Hacia un modelo de Seguridad y Privacidad

Una respuesta de la gestin a lo legal

A nivel global, el robo de informacin ha crecido en los ltimos aos propagndose a
diferentes empresas e instituciones, y la industria de la salud que a travs de las
prcticas mdicas procesa informacin personal y sensible est cada da ms
expuesta a este delito que aumenta el riesgo a la privacidad y a la integridad de los
datos de salud.
El pasado 18 de marzo el peridico El Nuevo Herald, entre otros medios, dio a conocer que la
aseguradora de salud Premera Blue Cross, una de las cinco principales compaas de seguros de
salud de USA, fue vctima de un ataque ciberntico que pudo haber afectado a 11 millones de
personas. Este ataque fue realizado por piratas cibernticos que tuvieron acceso a sus sistemas el 5
de mayo y que no descubri la intrusin hasta el 29 de enero. En febrero tambin se conoci el
ataque a Anthem, la segunda aseguradora de salud ms grande de USA, quien revel un ataque
ciberntico que afect a aproximadamente 80 millones de clientes.
Por qu atacan a una empresa de salud? Porque en el acceso ilegal puede obtenerse nombres
completos de afiliados y pacientes, fechas de nacimiento, nmero de credencial, direcciones de
domicilio y de correo electrnico, nmeros telefnicos, nmero de documentos e informacin de
cuentas bancarias, quedando tambin expuesta la informacin clnica.
Estos ejemplos se refieren a casos reales ejecutados desde fuera de las organizaciones que nos
indica que para los ataques externos se est cambiando el enfoque hacia objetivos de sanidad y otros
campos asociados porque sus sistemas pueden ser violados ms fcilmente debido a la falta de una
adecuada gestin de aseguramiento de la informacin, pero nuestra preocupacin no solo lleva a
ocuparnos de los ataques externos.
El resultado del anlisis global de fraude por industria 2013/2014 realizado por la consultora
norteamericana Kroll, con base en Nueva York y sede en Buenos Aires, determina que para el
mbito de salud en Amrica Latina se reflejan las siguientes cifras de fraudes relacionados con
ataques internos:
Concepto
Prevalencia
Aumento de la
exposicin

Descripcin
Empresas afectadas por
fraude
Empresas cuya exposicin al
fraude ha aumentado

Porcentajes
74%
85%

reas de Prdida
Frecuente

Porcentaje de empresas que

informan prdidas por tipo de
fraude

35% Robo de activos fsicos o inventario

20% Robo o prdida de informacin o ataque informtico
20% Infraccin regulatoria o de cumplimiento
25% Conflicto de intereses de la gerencia

Motores ms
Importantes del
Aumento de
Exposicin:

Principal motor del aumento

de la exposicin al fraude y
porcentaje de empresas
afectadas

43% Aumento de la tercerizacin y la deslocalizacin

43% Complejidad de la TI

2013 CYBSEC

Y cmo vemos en el siguiente grfico que representa el resultado de la encuesta sobre las
vulnerabilidades asociadas a fraudes en empresas de salud, los principales perfiles de riesgo
identificados son:
1.
2.
3.
4.

Infraccin regulatoria o de cumplimiento

Robo de activos fsicos o inventario
Robo o prdida de informacin o ataque informtico
Falsificacin, robo o piratera de propiedad intelectual

Fuente: http://fraud.kroll.com/es/salud-farmacia-y-biotecnologia/

Segn la consultora Kroll, el sector tiene la tercera incidencia sectorial general ms alta de fraude
este ao, y una mayor proporcin de encuestados que perciben un aumento en la exposicin al
fraude debido a los cambios comunes en el modelo de negocio dentro de la industria, como el mayor
uso de tercerizacin y las alianzas estratgicas. Estas condiciones estn incrementando el riesgo por
lo que la industria necesita ajustar sus estrategias de mitigacin en forma acorde gestionando en
forma segura el tratamiento de la informacin de la salud y sus procesos asociados as como el
cumplimiento de sus principales objetivos:

Brindar un proceso que asegure los datos de Pacientes y Afiliados

Asegurar la informacin para Prestadores y Profesionales
Garantizar la calidad de los servicios de salud en base a la relacin directa entre la calidad de
los registros y la de la atencin prestada

Conociendo estos nmeros y teniendo en claro los principales objetivos del sector, ahora resta
hacernos unas preguntas que nos permitan interiorizarnos sobre nuestro entorno para delinear una
respuesta a nuestra medida y organizarnos para minimizar los riesgos presentados por los perfiles de
riesgo mencionados.
2013 CYBSEC

Cmo identificar los riesgos asociados a mi institucin teniendo en cuenta mis procesos
internos y actividades asociadas en base a mi participacin en el sector? Como sabemos,
existen diferentes categoras de instituciones y empresas del sector (Obras sociales y medicina
prepaga, laboratorios, clnicas y hospitales, servicios de salud preocupacional, farmacias, centros de
diagnstico, etc.) que dependiendo de su actividad deben analizar los riesgos e impacto asociados no
solo a su negocio sino tambin a terceros como lo son los pacientes y profesionales de la salud;
recordemos, por ejemplo, que la falta de integridad o disponibilidad de datos de sanidad en una
historia clnica puede llegar a suponer la prdida de vidas humanas.
Cules son las variables bsicas de aseguramiento que debo considerar para mi actividad?
Las consignas a tener en cuenta para establecer riesgos asociados son:
Confidencialidad: Los datos referente a la salud deben de ser tratados con el nivel ms alto de
proteccin; en esta variable conviene recordar que existen mayores riesgos cuando la
informacin no est informatizada
Integridad: Concepto indispensable para mantener la informacin mdico-sanitaria; debo
garantizar la seguridad de los pacientes en su atencin y ofrecer a las instituciones,
prestadores y profesionales informacin fidedigna
Disponibilidad: Fundamental para la eficacia de la prestacin de servicios mdicos
Esto podr ayudar a orientarnos a determinar cules pueden ser lo factores de riesgos para nuestra
actividad y que determinamos en dos clases:
Factores de riesgos de gestin: Incumplimiento de normas de regulacin legal y de sanidad;
exposicin de datos sensibles a personas (historias clnicas, resultados de investigaciones);
errores de gestin de seguridad con gerenciadoras de contratos, distribuidoras, drogueras,
farmacias, mdicos, obras sociales y empresas de medicina prepaga; exposicin negativa
ante la competencia y pblico en general
Factores de riesgo tcnico: Transferencia de observaciones clnicas entre sistemas
independientes (resultados de laboratorio); trasferencia de informacin entre instrumentos
clnicos (equipos de laboratorio y sistemas informticos); Intercambio, gestin e integracin de
informacin relacionada con la atencin de sanidad y la gestin de servicios de salud;
transacciones para trasmitir datos de registro de pacientes, admisin, cobertura de salud,
rdenes y resultados de laboratorio; observaciones sanitarias y de enfermera; indicaciones de
exmenes, dietas, medicamentos; comunicacin con farmacias, prestadores y proveedores
Conozco el impacto que pueda ocasionar la materializacin de estos factores de riesgos
sobre los datos de salud y sus consecuencias? Basados en las variables de aseguramiento
mencionadas anteriormente, la prdida de datos es la primera de las consecuencias ms probable si
no se tiene una adecuada gestin sobre procesos funcionales y tecnolgicos, y si esto ocurre
sabemos que si no se elabora la historia clnica o se omite anotar algn procedimiento o medicacin
en la misma, esto puede ser usado en contra de quien cometi la omisin, adicionalmente a
exponerse a sanciones ante el Tribunal de tica Mdica. Si es empleado oficial comete el delito de
prevaricato por omisin y cuando recibe colaboracin de una persona particular tambin sta
responder como cmplice.
La segunda consecuencia probable es la falta de integridad de los datos para lo cual la ley prev el
delito de falsedad ideolgica en documento privado en caso de detectarse anotaciones de las
2013 CYBSEC

condiciones de salud de una persona, o actos mdicos o procedimientos que nunca se realizaron; y la
tercera se refiere a la proteccin de confidencialidad de los datos (aseguramiento de la privacidad)
que sanciona a quienes revelen informacin que est en la historia clnica de otra persona culpndolo
del delito de divulgacin y empleo de documentos reservados.
Tengamos en cuenta que la ley 25.326 prev penas de un mes a dos aos de prisin al que insertara
o hiciera insertar a sabiendas datos falsos en un archivo de datos personales y la ley 26.529 sobre
derechos del paciente tambin contempla el resguardo del derecho a la intimidad y a la
confidencialidad de la informacin mdica del paciente.
Este anlisis sobre riesgos e impacto es fundamental y debe realizarse en primera instancia para
determinar los recursos a utilizar para dar una repuesta acorde y medida, involucrando aspectos
tcnicos, fsicos y humanos que nos permitir establecer como valor agregado un marco relacionado
tambin con la calidad de servicios ya que sus directrices estarn enfocadas a brindar mejoras bajo
un entorno controlado cuya base su sustenta en la gobernabilidad de los datos, de la tecnologa y de
la seguridad.
Qu debo hacer para dar
respuesta a la necesidad de
mejorar y asegurar la gestin
sobre los datos de salud? Como
saben, el uso de estndares
simplifica y ordena la gestin de
tratamiento de la informacin y
facilita la interoperabilidad entre los
sistemas, por ello se debe
seleccionar un marco metodolgico
basado en estndares que nos
permita mejorar la especificidad
clnica
requerida
para
medir
resultados asistenciales y nos ayude
a definir polticas y procedimientos
para proteger la confidencialidad. Este marco metodolgico no debe estar compuesto solo por un
estndar especfico, sino que debe estar compuesto por aquellos estndares que nos aporten una
correcta evaluacin de los programas de implementacin y nos ayuden a establecer los
requerimientos mnimos para la seguridad e integridad de los datos.
Algunos ejemplos y dependiendo de la actividad que realicemos, pueden ser la norma ISO 27799, la
ISO 18308, los estndares HL7 (Health Level Seven), o bien basarnos en el marco legal y regulatorio
de HIPPA o las guas HealthIT de la Oficina de Coordinacin Nacional de USA (The Office of the
National Coordinator for Healt Information Technology).
Cmo implementar el marco metodolgico seleccionado para mejorar mi sistema de gestin
de informacin? Antes que nada debemos reconocer la existencia de los dominios sobre los cuales
debemos actuar, que son: Administrativo, Fsico y Tecnolgico. Dentro de estos dominios
identificaremos los procesos funcionales sobre los cuales se soporta la gestin documental (o fsica) y
la tecnolgica (o electrnica) en donde aplicaremos los procedimientos y controles surgidos de los
estndares seleccionados que dan respuesta a la mitigacin de los riesgos identificados para nuestra
actividad.

2013 CYBSEC

Esta
implementacin
requiere
de
actividades que involucren no solo
aspectos tcnicos relacionados con los
sistemas de informacin, sino tambin
condiciones
relacionadas
con
la
seguridad fsica en relacin a la
ubicacin de sectores acorde a la
informacin de procesan, control de
acceso y monitoreo, y principalmente el
aspecto humano basado en actividades
de concientizacin sobre la importancia
de la informacin y su tratamiento.
Recuerden que pacientes, afiliados y
profesionales confan en usted, y la
confianza es clnicamente importante
y un activo empresarial clave para el
sector. Por ello manejen cuidadosamente la informacin de salud y mantengan la informacin
sensible tan precisa como sea posible.
Fabin Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. Security Systems
Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Informacin (CAECE),
certificado ITIL v3-2011 y auditor ISO 20000.
Posee amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compaas de primer nivel de diferentes
reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de informacin, Gobierno de TI/SI y Continuidad de la Institucin de Salud.
Actualmente es responsable de servicios y soluciones en las reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institucin de Salud
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Informacin. Su rea de servicios
cubre Amrica y Europa y ms de 400 clientes acreditan la trayectoria empresaria. Para ms informacin: www.cybsec.com

2013 CYBSEC