El acceso indebido a la información, con motivos de robo o por utilización inadecuada, hace que en los tiempos que corren debamos estar más atentos y mejor preparados en relación a la protección de datos. Y las Instituciones y Empresas de la Industria de la Salud basadas en el tipo de información que poseen y en las actuales regulaciones deben comprender que el principal riesgo se encuentra en que se altere su Integridad o se viole su Confidencialidad

1. Seguridad de la Información – Auditoría de Sistemas
Publicado en: Septiembre - Noviembre 2014 en Revista CISALUD - Año XIV / N° 14 /
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
1
Cuando estamos en la mira
Los datos como objetivo de impacto
El acceso indebido a la información, con motivos de robo o por utilización inadecuada,
hace que en los tiempos que corren debamos estar más atentos y mejor preparados en
relación a la protección de datos. Y las Instituciones y Empresas de la Industria de la
Salud basadas en el tipo de información que poseen y en las actuales regulaciones
deben comprender que el principal riesgo se encuentra en que se altere su Integridad o
se viole su Confidencialidad.
En relación a otras Industrias, la de Salud en general propone poca participación respecto de
actividades relacionadas con la seguridad de la información, lo cual agrava el problema de los
riesgos relacionados principalmente con la Integridad y Confidencialidad de los datos y que, por
carácter transitivo, también puede afectar a la Disponibilidad de los mismos si los ataques
internos o externos impactan negativamente en sus sistemas informáticos o procesos de
gestión administrativa.
Como ejemplo de ello, en agosto de este año la CNN dio a conocer la noticia sobre el robo de
4,5 millones de registros de pacientes de una red de hospitales, la empresa Community
Health Systems, que maneja 206 hospitales en Estados Unidos, hecho en el que los piratas
informáticos que ejecutaron el robo obtuvieron acceso a sus nombres, números de seguridad
social, direcciones físicas, fechas de cumpleaños y números telefónicos. Además según los
investigadores de Websense (empresa líder mundial en productos para seguridad de datos),
han observado un aumento del 600% en los ataques a hospitales durante los últimos 10
meses.
Como sabemos la seguridad de la información establece un alcance de aseguramiento tanto de
entornos físicos como tecnológicos, aplicado a todos aquellos procesos que mantienen y tratan
la información más importante para la vida de las personas en diferentes ámbitos
organizacionales y con el siguiente Universo:
· Laboratorios, en lo relativo a información sensible perteneciente a datos genéticos, datos
de investigación clínica, datos personales de pacientes en investigación, fórmulas
medicinales.
· Centros de diagnóstico y Tratamiento, en la
obtención, tratamiento y transferencia de
información en formato digital, ya sea a partir
de imágenes, videos o archivos de datos,
además de datos personales, información
impresa y de resultados clínicos que pasarán
a formar parte de la Historia Clínica de los
pacientes.
· Obras Sociales y Empresas de Medicina
Prepaga, que por su actividad tienen contacto

2. Seguridad de la Información – Auditoría de Sistemas
Publicado en: Septiembre - Noviembre 2014 en Revista CISALUD - Año XIV / N° 14 /
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
2
y tratamiento directo sobre los datos prestacionales e historia clínica de sus Afiliados, sobre
todo en las actividades relacionadas con la auditoría médica y liquidación de servicios a las
Instituciones de Atención e Internación así como a Centros de Diagnóstico.
· Instituciones de Atención e Internación Médica, constituidas como un centro crítico para
el tratamiento de la información personal y de salud debido a lo complejo de sus procesos de
servicios en el tratamiento de Pacientes, ya que además del tratamiento de datos es muy
importante la disponibilidad y transferencia de los mismos ya sea mediante procesos
tecnológicos como funcionales de gestión técnica médica.
El acceso a la historia clínica sin autorización,
en perjuicio de un tercero, es un delito grave
y está castigado con penas de prisión.
Igualmente el profesional que revele o
divulgue datos de la historia clínica es
castigado con las mismas penas. Por ello, el
entender la importancia del acceso a la
información en cualquiera de sus formas
requiere inicialmente internalizar el concepto
básico del “Derecho a Conocer”, que implica
saber si realmente necesito conocer o bien si
otra persona necesita conocer determinada
información para llevar a cabo sus
actividades. Si entendemos este concepto,
nos será mucho más sencillo revisar el tipo de acceso a la información teniendo en cuenta las
funciones de las personas que interactúan con ella así como el establecer un programa
adecuado de capacitación con fines de concientización e importancia en el tratamiento de los
datos sensibles de salud.
¿Qué principales dominios son entonces los que debo tener en cuenta para minimizar el riesgo
de acceso indebido a la información?
· Gestión de roles y funciones
· Administración de acceso a áreas restringidas
· Administración de cuentas de usuario
· Gestión de políticas de seguridad en plataformas tecnológicas
· Transferencia de información y criptografía
· Relación con Terceras Partes
· Clasificación y protección de información
· Gestión de registros en el acceso a la información y áreas restringidas
· Capacitación y concientización en seguridad de la información
Estos dominios, que forman parte de un sistema de gestión de seguridad, son los que van a
asegurar la autenticidad y auditabilidad de la información en cada proceso funcional de la
asistencia sanitaria al tomar medidas para mantenerlos en forma íntegra y confidencial evitando
que sean corrompidos mediante el acceso indebido, así como las pistas de auditoría de los

3. Seguridad de la Información – Auditoría de Sistemas
Publicado en: Septiembre - Noviembre 2014 en Revista CISALUD - Año XIV / N° 14 /
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
3
sistema y los registros de acceso a áreas restringidas permiten que los riesgos de violación de
acceso a la información no pase desapercibido.
Debemos recordar que la seguridad del paciente
depende de mantener la integridad de su
información de salud, ya que un error en sus datos
por cualquier causa puede resultar en una
enfermedad, lesión o incluso la muerte.
Sin dejar de lado la necesidad crítica de tener un
nivel alto de disponibilidad de la información de
salud y las aplicaciones que la procesan, en esta
nota hago principal hincapié en los riesgos asociados al acceso a los datos ya que actualmente
se han detectado muchas vulnerabilidades y acciones dolosas tendientes a explotar cualquier
vulnerabilidad asociada a estos riesgos, por ello, se deben establecer controles para asegurar
que el acceso a dicha información puede ser auditado y medido. Estos controles ayudan a
evitar errores en la práctica médica que pudieran derivarse de falta de mantenimiento de la
integridad de la información de salud. Además, ayudan a asegurar que la continuidad de los
servicios médicos se mantiene.
Según lo indicado en el estándar ISO/IEC 27799 - Health informatics — Information Security
Management in Health Using ISO/IEC 27002, hay otras consideraciones que están
directamente relacionadas con el acceso a los datos y que son de impacto altamente negativo
en las Instituciones y Profesionales de la salud:
1. Cumplimiento de las obligaciones legales tal como se expresa en las leyes y regulaciones
de protección de datos, íntimamente relacionado con el derecho de atención a la
privacidad;
2. Mantener la privacidad establecida e impulsar mejores prácticas para aumentar el nivel de
seguridad en informática de la salud;
3. Promulgar y mantener la responsabilidad individual y organizacional entre las Instituciones
y Profesionales de la salud
4. Impulsar la gestión sistemática de riesgos dentro de las Instituciones de salud;
5. Mantener las normas y la ética profesional según lo establecido por las organizaciones
profesionales relacionadas con la salud (seguridad de la información para la
confidencialidad e integridad de la información de salud);
6. Facilitar la interoperabilidad entre los sistemas de salud en forma segura, ya que la
información fluye entre diferentes organizaciones y a través de límites jurisdiccionales que
requieren garantizar su confidencialidad continua, integridad y disponibilidad.
Cada una de las Instituciones o Empresas de la Industria de la Salud tienen sus propios
procesos para la gestión clínica y la gestión empresarial según su actividad principal, por ello

4. Seguridad de la Información – Auditoría de Sistemas
Publicado en: Septiembre - Noviembre 2014 en Revista CISALUD - Año XIV / N° 14 /
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
4
es más que importante las estrategias tanto a nivel funcional como tecnológico que se adopten
basados en la integración y el gobierno de la información, ya que las organizaciones de salud
son cada vez más dependientes de los sistemas de información para la prestación de servicios
de apoyo a la atención médica.
Esto hace cada vez más evidente que en la medida que los eventos de seguridad sobre el
acceso indebido a la información de salud ocurran, mayor impacto clínico significativo puede
tener sobre la integridad ocasionando riesgo de vida sobre la persona, y de confidencialidad
representando fallas en las obligaciones éticas y legales inherentes a un "deber de cuidado".
Teniendo en cuenta esto, entonces debemos reconocer que hay riesgos asociados a la
integridad y confidencialidad de datos que facilitan el acceso indebido a la información, tales
como:
· Fallas en el proceso de desarrollo de software, o por aplicaciones cerradas no evaluadas
convenientemente
· Falta de un proceso de gestión de acceso a los datos y a la información por parte de
usuarios finales
· Procesos de gestión administrativa deficientes en el tratamiento de información en
formato físico.
· Información sensible desprotegida por no contar con áreas o aplicaciones seguras para
el tratamiento y almacenamiento de información.
· Deficiente gestión de Terceras Partes relacionada con sus responsabilidades ante el
acceso a información sensible
Una forma de hacer frente a esta problemática es el
adoptar medidas correctivas y preventivas basadas en la
guía de estándares que primeramente nos ayuden a
proteger a nuestros Pacientes y además sirvan de apoyo
en el cumplimiento de las leyes y regulaciones que rigen
la actividad de la Instituciones y Empresas de Salud, que
proponen un marco definido para el acceso a la
información bajo los siguientes fundamentos principales
para los datos de salud:
· Protegerlos para que no sean utilizados con otros fines diferentes para los que fueron
creados u obtenidos
· Garantizar su exactitud durante todo su ciclo de vida, inclusive en la transferencia inter-organizaciones
e inter-sistemas
· Garantizar su seguridad en el acceso y tratamiento durante procesos específicos como
la Auditoría Médica
· Propiciar el fundamento de “Secreto Médico”, estableciendo los mecanismos funcionales
y técnico necesario para asegurar el deber de secreto profesional.

5. Seguridad de la Información – Auditoría de Sistemas
Publicado en: Septiembre - Noviembre 2014 en Revista CISALUD - Año XIV / N° 14 /
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
5
Como conclusión, sabemos qué debemos cumplir y qué importancia tiene la información que
poseemos y nos confían, solo resta que busquemos la posibilidad de aplicar aquello que
sabemos y guiado por los estándares adecuados para responder a los principales objetivos
para las Instituciones de Salud que deben ser:
1. Responder en forma segura a los Pacientes respecto de sus datos personales y de
salud
2. Brindar un entorno de trabajo seguro a Profesionales de la salud
3. Asegurar los datos para una mejor calidad de servicios y optimización de los costos en la
prestación de los servicios asistenciales
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Información
(Universidad CAECE), certificado ITIL v3-2011 y auditor ISO 20000.
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área
de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresarial. Para más información: www.cybsec.com