FICHA DE AVANCE SUBPROYECTO PROYECTO H2050 · PDF file• Gestión de Acceso Temporal...

Fichas Avance Subproyectos pag 1

FICHA DE AVANCE SUBPROYECTO

PROYECTO H2050

SUBPROYECTO 8-Hospital Digital Seguro

ÁREA TEMÁTICA Hospital seguro

1. Nº total propuestas recibidas y empresas participantes:

2. Alcance del proyecto / Análisis funcional:

Este subproyecto se orienta a:

a) La creación de un laboratorio de seguridad que incluya las diferentes líneas de actuación:

- Desarrollo de aplicaciones y servicios de auditoría ética /herramientas de apoyo.

- Consultoría en la elaboración de metodología en seguridad de la información

sanitaria basado en los estándares de seguridad existentes creando un modelo de

referencia que aplicará al desarrollo de los proyectos asociados al H2050 y otros

futuros de la organización.

- Definición/implantación de un comité operativo de seguridad.

- Elaboración de un cuadro de mandos de seguridad.

- Revisión independiente de la seguridad.

- Revisión periódica del análisis de riesgos.

- Elaboración de guías y cursos de buenas prácticas en materia de seguridad de la

información sanitaria.

- Refuerzo continuo la seguridad en el acceso a la información sanitaria.

- Gestión optimizada del parque informático.

SUBPROYECTONº

PROPUESTASENTIDADES PARTICIPANTES

ÚLTIMA FECHA DE ENVIO PROPUESTA

AMERICAN APPRAISAL

ATOS SPAIN S.A.

BIT OCEANS RESEARCH, S.L.

CA IT Management Solutions Spain S.L.U.

CANDEDO & ABYPERSONALIZE

CITIC: Centro de Investigación en Tecnoloxías

da Información e as Comunicacións da Universidade da Coruña

CyE Control y Estudios S.L.

ENXENDRA TECHNOLOGIES, S.L.

EVERIS SPAIN S.L.U.

FUJITSU TECHNOLOGY SOLUTIONS

GRADIANT: Fundacion Centro Tecnolóxico de Telecomunicacións de Galicia

INSTITUTO CIENTIFICO DE INNOVACION Y TECNOLOGIAS APLICADAS, SL (INCITA)

JESÚS PREGO DOMÍNGUEZ

ROCÍO LÓPEZ CONDE

SALVADOR MARTÍNEZ PARDO

CONVOCATORIA ABIERTA DE PROPUESTAS DE

SOLUCIONES INNOVADORAS

H2050-8-Hospital digital

seguro31

Fech

a ac

tual

izad

a d

el ú

ltim

o e

nví

o d

e p

rop

ues

tas:

06

/03

/20

13


b) Sistema integral de gestión de derechos /solicitudes en el ámbito de la Ley Orgánica de Protección

de Datos: Gestión de Protección de Datos 2.0: Desarrollo de herramientas / procedimientos que

faciliten el ejercicio de determinados derechos de los ciudadanos respecto la información que de

ellos es manejada por la organización, que permita:

- Facilitar la tramitación de la autorización del acceso por terceros a la información

asegurando el consentimiento por parte de los afectados

- Implementar un portal de tramitación de los derechos ARCO (Acceso/ Rectificación

/Cancelación / Oposición) de forma que se facilite / agilice el ejercicio de los

mismos

- Automatizar la supervisión de registros de acceso a datos sensibles

c) Mejoras en el Dispositivo del Botón de Alerta: Existen situaciones de violencia contra los

profesionales de la organización que requieren un aumento de las medidas de seguridad

implementadas. Resulta imprescindible proporcionar mecanismos de respuesta por la vía de la

prevención, de forma que se atajen las situaciones violentas antes de que estas lleguen a

producirse. Para ello se plantea:

- Implementación / mejora las soluciones actualmente existentes, para facilitar al

resto de compañeros de trabajo la identificación y conocimiento de las solicitudes

de ayuda de cualquier profesional dentro de los edificios de la organización, o

incluso cuando se desplaza fuera de estos para el desarrollo de sus funciones

limitando y controlando los falsos positivos.

- Evaluar la conexión con algún sistema de seguridad centralizado y facilitar el trabajo

a las unidades de la organización responsables del estudio de estos incidentes.

- Mejorar y evolucionar los métodos implementados de aviso tales como una alarma

luminosa o sonora, el envío de mensajes al teléfono móvil / llamada automática o

salto de tono de alarma etc.

- Seguimiento continúo de los casos y en función de la evolución y tipología de los

mismos adaptar los sistemas a las necesidades detectadas.

Así mismo se identifican diferentes ideas en estudio:

• Acceso a Información en Remoto y desde Dispositivos Móviles: Estudiar las posibilidades de

descargar la información estrictamente necesaria en un formato estándar a dispositivos móviles

debidamente controlados y autorizados, con el fin de garantizar el respeto a la seguridad de la

información en ámbitos tan sensibles como los sanitarios.


• Gestión de Acceso Temporal a los Sistemas de Información en la Renovación / Olvido de la Tarjeta

de Acceso: Proporcionar soluciones temporales y seguras de acceso mientras se tramita la

creación ó renovación de la tarjeta de profesional ó bien poder proporcionar un acceso seguro y

no permanente que cubra eventualidades semejantes (pérdida, robo, olvido, etc).

• Seguridad en la digitalización de la información: Se trata de reducir al máximo el uso del papel en

la organización, así como de la digitalización del papel existente atendiendo a la legislación en la

materia. El proyecto debe tener el alcance de forma que cubra la generación de los registros

asociados y la trazabilidad necesaria que garanticen el correcto desarrollo de los procesos

asistenciales y la tramitación de los procedimiento administrativo, atendiendo a los establecido en

el Esquema Nacional de Interoperabilidad y demás legislación que sea aplicable.

• Base de Datos Sanitarios Anonimizada / Cifrada: Existe una demanda de explotación de la

información con fines de investigación por parte de personal de la organización y incluso ajenas a

esta que el Sergas no es capaz de proporcionar de manera segura y eficiente, por lo que no se está

facilitando a terceros obtener todos los beneficios posibles a la información que el Sergas gestiona.

• Implantación de un Servicio de Certificación Video y Mensajería: Establecimiento de servicios de

certificación de forma que se asegure la integridad y autenticidad de la información en los

sistemas de transmisión de información y comunicación de difícil control, como puede ser el caso

del correo electrónico, videoconferencia, mensajería instantánea, todos ellos integrados con las

tecnologías y necesidades de uso del Sergas. Además el alcance de los requisitos para la video-

conferencia deben recoger la validación funcional de las condiciones en las que se desarrolla la

mismas por parte de los usuarios de los sistemas.

3. Identificación de elementos innovadores a desarrollar:

Desarrollar un portal que recoja toda la información de los procedimientos y resultados del subproyecto 8-

Hospital Digital Seguro.

4. Documentación anexa

Presentación Ideas Proyecto H2050

Hospital Digital Seguro


• Dentro de las líneas de actuación identificadas, el subproyecto en que nosenglobamos es el de Hospital Digital Seguro.• El grupo de trabajo identifica posibles ideas de actuación dentro del subproyecto.• Las ideas deben enfocarse a innovación tecnológica /organizativa dentro de laorganización.• Hasta la fecha se tienen identificadas varias propuestas (hasta 18) que se pueden

Título de la presentación | 2

englobar dentro de las diferentes líneas de actuación definidas.•Se ha puesto en común estas propuestas con el resto de grupos definidos,clasificándose en ideas de demanda temprana y en estudio.

Desarrollo de las Líneas de Actuación

En cada una de la líneas de actuación se van a identificar diferentes ideas deforma que estas puedan alcanzar determinados objetivos .El alcance y tipología de cada una de las ideas que se desarrollan entran dentro delámbito tecnológico o en el ámbito organizativo.Los proyectos a desarrollar pueden ir desde los de gran alcance en cuanto amedios y recursos hasta pequeñas modificaciones , cambios organizativos omejoras identificadas sobre procesos o actividades concretas.


mejoras identificadas sobre procesos o actividades concretas.La tecnología puede ser la base en la mayor parte de los proyectos que sedesarrollen, pero el carácter innovador de las iniciativas incluye también el cambioen algunas estructuras organizativas, la utilización de sinergias existentes o lareutilización optimización de tecnologías que se encuentren en explotación enámbitos / áreas donde no se emplean todavía.

Recopilación de Actuaciones

Una vez identificadas las principales líneas de actuación, ser pretende que elpersonal interno y externo a la organización pueda identificar los proyectos yactuaciones de mejora concretos, y que se abran vías para proponerposibilidades de mejora, que puedan ser analizadas en búsqueda de una solucióntécnica y/u organizativa que se pueda poner en marcha.

Las propuestas de mejora que se reciban se englobarán dentro de las líneas de


Las propuestas de mejora que se reciban se englobarán dentro de las líneas deactuación, bien dentro de cada una de las ideas de desarrollo ya definidas , ó bienestableciendo una nueva idea englobada en las líneas ya definidas .


Ideas de Demanda TempranaIdeas de Demanda Temprana


Grado de Madurez de la Idea

Idea desarrollada a un nivel que permite comenzar la definición concreta de su puesta en marcha

Idea desarrollada a un nivel que aconseja una mayor definición antes de su puesta en marcha


Idea desarrollada a un nivel que no permite el inicio de su puesta en marcha antes de una mayor nivel de definición

Puesta en Marcha de un laboratorio de seguridad de la información sanitaria

Idea Identificada

Desarrollo de un punto único de referencia en materia de seguridad de la información sanitariaque centralice las actuaciones en materia de seguridad de la información sanitaria.

Solución Propuesta

Creación de un laboratorio de seguridad que incluya las diferentes líneas de actuación:• Desarrollo de aplicaciones y servicios de auditoría ética /herramientas de apoyo• Consultoría en la elaboración de metodología en seguridad de la información sanitaria


• Consultoría en la elaboración de metodología en seguridad de la información sanitariabasado en los estándares de seguridad existentes creando un modelo de referencia queaplicará al desarrollo de los proyectos asociados al H2050 y otros futuros de la organización.

• Definición/implantación de un comité operativo de seguridad• Elaboración de un cuadro de mandos de seguridad• Revisión independiente de la seguridad• Revisión periódica del análisis de riesgos• Elaboración de guías y cursos de buenas prácticas en materia de seguridad de la información

sanitaria• Refuerzo continuo la seguridad en el acceso a la información sanitaria• Gestión optimizada del parque informático

Sistema integral de gestión de derechos /solicitudes en el ámbito de la Ley

Orgánica de Protección de Datos: Gestión de Protección de Datos 2.0

Idea Identificada

Desarrollo de herramientas / procedimientos que faciliten el ejercicio de determinados derechosde los ciudadanos respecto la información que de ellos es manejada por la organización.

Solución Propuesta

Desarrollo de herramientas y de la normativa que permita:


Desarrollo de herramientas y de la normativa que permita:• Facilitar la tramitación de la autorización del acceso por terceros a la información

asegurando el consentimiento por parte de los afectados• Implementar un portal de tramitación de los derechos ARCO (Acceso/ Rectificación /

Cancelación / Oposición) de forma que se facilite / agilice el ejercicio de los mismos• Automatizar la supervisión de registros de acceso a datos sensibles

Mejoras en el Dispositivo del Botón de AlertaIdea Identificada

Existen situaciones de violencia contra los profesionales de la organización que requieren un aumento delas medidas de seguridad implementadas. Resulta imprescindible proporcionar mecanismos de respuestapor la vía de la prevención, de forma que se atajen las situaciones violentas antes de que estas lleguen aproducirse.

Solución Propuesta

Implementación / mejora las soluciones actualmente existentes, para facilitar al resto de compañeros de


Implementación / mejora las soluciones actualmente existentes, para facilitar al resto de compañeros detrabajo la identificación y conocimiento de las solicitudes de ayuda de cualquier profesional dentro de losedificios de la organización, o incluso cuando se desplaza fuera de estos para el desarrollo de susfunciones limitando y controlando los falsos positivos. Evaluar la conexión con algún sistema deseguridad centralizado y facilitar el trabajo a las unidades de la organización responsables del estudio deestas incidentes.Así mismo se plantea mejorar y evolucionar los métodos implementados de aviso tales como una alarmaluminosa o sonora, el envío de mensajes al teléfono móvil / llamada automática o salto de tono de alarmaetc. Seguimiento continuo de los casos y en función de la evolución y tipología de los mismos adaptar lossistemas a las necesidades detectadas.


Ideas en estudio Ideas en estudio


Acceso a Información en Remoto y desdeDispositivos Móviles

Idea Identificada

La información no siempre se encuentra accesible cuando se necesita, comopuede ser el caso de desplazamientos a domicilios, urgencias sanitarias, servicios prestadosdesde unidades móviles ...

Solución Propuesta

Estudiar las posibilidades de descargar la información estrictamente necesaria en un formato


Estudiar las posibilidades de descargar la información estrictamente necesaria en un formatoestándar a dispositivos móviles debidamente controlados y autorizados, con el fin degarantizar el respeto a la seguridad de la información en ámbitos tan sensibles como lossanitarios. Se pretende explorar vías como tarjetas de memoria cifradas, posibilidades delsoftware de móviles,… de forma que se tenga acceso a la información requerida en eltrascurso de la atención sanitaria de manera segura, controlada y con plenas garantías paralos pacientes y profesionales.En los casos de los profesionales que desarrollan su trabajo fuera de los locales de laorganización el alcance de los proyectos no se limitará a la descarga puntual de información,sino que conllevara lograr el acceso continuo a la misma manteniendo las mismascondiciones que en el acceso desde los locales de la organización.Idea a desarrollar con el resto de grupos de trabajo.

Gestión de Acceso Temporal a los Sistemas de Información en la Renovación / Olvido de la Tarjeta de Acceso

Idea Identificada

Proporcionar soluciones temporales y seguras de acceso mientras se tramita la creación órenovación de la tarjeta de profesional ó bien poder proporcionar un acceso seguro y nopermanente que cubra eventualidades semejantes (pérdida, robo, olvido, etc).

Solución Propuesta

Aplicar tecnologías ó soluciones que permitan cargar de forma temporal y con plenas garantías deseguridad los certificados digitales, de tal forma que permitan acceder a los sistemas de


seguridad los certificados digitales, de tal forma que permitan acceder a los sistemas deinformación de forma temporal hasta que se emita / recupere la tarjeta (stock de tarjetasprovisionales en las que puedan grabar temporalmente certificados, servidores seguros decertificados…).Otra posible solución es tener un servidor de certificados centralizado donde los profesionalescarguen voluntariamente el mismo para los casos de eventualidades identificados conanterioridad, estableciendo para su acceso los mecanismos de validación en remoto necesarios(ej: voz / datos biométricos / etc), de forma que comprobada la autenticidad del solicitante sepermita el acceso al certificado para la firma.Necesario darle un mayor enfoque a innovación.

Seguridad en la digitalización de la información

Idea Identificada

Trabajar para eliminar, en la medida de lo posible, el papel en el desarrollo de la actividad de forma que lamayor parte de actividades se hagan de forma electrónica, incluyendo la tramitación, gestión y custodiade la documentación asociada a los procesos de autorización del usuario.

Solución Propuesta

Se trata de reducir al máximo el uso del papel en la organización, así como de la digitalización del papelexistente atendiendo a la legislación en la materia. El proyecto debe tener el alcance de forma que cubra


existente atendiendo a la legislación en la materia. El proyecto debe tener el alcance de forma que cubrala generación de los registros asociados y la trazabilidad necesaria que garanticen el correcto desarrollode los procesos asistenciales y la tramitación de los procedimiento administrativo, atendiendo a losestablecido en el Esquema Nacional de Interoperabilidad y demás legislación que sea aplicable.Coordinar el desarrollo con el grupo de Antonio.

Health’s Big DataBase de Datos Sanitarios Anonimizada / Cifrada

Idea Identificada

Existe una demanda de explotación de la información con fines de investigación por parte de personal de laorganización y incluso ajenas a esta que el Sergas no es capaz de proporcionar de manera segura yeficiente, por lo que no se está facilitando a terceros obtener todos los beneficios posibles a la informaciónque el Sergas gestiona.

Solución PropuestaContratación del proyecto de creación de una base de datos centralizada, securizada, cifrada y


Contratación del proyecto de creación de una base de datos centralizada, securizada, cifrada yanonimizada a la que se pueda tener acceso de forma segura y que sea útil para la organización facilitandola correcta explotación de la información en ella contenida. El alcance abarca desde la fase de definición ala puesta en marcha y definición del proceso de gestión una vez definida.Coordinar el desarrollo con el grupo de Javier Quiles.

Implantación de un Servicio de CertificaciónVideo y Mensajería

Idea Identificada

Ante al aumento exponencial en el uso de nuevas tecnologías de comunicación, podrían darsesituaciones que impliquen falta de seguridad sobre la identidad de los interlocutores, mensajesenviados que puedan ser interceptados y/o modificados por terceros de forma no autorizada orepudio de la autoría de los mismos, ante la ausencia de servicios de certificación de utilizaciónsencilla.

Solución Propuesta


Solución Propuesta

Establecimiento de servicios de certificación de forma que se asegure la integridad y autenticidad dela información en los sistemas de transmisión de información y comunicación de difícil control, comopuede ser el caso del correo electrónico, videoconferencia, mensajería instantánea, todos ellosintegrados con las tecnologías y necesidades de uso del Sergas. Además el alcance de los requisitospara la video-conferencia deben recoger la validación funcional de las condiciones en las que sedesarrolla la mismas por parte de los usuarios de los sistemas.La idea se desarrollará con la colaboración de todos los grupos


Recopilación de Ideas / Próximos Pasos Recopilación de Ideas / Próximos Pasos


Portal Sergas de la Seguridad de la Información

Desde el momento de presentación del proyecto H2050 se propuso que toda lainformación, procedimientos y resultados del subproyecto Hospital DigitalSeguro estuviese disponible en un portal que se pretende sea referencia en elámbito sanitario.


http://www.sergas.es/MostrarContidos_N2_T01.aspx?IdPaxina=60433

Próximos Pasos

Presentación de las líneas de actuación/ ideas identificadas a los componentesdel grupo de trabajoDesarrollo de los siguientes pasos de actuación:

• Apertura a actores internos y externos de la organización para la identificación denuevas ideas, oportunidades de mejora y actuaciones concretas dentro de lasideas identificadas o complementarias a los objetivos marcados.


ideas identificadas o complementarias a los objetivos marcados.• Avance en el detalle de desarrollo de cada uno de los subproyectos asociadosa cada una de las ideas identificadas:

�Desarrollo de objetivos específicos�Identificación de indicadores�Estimación del esfuerzo asociado�Análisis de impacto en la organización

FICHA DE AVANCE SUBPROYECTO PROYECTO H2050 · PDF file• Gestión de Acceso Temporal...

Documents

Transcript of FICHA DE AVANCE SUBPROYECTO PROYECTO H2050 · PDF file• Gestión de Acceso Temporal...