Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

1

Gobierno de la información Cuando los Datos y el Conocimiento se convierten en Información y la Sabiduría de cómo cuidarla. Confidencialidad, Integridad y Disponibilidad. Esta s tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la info rmación que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a l a diferencia. Gobierno de la Información implica conocer cuáles son los datos que poseemos y como se convierten en información a través de cada uno de los Procesos de Negocio, que al interactuar con quienes la tratan corre el riesgo de perder fiabilidad y de no estar disponible en el momento que sea necesario utilizarla, inclusive para salvar una vida. Las entidades de salud presentan un ámbito complejo con respecto a la información que manejan, ya que no solo se trata de datos comerciales o administrativos sino que el núcleo de su actividad se plantea entorno a los datos de salud de sus Afiliados. Por esa razón, la forma de gobernar esta información es el de reconocer que la información confiada por parte de pacientes y afiliados requiere de un entorno estratégico de gestión relacionado con los Usuarios de la Organización y los Prestadores, que son socios “solidarios” que interactúan con la información que nos han confiado y por quienes tenemos que responder. Esto conlleva a plantear un entorno de respuesta a la coordinación de gestión de la información, lo que requiere:

• Planificación y gestión de recursos Implementando para cada proceso la asignación y administración de recursos acordes al tipo de información tratada

• Gestión financiera Asignando el recurso económico acorde al tipo de información tratada

• Gestión de la demanda Asociando al proceso la previsibilidad relacionada con el cumplimiento del marco regulatorio y las necesidades del negocio

• Gestión de contratos Relacionados con la información, tales como guarda externa de documentación, transmisión de información relativa a la salud, etc.

Gestión

estratégica

de

Prestadores

Gestión

estratégica de

usuarios

Gestión de

información

confidencial y

sensible de

Afiliados

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

2

• Gestión de tratamiento de la información Para cumplimentar técnicamente todo su ciclo

• Gestión de funcionalidad de la información Basado en el conocimiento y aplicado a cómo utilizarla para obtener mejores resultados a nivel de calidad e aseguramiento de integridad

Y para poder aplicar lo antes dicho, debemos necesariamente conocer cuáles son los procesos de nuestra Organización y como se trata la información en cada uno de ellos para de esta forma establecer cuáles son los alcances respecto de su “Ciclo de Vida” y que actividades vamos a establecer para la Gestión de cada uno de los Activos de Información. Esto nos ayudará a entender cuál es la “cadena de información” y así poder establecer los medios tecnológicos para tratarla en cada uno de sus estados en el paso de cada uno de los diferentes procesos. Si sabemos que la información es el dato que ha adquirido la entidad de “conocimiento” para la Organización, también sabemos que para su gobierno debemos basarnos en tres pilares de acción fundamentales: clasificación acorde a su importancia y sensibilidad para la Organización y las personas, tratamiento mediante métodos adecuados que garanticen su fiabilidad y disponibilidad y destrucción que asegure su confidencialidad aún al haber concluido su ciclo de vida. La clasificación, el tratamiento y destrucción de la información requieren que dentro de cada proceso establezcamos puntos de control y registración, con el fin de gestionarla desde cada sector de las Empresas e Instituciones de Salud dejando las evidencias necesarias para poder establecer la trazabilidad de su tratamiento durante todo el proceso. Conforme al tratamiento de algo tan sensible como el resguardar las Historias Clínicas de nuestros pacientes y la información asociada surgida de cada etapa del proceso administrativo y clínico es lo que debe movernos a establecer un buen Gobierno de la Información. Estás pautas parecen básicas, pero son fundamentales para mantener en cuidado la información que obtenemos de las consultas y diferentes estudios, y que nos confían cada uno de los pacientes que nos visitan, para ello y como primer medida debemos identificar a los diferentes actores que mediante un trabajo en equipo aportarán el conocimiento necesario para establecer los parámetros de protección y seguridad adecuados tanto en su entorno operativo físico como digital. Claramente estamos hablando de los conocedores de los procesos y diferentes sistemas de información ya sean estos digitales tales como aplicaciones, software o equipos de imágenes hasta físicos como documentación de ingresos a mesa de entradas, resultados clínicos o radiográficos. Estos conocedores son usuarios de áreas administrativas o profesionales de la

Establecer el

desarrollo de

los procesos

de negocio

Establecer el

desarrollo de

la cadena de

información

Establecer el

desarrollo de

los medios

tecnológicos

Gestión del Ciclo de

Vida de la

información

Gestión de los

activos de

información

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

3

salud que interactúan con la información del paciente o con la información administrativa de la Organización, no personal de las áreas técnicas o administrativas de la Gerencia de Sistemas. Recordemos el concepto de “Servicio” que brindan las áreas de IT al Negocio, y las entidades de salud no escapan a este concepto. Por lo tanto, IT es quien ofrece el servicio a los responsables de los datos para que la gestión de los mismos asegure su Confidencialidad, Integridad y Disponibilidad. No quería dejar pasar este concepto que es importante al querer establecer una gobernabilidad objetiva y eficaz respecto de la información que administramos. Bien, volviendo al Dueño de Datos normalmente son aquellos que pertenecen a la Alta Gerencia y son responsables, entre otras cosas, de validar los niveles de clasificación asignados a la información de la Organización así como los recursos necesarios para mantenerla segura. Teniendo en cuenta el tipo de información administrada y que se involucra en los diferentes procesos de las entidades que prestan servicios de salud, debemos tener en claro que el titular de los datos personales frente al marco legal planteado por la Ley de Protección de Datos Personales es el Afiliado y la Empresa nombra un representante ante la Dirección Nacional de Protección de Datos Personales (DNPDP), quien debe asegurar “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.” Los Dueños de la Información como responsables del proceso, delegan en Usuarios Claves la definición de la clasificación de la información basándose en su entorno operativo. En muchos casos, los Usuarios Claves entienden cada paso de entradas y salidas de los diferentes procesos, lo que les permite estar en mejor posición de clasificarla correctamente y brindarnos la información necesaria para saber cuáles y donde debemos aplicar los controles adecuados. Los Usuarios Clave en términos generales definen los siguientes pasos involucrados en la clasificación:

a. Evaluar el posible impacto en caso de que la información de documentos o archivos electrónicos sea divulgada. Se debe considerar el nivel de impacto, el daño potencial a los Afiliados y Pacientes así como la reputación de la Organización.

b. Evaluar la probabilidad de divulgación de la información de documentos o archivos electrónicos.

c. Asignar la clasificación correcta según el contenido y sensibilidad de la información. d. Sugerir las medidas de seguridad apropiadas para el almacenamiento, distribución y

desecho del documento y/o archivo electrónico o físico, y proporcionar instrucciones adecuadas a los demás usuarios o receptores que deseen comunicar la información.

Independientemente de la existencia de un Dueño de Datos y Usuarios Clave asignados, la premisa de protección de información debe indicar en sus Políticas Internas que cada persona que maneja Información, incluyendo empleados y contratistas, son responsables de garantizar que cualquier información sensible sea manejada de forma correcta y apropiada.

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

4

El Gobierno de la Información requiere que la Política, estructura organizativa, los procedimientos, los procesos, y los recursos humanos y técnicos estén alineados bajo un concepto común respecto de la importancia de la información que de alguna forma u otra están gestionando, incluyendo hasta lo que transmiten verbalmente. Es importante saber que es fundamental clasificar la información aunque nos resulte de por más obvio saber cual es en nuestro caso, la Historia Clínica. Ahora bien, ¿Que otro tipo de información podemos encontrar alrededor de ella? ¿En qué medios digitales o físicos podemos encontrarlos? Archivos de planilla de cálculo con datos relacionados a contratos con prestadores, imágenes creadas desde sistemas independientes a los de procesamiento central, escaneo de documentación, estudios impresos, etc., hacen que sea necesario ahondar en cada uno de los procesos para que el Usuario Clave con la validación del Dueño de Datos nos aporten los datos necesarios para:

• Validar y certificar que las personas que acceden a la información son las indicadas. Identificar la información y poder categorizarla ayuda a certificar que la misma es accedida por aquellas personas que realmente deben conocerla y tratarla.

• Establecer los mecanismos necesarios y acotados a la información sensible y confidencial

• Optimizar los recursos utilizados en la seguridad de la información • Optimizar los recursos necesarios para procesar la información • Minimizar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de

la información • Minimizar la exposición negativa de la Organización, Prestadores y Profesionales ante

fallas o incidentes humanos o técnicos que afecten a la información Durante todo el proceso de prestación de servicios de salud los distintos tipos de información y las diferentes formas de tratamiento que hacen al entorno de la Historia Clínica, pueden convertirse en un riesgo potencial para su Confidencialidad, Integridad y Disponibilidad en caso de no estar controlados y debidamente identificados.

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

5

Por ello es necesario que sepamos qué gobernamos y cuál es el alcance de ese Gobierno para poder establecer un modelo de protección de información que cuente con componentes que nos permita un entorno gobernable sin que ello impacte en la operatoria diaria. La lista de componentes comunes para este modelo es:

• Documentación normativa y regulatoria sobre clasificación y protección de información, así como de funciones de propietarios de la información

• Documentación de soporte al proceso, en el que se pueda identificar a los dueños de

datos y usuarios clave, establecer un procedimiento de clasificación y protección de información que incluya los conceptos de retención y disposición final de activos de información

• Concientización y capacitación, que involucre y se dirija a cada uno de los niveles

internos de la Organización a través de presentaciones, correos electrónico, posters y encuestas.

Otros documentos asociados al proceso de protección que deben reflejar y soportar lo indicado son los referentes a tratamiento de áreas restringidas, encripción, administración de resguardos y restauración de información, administración de accesos físicos y lógicos a la información, desarrollo seguro y recuperación del entorno tecnológico y continuidad del Negocio. Conclusión Establecer un Gobierno ordenado y metodológico de la Información nos permitirá administrarla de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, protegiendo a la Entidad de Salud y brindando un entorno fiable de trabajo para cada uno de sus empleados y Profesionales, y por sobre todo calidad y tranquilidad en el servicio a Afiliados y Pacientes.

Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Publicado en Revista CISALUD AÑO XII |N°7| Diciembr e 2012-Febrero 2013 Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3-2011 y auditor ISO 20000, con 20 años de trayectoria en Seguridad de la Información. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.

Seguridad de la Información – Auditoría de Sistemas

Te

l. (

05

411

) 15

332

8-6

85

9 f

ab

ian

de

sca

lzo

@y

ah

oo

.co

m.a

r

6