Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - ISACA BsAs Ciber 2015
-
Upload
fabian-descalzo -
Category
Presentations & Public Speaking
-
view
343 -
download
2
Transcript of Gobierno y cumplimiento en la salud, una relación de evolución y riesgos - ISACA BsAs Ciber 2015
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
Encuentro de Ciberseguridad y Ciberdefensa
#Gobierno y Cumplimiento en
la Salud
Una relación de evolución y riesgos
010101010101010101010101010101020101010101010101010101010101010101
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
REGISTROS OPERATIVOS CLÍNICOS Y NO- CLÍNICOS
DERECHOS
• Obtener una copia de su
historial médico y de reclamos.
• Corregir en papel o en formato
electrónico su historial médico.
• solicitar comunicación
confidencial.
• Pedir limitar la información que
se comparte
USOS
• Administrar el tratamiento
de atención médica
• Dirigir la organización.
• Pagos por sus servicios
médicos
• Administrar plan médico.
• Cumplimos con la ley.
• Responder a demandas y
acciones legales
RESPONSABILIDADES
• Obligados por ley a
mantener la privacidad y
seguridad de la
información médica
• No utilizar ni compartir
información sin
consentimiento.
• Información disponible
ante solicitud del paciente
• Fiscalización por la SSS
• Todos los registros administrativos (por ejemplo, datos personales, registros financieros y contables, medios de pago, notas asociadas con quejas etc.)
• Todos los registros de salud del paciente para todas las especialidades (por ejemplo, registros de papel, informes, diarios y registros, registros electrónicos, radiografías y otras imágenes, microforma (es decir, microficha y microfilm), cintas de audio y videos)
Escenario de información y su tratamiento
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Escenario de información y su tratamiento
Financiadores• Obras Sociales• Prepagas
Urgencias
Auditoría Médica
Convenios
Liquidaciones
Call Center
Autorizaciones
Servicios Médicos
Prestadores• Clínicas• Laboratorios• Profesionales médicos
Análisis Clínicos
Consultorios
Internaciones
Gasto Prestacional
Honorarios Médicos
Internaciones
Consumos
HISTORIA CLÍNICA
Facturación y Pagos
AfiliacionesParticulares
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Objetivos de establecer dominios de
gobierno de la información
• Cumplimiento de las obligaciones legales tal como se expresa en las leyes y regulaciones de protección de datos, íntimamente relacionado con el derecho de atención a la privacidad;
• Formar un sistema de gestión para asegurar la autenticidad y auditabilidad de la información en cada proceso funcional de la asistencia sanitaria
• Protegerlos para que no sean utilizados con otros fines diferentes para los que fueron creados u obtenidos
• Mantener las normas y la ética profesional según lo establecido por las organizaciones profesionales relacionadas con la salud (seguridad de la información para la confidencialidad e integridad de la información de salud);
• Facilitar la interoperabilidad entre los sistemas de salud en forma segura, ya que la información fluye entre diferentes organizaciones y a través de límites jurisdiccionales que requieren garantizar su confidencialidad continua, integridad y disponibilidad.
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Como determinar el alcance
Identificar los escenarios de intercambio electrónico de
información de salud
Identificar los procesos, áreas y responsables
cuyos sistemas de información se vean
involucrados
Decidir qué tipo de herramientas de IT
(hardware y software) se va a emplear
Verificar la conformidad de los sistemas de
información involucrados
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
MODELO FUNCIONAL
ENTORNO DE TRATAMIENTO
Establecer dominios de gobierno de la
información
GESTIÓN DEL CONOCIMIENTO
CONTROL Y AUDITABILIDAD
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
SECCIONES DE INFORMACIÓN
Información Personal
Información de Soporte
Información de Infraestructura
Perfil de personas con funciones asistenciales, o de contacto con la Historia Clínica o registros asociados con fines médicos o administrativos
Perfil para las personas con funciones de apoyo, relacionadas con datos surgidos de contratos y convenios que influyen en los alcances prestacionales y forman parte de la gestión administrativo-contable
Perfil para las personas con funciones de administración y operación de los sistemas que brindan servicio y soportan los procesos asistenciales y administrativos, y que abarcan software de base, aplicativos, hardware y equipamiento médico electrónico
Modelo funcional
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
• Datos del titular (paciente – afiliado, planes, cobertura)• Datos Clínicos históricos y actuales• Asistencia médica, turnos programados, análisis de
laboratorio, evolución de enfermería• Registros (datos, información, imágenes, sonidos, gráficos
o vídeos)
• Gestión de prestadores• Gestión financiera• Gestión administrativa• Otra Información de Gestión de Recursos
• Gestión de la Información de Salud• Sistemas e intercambio de la información• Seguridad• Los registros auditables
SECCIONES DE INFORMACIÓN
Información Personal
Información de Soporte
Información de Infraestructura
Modelo funcional
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Modelo funcional
Atributos de datos
Naturaleza del contenido (clínico /
no-clínico)
Fuente de Información
Depositario del registro
Almacenamiento de datos
Grado de interacción
Control de acceso a datos
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Modelo funcional
Categorización para la gestión de datosCaptura
• Auto-Ingreso
• Ingreso manual
• Importación
• Recepción
Mantenimiento
• Almacenar
• Archivo
• Backup
• Encripción
• Recuperación
• Restauración
• Salvado
• Actualización
• Autenticidad
• Edición
• Sincronizar
• Integración
• Etiquetar
• Eliminación
• Borrar
• Purgar
Ejecución
• Extraer
• Procesar
• Transmitir
Intercambio
• Exportación
• Importación
• Recepción
• Transmisión
Determinación
• Análisis
• Decisión
Visibilidad
• Codificar
• Encriptar
• Enmascarar
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Responsabilidad
Gestión de registros
Procesos de seguimiento
y revisión
Ayuda a departamentos de apoyo
Calidad
Crear y mantener registros según ley
Garantizar la autenticidad
y valor probatorio
Adoptar medidas de
continuidad y disponibilidad
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Procesamiento
Procedimientos para el
ciclo de vida de la
información
Monitoreo continuo del proceso de gestión de registros
Establecer requisitos técnicos
necesarios
Seguridad
Mantener confidenciali
dad e integridad y
prevenir eliminación
Mantener pistas de
auditoria y esquemas
de resguardo
Almacenamiento y
acceso a los registros
adecuado
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Acceso a datos
Claros y eficientes
para el tratamiento
de información
Monitoreo de la
actividad de permisos otorgados
Establecer controles en los puntos
de creación de registros
Segmentación de datos
Identificar los sistemas y medios de almacenami
ento
Identificar los perfiles de usuario críticos y su asignación
Asegurar los mecanismos de filtrado
de metadatos
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Datos de Identificación Personal y de Salud
Estándar de cifrado en la transmisión
Prevención de acceso o
visualización de datos de identidad no autorizada
Evitar impresión o transferir a
medio extraíble
Segregación de red
Asegurar la separación
de redes con terceros
Coordinar conveniente
mente el versionado de parches
con terceros
Considerar controles de
seguridad física para
evitar intrusiones
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Control de accesos
Establecer roles y perfiles
asignados mediante
una matriz de control
Configurar y mantener
segregado el acceso al
software de base
Configurar y mantener
segregado el acceso a las aplicaciones
y equipos médicos
Accesos remotos
Asignado solo a
empleados autorizados.
Prohibir a terceros
Utilizar hardware y
software autorizado
No almacenar el PID en caché o equipos remotos
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Redes inalámbricas
Utilizar protocolos de autenticación y cifrado seguro
(estándar 802.11i que especifica el protocolo AES)
Redes externas e internet
Proteger y configurar en forma segura cada gatewayde red externa
No puede utilizarse el
mismo firewall físico que para la red interna
Configurar reglas
entrantes en los firewall
para permitir acceso a una red externa
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Tratamiento de datos
Desarrollar estrategias de backup y planes de continuidad para reducir los efectos de la interrupción en servicios, sistemas y procesos de asistenciales.
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Auditoría y control
HCE
Identificar al usuario
Acciones
realizadas
Fecha y hora de acceso
Cumplimiento de directiva de
acceso
Acciones realizadas en los registros electrónicos de salud y su entorno
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Formación
Proporcionar capacitación y orientación sobre buenas prácticas y responsabilidades para todo el personal involucrado con los registros
Capacitar
Programas de capacitación
por grupos de interés
Formación específica en la legislación de protección de
datos y derechos del
paciente
Formación asociada a
cada proceso de tratamiento
de datos de salud
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
Concepto Descripción Porcentajes
PrevalenciaEmpresas afectadas por fraude
74%
Aumento de la exposición
Empresas cuya exposición al fraude ha aumentado
85%
Áreas de Pérdida Frecuente
Porcentaje de empresas que informan pérdidas por tipo de fraude
35% Robo de información física y activos de información20% Robo o pérdida de información por ataque informático20% Infracción regulatoria o de cumplimiento25% Conflicto de intereses gerencial
Motores más Importantes del Aumento de Exposición:
Principal motor del aumento de la exposición al fraude y porcentaje de empresas afectadas
43% Aumento de la tercerización y la descentralización de servicios43% Complejidad de la TI
FUENTE: Consultora KROLL (Oficina Buenos Aires), del resultado de análisis al ámbito de salud en América Latina
Evolución de los riesgos
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
• Nombre, Dirección, Teléfono, email
• Datos básico personales: Útiles para spam, minería de datos, elaboración de perfiles
Nivel 1
• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de licencia de conducir
• Datos no públicos, utilizados para cometer robos de identidad
Nivel 2
• Aseguradora/Obra Social, información de pago, tarjeta de crédito, cuenta bancaria
• Datos para cometer fraudes financieros, estafas de facturación, robos
Nivel 3
• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos
• Datos médicos para cometer fraudes de facturación, uso indebido de prescripciones y servicios médicos, fraude de identificación médica
Nivel 4
Evolución de los riesgos
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y CIBERDEFENSA”
01010101010101010101010101010101010101010101010101001010101010100101010101010101010102010101010101010101010101010100101010101010101
FABIÁN DESCALZOGerente de Governance, Risk & Compliance
Muchas gracias por
su atención