CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR

LEGISLACIÓN APLICADA A LA INGENIERÍA/566680/PRIMER BLOQUE 22V06

GUÍA PROYECTO DE INVESTIGACIÓN PRIMERA ENTREGA ACA 2

CONSECUENCIAS DE QUE LA EMPRESA PRESTADORA DE SALUD EN

BOGOTÁ NO MANEJEN ADECUADAMENTE EL TRATAMIENTO DE DATOS
PERSONAL DE LOS PACIENTES EN EL PRIMER SEMESTRE DEL AÑO 2022.

BRAYAN ESNEIDER ROJAS VALERO

ANDRES CAMILO URIBE CHAVES
ELBERTH STEVEN MOSQUERA PUERTA

CARLOS FERNANDO RICO AREVALO

BOGOTÁ, DICIEMBRE 2022
 INTRODUCCIÓN

Este trabajo se realizó con el planteamiento sobre el tratamiento de datos de las

entidades prestadoras de salud ya que existe un riesgo muy grande sobre el robo de la

información personal y de ataques cibernéticos por parte de personas que buscan un

daño ya sea a las entidades o a los pacientes, esta temática surgió debido a que

actualmente unas entidades de salud fueron atacadas y no tenían alguna seguridad

eficiente para prevenir estos ataques, es importante asegurar que estas entidades

cuenten con la normativa ISO 2001 la cual respalda la gestión y la seguridad de la

información y asegurar que toda esta información se aloje de manera segura ya sea en

servidores y esté encriptada ya que los pacientes cuentan con varios documentos

importantes como lo son historias clínica.

La importancia sobre este tema de tratamiento de datos es evitar robos de

información o pérdida de esta ya que afecta contra la integridad de los usuarios.

 PLANTEAMIENTO DEL PROBLEMA

Este problema da como inicio en el segundo semestre del actual año, siendo la

víctima una entidad prestadora de salud, la cual fueron atacados sus servidores lo cual

afectó a los usuarios o pacientes de estas entidades no poder ingresar a la página para

poder agendar citas o solicitar los medicamentos, por esta razón las personas no

pueden recibir de manera adecuada su servicio como se conoció el caso de una mujer

que necesita agendar sus citas domiciliarias de terapia y de control, dado que fue

sometida a una cirugía de cadera recientemente y tiene otras condiciones médicas que

le impiden desplazarse, de esta manera no podía recibir tu terapia por falta de poder

agendarlas.

Se puede decir que actualmente el país no tiene el mejor sistema de salud para

las personas que necesitan de este servicio, por tal motivo es de suponer que este

ataque es como una manera de protestar ante este sistema y el gobierno reclamando

un mejor servicio por parte de las entidades que prestan la atención de esta manera se

podría plantear la pregunta:

¿Cuáles son las consecuencias de no tener una seguridad adecuada en las

entidades de salud en la ciudad de Bogotá y así asegurar que la información de los

pacientes esté respaldada de manera segura evitando ataques ocurridos en el presente

año 2022?
 OBJETIVOS

Objetivo General

Se busca dar solución a la pregunta del planteamiento ya que existen muchas

consecuencias de no saber manejar el tratamiento de datos y políticas de seguridad las

cuales no aseguran una buena calidad, hay muchas razones para la baja calidad de los

datos como la migración, entrada de datos, mayor número y diversidad de fuentes,

errores de carga en sistemas transaccionales, datos externos o creación de nuevas

aplicaciones.

Objetivos Específicos

Se busca implementar mejores procesos que aseguren una calidad adaptada a las

diferentes necesidades de las entidades de salud.

● Recolectar datos personales correspondientes a personas con quienes tiene o

ha tenido relación, tales como clientes, trabajadores, pacientes, y demás que las

entidades de salud adquieran.

● Almacenar datos personales correspondientes a personas con quienes tiene o

ha tenido relación, tales como clientes, trabajadores, pacientes, y demás que las

entidades de salud adquieran.

 ● Circular datos personales correspondientes a personas con quienes tiene o ha

tenido relación, tales como clientes, trabajadores, pacientes, y demás que las

entidades de salud adquieran.

● Suprimir datos personales correspondientes a personas con quienes tiene o ha

tenido relación, tales como clientes, trabajadores, pacientes, y demás que las

entidades de salud adquieran.

Los datos personales recolectados por las entidades prestadoras de salud

deben ser incluidos en bases de datos organizadas, siguiendo estándares de seguridad

de la información llevando a que sean manipuladas y alimentadas a las cuales tiene

acceso el personal autorizado de la empresa, únicamente en ejercicio de sus

funciones, advirtiendo que en ningún caso está autorizado el tratamiento de la

información para fines diferentes.

 JUSTIFICACIÓN

La importancia de dar solución a esta gran problemática por la cual pasan las

entidades de salud es evitar los grandes ataques que pueden recibir por falta de

seguridad y buenas prácticas en el tratamiento de datos por parte de sus equipos de TI,

la información cuya pérdida de exactitud puede llevar a un impacto negativo legal Y

económico, retrasar las funciones y servicios generando pérdidas incalculables pues su

servicio es vital.

Esta investigación es de gran ayuda a las pequeñas y grandes empresas

prestadoras de salud como EPS E IPS, es importante dar a conocer que cualquier

entidad sea cual sea está expuesta a cualquier tipo de ataque o mal uso de los datos,

generando daños irremediables a las instituciones como prestadoras del servicio y a los

usuarios quienes son los que a diario hacen uso de este sistema, es importante dejar

claro una correctas políticas y buenas prácticas.

 ANTECEDENTES

¿Cuáles son las consecuencias de NO tener cifrado de datos en tu empresa?

No solamente está la importancia del cifrado de datos para evitar ataques o

robos por parte de ciberdelincuentes sino también la manipulación de la información

por terceros ya que si es manejada por estos no se está maneja una seguridad para la

información.

Ecuador, E. I. (2021, 22 marzo). ¿Cuáles son las consecuencias de NO tener

cifrado de datos en tu empresa? Inforc Ecuador.

https://www.inforc.lat/post/consecuencias-de-no-cifrar-los-datos

¿Hasta qué punto es legal el uso que le dan las empresas a sus datos

personales?

Este artículo indica que solamente las grandes empresas aseguran realmente la

información de las personas

Semana (2017, 31 enero). ¿Hasta qué punto es legal el uso que le dan las

empresas a sus datos personales? Semana

https://www.semana.com/empresas/articulo/ley-de-proteccion-de-datos-personales-y-

el-uso-por-empresas/241498/

SIC sanciona al Éxito y Banco de Bogotá por vulnerar datos personales

 Uso de datos de personas sin autorización y realizarles cobros que no existían si

pertenecieran directamente a estas entidades.

El Tiempo, (2020, 03 noviembre). SIC sanciona al Éxito y Banco de Bogotá por

vulnerar datos personales. Tiempo https://www.eltiempo.com/economia/sector-

financiero/sic-sanciona-al-exito-y-banco-de-bogota-por-vulnerar-datos-personales-

546800
 MARCO TEÓRICO

Para poder entender esta problemática debemos enfocarnos en el precio de la información debemos
entender lo que es el capitalismo cognitivo y la sociedad de la información, donde nace un término el
cual es Big Data.

Estos términos están directamente relacionados con la era digital, el cual ha sido una herramienta de
innovación y solución a diferentes crisis capitalistas. Sin embargo, esto ha provocado una
desenfrenada carrera por obtener grandes volúmenes de información para el debido tratamiento de
la misma y así seguir fortaleciendo el capitalismo en sí. Es considerado como un modelo económico
alimentado por el ciclo digital, donde se privatiza y mercantiliza dicho conocimiento, garantizando un
crecimiento ilimitado. Big Data, hace referencia al gran magma de de datos que produce el
digitalismo, donde las empresas orquestas de este término se perfilan como curas naturales a las
crisis financieras.

Teniendo en cuenta estos conceptos podemos empezar a entender la importancia de la información

para la actual sociedad, ahora, hay que tener en cuenta que no solo está la información la cual
utilizan para las campañas de marketing y sus empresas las cuales bajo ciertos estándares les dan
un uso seguro, también está el otro lado de la información la cual contiene datos sensibles como
nuestro identificador nacional, cuentas de bancos, direccion de residencias, teléfonos e
indirectamente información de la propia familia donde ya pueden construir un mapa con toda nuestra
información. Esto confiando que se les dará un uso seguro aceptando unos términos y condiciones
de entidades principalmente tecnológicas las cuales están o deberían estar enfocadas en proteger
dicha información el cual es el principal negocio de estas mismas, las cuales muy pocas veces
leemos pero el cual es obligatorio el aceptar para poder adquirir determinados servicios. Es decir, que
confiamos en empresas supuestamente especializadas en este tipo de servicios. Ahora bien, ¿Qué
pasa con estas entidades las cuales no se especializan en hacer campañas publicitarias pero que de
igual modo manejan grandes cantidades de información?

Estas entidades no gubernamentales y gubernamentales, el cual directamente no se enfocan en

temas financieros pero que de igual manera manejan grandes cantidades de información y que de
forma deficiente y precaria han venido automatizando procesos tradicionales, por lo que
tecnológicamente los hace de cierta manera vulnerables a comparación de una entidad dedicada a
esto, en estas entidades se encuentra nuestro caso de estudio, las entidades de salud.

Por lo que tenemos que cuestionarnos, si realmente vale la pena que estas entidades las cuales
directamente no tienen que ver con estos campos, deberían implementar medidas de seguridad y
protección de datos similares a entidades que directamente si lo están, y la respuesta a esta
incógnita es sí, de hecho, estos hechos son los motivos por los cuales son objetivos de ataques
cibernéticos por parte de terceros con intenciones malignas. Estas entidades deciden ser más
conservadoras en cuanto el campo tecnológico y lo que conlleva su protección, cuando deberian
darle mas valor a esta información y protegerla rigurosamente, es un hecho que estamos en una
época digital, la cual golpea indirectamente todo campo relacionado con el ser humano en sí, el
automatizar procesos y hacerlo eficaces es naturaleza del mismo, y a su vez, el peligro incrementa
para todo lo que no le de valor a esta época. Debemos solicitar unos estándares de protección de
datos más rigurosos independientemente de que tan directamente está relacionada la entidad en
cuestión a hacia los campos previamente mencionados, medidas las cuales deba aplicar toda entidad
la cual llegue a manejar datos en masa, datos sensibles o ambos. Esto protegerá de mejor manera
nuestra información, y hará que toda entidad se deba poner a la vanguardia de la tecnología.
En la protección de datos, las medidas de seguridad de la información son un pilar clave, porque son
las encargadas de garantizar no solo la confidencialidad de la información, sino de que los titulares
de los datos no puedan ver perjudicados sus derechos y libertades a causa de una brecha de
seguridad que haya podido dejar expuestos sus datos personales.

Cualquier tratamiento de datos personales debe garantizar la protección de esos datos desde el
diseño y por defecto, lo que implica haber evaluado los posibles riesgos que entraña el tratamiento
para los derechos y libertades de las personas y adoptado las medidas de seguridad RGPD
(Reglamento General de Protección de Datos) para minimizar la posibilidad de que esos riesgos se
materialicen y, en caso de que lo hagan, reducir su impacto en las vidas de los afectados.

● Confidencialidad: La información solo debe ser accesible a aquellas personas o sistemas

autorizados, de manera que se protegerá mediante procedimientos de identificación y
autenticación de usuarios, controles de acceso físico y lógico y contraseñas robustas, que se
cambiarán cada cierto tiempo.
● Integridad: Es la garantía de que la información, en este caso los datos personales, no serán
manipulados, modificados o alterados. Para ello, aparte de limitar el acceso a personas o
sistemas autorizados, se protegerán mediante técnicas de cifrado.
● Disponibilidad: Es la capacidad de poder acceder a los datos en cualquier momento que sea
necesario, siempre que se esté autorizado para ello. Se puede garantizar mediante la
creación de copias de seguridad y respaldo de las bases de datos.
● Resiliencia: Es la capacidad del sistema de información de seguir funcionando incluso
cuando es objeto de problemas o incidencias. La creación y adopción de planes de
continuidad de negocio pueden ayudar a garantizar esto.

Como hemos visto, la normativa de protección de datos establece como obligación para los
responsables y encargados del tratamiento la implantación de medidas de seguridad que garanticen
la protección de los datos personales que se tratan. Sin embargo, pese a la aplicación de las
medidas de seguridad, en ocasiones se producen brechas de seguridad que ponen en riesgo dichos
datos
 METODOLOGÍA

En el proceso de validación y documentación de casos se precisa un modelo de encuestas que se

aplica a individuos mayores de 18 años en diferentes categorías de edades los cuales van en dos
rangos que comprenderán las edades de 18 a 40 años y de 41 a 65 años, igualmente se filtraran por
estratos socioeconómicos para tener un margen detallado de diferentes causas, estas encuestas se
pueden utilizar para recopilar datos y crear una mejor comprensión de los delitos informáticos contra
las entidades de salud en la ciudad de Bogotá. Las encuestas se pueden utilizar para medir la
prevalencia de delitos informáticos, identificar los tipos de delitos informáticos, determinar la
gravedad de los delitos y evaluar el impacto de los delitos informáticos en las entidades de salud.
Además, las encuestas se pueden utilizar para medir la percepción del público sobre los delitos
informáticos y la eficacia de las medidas de prevención y seguridad. Los datos recopilados de las
encuestas se pueden utilizar para desarrollar estrategias más efectivas para prevenir, detectar y
responder a los delitos informáticos en la ciudad.

Preguntas a Realizar:
1. ¿Considera que las entidades de salud guardan su información personal de manera
adecuada?
2. ¿Considera que las entidades de salud están totalmente exentas de ataques cibernéticos?
3. ¿Usted cree que las entidades de salud cuentan con la tecnología necesaria para almacenar
sus datos?
4. ¿Usted considera que solo las empresas grandes son atacadas y no las pequeñas
empresas?
5. ¿Usted piensa que las entidades de salud aportan sus datos personales a otras entidades sin
su autorización?
6. ¿A usted le hacen conocer consentimientos informados para autorizar el uso de sus datos
por estas entidades de salud?
7. ¿Considera que los documentos digitales son más difíciles de ser perdidos o extraviados por
estas entidades?
8. ¿Se siente más seguro de que las entidades de salud manejen sus documentos personales
en físico ?
9. ¿A usted le garantizan el uso efectivo del derecho de hábeas data ?
10. ¿Las entidades de salud están respetando la ley de protección de datos?