PROGRAMA CIENTÍFICO de INFORSALUD 2004. Sociedad Española de Informática de la Salud

	INFORSALUD 2004 Madrid, 24-26 de marzo de 2004	La Cooperación entre Redes Sanitarias
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas]

Inicio
Objetivo
Comités
Fechas
Áreas
Cronograma
Programa
HTML PDF
Pósters
Inscripción

¿Cómo llegar a la sede del Congreso?

Secretaría Técnica:

CEFIC
C/ Olimpo, 33, 1º C
28043 - Madrid
Telfs: (91) 388 94 78 / 79
Fax: (91) 388 94 79

cefic@cefic.com

VII CONGRESO NACIONAL DE INFORMÁTICA DE LA SALUD

BUENAS PRÁCTICAS EN LA PROTECCIÓN DE DATOS: BS 7799 Y DERIVADOS

A. MENDEZ¹, I. VALENZUELA²

^{1, 2
G2 Security. Grupo Novasoft. 29730-Rincón de la Victoria (Málaga).
España.

{a.mendez@g2security.com,
i.valenzuela@g2security.com}

Resumen. El entorno sanitario ha
sido uno de los principales beneficiarios del avance de las nuevas
tecnologías. Así puede entenderse cuando se observa que la mayoría de
instrumental clínico para la obtención de información de los clientes, que
alcanza desde un escáner a una radiografía, permiten su tratamiento digital.
Este avance ha conllevado reducir los tiempos de espera al sustituir los
medios físicos tradicionales por el intercambio de información mediante
sistemas telemáticos. Con frecuencia nos enfrentamos a cambios notables en
el modo de trabajo que pueden afectar al compromiso de la sanidad con la
confidencialidad y seguridad de sus pacientes. Por este motivo es
fundamental aplicar un conjunto de buenas prácticas en el tratamiento de la
información. Este artículo pretende servir de introducción a la norma
inglesa BS 7799.

1. Introducción

Todos los centros de salud cuentan
con sistemas de información. Dichos sistemas de información, al estar
basados en sistemas informáticos, deben cumplir con la Ley Orgánica de
Protección de Datos de Carácter Personal (LOPD). No obstante, la LOPD no
proporciona a las instituciones ni empresas apoyo para la consecución de un
Sistema de Gestión de Seguridad de la Información, dado que deja al buen
hacer de los responsables aspectos tan relevantes como la disponibilidad de
dicha información.

La ISO/IEC 17799 es el estándar
internacional aprobado en 2000 que regula la Gestión de Seguridad de la
Información. Básicamente es un set de controles que incluyen las "mejores
practicas" en seguridad de la información.

Su intención es servir como punto
referencia único para identificar los controles necesarios en la mayoría de
las situaciones en que los sistemas de información se ven involucrados en la
industria y el comercio. Sirve para facilitar el comercio en un entorno
confiable.

Un sistema de gestión ISO 17799
propicia las bases para protección de la información integrando relación de
personal, procesos y seguridad de sistemas.

2. ¿Qué es un Sistema de Gestión
de Seguridad de la Información?

Antes de poder explicar en qué
consiste la ISO/IEC 17799 debemos conocer el motivo de su existencia.
Actualmente, los sistemas de información constituyen uno de los pilares
básicos para el correcto funcionamiento de un centro de salud, por lo tanto
es imperativo su correcto funcionamiento.

Los responsables de estos sistemas
tienen cuatro objetivos principales:

Integridad: la información no
debe ser alterada ni modificada por personal no autorizado.
Privacidad: la información sólo
debe ser visible por los usuarios autorizados.
Disponibilidad: la información
debe estar siempre disponible allí donde se necesite.
Auditoría: se debe conocer quién
ha accedido a la información, en qué momento y qué ha hecho con ella.

Su tarea no se circunscribe
únicamente a los medios informáticos, dado que estos son manejados por
personas y, a la vez, influidos por el entorno. Así pues su tarea debe
cubrir las siguientes áreas:

Personal
Procesos
Tecnologías de la información

Como vemos, los responsables de los
sistemas de información deben ocuparse de múltiples objetivos y áreas, ¿cómo
realizar satisfactoriamente su cometido? Mediante la implantación de un
Sistema de Gestión de Seguridad de la Información (Information Security
Management System - ISMS).

Gracias al SGSI, cuando un centro de
salud subcontrata, delega o comparte con un tercero el mantenimiento o
explotación de sus sistemas de información, se minimiza el riesgo de que la
información pierda su integridad, privacidad, disponibilidad o auditoría.

Ahora bien, ¿cómo podemos
desarrollar un correcto SGSI? Mediante la aplicación de un reglamento de
buenas prácticas internacionalmente reconocido.

3. ¿Qué normativas de Gestión de
la Seguridad de la Información existen?

3.1. De aplicación en el Reino
Unido

Dentro del entorno europeo, la
British Standards Institution (BSI) del Reino Unido fue la primera en
desarrollar un SGSI. Dicho reglamento, conocido como Standard de Seguridad
de la Información, está dividido en:

BS 7799-1: Código de buenas
prácticas para los Sistemas de Gestión de Seguridad de la Información.
BS 7799-2:2002: Especificación
empleada para la certificación de los SGSI.

El entorno sanitario británico está
aplicando la norma BS 7799, máxime desde que el Servicio Nacional de Salud
ha comenzado a implementarlo. El número actual de certificaciones
registradas BS 7799 son aproximadamente 270 (Fuente: International User
Group – Junio 2003), de las que un porcentaje reducido son entidades del
sector sanitario.

3.2. De aplicación en Europa

Posteriormente, la BS 7799-1 fue
adoptada por el Comité Técnico conjunto ISO/IEC JTC1, dando lugar a la Norma
Internacional ISO/IEC 17799:2000.

Existe también la ISO/IEC TR 13335,
"Information Technology - Guidelines for the management of IT security",
que está dividida en:

Parte 1: Concepts and models
for IT security.
Parte 2: Managing and
planning IT security.
Parte 3: Techniques for the
management of IT security (en revisión).
Parte 4: Selection of
safeguards.
Parte 5: Management guidance
on network security.

3.3. De aplicación en España

En España se han ido adaptando las
normas ya existentes en el entorno europeo. Así pues existe una versión
española de la ISO/IEC 17799, en la que sólo cambia el idioma: UNE-ISO/IEC
17799:2002.

De igual modo, tomando las partes 1,
2 y 3 de la ISO/IEC TR 13335 se ha creado la UNE 71501, "Guía para la
Gestión de la Seguridad de TI", que está dividida en:

Parte 1: Conceptos y modelos
para la Seguridad de las TI.
Parte 2: Gestión y planificación
para la Seguridad de las TI.
Parte 3: Técnicas para la
Gestión de la Seguridad de las TI.

Por último, el día 6 de febrero del
presente ha sido presentada la UNE 71502:2004, "Especificaciones para los
Sistemas de Gestión de la Seguridad de la Información", que se basa en la BS
7799-2:2002.

Por lo tanto, actualmente las
empresas y organismos españoles que deseen demostrar que su SGSI cumple con
los estándares deberá adoptar la UNE-ISO/IEC 17799:2002 y aplicar la UNE
71502:2004.

4. ¿Qué beneficios aporta la BS
7799?

La norma BS 7799-2:2002 constituye
una herramienta estructurada de control que, además, está íntimamente
relacionada con la norma ISO 9001:2000. Esto es así porque los elementos
clave para el uso de un SGSI son, en muchos aspectos, similares a los que
implican una certificación ISO 9000:

La confidencialidad del paciente:
Para la prestación de servicios sanitarios esto es fundamental. En el
entorno informático actual, la sensibilización de los pacientes se
incrementa en este aspecto.

El aumento cuantitativo y
cualitativo en el manejo de información telemática:
El envío en el sector sanitario de informes médicos por medios
electrónicos requiere de un SGSI para prevenir errores.

La posibilidad de abuso y fraude:
El disponer de un sistema robusto de seguridad que proteja el sistema
médico ayuda a prevenir este tipo de incidentes.

Legislación:
En algunos países, como el Reino Unido, los departamentos de gobierno
están siendo orientados a cumplir el estándar BS 7799. En el caso de
España, el cumplimiento de la LOPD se puede enmarcar dentro de un SGSI.

Imagen:
Muchas organizaciones del sector sanitario tienen un alto prestigio
asociado a su imagen, bien sea en el sector público o privado. La
aplicación de un SGSI proporciona una buena imagen y confianza en los
sistemas de información utilizados.

La percepción previa y la mejora
en la toma de decisiones estratégicas: Un
SGSI permite a las personas autorizadas mayor accesibilidad en un menor
plazo a la información, facilitando así la toma de decisiones,
particularmente cuando se requiere un diagnóstico médico.

La norma BS 7799-2 fue revisada en
septiembre de 2002 para alinearla con otras normas de Sistemas de Gestión
logrando, entre otros, su armonización con las normas del sistemas de
gestión como ISO 9001 e ISO 14001 y la evaluación y procesos de gestión del
riesgo involucrados utilizando un modelo de proceso Planificar, Hacer,
Controlar y Actuar (Plan, Do, Check, Act).

5. Elementos clave de la BS 7799-2

La BS 7799-2 tiene como propósito el
control de las siguientes diez áreas:

Política de Seguridad.

Gestión de Continuidad de
Operaciones.

Sistemas de Control de Acceso.

Desarrollo y Mantenimiento de
Sistemas.

Seguridad Física y Medioambiental.

Seguridad del Personal.

Seguridad de la Organización.

Gestión de Operaciones y
Comunicaciones.

Clasificación y Control de
Activos.

Cumplimiento con Requisitos
Legales.

6. Conclusiones

Los servicios sanitarios prestados
por lo centros de salud se rodean de información. Dicha información no debe
sufrir percance alguno, pero esto no atañe sólo a los sistemas informáticos.
Por este motivo es fundamental contar con un SGSI, pero éste debe estar
basado en la experiencia previa de organismos especializados en su
elaboración, dando como resultado la implantación de la norma BS 7799.

Referencias

[1] BSI:
www.bsi-global.com
[2] AENOR:
www.aenor.es}

Búsquedas en la SEIS

[Qué es la SEIS]

[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas]