Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - ISACA BsAs Ciber 2015

“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”


Encuentro de Ciberseguridad y Ciberdefensa

#Gobierno y Cumplimiento en

la Salud

Una relación de evolución y riesgos

010101010101010101010101010101020101010101010101010101010101010101



Fabián Descalzo

Gerente de Gobierno, Riesgo y Cumplimiento


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

REGISTROS OPERATIVOS CLÍNICOS Y NO- CLÍNICOS

DERECHOS

• Obtener una copia de su

historial médico y de reclamos.

• Corregir en papel o en formato

electrónico su historial médico.

• solicitar comunicación

confidencial.

• Pedir limitar la información que

se comparte

USOS

• Administrar el tratamiento

de atención médica

• Dirigir la organización.

• Pagos por sus servicios

médicos

• Administrar plan médico.

• Cumplimos con la ley.

• Responder a demandas y

acciones legales

RESPONSABILIDADES

• Obligados por ley a

mantener la privacidad y

seguridad de la

información médica

• No utilizar ni compartir

información sin

consentimiento.

• Información disponible

ante solicitud del paciente

• Fiscalización por la SSS

• Todos los registros administrativos (por ejemplo, datos personales, registros financieros y contables, medios de pago, notas asociadas con quejas etc.)

• Todos los registros de salud del paciente para todas las especialidades (por ejemplo, registros de papel, informes, diarios y registros, registros electrónicos, radiografías y otras imágenes, microforma (es decir, microficha y microfilm), cintas de audio y videos)

Escenario de información y su tratamiento


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Escenario de información y su tratamiento

Financiadores• Obras Sociales• Prepagas

Urgencias

Auditoría Médica

Convenios

Liquidaciones

Call Center

Autorizaciones

Servicios Médicos

Prestadores• Clínicas• Laboratorios• Profesionales médicos

Análisis Clínicos

Consultorios

Internaciones

Gasto Prestacional

Honorarios Médicos

Internaciones

Consumos

HISTORIA CLÍNICA

Facturación y Pagos

AfiliacionesParticulares


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Objetivos de establecer dominios de

gobierno de la información

• Cumplimiento de las obligaciones legales tal como se expresa en las leyes y regulaciones de protección de datos, íntimamente relacionado con el derecho de atención a la privacidad;

• Formar un sistema de gestión para asegurar la autenticidad y auditabilidad de la información en cada proceso funcional de la asistencia sanitaria

• Protegerlos para que no sean utilizados con otros fines diferentes para los que fueron creados u obtenidos

• Mantener las normas y la ética profesional según lo establecido por las organizaciones profesionales relacionadas con la salud (seguridad de la información para la confidencialidad e integridad de la información de salud);

• Facilitar la interoperabilidad entre los sistemas de salud en forma segura, ya que la información fluye entre diferentes organizaciones y a través de límites jurisdiccionales que requieren garantizar su confidencialidad continua, integridad y disponibilidad.


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Como determinar el alcance

Identificar los escenarios de intercambio electrónico de

información de salud

Identificar los procesos, áreas y responsables

cuyos sistemas de información se vean

involucrados

Decidir qué tipo de herramientas de IT

(hardware y software) se va a emplear

Verificar la conformidad de los sistemas de

información involucrados


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

MODELO FUNCIONAL

ENTORNO DE TRATAMIENTO

Establecer dominios de gobierno de la

información

GESTIÓN DEL CONOCIMIENTO

CONTROL Y AUDITABILIDAD


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

SECCIONES DE INFORMACIÓN

Información Personal

Información de Soporte

Información de Infraestructura

Perfil de personas con funciones asistenciales, o de contacto con la Historia Clínica o registros asociados con fines médicos o administrativos

Perfil para las personas con funciones de apoyo, relacionadas con datos surgidos de contratos y convenios que influyen en los alcances prestacionales y forman parte de la gestión administrativo-contable

Perfil para las personas con funciones de administración y operación de los sistemas que brindan servicio y soportan los procesos asistenciales y administrativos, y que abarcan software de base, aplicativos, hardware y equipamiento médico electrónico

Modelo funcional


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

• Datos del titular (paciente – afiliado, planes, cobertura)• Datos Clínicos históricos y actuales• Asistencia médica, turnos programados, análisis de

laboratorio, evolución de enfermería• Registros (datos, información, imágenes, sonidos, gráficos

o vídeos)

• Gestión de prestadores• Gestión financiera• Gestión administrativa• Otra Información de Gestión de Recursos

• Gestión de la Información de Salud• Sistemas e intercambio de la información• Seguridad• Los registros auditables

SECCIONES DE INFORMACIÓN

Información Personal

Información de Soporte

Información de Infraestructura

Modelo funcional


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Modelo funcional

Atributos de datos

Naturaleza del contenido (clínico /

no-clínico)

Fuente de Información

Depositario del registro

Almacenamiento de datos

Grado de interacción

Control de acceso a datos


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Modelo funcional

Categorización para la gestión de datosCaptura

• Auto-Ingreso

• Ingreso manual

• Importación

• Recepción

Mantenimiento

• Almacenar

• Archivo

• Backup

• Encripción

• Recuperación

• Restauración

• Salvado

• Actualización

• Autenticidad

• Edición

• Sincronizar

• Integración

• Etiquetar

• Eliminación

• Borrar

• Purgar

Ejecución

• Extraer

• Procesar

• Transmitir

Intercambio

• Exportación

• Importación

• Recepción

• Transmisión

Determinación

• Análisis

• Decisión

Visibilidad

• Codificar

• Encriptar

• Enmascarar


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Tratamiento de datos

Responsabilidad

Gestión de registros

Procesos de seguimiento

y revisión

Ayuda a departamentos de apoyo

Calidad

Crear y mantener registros según ley

Garantizar la autenticidad

y valor probatorio

Adoptar medidas de

continuidad y disponibilidad


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101


Procesamiento

Procedimientos para el

ciclo de vida de la

información

Monitoreo continuo del proceso de gestión de registros

Establecer requisitos técnicos

necesarios

Seguridad

Mantener confidenciali

dad e integridad y

prevenir eliminación

Mantener pistas de

auditoria y esquemas

de resguardo

Almacenamiento y

acceso a los registros

adecuado


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101


Acceso a datos

Claros y eficientes

para el tratamiento

de información

Monitoreo de la

actividad de permisos otorgados

Establecer controles en los puntos

de creación de registros

Segmentación de datos

Identificar los sistemas y medios de almacenami

ento

Identificar los perfiles de usuario críticos y su asignación

Asegurar los mecanismos de filtrado

de metadatos


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101


Datos de Identificación Personal y de Salud

Estándar de cifrado en la transmisión

Prevención de acceso o

visualización de datos de identidad no autorizada

Evitar impresión o transferir a

medio extraíble

Segregación de red

Asegurar la separación

de redes con terceros

Coordinar conveniente

mente el versionado de parches

con terceros

Considerar controles de

seguridad física para

evitar intrusiones


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101


Control de accesos

Establecer roles y perfiles

asignados mediante

una matriz de control

Configurar y mantener

segregado el acceso al

software de base

Configurar y mantener

segregado el acceso a las aplicaciones

y equipos médicos

Accesos remotos

Asignado solo a

empleados autorizados.

Prohibir a terceros

Utilizar hardware y

software autorizado

No almacenar el PID en caché o equipos remotos


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101


Redes inalámbricas

Utilizar protocolos de autenticación y cifrado seguro

(estándar 802.11i que especifica el protocolo AES)

Redes externas e internet

Proteger y configurar en forma segura cada gatewayde red externa

No puede utilizarse el

mismo firewall físico que para la red interna

Configurar reglas

entrantes en los firewall

para permitir acceso a una red externa


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101


Desarrollar estrategias de backup y planes de continuidad para reducir los efectos de la interrupción en servicios, sistemas y procesos de asistenciales.


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Auditoría y control

HCE

Identificar al usuario

Acciones

realizadas

Fecha y hora de acceso

Cumplimiento de directiva de

acceso

Acciones realizadas en los registros electrónicos de salud y su entorno


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Formación

Proporcionar capacitación y orientación sobre buenas prácticas y responsabilidades para todo el personal involucrado con los registros

Capacitar

Programas de capacitación

por grupos de interés

Formación específica en la legislación de protección de

datos y derechos del

paciente

Formación asociada a

cada proceso de tratamiento

de datos de salud


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

Concepto Descripción Porcentajes

PrevalenciaEmpresas afectadas por fraude

74%

Aumento de la exposición

Empresas cuya exposición al fraude ha aumentado

85%

Áreas de Pérdida Frecuente

Porcentaje de empresas que informan pérdidas por tipo de fraude

35% Robo de información física y activos de información20% Robo o pérdida de información por ataque informático20% Infracción regulatoria o de cumplimiento25% Conflicto de intereses gerencial

Motores más Importantes del Aumento de Exposición:

Principal motor del aumento de la exposición al fraude y porcentaje de empresas afectadas

43% Aumento de la tercerización y la descentralización de servicios43% Complejidad de la TI

FUENTE: Consultora KROLL (Oficina Buenos Aires), del resultado de análisis al ámbito de salud en América Latina

Evolución de los riesgos


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

• Nombre, Dirección, Teléfono, email

• Datos básico personales: Útiles para spam, minería de datos, elaboración de perfiles

Nivel 1

• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de licencia de conducir

• Datos no públicos, utilizados para cometer robos de identidad

Nivel 2

• Aseguradora/Obra Social, información de pago, tarjeta de crédito, cuenta bancaria

• Datos para cometer fraudes financieros, estafas de facturación, robos

Nivel 3

• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos

• Datos médicos para cometer fraudes de facturación, uso indebido de prescripciones y servicios médicos, fraude de identificación médica

Nivel 4

Evolución de los riesgos


01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101

FABIÁN DESCALZOGerente de Governance, Risk & Compliance

[email protected]

Muchas gracias por

su atención

Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - ISACA BsAs Ciber 2015

Presentations & Public Speaking

Transcript of Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - ISACA BsAs Ciber 2015