Seguridad de la Informacin Auditora de Sistemas

Gobierno de la informacin
Cuando los Datos y el Conocimiento se convierten en Informacin y la Sabidura de cmo cuidarla. Confidencialidad, Integridad y Disponibilidad. Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la informacin que poseemos y nos confan. Descubrir el centro de cmo implementarlas hace a la diferencia. Gobierno de la Informacin implica conocer cules son los datos que poseemos y como se convierten en informacin a travs de cada uno de los Procesos de Negocio, que al interactuar con quienes la tratan corre el riesgo de perder fiabilidad y de no estar disponible en el momento que sea necesario utilizarla, inclusive para salvar una vida. Las entidades de salud presentan un mbito complejo con respecto a la informacin que manejan, ya que no solo se trata de datos comerciales o administrativos sino que el ncleo de su actividad se plantea entorno a los datos de salud de sus Afiliados. Por esa razn, la forma de gobernar esta informacin es el de reconocer que la informacin confiada por parte de pacientes y afiliados requiere de un entorno estratgico de gestin relacionado con los Usuarios de la Organizacin y los Prestadores, que son socios solidarios que interactan con la informacin que nos han confiado y por quienes tenemos que responder.

Gestin estratgica de usuarios

Esto conlleva a plantear un entorno de respuesta a la coordinacin de gestin de la informacin, lo que requiere: Planificacin y gestin de recursos Implementando para cada proceso la asignacin y administracin de recursos acordes al tipo de informacin tratada Asignando el recurso econmico acorde al tipo de informacin tratada Asociando al proceso la previsibilidad relacionada con el cumplimiento del marco regulatorio y las necesidades del negocio Relacionados con la informacin, tales como guarda externa de documentacin, transmisin de informacin relativa a la salud, etc.

Gestin financiera Gestin de la demanda

Gestin de contratos

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Gestin estratgica de Prestadores

Gestin de informacin confidencial y sensible de Afiliados

Seguridad de la Informacin Auditora de Sistemas

Gestin de tratamiento de la informacin Gestin de funcionalidad de la informacin

Para cumplimentar tcnicamente todo su ciclo Basado en el conocimiento y aplicado a cmo utilizarla para obtener mejores resultados a nivel de calidad e aseguramiento de integridad

Y para poder aplicar lo antes dicho, debemos necesariamente conocer cules son los procesos de nuestra Organizacin y como se trata la informacin en cada uno de ellos para de esta forma establecer cules son los alcances respecto de su Ciclo de Vida y que actividades vamos a establecer para la Gestin de cada uno de los Activos de Informacin. Esto nos ayudar a entender cul es la cadena de informacin y as poder establecer los medios tecnolgicos para tratarla en cada uno de sus estados en el paso de cada uno de los diferentes procesos.

Establecer el desarrollo de la cadena de informacin

Establecer el desarrollo de los medios tecnolgicos

Gestin del Ciclo de Vida de la informacin

Gestin de los activos de informacin

La clasificacin, el tratamiento y destruccin de la informacin requieren que dentro de cada proceso establezcamos puntos de control y registracin, con el fin de gestionarla desde cada sector de las Empresas e Instituciones de Salud dejando las evidencias necesarias para poder establecer la trazabilidad de su tratamiento durante todo el proceso. Conforme al tratamiento de algo tan sensible como el resguardar las Historias Clnicas de nuestros pacientes y la informacin asociada surgida de cada etapa del proceso administrativo y clnico es lo que debe movernos a establecer un buen Gobierno de la Informacin. Ests pautas parecen bsicas, pero son fundamentales para mantener en cuidado la informacin que obtenemos de las consultas y diferentes estudios, y que nos confan cada uno de los pacientes que nos visitan, para ello y como primer medida debemos identificar a los diferentes actores que mediante un trabajo en equipo aportarn el conocimiento necesario para establecer los parmetros de proteccin y seguridad adecuados tanto en su entorno operativo fsico como digital. Claramente estamos hablando de los conocedores de los procesos y diferentes sistemas de informacin ya sean estos digitales tales como aplicaciones, software o equipos de imgenes hasta fsicos como documentacin de ingresos a mesa de entradas, resultados clnicos o radiogrficos. Estos conocedores son usuarios de reas administrativas o profesionales de la

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Si sabemos que la informacin es el dato que ha adquirido la entidad de conocimiento para la Organizacin, tambin Establecer el sabemos que para su gobierno debemos basarnos en tres desarrollo de los procesos pilares de accin fundamentales: clasificacin acorde a su de negocio importancia y sensibilidad para la Organizacin y las personas, tratamiento mediante mtodos adecuados que garanticen su fiabilidad y disponibilidad y destruccin que asegure su confidencialidad an al haber concluido su ciclo de vida.

Seguridad de la Informacin Auditora de Sistemas

salud que interactan con la informacin del paciente o con la informacin administrativa de la Organizacin, no personal de las reas tcnicas o administrativas de la Gerencia de Sistemas. Recordemos el concepto de Servicio que brindan las reas de IT al Negocio, y las entidades de salud no escapan a este concepto. Por lo tanto, IT es quien ofrece el servicio a los responsables de los datos para que la gestin de los mismos asegure su Confidencialidad, Integridad y Disponibilidad. No quera dejar pasar este concepto que es importante al querer establecer una gobernabilidad objetiva y eficaz respecto de la informacin que administramos. Bien, volviendo al Dueo de Datos normalmente son aquellos que pertenecen a la Alta Gerencia y son responsables, entre otras cosas, de validar los niveles de clasificacin asignados a la informacin de la Organizacin as como los recursos necesarios para mantenerla segura. Teniendo en cuenta el tipo de informacin administrada y que se involucra en los diferentes procesos de las entidades que prestan servicios de salud, debemos tener en claro que el titular de los datos personales frente al marco legal planteado por la Ley de Proteccin de Datos Personales es el Afiliado y la Empresa nombra un representante ante la Direccin Nacional de Proteccin de Datos Personales (DNPDP), quien debe asegurar la proteccin integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios tcnicos de tratamiento de datos, sean stos pblicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, as como tambin el acceso a la informacin que sobre las mismas se registre. Los Dueos de la Informacin como responsables del proceso, delegan en Usuarios Claves la definicin de la clasificacin de la informacin basndose en su entorno operativo. En muchos casos, los Usuarios Claves entienden cada paso de entradas y salidas de los diferentes procesos, lo que les permite estar en mejor posicin de clasificarla correctamente y brindarnos la informacin necesaria para saber cules y donde debemos aplicar los controles adecuados. Los Usuarios Clave en trminos generales definen los siguientes pasos involucrados en la clasificacin: a. Evaluar el posible impacto en caso de que la informacin de documentos o archivos electrnicos sea divulgada. Se debe considerar el nivel de impacto, el dao potencial a los Afiliados y Pacientes as como la reputacin de la Organizacin. b. Evaluar la probabilidad de divulgacin de la informacin de documentos o archivos electrnicos. c. Asignar la clasificacin correcta segn el contenido y sensibilidad de la informacin. d. Sugerir las medidas de seguridad apropiadas para el almacenamiento, distribucin y desecho del documento y/o archivo electrnico o fsico, y proporcionar instrucciones adecuadas a los dems usuarios o receptores que deseen comunicar la informacin. Independientemente de la existencia de un Dueo de Datos y Usuarios Clave asignados, la premisa de proteccin de informacin debe indicar en sus Polticas Internas que cada persona que maneja Informacin, incluyendo empleados y contratistas, son responsables de garantizar que cualquier informacin sensible sea manejada de forma correcta y apropiada.

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Seguridad de la Informacin Auditora de Sistemas

El Gobierno de la Informacin requiere que la Poltica, estructura organizativa, los procedimientos, los procesos, y los recursos humanos y tcnicos estn alineados bajo un concepto comn respecto de la importancia de la informacin que de alguna forma u otra estn gestionando, incluyendo hasta lo que transmiten verbalmente. Es importante saber que es fundamental clasificar la informacin aunque nos resulte de por ms obvio saber cual es en nuestro caso, la Historia Clnica. Ahora bien, Que otro tipo de informacin podemos encontrar alrededor de ella? En qu medios digitales o fsicos podemos encontrarlos? Archivos de planilla de clculo con datos relacionados a contratos con prestadores, imgenes creadas desde sistemas independientes a los de procesamiento central, escaneo de documentacin, estudios impresos, etc., hacen que sea necesario ahondar en cada uno de los procesos para que el Usuario Clave con la validacin del Dueo de Datos nos aporten los datos necesarios para: Validar y certificar que las personas que acceden a la informacin son las indicadas. Identificar la informacin y poder categorizarla ayuda a certificar que la misma es accedida por aquellas personas que realmente deben conocerla y tratarla. Establecer los mecanismos necesarios y acotados a la informacin sensible y confidencial Optimizar los recursos utilizados en la seguridad de la informacin Optimizar los recursos necesarios para procesar la informacin Minimizar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la informacin Minimizar la exposicin negativa de la Organizacin, Prestadores y Profesionales ante fallas o incidentes humanos o tcnicos que afecten a la informacin Durante todo el proceso de prestacin de servicios de salud los distintos tipos de informacin y las diferentes formas de tratamiento que hacen al entorno de la Historia Clnica, pueden convertirse en un riesgo potencial para su Confidencialidad, Integridad y Disponibilidad en caso de no estar controlados y debidamente identificados. Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Seguridad de la Informacin Auditora de Sistemas

Por ello es necesario que sepamos qu gobernamos y cul es el alcance de ese Gobierno para poder establecer un modelo de proteccin de informacin que cuente con componentes que nos permita un entorno gobernable sin que ello impacte en la operatoria diaria. La lista de componentes comunes para este modelo es: Documentacin normativa y regulatoria sobre clasificacin y proteccin de informacin, as como de funciones de propietarios de la informacin Documentacin de soporte al proceso, en el que se pueda identificar a los dueos de datos y usuarios clave, establecer un procedimiento de clasificacin y proteccin de informacin que incluya los conceptos de retencin y disposicin final de activos de informacin Concientizacin y capacitacin, que involucre y se dirija a cada uno de los niveles internos de la Organizacin a travs de presentaciones, correos electrnico, posters y encuestas. Otros documentos asociados al proceso de proteccin que deben reflejar y soportar lo indicado son los referentes a tratamiento de reas restringidas, encripcin, administracin de resguardos y restauracin de informacin, administracin de accesos fsicos y lgicos a la informacin, desarrollo seguro y recuperacin del entorno tecnolgico y continuidad del Negocio. Conclusin Establecer un Gobierno ordenado y metodolgico de la Informacin nos permitir administrarla de forma segura y bajo un criterio nico de asignacin de responsabilidades y recursos, protegiendo a la Entidad de Salud y brindando un entorno fiable de trabajo para cada uno de sus empleados y Profesionales, y por sobre todo calidad y tranquilidad en el servicio a Afiliados y Pacientes. Fabin Descalzo GRC & Information Security Auditor Cybsec S.A. Security Systems

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar

Seguridad de la Informacin Auditora de Sistemas

Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar