ISO 27799:2008, un paso más en la Seguridad de la Información del sector sanitario

'En el sector sanitario en este momento nadie debería tener ninguna duda sobre la necesidad de implantar un PLAN DIRECTOR DE SEGURIDAD. Debería ser una premisa en el IT Government de un centro sanitario, tanto público como privado. Para conseguir este hito, como decimos los que trabajamos con normas ISO, está ya “todo inventado”. En este caso, el número a estudiar se llama 27001

El amplio concepto de la seguridad no sólo comprende la parte tecnológica sino la organizacional, el marco jurídico y sobre todo la gestión. En este sentido es más que útil conocer con detalle las familia de norma ISO 27000, encabezadas por ISO 27001 que nos marca los requerimientos para implantar un SGSI, y tener así un sistema de trabajo y gestión para poder acometer esta cambiante y dificil disciplina de la seguridad

Para el sector sanitario tenemos una muy buena noticia, la norma ISO 27799 aparecida en 2008, parece estar teniendo buena acogida en los profesionales de este sector y ya es una lectura obligada para los profesionales y consultores que trabajen en este tipo de organizaciones. ISO 27799 ha sido creada contemplando las mejores prácticas llevadas a cabo en diversos centros de atención primaria, en clínicas, por equipos de atención domiciliaria, en hospitales, en consultas de especialistas, etc… con la única finalidad de incorporar una aproximación a la realidad de los problemas que actualmente existen y de cómo gestionarlos.

La SEGURIDAD DE LA INFORMACIÓN EN SANIDAD

Seguridad de la información es la suma de tres conceptos:
CONFIDENCIALIDAD+INTEGRIDAD+DISPONIBILIDAD

Proteger la confidencialidad se hace obligatorio, puesto que los datos personales referentes a la salud deben de ser tratados con el nivel más alto de protección. En esta variable conviene recordar que existen mayores riesgos cuando la información no está informatizada

Por otra parte, es indispensable mantener la integridad de la información médico-sanitaria, para garantizar la seguridad de los pacientes,

Por último, la disponibilidad de información referente a la salud también es fundamental para la eficacia de la prestación de servicios médicos. Los sistemas informáticos sanitarios deben de cumplir con la única premisa de permanecer en funcionamiento tanto en situaciones de desastre natural, como en fallos del sistema o durante eventuales ataques de denegación de servicio.

En el sector sanidad la integridad y disponibilidad de una historia clínica es mucho más importante que la confidencialidad. La falta de integridad o disponibilidad de datos sanitarios en una historia clínica puede llegar a suponer la pérdida de vidas humanas'

Fuente y texto completo: Toni Martí-Avila en Blog IT 360º 27/05/09
Visto en: Blog CRYPTEX 03/03/09

Entradas relacionadas:

• [19/10/2008] Siete hospitales se quedan seis horas sin sistema informático. Sanidad insiste en que los pacientes fueron atendidos con normalidad (El País y El Mundo)
• [20/10/2008] Nota de prensa con respecto a la caída del sistema informático central de los nuevos hospitales (entrada nuestra)
  
• [21/10/2008] Adjudicado a Indra el contrato de servicios de seguridad informática de la Consejería de Sanidad (entrada nuestra)
• [21/10/2008] Foro Técnico 2008 de la SEIS: ponencia del Responsable de Seguridad informática del Sercicio Madrileño de Salud (entrada nuestra)
• [21/10/2008] La subcontratación del riesgo (Blog de Javier Cao Avellaneda "Sistemas de Gestión de Seguridad de la Información")
  
• [21/04/2009] La seguridad de la informática de la Comunidad de Madrid en SECURMATICA 2009 (Securmatica)
  
• [19/02/2009] [El Ministerio de] Sanidad certifica que su nodo central de información es seguro según la ISO 27.001 (Diario Médico)