencia y son responsables, entre otras cosas, de validar los niveles de clasificación
asignados a la información de la Organización así como los recursos necesarios para
mantenerla segura.
Teniendo en cuenta el tipo de información administrada y que se involucra en los diferentes
procesos de las entidades que prestan servicios de salud, debemos tener en claro que el titular
de los datos personales frente al marco legal planteado por la Ley de Protección de Datos
Personales es el Afiliado y la Empresa nombra un representante ante la Dirección Nacional de
Protección de Datos Personales (DNPDP), quien debe asegurar “la protección integral de los
datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos
de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para
garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la
información que sobre las mismas se registre.”
Los Dueños de la Información como responsables del proceso, delegan en Usuarios Claves la
definición de la clasificación de la información basándose en su entorno operativo. En muchos
casos, los Usuarios Claves entienden cada paso de entradas y salidas de los diferentes
procesos, lo que les permite estar en mejor posición de clasificarla correctamente y brindarnos
la información necesaria para saber cuáles y donde debemos aplicar los controles adecuados.
Los Usuarios Clave en términos generales definen los siguientes pasos involucrados en la
clasificación:
a. Evaluar el posible impacto en caso de que la información de documentos o archivos
electrónicos sea divulgada. Se debe considerar el nivel de impacto, el daño potencial
a los Afiliados y Pacientes así como la reputación de la Organización.
b. Evaluar la probabilidad de divulgación de la información de documentos o archivos
electrónicos.
c. Asignar la clasificación correcta según el contenido y sensibilidad de la información.
d. Sugerir las medidas de seguridad apropiadas para el almacenamiento, distribución y
desecho del documento y/o archivo electrónico o físico, y proporcionar instrucciones
adecuadas a los demás usuarios o receptores que deseen comunicar la información.
Independientemente de la existencia de un Dueño de Datos y Usuarios Clave asignados, la
premisa de protección de información debe indicar en sus Políticas Internas que cada persona
que maneja Información, incluyendo empleados y contratistas, son responsables de garantizar
que cualquier información sensible sea manejada de forma correcta y apropiada.
4. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
4
El Gobierno de la Información requiere que la Política, estructura organizativa, los
procedimientos, los procesos, y los recursos humanos y técnicos estén alineados bajo un
concepto común respecto de la importancia de la información que de alguna forma u otra están
gestionando, incluyendo hasta lo que transmiten verbalmente.
Es importante saber que es fundamental clasificar la información aunque nos resulte de por
más obvio saber cual es en nuestro caso, la Historia Clínica. Ahora bien, ¿Que otro tipo de
información podemos encontrar alrededor de ella? ¿En qué medios digitales o físicos podemos
encontrarlos? Archivos de planilla de cálculo con datos relacionados a contratos con
prestadores, imágenes creadas desde sistemas independientes a los de procesamiento central,
escaneo de documentación, estudios impresos, etc., hacen que sea necesario ahondar en
cada uno de los procesos para que el Usuario Clave con la validación del Dueño de Datos nos
aporten los datos necesarios para:
· Validar y certificar que las personas que acceden a la información son las indicadas.
Identificar la información y poder categorizarla ayuda a certificar que la misma es
accedida por aquellas personas que realmente deben conocerla y tratarla.
· Establecer los mecanismos necesarios y acotados a la información sensible y
confidencial
· Optimizar los recursos utilizados en la seguridad de la información
· Optimizar los recursos necesarios para procesar la información
· Minimizar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de
la información
· Minimizar la exposición negativa de la Organización, Prestadores y Profesionales ante
fallas o incidentes humanos o técnicos que afecten a la información
Durante todo el proceso de prestación de servicios de salud los distintos tipos de información y
las diferentes formas de tratamiento que hacen al entorno de la Historia Clínica, pueden
convertirse en un riesgo potencial para su Confidencialidad, Integridad y Disponibilidad en caso
de no estar controlados y debidamente identificados.
5. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
5
Por ello es necesario que sepamos qué gobernamos y cuál es el alcance de ese Gobierno para
poder establecer un modelo de protección de información que cuente con componentes que
nos permita un entorno gobernable sin que ello impacte en la operatoria diaria. La lista de
componentes comunes para este modelo es:
· Documentación normativa y regulatoria sobre clasificación y protección de información,
así como de funciones de propietarios de la información
· Documentación de soporte al proceso, en el que se pueda identificar a los dueños de
datos y usuarios clave, establecer un procedimiento de clasificación y protección de
información que incluya los conceptos de retención y disposición final de activos de
información
· Concientización y capacitación, que involucre y se dirija a cada uno de los niveles
internos de la Organización a través de presentaciones, correos electrónico, posters y
encuestas.
Otros documentos asociados al proceso de protección que deben reflejar y soportar lo indicado
son los referentes a tratamiento de áreas restringidas, encripción, administración de resguardos
y restauración de información, administración de accesos físicos y lógicos a la información,
desarrollo seguro y recuperación del entorno tecnológico y continuidad del Negocio.
Conclusión
Establecer un Gobierno ordenado y metodológico de la Información nos permitirá administrarla
de forma segura y bajo un criterio único de asignación de responsabilidades y recursos,
protegiendo a la Entidad de Salud y brindando un entorno fiable de trabajo para cada uno de
sus empleados y Profesionales, y por sobre todo calidad y tranquilidad en el servicio a Afiliados
y Pacientes.
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
Publicado en Revista CISALUD AÑO XII |N°7| Diciembre 2012-Febrero 2013
Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3-2011 y auditor ISO
20000, con 20 años de trayectoria en Seguridad de la Información. Posee amplia experiencia en la implementación y
cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de
negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del
Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados
al aseguramiento del Negocio.
6. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
6