Inicio  > Examen de los riesgos de seguridad de la información en el sector de la salud
 Compartir  Versión para imprimir  correo electronico

Examen de los riesgos de seguridad de la información en el sector de la salud

Content provided by IBM-ForwardView eMagazine .


Ver el video (inglés)  

¿Cómo puede asegurar una organización del sector de la salud que las políticas de seguridad no interfieren con las prácticas de la medicina? Dado que el acceso a la información no autorizada puede ser difícil de descubrir, muchos proveedores del sector salud entablan políticas globales de seguridad para asegurar el cumplimiento con las regulaciones que garantizan la privacidad de los pacientes. Pero como una organización sin ánimo de lucro del sector salud en Carolina del Norte descubrió, entender las áreas con mayor probabilidad de riesgo puede resultar en mejores políticas de seguridad con menor probabilidad de dificultar el tratamiento del paciente.

"Estoy sorprendido con lo poco preparada que la mayoría de la industria [del sector salud] parece estar cuando trata de seguridad, " dice Avery Cloud, Director de Información (CIO, de sus siglas en inglés) de New Hanover Health Network (NHHN). "Estamos realmente expuestos, pero nadie habla de ello. No creo que la industria esté preparada para lo que la automatización completa del historial de pacientes realmente significa para el sector de la salud."

La necesidad de asegurar la información del paciente se ha convertido en uno de los principales retos de cumplimiento de la industria del sector salud. Las organizaciones de proveedores en los Estados Unidos deben cumplir ahora con las normas rigurosas de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA, de sus siglas en inglés), así como la Comisión Conjunta sobre el Acreditación de Organizaciones del Sector Salud (JCAHO, de sus siglas en inglés).

Pero mientras que los hospitales se preparan para la automatización comprensiva de la información, la gerencia del sector salud se pregunta cuales nuevos sistemas y software pueden ser supervisados para detectar intrusiones y el acceso no autorizado a la información. Entender estos asuntos puede ayudar a guiar las decisiones futuras de gastos en tecnología informática (TI), así como asegurar que las organizaciones hospitalarias no confronten multas costosas o demandas legales.

Cloud y la junta directiva del hospital sin animo de lucro en Wilmington, Carolina del Norte, buscaron identificar que sistemas podrían estar expuestos al acceso no autorizado a los datos - y descubrieron formas únicas de rastrear el acceso, así como de entender la probabilidad y las consecuencias de violaciones no detectadas de la información.

Gestión de los riesgos de seguridad sin comprometer el servicio

Según un estudio reciente por el Grupo de Cumplimiento de Políticas de TI, el 70 por ciento de las deficiencias de cumplimiento en todas las organizaciones está directamente relacionado con defectos en la seguridad informática. Y las principales fuentes de violaciones de la información de salud, según Chris Davenport, un consultor ejecutivo sénior de IBM, provienen tanto de acciones intencionales como involuntarias, como empleados que acceden a datos inapropiadamente, mientras que redes de datos no seguras dejan a organizaciones hospitalarias vulnerables a software malicioso, la intercepción externa de mensajes inmediatos y al compartimiento de archivos par-a-par.

¿Y qué son estos datos? Davenport destaca una lista de información personal que poca gente querría que mundo tuviera acceso a ella: "Hay información como los números de seguridad social, números de tarjetas de crédito, números de tarjetas de crédito junto con las fechas de vencimiento, fechas de vencimiento asociadas con códigos de seguridad y números de identificación al dorso de las tarjetas," él explica.

Pero comprender donde se originan estos riesgos en una organización es crítico, dice Cloud del NHHN. "Tuve que entender los riesgos asociados con todo, desde la información del paciente hasta planes de marketing y financieros," dice él. "Después de todo, comprometer la seguridad de nuestro negocio podría ser tan problemático como comprometer la información confidencial del paciente."

Evaluación externa identifica áreas vulnerables

Según Davenport de IBM, entender cuando ocurre una violación es difícil de determinar, "Uno de los retos más grandes a los que las organizaciones se enfrentan hoy es básicamente que cada vez que hay una violación de seguridad, con frecuencia pasa desapercibida." De todos modos, dice él, las organizaciones capaces de evaluar, o hacer auditoría de los registros de acceso al sistema—los cuales proporcionan un registro de como y cuando la información fue accedida—pueden identificar las áreas que posiblemente sean el blanco de las violaciones de seguridad de los datos.

Para complicar más las cosas, Davenport dice que estudiar minuciosamente esta información a mano toma muchísimo tiempo y es difícil de realizar para la mayoría de las organizaciones del sector salud. "Uno de los desafíos en el campo de la salud, en realidad, es que hay tanta información—sean historiales médicos electrónicos, o los archivos de su empresa o cualquiera de los miles de historiales generados por médicos y oficinas de médicos que están asociadas con el hospital," dice él.

Cloud y sus colegas obtuvieron la pericia de la consultoría en seguridad y cumplimiento de IBM para determinar cuales sistemas del NHHN podrían recibir una auditoría—así como las mejores prácticas que la organización de tres hospitales podría poner en práctica para detener el acceso no autorizado a la información.

Cloud dice que buscar ayuda externa aseguró que los problemas de seguridad potenciales serían descubiertos. "La verdad es que, a no ser que usted tenga la pericia para estar al tanto de todas las publicaciones de seguridad de la información—y pocas organizaciones informáticas del sector de la salud tienen el presupuesto para eso—usted va a ser vulnerable."

Para descubrir todas las áreas que eran potencialmente vulnerables, el equipo de IBM usó un conjunto de cuadernos de trabajo y hojas de cálculo especializadas que comparan la práctica actual con las provisiones de seguridad de HIPAA. Eso, dice Cloud, permitió examinar cada sistema en la red de salud—redes, servidores, aplicaciones—para determinar cuales sistemas del NHHN se podían auditar. La Información reunida en la evaluación fue entonces usada para desarrollar un programa que le ayudaría a NHHN a tomar decisiones informadas sobre la compra de nuevas soluciones de seguridad, así como formar la base de una guía para mejorar las prácticas de seguridad en toda la organización.

La protección de Información se hace más inteligente en tres áreas claves

El trabajo que IBM realizó para NHHN ha ayudado a mejorar la seguridad en tres aspectos claves del sistema de información de ese proveedor del sector salud:


·   Mejor confidencialidad—que contribuye a la privacidad de los datos contenidos los sistemas de información; apoya las expectativas del médico, del paciente y del personal y ayuda con el cumplimiento de regulaciones relacionadas con la gestión de la información del paciente.
·   Mejor integridad—que apoya el buen estado de la información y asegura que no ha sido alterada indebidamente sin ser detectada.
·   Mejor disponibilidad—que quiere decir que los sistemas de información funcionan y son accesibles cuando es necesario, contribuyendo a resultados financieros consistentes y a la seguridad del paciente.


Davenport de la IBM dice que el sector salud no es la única industria que puede beneficiarse con la evaluación de sistemas capaces de tener sus registros de datos auditados." La seguridad de la información es cada vez más un problema—un problema crítico," dice él. "Esto afecta decisiones de las juntas, esto afecta decisiones de los gerentes, esto afecta las finanzas."

Mientras que descubrir registros de acceso al sistema que puedan se auditados es tan solo una forma de lograr mayor seguridad, las inspecciones pueden hacer mucho para lograr el cumplimiento de conformidad con las regulaciones. Como el Grupo de Cumplimiento con Políticas de TI señala en un informe reciente, "la suma gastada en la conformidad y protección de datos es un porcentaje muy pequeño del valor financiero que esta en peligro. El buen cumplimiento de las regulaciones se paga a si mismo."

Aprender más

Content copyrighted by IBM Corporation.

 Compartir  Versión para imprimir  correo electronico
Calificaciones (0)
If you are a human, do not fill in this field.
Haz clic en las estrellas para calificar este artículo.