INFORSALUD 2004 |
La Cooperación entre Redes Sanitarias | |
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas] |
¿Cómo llegar a la sede del Congreso? Secretaría Técnica: CEFIC
|
BUENAS PRÁCTICAS EN LA PROTECCIÓN DE DATOS: BS 7799 Y DERIVADOS A. MENDEZ1, I. VALENZUELA2 1, 2 {a.mendez@g2security.com, i.valenzuela@g2security.com} Resumen. El entorno sanitario ha sido uno de los principales beneficiarios del avance de las nuevas tecnologías. Así puede entenderse cuando se observa que la mayoría de instrumental clínico para la obtención de información de los clientes, que alcanza desde un escáner a una radiografía, permiten su tratamiento digital. Este avance ha conllevado reducir los tiempos de espera al sustituir los medios físicos tradicionales por el intercambio de información mediante sistemas telemáticos. Con frecuencia nos enfrentamos a cambios notables en el modo de trabajo que pueden afectar al compromiso de la sanidad con la confidencialidad y seguridad de sus pacientes. Por este motivo es fundamental aplicar un conjunto de buenas prácticas en el tratamiento de la información. Este artículo pretende servir de introducción a la norma inglesa BS 7799. 1. Introducción Todos los centros de salud cuentan con sistemas de información. Dichos sistemas de información, al estar basados en sistemas informáticos, deben cumplir con la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). No obstante, la LOPD no proporciona a las instituciones ni empresas apoyo para la consecución de un Sistema de Gestión de Seguridad de la Información, dado que deja al buen hacer de los responsables aspectos tan relevantes como la disponibilidad de dicha información. La ISO/IEC 17799 es el estándar internacional aprobado en 2000 que regula la Gestión de Seguridad de la Información. Básicamente es un set de controles que incluyen las "mejores practicas" en seguridad de la información. Su intención es servir como punto referencia único para identificar los controles necesarios en la mayoría de las situaciones en que los sistemas de información se ven involucrados en la industria y el comercio. Sirve para facilitar el comercio en un entorno confiable. Un sistema de gestión ISO 17799 propicia las bases para protección de la información integrando relación de personal, procesos y seguridad de sistemas. 2. ¿Qué es un Sistema de Gestión de Seguridad de la Información? Antes de poder explicar en qué consiste la ISO/IEC 17799 debemos conocer el motivo de su existencia. Actualmente, los sistemas de información constituyen uno de los pilares básicos para el correcto funcionamiento de un centro de salud, por lo tanto es imperativo su correcto funcionamiento. Los responsables de estos sistemas tienen cuatro objetivos principales: Integridad: la información no debe ser alterada ni modificada por personal no autorizado. Privacidad: la información sólo debe ser visible por los usuarios autorizados. Disponibilidad: la información debe estar siempre disponible allí donde se necesite. Auditoría: se debe conocer quién ha accedido a la información, en qué momento y qué ha hecho con ella. Su tarea no se circunscribe únicamente a los medios informáticos, dado que estos son manejados por personas y, a la vez, influidos por el entorno. Así pues su tarea debe cubrir las siguientes áreas: Personal Procesos Tecnologías de la información Como vemos, los responsables de los sistemas de información deben ocuparse de múltiples objetivos y áreas, ¿cómo realizar satisfactoriamente su cometido? Mediante la implantación de un Sistema de Gestión de Seguridad de la Información (Information Security Management System - ISMS). Gracias al SGSI, cuando un centro de salud subcontrata, delega o comparte con un tercero el mantenimiento o explotación de sus sistemas de información, se minimiza el riesgo de que la información pierda su integridad, privacidad, disponibilidad o auditoría. Ahora bien, ¿cómo podemos desarrollar un correcto SGSI? Mediante la aplicación de un reglamento de buenas prácticas internacionalmente reconocido. 3. ¿Qué normativas de Gestión de la Seguridad de la Información existen? 3.1. De aplicación en el Reino Unido Dentro del entorno europeo, la British Standards Institution (BSI) del Reino Unido fue la primera en desarrollar un SGSI. Dicho reglamento, conocido como Standard de Seguridad de la Información, está dividido en: BS 7799-1: Código de buenas prácticas para los Sistemas de Gestión de Seguridad de la Información. BS 7799-2:2002: Especificación empleada para la certificación de los SGSI. El entorno sanitario británico está aplicando la norma BS 7799, máxime desde que el Servicio Nacional de Salud ha comenzado a implementarlo. El número actual de certificaciones registradas BS 7799 son aproximadamente 270 (Fuente: International User Group – Junio 2003), de las que un porcentaje reducido son entidades del sector sanitario. 3.2. De aplicación en Europa Posteriormente, la BS 7799-1 fue adoptada por el Comité Técnico conjunto ISO/IEC JTC1, dando lugar a la Norma Internacional ISO/IEC 17799:2000. Existe también la ISO/IEC TR 13335, "Information Technology - Guidelines for the management of IT security", que está dividida en: Parte 1: Concepts and models for IT security. Parte 2: Managing and planning IT security. Parte 3: Techniques for the management of IT security (en revisión). Parte 4: Selection of safeguards. Parte 5: Management guidance on network security. 3.3. De aplicación en España En España se han ido adaptando las normas ya existentes en el entorno europeo. Así pues existe una versión española de la ISO/IEC 17799, en la que sólo cambia el idioma: UNE-ISO/IEC 17799:2002. De igual modo, tomando las partes 1, 2 y 3 de la ISO/IEC TR 13335 se ha creado la UNE 71501, "Guía para la Gestión de la Seguridad de TI", que está dividida en: Parte 1: Conceptos y modelos para la Seguridad de las TI. Parte 2: Gestión y planificación para la Seguridad de las TI. Parte 3: Técnicas para la Gestión de la Seguridad de las TI. Por último, el día 6 de febrero del presente ha sido presentada la UNE 71502:2004, "Especificaciones para los Sistemas de Gestión de la Seguridad de la Información", que se basa en la BS 7799-2:2002. Por lo tanto, actualmente las empresas y organismos españoles que deseen demostrar que su SGSI cumple con los estándares deberá adoptar la UNE-ISO/IEC 17799:2002 y aplicar la UNE 71502:2004. 4. ¿Qué beneficios aporta la BS 7799? La norma BS 7799-2:2002 constituye una herramienta estructurada de control que, además, está íntimamente relacionada con la norma ISO 9001:2000. Esto es así porque los elementos clave para el uso de un SGSI son, en muchos aspectos, similares a los que implican una certificación ISO 9000: La confidencialidad del paciente El aumento cuantitativo y cualitativo en el manejo de información telemática La posibilidad de abuso y fraude Legislación Imagen La percepción previa y la mejora en la toma de decisiones estratégicas La norma BS 7799-2 fue revisada en septiembre de 2002 para alinearla con otras normas de Sistemas de Gestión logrando, entre otros, su armonización con las normas del sistemas de gestión como ISO 9001 e ISO 14001 y la evaluación y procesos de gestión del riesgo involucrados utilizando un modelo de proceso Planificar, Hacer, Controlar y Actuar (Plan, Do, Check, Act). 5. Elementos clave de la BS 7799-2 La BS 7799-2 tiene como propósito el control de las siguientes diez áreas: Política de Seguridad. Gestión de Continuidad de Operaciones. Sistemas de Control de Acceso. Desarrollo y Mantenimiento de Sistemas. Seguridad Física y Medioambiental. Seguridad del Personal. Seguridad de la Organización. Gestión de Operaciones y Comunicaciones. Clasificación y Control de Activos. Cumplimiento con Requisitos Legales. 6. Conclusiones Los servicios sanitarios prestados por lo centros de salud se rodean de información. Dicha información no debe sufrir percance alguno, pero esto no atañe sólo a los sistemas informáticos. Por este motivo es fundamental contar con un SGSI, pero éste debe estar basado en la experiencia previa de organismos especializados en su elaboración, dando como resultado la implantación de la norma BS 7799. Referencias [1] BSI: www.bsi-global.com [2] AENOR: www.aenor.es
|
|
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas] |
Copyright SEIS© 1997-2004. |