Slides seguridad en salud

683 views

Published on

Presentación de la disertación sobre Seguridad de la Información en el Ambiente de Sanidad

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
683
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Slides seguridad en salud

  1. 1. Gestión de la Información en el Ámbito de Sanidad SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DE LA SALUD Fabián Descalzo – Buenos Aires - ARGENTINA
  2. 2. Gestión de la Información en el Ámbito de Sanidad Nueva visión de la seguridad (seguridad vs aseguramiento) Necesidades y obligaciones de las Instituciones Objetivos de aseguramiento Riesgos del servicio asistencial Casos de exposición Identificación de componentes de información Marco de protección: Enfoque metodológico Integración de estándares Principales objetivos de control Entorno de la información Requerimientos para un entorno controlado Dominios clave Herramientas de implementación Objetivos logrados 2
  3. 3. Nueva visión de la seguridad Agregar valor al Servicio Visión basada en riesgos asociados al Servicio Liderazgo y poder de delegación 3
  4. 4. Necesidad de las Instituciones Requerimientos legales y reglamentarios de la actividad Ley de Protección de Datos Personales y Acción de “Habeas Data” Disponer de una gestión que asegure el tratamiento de la información de sanidad y sus procesos asociados Frameworks que aportan valor agregado al actividad 4
  5. 5. Obligaciones de las Instituciones Confidenciales Sensibles Datos personales Filiatorios y domiciliarios Datos de Salud Historia Clínica y estudios complementarios 5
  6. 6. Obligaciones de las Instituciones Alcances del control Profesionales de la salud y establecimientos de sanidad • Investigaciones clínicas. • Consentimientos informados, Respeto absoluto al secreto profesional y a las normas de confidencialidad aplicables a los datos recolectados según la Ley de Habeas Data. • Consentimiento para el tratamiento, cesión y/o transferencia de datos personales. • Verificación del sistema de disociación de datos Nivel de Capacitación del Responsable de la Base + Legalidad de los Datos + Idoneidad de los Medios Empleados en el Tratamiento y Toda Gestión Anexa + Correcto Tratamiento incluyendo a Terceros + Publicidad y Formas de Comunicación que involucren datos personales 6
  7. 7. Obligaciones de las Instituciones Alcances del control • • • • • • • Toda la documentación Contratos Hardware Software Procesos informatizados y manuales Lugares de almacenamiento Capacitación del todo el personal asignado al tratamiento de datos y al proceso de acceso a datos por parte de los titulares. 7
  8. 8. Objetivos de aseguramiento Gestión de la Información de Sanidad Garantizar la calidad de los servicios de salud en base a la relación directa entre la calidad de los registros y la calidad de la atención prestada Brindar un proceso que asegure los datos de Pacientes y Socios Asegurar la información para Prestadores y Profesionales Confidencialidad, Integridad y Disponibilidad 8
  9. 9. Objetivos de aseguramiento Habilitar una compatibilidad y coherencia de la información a salud y datos CONFIDENCIALIDAD • datos personales referentes a la salud deben de ser tratados con el nivel más alto de protección. • En esta variable conviene recordar que existen mayores riesgos cuando la información no está informatizada INTEGRIDAD • Indispensable para mantener la información médico-sanitaria • Garantizar la seguridad de los pacientes en su atención • Garantizar a prestadores y profesionales información fidedigna DISPONIBILIDAD • Fundamental para la eficacia de la prestación de servicios médicos En el sector de sanidad la integridad y disponibilidad de una historia clínica es muy importante. La falta de integridad o disponibilidad de datos de sanidad en una historia clínica puede llegar a suponer la pérdida de vidas humanas 9
  10. 10. Riesgos para el servicio asistencial Incumplimiento de normas de regulación legal y de sanidad Exposición de datos sensibles a personas (historias clínicas, resultados de investigaciones, resultados de laboratorio) Errores de gestión de seguridad con Gerenciadoras de contratos, Distribuidoras, Droguerías, Farmacias, Obras Sociales y empresas de medicina prepaga, Médicos Exposición negativa ante la competencia y público en general 10
  11. 11. Casos de exposición Resumen: Papelería que contenía la información de al menos 66 pacientes del hospital fue perdida, aparentemente olvidada por un empleado, en un tren. Los datos incluían nombres, fechas de nacimiento e información médica (diagnósticos, proveedores, etc.). El hospital envío cartas a todos los pacientes cuyas identidades estaban en los papeles perdidos 11
  12. 12. Casos de exposición 12
  13. 13. Casos de exposición Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que deberá contener la inscripción, entre los cuales figurarán necesariamente los siguientes: A) Identificación de la base de datos y el responsable de la misma. B) Naturaleza de los datos personales que contiene. C) Procedimientos de obtención y tratamiento de los datos. D) Medidas de seguridad y descripción técnica de la base de datos. E) Protección de datos personales y ejercicio de derechos. F) Destino de los datos y personas físicas o jurídicas a las que pueden ser transmitidos. G) Tiempo de conservación de los datos. H) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. 13
  14. 14. Casos de exposición CONSECUENCIAS DE ERRORES EN LA HISTORIA CLINICA PERDIDA DE DATOS ¿QUÉ OCURRE SI NO SE ELABORA LA HC O SE OMITE ANOTAR ALGÚN PROCEDIMIENTO O MEDICACIÓN? Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente. FALTA DE INTEGRIDAD DE LOS DATOS ¿QUÉ OCURRE SI SE HACEN ANOTACIONES DE LAS CONDICIONES DE SALUD DE UNA PERSONA, O ACTOS MÉDICOS O PROCEDIMIENTOS QUE NUNCA SE REALIZARON? Se comente el delito de falsedad ideológica en documento privado. Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente. FALTA DE CONFIDENCIALIDAD DE LOS DATOS ¿QUÉ SANCIÓN TIENE UNA PERSONA PARTICULAR QUE REVELE ALGO QUE ESTE EN LA HISTORIA CLÍNICA DE OTRA PERSONA? Comete el delito de divulgación y empleo de documentos reservados. 14
  15. 15. Identificación de componentes de información Físico, Documentos en papel, incluyendo historia clínica, faxes y copias fotostáticas, radiografías, recetas, estudios clínicos. Formato electrónico, Documentos electrónicos en procesador de texto, hojas de cálculo, datos en aplicaciones (historia clínica electrónica, resultados por correo electrónico) Interpersonal, comunicada de una persona a otra verbalmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico. 15
  16. 16. Marco de Protección 16
  17. 17. Enfoque metodológico • Implementación de frameworks de “Buenas Prácticas” integrados para facilitar el cumplimiento de leyes y regulaciones • Se consideran los estándares y las políticas corporativas • El enfoque integrador, toda la Organización participa en el aseguramiento de la información Necesidades del Servicio Tecnología • Herramientas • Interfaces Implementación (Procesos implantados) • Herramientas • Migraciones • Interfaces Mejoramiento continuo • Herramientas • Interfaces • Documentación • Nivel de Madurez • GAP Personas • • • • Estructura Instituciones Nivel de destrezas Capacitación • • • • • Diseño lógico Diseño Físico Vinculaciones Documentación Validación de Funcionamiento • Roles y responsabilidades • Entrenamiento • Cambio Cultural • Herramientas de capacitación • • • • Seguimiento Ajustes Refinamientos Nuevos Procesos • Entrenamiento • Capacitación Project Management Assessment (GAP, Plan Preliminar) Procesos 17
  18. 18. Enfoque metodológico 27000 Frameworks de Control Frameworks de Gestión y Calidad ISO 9001 Sistema de Calidad Estrategia de IT Planeamient o IT PMI Gestión de Proyectos ISO 27799 Seguridad de IT CMMI Desarrollo de Aplicaciones ITIL/ISO 20000 Gestión de Servicios IT SEGURIDAD INTEGRAL Operación de IT Documentación legal, regulatoria y operativa Gestión de la Seguridad Física Operación Documental 18
  19. 19. Integración de estándares El uso de estándares simplifica el procesamiento de la información Facilitan la interoperabilidad entre los sistemas Mejoran la especificidad clínica requerida para medir resultados asistenciales Definen políticas y procedimientos para proteger la confidencialidad Aportan en la evaluación de los programas de salud Establecen requerimientos mínimos para la seguridad e integridad de los datos 19
  20. 20. Integración de estándares 20
  21. 21. Principales objetivos de control Control 1,00 2,00 3,00 4,00 5,00 6,00 7,00 8,00 9,00 10,00 11,00 12,00 13,00 14,00 15,00 16,00 Alcance Auditoría, evidencias y monitoreo Autenticación y control de acceso Confidencialidad y No-Repudiación Personal externo y contratistas Tolerancia a fallas, backup y recuperación Respuesta y reporte de incidentes Mantenimiento y operaciones Red de datos Acceso físico Documentación electrónica y en papel Accesos remotos Concientización y entrenamiento en Seguridad Política de administración de la seguridad Configuración del sistema Desarrollo de sistemas y control de cambios Proveedores, profesionales y prestadores Interpretación Unidades Administrativas Interpretación Unidades de Servicio Interpretación Tecnología 21
  22. 22. Entorno de la información Entorno Físico • Ubicación de sector acorde a la información de procesan • Identificación de Áreas Restringidas • Control de acceso y vigilancia de espacios físicos • Mobiliario utilizado • Guarda externa de documentación • Data Center y salas de sistemas 22
  23. 23. Entorno de la información Entorno informático Aplicaciones = Seguridad de Acceso Correo electrónico = Que compartir Internet = Que publicar Comunicaciones = Asegurarse de la transmisión propia y de terceros • Archivos digitales = Como almacenarlos • • • • (La Secretaría de Salud Pública de la Nación establece en 15 años el período que obligatoriamente debe guardarse la historia clínica) • Asegurar la Integridad y Disponibilidad (Desarrollo seguro, esquemas de contingencia y alta disponibilidad, política de licenciamiento) 23
  24. 24. Entorno de la información Entorno laboral ¿Todos necesitan “conocer”? Si protejo los archivos y papeles • ¿Porqué divulgo lo que dicen? • ¿Sé quien debe conocer esta información? ¿Cómo comparto la información con “Terceras Partes”? ¿Aseguro que la información se mantenga Confidencial, Integra y Disponible? 24
  25. 25. Entorno de la información Circuito de la información Asociado Centro de Atención INFORMACIÓN DOCUMENTAL INFORMACIÓN ELECTRÓNICA 25
  26. 26. Requerimientos para un entorno controlado Implementar para el ámbito sanitario, un conjunto detallado de controles para la gestión de la seguridad de la información para el ámbito de la salud Información de sanidad en todos sus aspectos y en cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e imágenes de sanidad o radiografías) Sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrónico) A través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas o correo electrónico). 26
  27. 27. Soluciones integrales para procesos de Información de Sanidad Sistemas de Gestión de Seguridad de la Información Planes Directores de Seguridad Evaluación y diagnóstico de la Seguridad de la Información Planes de continuidad de actividades Adecuación a buenas prácticas (ITIL / ISO 20000) Certificaciones de SGC y SGS (ISO 9001 / ISO 27000) Planes de formación concientización Governance, Risk & Compliance Auditoria y adecuación Habeas Data 27
  28. 28. Objetivos logrados Brinda Confidencialidad e Integridad de sus datos a Pacientes y Socios Brinda a sus Profesionales Médicos y Técnicos un ambiente seguro de trabajo Asegura a las Instituciones una mejor imagen en el Mercado 28
  29. 29. MUCHAS GRACIAS Fabián Descalzo Gerente de Governance, Risk & Compliance fabiandescalzo@yahoo.com.ar 29

×