El intercambio de información en salud en formato digital y a través de las redes sigue creciendo, de igual forma en que la evolución de las tecnologías y sus aplicaciones dando soporte y potenciando cada proceso de servicio a la salud.
La seguridad de la información ya no involucra datos “puertas adentro” de las instituciones, si no que éstos son víctimas de la interoperabilidad de los sistemas y de los criminales que persiguen fines económicos con el peligro de perjudicar la salud de aquellos que debemos proteger.
Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - ISACA BsAs Ciber 2015
1. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
Encuentro de Ciberseguridad y Ciberdefensa
#Gobierno y Cumplimiento en
la Salud
Una relación de evolución y riesgos
010101010101010101010101010101020101010101010101010101010101010101
2. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento
3. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
REGISTROS OPERATIVOS CLÍNICOS Y NO- CLÍNICOS
DERECHOS
• Obtener una copia de su
historial médico y de reclamos.
• Corregir en papel o en formato
electrónico su historial médico.
• solicitar comunicación
confidencial.
• Pedir limitar la información que
se comparte
USOS
• Administrar el tratamiento
de atención médica
• Dirigir la organización.
• Pagos por sus servicios
médicos
• Administrar plan médico.
• Cumplimos con la ley.
• Responder a demandas y
acciones legales
RESPONSABILIDADES
• Obligados por ley a
mantener la privacidad y
seguridad de la
información médica
• No utilizar ni compartir
información sin
consentimiento.
• Información disponible
ante solicitud del paciente
• Fiscalización por la SSS
• Todos los registros administrativos (por ejemplo, datos personales, registros financieros y
contables, medios de pago, notas asociadas con quejas etc.)
• Todos los registros de salud del paciente para todas las especialidades (por ejemplo, registros de
papel, informes, diarios y registros, registros electrónicos, radiografías y otras imágenes,
microforma (es decir, microficha y microfilm), cintas de audio y videos)
Escenario de información y su tratamiento
4. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Escenario de información y su tratamiento
Financiadores
• Obras Sociales
• Prepagas
Urgencias
Auditoría Médica
Convenios
Liquidaciones
Call Center
Autorizaciones
Servicios Médicos
Prestadores
• Clínicas
• Laboratorios
• Profesionales médicos
Análisis Clínicos
Consultorios
Internaciones
Gasto Prestacional
Honorarios Médicos
Internaciones
Consumos
HISTORIA CLÍNICA
Facturación y Pagos
Afiliaciones
Particulares
5. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Objetivos de establecer dominios de
gobierno de la información
• Cumplimiento de las obligaciones legales tal como se expresa en las
leyes y regulaciones de protección de datos, íntimamente relacionado
con el derecho de atención a la privacidad;
• Formar un sistema de gestión para asegurar la autenticidad y
auditabilidad de la información en cada proceso funcional de la
asistencia sanitaria
• Protegerlos para que no sean utilizados con otros fines diferentes para
los que fueron creados u obtenidos
• Mantener las normas y la ética profesional según lo establecido por las
organizaciones profesionales relacionadas con la salud (seguridad de la
información para la confidencialidad e integridad de la información de
salud);
• Facilitar la interoperabilidad entre los sistemas de salud en forma
segura, ya que la información fluye entre diferentes organizaciones y a
través de límites jurisdiccionales que requieren garantizar su
confidencialidad continua, integridad y disponibilidad.
6. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Como determinar el alcance
Identificar los escenarios
de intercambio
electrónico de
información de salud
Identificar los procesos,
áreas y responsables
cuyos sistemas de
información se vean
involucrados
Decidir qué tipo de
herramientas de IT
(hardware y software)
se va a emplear
Verificar la conformidad
de los sistemas de
información
involucrados
7. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
MODELO
FUNCIONAL
ENTORNO DE
TRATAMIENTO
Establecer dominios de gobierno de la
información
GESTIÓN DEL
CONOCIMIENTO
CONTROL Y
AUDITABILIDAD
8. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
SECCIONES DE
INFORMACIÓN
Información
Personal
Información de
Soporte
Información de
Infraestructura
Perfil de personas con funciones asistenciales, o de
contacto con la Historia Clínica o registros asociados
con fines médicos o administrativos
Perfil para las personas con funciones de apoyo,
relacionadas con datos surgidos de contratos y
convenios que influyen en los alcances prestacionales
y forman parte de la gestión administrativo-contable
Perfil para las personas con funciones de
administración y operación de los sistemas que
brindan servicio y soportan los procesos asistenciales
y administrativos, y que abarcan software de base,
aplicativos, hardware y equipamiento médico
electrónico
Modelo funcional
9. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
• Datos del titular (paciente – afiliado, planes, cobertura)
• Datos Clínicos históricos y actuales
• Asistencia médica, turnos programados, análisis de
laboratorio, evolución de enfermería
• Registros (datos, información, imágenes, sonidos, gráficos
o vídeos)
• Gestión de prestadores
• Gestión financiera
• Gestión administrativa
• Otra Información de Gestión de Recursos
• Gestión de la Información de Salud
• Sistemas e intercambio de la información
• Seguridad
• Los registros auditables
SECCIONES DE
INFORMACIÓN
Información
Personal
Información de
Soporte
Información de
Infraestructura
Modelo funcional
10. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Modelo funcional
Atributos
de datos
Naturaleza del
contenido (clínico /
no-clínico)
Fuente de
Información
Depositario del
registro
Almacenamiento de
datos
Grado de
interacción
Control de acceso a
datos
11. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Modelo funcional
Categorización para la gestión de datos
Captura
•Auto-Ingreso
•Ingreso
manual
•Importación
•Recepción
Mantenimiento
•Almacenar
•Archivo
•Backup
•Encripción
•Recuperación
•Restauración
•Salvado
•Actualización
•Autenticidad
•Edición
•Sincronizar
•Integración
•Etiquetar
•Eliminación
•Borrar
•Purgar
Ejecución
•Extraer
•Procesar
•Transmitir
Intercambio
•Exportación
•Importación
•Recepción
•Transmisión
Determinación
•Análisis
•Decisión
Visibilidad
•Codificar
•Encriptar
•Enmascarar
12. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Responsabilidad
Gestión de
registros
Procesos de
seguimiento
y revisión
Ayuda a
departamen
tos de apoyo
Calidad
Crear y
mantener
registros
según ley
Garantizar la
autenticidad
y valor
probatorio
Adoptar
medidas de
continuidad y
disponibilidad
13. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Procesamiento
Procedimien
tos para el
ciclo de vida
de la
información
Monitoreo
continuo del
proceso de
gestión de
registros
Establecer
requisitos
técnicos
necesarios
Seguridad
Mantener
confidenciali
dad e
integridad y
prevenir
eliminación
Mantener
pistas de
auditoria y
esquemas
de
resguardo
Almacenami
ento y
acceso a los
registros
adecuado
14. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Acceso a datos
Claros y
eficientes
para el
tratamiento
de
información
Monitoreo
de la
actividad de
permisos
otorgados
Establecer
controles en
los puntos
de creación
de registros
Segmentación de datos
Identificar
los sistemas
y medios de
almacenami
ento
Identificar
los perfiles
de usuario
críticos y su
asignación
Asegurar los
mecanismos
de filtrado
de
metadatos
15. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Datos de Identificación
Personal y de Salud
Estándar de
cifrado en la
transmisión
Prevención
de acceso o
visualización
de datos de
identidad no
autorizada
Evitar
impresión o
transferir a
medio
extraíble
Segregación de red
Asegurar la
separación
de redes con
terceros
Coordinar
conveniente
mente el
versionado
de parches
con terceros
Considerar
controles de
seguridad
física para
evitar
intrusiones
16. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Control de accesos
Establecer
roles y
perfiles
asignados
mediante
una matriz
de control
Configurar y
mantener
segregado el
acceso al
software de
base
Configurar y
mantener
segregado el
acceso a las
aplicaciones
y equipos
médicos
Accesos remotos
Asignado
solo a
empleados
autorizados.
Prohibir a
terceros
Utilizar
hardware y
software
autorizado
No
almacenar
el PID en
caché o
equipos
remotos
17. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Redes inalámbricas
Utilizar protocolos de
autenticación y cifrado seguro
(estándar 802.11i que especifica el
protocolo AES)
Redes externas e internet
Proteger y
configurar en
forma segura
cada gateway
de red externa
No puede
utilizarse el
mismo firewall
físico que para
la red interna
Configurar
reglas
entrantes en
los firewall
para permitir
acceso a una
red externa
18. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Desarrollar estrategias de backup y planes de
continuidad para reducir los efectos de la
interrupción en servicios, sistemas y procesos de
asistenciales.
19. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Auditoría y control
HCE
Identificar al
usuario
Acciones
realizadas
Fecha y hora
de acceso
Cumplimiento
de directiva de
acceso
Acciones realizadas en los registros electrónicos de salud y su entorno
20. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Formación
Proporcionar capacitación y orientación sobre buenas prácticas y
responsabilidades para todo el personal involucrado con los registros
Capacitar
Programas de
capacitación
por grupos de
interés
Formación
específica en la
legislación de
protección de
datos y
derechos del
paciente
Formación
asociada a
cada proceso
de tratamiento
de datos de
salud
21. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Concepto Descripción Porcentajes
Prevalencia
Empresas afectadas
por fraude
74%
Aumento de la
exposición
Empresas cuya
exposición al fraude
ha aumentado
85%
Áreas de
Pérdida
Frecuente
Porcentaje de
empresas que
informan pérdidas
por tipo de fraude
35% Robo de información física y activos de
información
20% Robo o pérdida de información por ataque
informático
20% Infracción regulatoria o de cumplimiento
25% Conflicto de intereses gerencial
Motores más
Importantes del
Aumento de
Exposición:
Principal motor del
aumento de la
exposición al fraude
y porcentaje de
empresas afectadas
43% Aumento de la tercerización y la
descentralización de servicios
43% Complejidad de la TI
FUENTE: Consultora KROLL (Oficina Buenos Aires), del resultado de análisis al ámbito de salud en América Latina
Evolución de los riesgos
22. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
• Nombre, Dirección, Teléfono, email
• Datos básico personales: Útiles para spam, minería de datos, elaboración
de perfiles
Nivel
1
• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de
licencia de conducir
• Datos no públicos, utilizados para cometer robos de identidad
Nivel
2
• Aseguradora/Obra Social, información de pago, tarjeta de crédito,
cuenta bancaria
• Datos para cometer fraudes financieros, estafas de facturación, robos
Nivel
3
• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos
• Datos médicos para cometer fraudes de facturación, uso indebido de
prescripciones y servicios médicos, fraude de identificación médica
Nivel
4
Evolución de los riesgos
23. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
FABIÁN DESCALZO
Gerente de Governance, Risk & Compliance
fdescalzo@cybsec.com
Muchas gracias por
su atención