Gestion de Seguridad en Salud.
Como complemento de las normas ISO / IEC 27002 y 27001

 

Esta norma no es certificable, únicamente representa directrices sobre el sector y se implanta y desarrolla bajo el sistema de gestión definido sobre ISO 27001 y 27002.

La norma ISO 27799:2008 específica para el ámbito sanitario, un conjunto detallado de controles para la gestión de la seguridad de la información para el ámbito de la salud y proporciona una serie de claras directrices de seguridad sobre las mejores prácticas a seguir.

ISO 27799:2008 es aplicable a la información sanitaria en todos sus aspectos y en cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e imágenes médicas o radiografías), sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrónico) y a través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas o correo electrónico).
También hay que tener en cuenta lo que sí es cumplimiento de Ley que es la de Protección de Datos Personales (Habeas Data), que aplica a toda base de datos en la que se encuentren registros relacionados a la filiación de personas (dirección, teléfono, documento) y sus registros sensibles (salud, religión, sexualidad). Además para el caso de Laboratorios internacionales, pueden estar abarcados por SOX, HIPAA y otras legislaciones de cumplimiento de LEY.

Temas en que puede impactar una mala gestión de la seguridad de la información en la industria de la salud (laboratorios, clínicas, etc.):
• Exposición negativa ante la competencia y público en general
• Incumplimiento de normas de regulación legal y sanitaria
• Divulgación no autorizada de Innovación y desarrollo (Gestión de portafolio de drogas)
• Protección de patentes
• Errores en cadena de valor y estructura productiva
• Errores de gestión de seguridad con Gerenciadoras de contratos, Distribuidoras, Droguerías, Farmacias, Obras sociales y empresas de medicina prepaga, Médicos
• Divulgación de material de ventas, datos de clientes, proyectos de marketing
• Exposición de datos sensibles al negocio (Determinación de los precios, información contable, estrategia de productos)
• Exposición de datos sensibles a personas (historias clínicas, resultados de investigaciones)

Estos temas deben ser tenidos en cuenta no solo desde el Área de Sistemas, sino también desde el sector de EHS, Facilities o Mantenimiento (dependiendo como se haya definido en la Organización) ya que esos sectores normalmente tienen a su cargo la seguridad física (relacionada con espacios físicos y personas), la seguridad electrónica (sensores, controles de accesos, cámaras) en áreas restringidas donde se encuentra y procesa información (tanto en papel como en forma magnética), agregando la seguridad ambiental y sistemas de prevención y corrección (UPS, generadores, sistemas contra incendio)

Fabián Descalzo
Chief Information Security Officer & Services (CISO&S)
División Seguridad Informática

CIDICOM Soluciones - Cidi.Com. S.A.
Adolfo Alsina 930, C1088AAB C.A.B.A.
T: (54 11) 5277 CIDI (2434) / Directo 5277-2408
F: (54 11) 4334-0228
C: (5411) 15 6024-2506