Este documento describe la importancia de la auditoría de seguridad e informática en la industria de la salud para garantizar la calidad y confidencialidad de la información de pacientes. Señala que la seguridad de la información es crucial debido a la naturaleza delicada de los datos médicos y la necesidad de proteger la privacidad. También recomienda implementar estándares como ISO 9001, ISO 27799 e ISO 20000 para establecer un sistema de gestión de auditoría y seguridad de la información que cumpla con los requisitos legales y de
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
REVISTA CISALUD seguridad en la salud
1. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
1
Publicado en revista CISALUD (http://www.cisalud.com.ar/revista/numero5/Default.html - página 41)
SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DE LA SALUD
Auditoria de la Seguridad e Informática en la Salud
Como sabemos, a través de la Auditoria Médica se garantiza la calidad de servicio que se
extiende como un método sistemático, planificado y continuo para monitorear, evaluar y
mejorar la calidad de los servicios de salud, mediante la revisión y el estudio de las historias
clínicas, estadísticas hospitalarias y registros de lo efectuado demostrando que hay una
relación directa entre la calidad de los registros y la de la atención prestada.
Partiendo de este concepto podemos decir que hay una relación directa entre la Auditoria
Médica y el control de la información, formando entre ambos un sistema de Gestión de
Auditoria y Seguridad de la Información Médica orientado a:
• Disponer de un proceso de control que asegure a la Auditoria Médica en el tratamiento
de la información auditada
• Brindar un proceso que asegure los datos de Pacientes y Afiliados, asegurando su
Confidencialidad, Integridad y Disponibilidad
¿Dónde iniciar nuestro sistema de gestión? Es una buena práctica conocer cuál es el Marco de
Referencia existente sobre el cual estipular las bases necesarias para conformar una Gestión
de Auditoria y Seguridad exitosa. Este marco de referencia delimita diferentes tipos de
responsabilidades de las empresas de salud, ya sea por sus exigencias ante afiliados o
pacientes o bien por leyes regulatorias nacionales o provinciales, tales como:
• Ley 25.326 Protección de Datos Personales (Habeas Data)
• Ley 17.132 Ejercicio de la Medicina, Odontología y Actividades de Colaboración
(Artículo 11º)
• Ley 3.076 Salud Pública de la Provincia de Río Negro, por ejemplo
La industria de la salud no escapa a las generalidades de cualquier otro tipo de industria, y si
puede con respecto a otras, tener responsabilidades mucho más importantes sobre la
información que procesa y gestiona teniendo en cuenta lo delicado de su Negocio al que debe
responder no solo en la Calidad de Servicio sino también en la Seguridad que brinda a los
datos de sus pacientes y afiliados, sin dejar de lado a los profesionales y prestadores que
colaboran con ella asegurándoles datos fidedignos sobre los cuales trabajar.
¿Qué herramientas utilizar? Podemos comenzar con nuestra gestión optando por implementar
los objetivos de calidad y control establecidos por:
• ISO 9001 Sistema de Gestión de Calidad (requisitos)
• ISO 27799 Sistema de Gestión de seguridad en materia de salud
• ISO TC 215 Comité Técnico Health informatics
• ISO 20000 Tecnología de la Información - Gestión del Servicio
2. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
2
Estas herramientas, que adaptaremos como marco de referencia para cumplir con los
requisitos legales y de calidad necesarios para la industria de la salud, nos permitirán cubrir los
aspectos relacionados con las personas y sus datos asociados teniendo en cuenta estas dos
clases principales:
• Confidenciales Datos personales: Filiatorios y domiciliarios
• Sensibles Datos de Salud: Historia Clínica y estudios complementarios
Tener en claro el tipo de información del cual disponemos y ser consciente de la importancia en
su tratamiento nos permitirá establecer las medidas necesarias para la protección de datos y
privacidad de la información personal y sensible, prevención del uso indebido de las
instalaciones de procesamiento de la información, regulación de los controles criptográficos,
cumplimiento de las políticas de seguridad y cumplimiento técnico, sistemas de información
concebidos desde las consideraciones de auditoría en salud.
Hay diversos puntos de contacto entre las personas y las entidades de salud, y en cada uno de
ellos se generan diferentes tipos de componentes de información. La Afiliación genera una
traslación de datos que se recopilan en los sistemas para identificar a un Afiliado partiendo de
sus datos personales, que son confiados a la Entidad para su uso INTERNO con el solo hecho
de quedar registrado y ser posteriormente contactado solo por la Entidad a la cual se afilió.
Por otra parte, la Historia Clínica como expediente clínico es un documento médico legal, que
surge del contacto entre el médico y el paciente, la cual contiene información CONFIDENCIAL
entre ambos y que solo debe ser utilizada por aquellas entidades prestadoras que estén
involucradas en el tratamiento del paciente si fuese necesario.
Para cada uno de estos tipos de información nos encontramos ante la necesidad de protección
y confidencialidad de los datos, sumado a que la Historia Clínica requiere de Afiliados,
Pacientes y Prestadores la INTEGRIDAD necesaria para asegurar diagnósticos y
prescripciones fiables que en caso de no ser consistente afectarían directamente sobre la salud
de afiliados y reputación de Entidades de Salud y Profesionales. Debido a ello, las Entidades
de la Salud son las encargadas de custodiar, vigilar, regular y facilitar el acceso a una
información fiable, consistente y disponible para quien esté autorizado a tratarla.
Poder clasificar la información permitirá establecer controles adecuados y tomar medidas
concretas para cada uno de los entornos en los cuales se encuentre la información confiada
por nuestros afiliados, pacientes o prestadores. Esta clasificación la podemos establecer
inicialmente por su forma de transmisión y como está contenida:
• Físico, Documentos en papel, incluyendo historia clínica, faxes y copias fotostáticas,
radiografías, recetas, estudios clínicos.
• Formato electrónico, Documentos electrónicos en procesador de texto, hojas de
cálculo, datos en aplicaciones (historia clínica electrónica, resultados por correo
electrónico)
3. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
3
• Interpersonal, comunicada de una persona a otra verbalmente por teléfono o en
persona, o por escrito vía fax, correo postal o correo electrónico.
Tener esta visión nos permitirá desarrollar y fomentar una cultura y comportamiento en nuestra
Entidad que debe aplicarse en la protección de la información en todas las actividades
relacionadas con la atención del Paciente y en cada uno de los ámbitos de gestión del servicio
de salud en los que los recursos humanos deben tener en cuenta:
• La Seguridad Física
• La Seguridad Lógica
• El Comportamiento en el lugar de trabajo
• El Comportamiento en público
Hagamos el ejercicio de trazar el camino de la información, y así descubriremos que desde que
el afiliado (antes de serlo) se presenta en una Entidad de Salud sus datos recorren dos
caminos, el documental y el informático, y en cada paso que hace desde este inicio su
información recorre diferentes sectores o entidades externas (prestadores y profesionales) que
tratan esta información para cumplir con los fines del proceso de negocio en el que están
involucrados.
Esta necesidad de tratamiento por los procesos de negocio exponen a la información del
paciente o afiliado tanto en el aspecto lógico como físico en el cual se mueven los diferentes
actores internos o externos de una Entidad de Salud. Permisos de acceso, disociación de la
información, disposición final de la información, métodos seguros de transmisión, son acciones
comunes dentro de cualquier tipo de entorno de trabajo que debemos controlar.
El entorno de la información debe propocionar Confidencialidad e Integridad de datos en:
Espacios Físicos: Teniendo en cuenta la ubicación de sector que traten información
sensible, sus accesos físicos, mobiliario utilizado y la guarda externa de
documentación.
Medios informáticos Teniendo aplicaciones con seguridad de acceso, sabiendo que
compartir por Correo electrónico, que publicar en Intranet/Internet,
asegurando sus comunicaciones, asegurando la Integridad y
Disponibilidad de datos
Pero en el entorno más difícil, el interpersonal, debería preguntarme “si protejo los archivos y
papeles, ¿Porqué cuento lo que dicen?, ¿Sé quien debe conocer esta información?”. Una
buena capacitación a lo largo del tiempo, dando a conocer las normas sobre protección de
información puede ayudar a cambiar esta “cultura”. Debe de saberse que no todos necesitan o
deben “conocer” la información que poseemos. Cada usuario de una Entidad de Salud debe
conocer que es parte importante en esta Gestión ya que él asegura que, con el apoyo de las
áreas de control y tecnología, la información se mantenga Confidencial, Integra y Disponible.
Una mala gestión de la seguridad de la información en la industria de la salud se traduce en:
• Incumplimiento de normas de regulación legal y sanitaria
4. Seguridad de la Información – Auditoría de Sistemas
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
4
• Exposición de los datos sensibles de las personas (historias clínicas, resultados de
investigaciones)
• Exposición ante posibles medidas legales tanto en el ámbito comercial como penal.
• Errores de gestión de seguridad con Gerenciadoras de contratos, Distribuidoras,
Droguerías, Farmacias, Obras sociales y Empresas de Medicina Prepaga, Médicos
• Exposición negativa ante la competencia y público en general
Implementar para el ámbito sanitario un conjunto detallado de controles para la gestión de la
seguridad de la información para el ámbito de la salud, nos permitirá contar con una buena
gestión de la seguridad orientada a la información sanitaria en todos sus aspectos y en
cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e imágenes
médicas o radiografías), sobre cualquier medio de almacenamiento (escrito o impreso en papel
y electrónico) y a través de cualquier medio de transmisión (valijas o mensajería, faxes, redes
informáticas o correo electrónico).
Utilizar estándares de seguridad y calidad en los Sistemas de Información en Salud nos
permitirá una ventaja competitiva y una mayor prestación en los servicios ya que:
• El uso de estándares simplifica el procesamiento de la información
• Facilitan la interoperabilidad entre los sistemas
• Mejoran la especificidad clínica requerida para medir resultados asistenciales
• Definen políticas y procedimientos para proteger la confidencialidad
• Aportan en la evaluación de los programas de salud
• Establecen requerimientos mínimos para la seguridad e integridad de los datos
• Definen el intercambio entre los equipos médicos y los sistemas de información en
salud.
• Facilitan y aseguran la comunicación con laboratorios, droguerías, distribuidoras,
farmacias, prestadores y proveedores varios.
• Establecen un modelo de intercambio de documentos clínicos
• Mejoran el intercambio, gestión e integración de información relacionada con la atención
médica y la gestión de servicios de salud
• Aseguran la integridad de la información en la transferencia de observaciones clínicas
entre sistemas independientes (resultados de laboratorio)
• Aseguran la integridad de la información en la trasferencia de información entre
instrumentos clínicos (equipos de laboratorio y sistemas informáticos)
• Define el formato de mensajes y estándares de comunicaciones para imágenes
terapéuticas y diagnósticas.
Si hemos logrado establecer una buena gestión, hemos conseguido nuestros objetivos:
• Asegurar a la Auditoria Médica calidad de los registros
• Brindar Confidencialidad e Integridad de sus datos a Pacientes y Afiliados
• Asegurar a la Entidad de Salud una mejor imagen en el Mercado
• Brindar a sus Profesionales Médicos y Técnicos un ambiente seguro de trabajo
Fabián Descalzo
Cidicom S.A.
CSO – Chief Security Officer