Este documento describe los objetivos de control de seguridad de la información en la industria de la salud. Explica que la información de salud incluye datos personales, historiales clínicos, afiliaciones y más. También detalla los diferentes sectores que tratan información sensible como administración, prestadores y afiliaciones. Finalmente, señala que las organizaciones sanitarias y custodios de información de salud son responsables de supervisar la seguridad de los datos.

1. SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DE LA SALUD
OBJETIVO DE CONTROL: Información sobre una persona identificable que se refiere a la
salud física o mental de la persona, o para prestación de servicios de salud para el
individuo, y que pueden incluir:
Información personal de salud
Los datos seudo-anonimizados derivados de la información de salud personal
Datos estadísticos y de investigación, incluyendo datos anónimos obtenidos por
eliminación de los datos de identificación personal
El conocimiento clínico / médico no relacionado con los pacientes específicos (por
ejemplo, los datos sobre reacciones adversas a los medicamentos) Afiliación
Datos sobre los profesionales de la salud y el personal Datos Personales
La información relativa a la vigilancia de la salud pública
Los datos de seguimiento de auditoría que son producidos por los sistemas de
información de salud que contienen información personal de salud o los datos sobre Historia Clínica
las acciones de los usuarios en cuanto a la información de salud personal
Sistema de seguridad de los datos, por ejemplo: datos de control de acceso y otros
valores, datos relacionados con la configuración del sistema para los sistemas de AFILIADO
información de salud.
Tratamiento de la información = Confidencialidad – Integridad - Disponibilidad
Algunos
sectores que
tratan
información
sensible o
confidencial
Información física Información digital
Cumplimiento de los requisitos legales
Identificar la legislación aplicable, la propiedad intelectual los derechos y la protección de los registros
de la organización (Habeas Data, ISO27799, etc.)
Protección de datos y privacidad de la información personal y sensible
Prevención del uso indebido de las instalaciones de procesamiento de la información, y la regulación
de los controles criptográficos
Cumplimiento de las políticas de seguridad y cumplimiento técnico
Legales
Sistemas de información de las consideraciones de auditoría en salud
Gestión de activos de información Procedimientos operativos
Guarda de convenios, Historias Gestión del cambio
Clínicas, Fichas con datos personales Segregación de funciones
Acceso a la documentación impresa Separación de las instalaciones de
Ciclo de vida de la información desarrollo, prueba y operación
Archivo Interno y Externo Gestión de servicios de Terceros
Afiliaciones Protección contra código malicioso y
Recursos humanos móvil
Funciones y responsabilidades Controles contra código móvil
Términos y condiciones de empleo Copia de seguridad
Conciencia de la seguridad, la Seguridad de información de salud
educación y la formación Gestión de la seguridad de la red
Terminación de las responsabilidades y Políticas y procedimientos de
la devolución de los bienes intercambio de información
La eliminación de los derechos de Enlaces de comunicaciones, sistemas
acceso de telefonía fija y celular
ADMINISTRACION Medios físicos en tránsito, mensajería
Mesa de Entradas, Seguridad física y ambiental electrónica
Cuentas a Pagar, Perímetro de seguridad física Servicios electrónicos de información
Liquidaciones, etc Controles físicos de entrada a oficinas en salud, transacciones en línea
restringidas, habitaciones e Registro de usuarios y privilegio de
instalaciones donde se procese gestión
información manualmente Revisión de los derechos de acceso
Protección contra amenazas del de usuarios
exterior y el medio ambiente Control de acceso del sistema
Trabajo en áreas seguras operativo y aplicaciones
Auditoria Médica Zonas de acceso público, de carga y Informática móvil y teletrabajo
descarga Seguridad electrónica y digital
Eliminación segura de la información
confidencial y sensible
La información sanitaria con los prestadores se trata en muchas formas, y la seguridad es aplicable en todos
sus aspectos y en cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e
imágenes médicas o radiografías), sobre cualquier medio de almacenamiento (escrito o impreso en papel
y electrónico) y a través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas
o correo electrónico). Los responsables por la supervisión de la seguridad de información de salud son: Las
organizaciones sanitarias y otros custodios de la información de salud, sus asesores de seguridad,
Prestadores consultores, auditores, proveedores y terceros proveedores de servicios sanitarios y servicios IT.
Copyright Fabian Descalzo 2011 ®