Translate

domingo, 27 de abril de 2014

La seguridad de la información en salud

Cuando uno está enfermo y acude al médico, durante el proceso de la consulta, como pacientes, se llegan a contar aspectos de nuestras vidas íntimas, esto con el propósito de que esa información sea útil para mejorar o proteger el estado de salud, y esto se hace con la confianza de que el médico guardará absoluta discreción y mantendrá en secreto todo lo que se le exprese, por lo tanto, esta información debe estar protegida y siempre disponible.
Para esto existen varias normas técnicas que proporcionan una serie de líneas de actuación y buenas prácticas para la gestión de la seguridad de la información e una organización, entre las que destaca la norma ISO/IEC 27001:2005 la cual especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Una gestión eficaz de la seguridad de la información permite garantizar:
  • Su confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información,
  • Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos, y
  • Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
¿A qué hace referencia el término "información"? 
Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
La certificación del Sistema de Gestión de Seguridad de la Información, de acuerdo a UNE-ISO/IEC 27001, contribuye a fomentar las actividades de protección de la información en las organizaciones, mejorando su imagen y generando confianza frente a terceros.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías

Beneficios del SGSI
  • Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
  • Reducción del riesgo de pérdida, robo o corrupción de información.
  • Los clientes tienen acceso a la información a través medidas de seguridad.
  • Los riesgos y sus controles son continuamente revisados.
  • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
  • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
  • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
  • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
  • Confianza y reglas claras para las personas de la organización.
  • Reducción de costes y mejora de los procesos y servicio.
  • Aumento de la motivación y satisfacción del personal.
  • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001:2005, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad:
Consiste en planear, hacer, checar y actuar:
Planear = Establecer con planificación
Hacer = Implementar y Utilizar el SGSI
Checar = Monitorizar y Revisar
Actuar = Mantener y Mejorar
Es evidente que los Sistemas de Gestión de Seguridad de la Información es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones dado que la información es uno de los activos más importantes de toda organización e institución, por lo tanto requieren junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización.
En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Referencias Bibliográficas
Oscar Blanco, D. R. (s.f.). Principios de seguridad de la información en entornos de la salud. Manual de salud electrónica para directivos de servicios y sistemas de salud, 331-343. http://www.seis.es/documentos/informes/secciones/adjunto1/16_Principios_de_seguridad_de_la_informacion_en_entornos_de_salud.pdf

Gupta, P. (2012). El portal de ISO 27001 en Español. Obtenido de ISO 27000.ES: http://www.iso27000.es/sgsi.html





f

4 comentarios:

  1. En mi breve experiencia con el ISO27001 me parece perfecto el nivel de seguridad que este maneja, pues nos brinda una seguridad y confianza envidiables, excelente información

    ResponderEliminar
  2. ISO27001 la mejor opcion en cuanto a propuestas de seguridad en informacion a la salud

    ResponderEliminar
  3. El SGSI es muy seguro y bueno, siempre es importante tener un sistema que proteje tu información puesto que ésta siempre puede correr riezgos, los cuales llegarían a perjudicar a otras personas, como a los pacientes, y eso es algo que nunca debería de pasar!

    ResponderEliminar
  4. Desconocía que existiere protección a la información y evitarán riesgo, es bueno saber que esta herramienta esta al alcance así evitamos riesgos

    ResponderEliminar