' 2013 CYBSEC 1

Hacia un modelo de Seguridad y Privacidad Una respuesta de la gestin a lo legal A nivel global, el robo de informacin ha crecido e n los ltimos aos propagndose a diferentes empresas e instituciones, y la industria de la salud que a travs de las prcticas mdicas procesa informacin personal y se nsible est cada da ms expuesta a este delito que aumenta el riesgo a la p rivacidad y a la integridad de los datos de salud.

El pasado 18 de marzo el peridico El Nuevo Herald, entre otros medios, dio a conocer que la aseguradora de salud Premera Blue Cross, una de las cinco principales compaas de seguros de salud de USA, fue vctima de un ataque ciberntico que pudo haber afectado a 11 millones de personas. Este ataque fue realizado por piratas cibernticos que tuvieron acceso a sus sistemas el 5 de mayo y que no descubri la intrusin hasta el 29 de enero. En febrero tambin se conoci el ataque a Anthem, la segunda aseguradora de salud ms grande de USA, quien revel un ataque ciberntico que afect a aproximadamente 80 millones de clientes. Por qu atacan a una empresa de salud? Porque en el acceso ilegal puede obtenerse nombres completos de afiliados y pacientes, fechas de nacimiento, nmero de credencial, direcciones de domicilio y de correo electrnico, nmeros telefni cos, nmero de documentos e informacin de cuentas bancarias, quedando tambin expuesta la informacin clnica. Estos ejemplos se refieren a casos reales ejecutados desde fuera de las organizaciones que nos indica que para los ataques externos se est cambiando el enfoque hacia objetivos de sanidad y otros campos asociados porque sus sistemas pueden ser violados ms fcilmente debido a la falta de una adecuada gestin de aseguramiento de la informacin , pero nuestra preocupacin no solo lleva a ocuparnos de los ataques externos. El resultado del anlisis global de fraude por industria 2013/2014 realizado por la consultora norteamericana Kroll , con base en Nueva York y sede en Buenos Aires, determina que para el mbito de salud en Amrica Latina se reflejan las siguientes cifras de fraudes relacionados con ataques internos: Concepto Descripcin Porcentajes

Prevalencia Empresas afectadas por fraude

74%

Aumento de la exposicin

Empresas cuya exposicin al fraude ha aumentado

85%

`reas de Prdida Frecuente

Porcentaje de empresas que informan prdidas por tipo de fraude

35% Robo de activos fsicos o inventario 20% Robo o prdida de informacin o ataque informtico 20% Infraccin regulatoria o de cumplimiento 25% Conflicto de intereses de la gerencia

Motores ms Importantes del Aumento de Exposicin:

Principal motor del aumento de la exposicin al fraude y porcentaje de empresas afectadas

43% Aumento de la tercerizacin y la deslocalizacin 43% Complejidad de la TI

' 2013 CYBSEC 2

Y cmo vemos en el siguiente grfico que representa el resultado de la encuesta sobre las vulnerabilidades asociadas a fraudes en empresas de salud, los principales perfiles de riesgo identificados son:

1. Infraccin regulatoria o de cumplimiento 2. Robo de activos fsicos o inventario 3. Robo o prdida de informacin o ataque informtico 4. Falsificacin, robo o piratera de propiedad int electual

Fuente: http://fraud.kroll.com/es/salud-farmacia-y-biotecnologia/ Segn la consultora Kroll , el sector tiene la tercera incidencia sectorial general ms alta de fraude este ao, y una mayor proporcin de encuestados que perciben un aumento en la exposicin al fraude debido a los cambios comunes en el modelo de negocio dentro de la industria, como el mayor uso de tercerizacin y las alianzas estratgicas. Estas condiciones estn incrementando el riesgo por lo que la industria necesita ajustar sus estrategias de mitigacin en forma acorde gestionando en forma segura el tratamiento de la informacin de la salud y sus procesos asociados as como el cumplimiento de sus principales objetivos:

Brindar un proceso que asegure los datos de Pacientes y Afiliados Asegurar la informacin para Prestadores y Profesi onales Garantizar la calidad de los servicios de salud en base a la relacin directa entre la calidad de

los registros y la de la atencin prestada Conociendo estos nmeros y teniendo en claro los principales objetivos del sector, ahora resta hacernos unas preguntas que nos permitan interiorizarnos sobre nuestro entorno para delinear una respuesta a nuestra medida y organizarnos para minimizar los riesgos presentados por los perfiles de riesgo mencionados.

' 2013 CYBSEC 3

Cmo identificar los riesgos asociados a mi instit ucin teniendo en cuenta mis procesos internos y actividades asociadas en base a mi parti cipacin en el sector? Como sabemos, existen diferentes categoras de instituciones y empresas del sector (Obras sociales y medicina prepaga, laboratorios, clnicas y hospitales, servicios de salud preocupacional, farmacias, centros de diagnstico, etc.) que dependiendo de su actividad deben analizar los riesgos e impacto asociados no solo a su negocio sino tambin a terceros como lo son los pacientes y profesionales de la salud; recordemos, por ejemplo, que la falta de integridad o disponibilidad de datos de sanidad en una historia clnica puede llegar a suponer la prdida de vidas humanas. Cules son las variables bsicas de aseguramiento que debo considerar para mi actividad? Las consignas a tener en cuenta para establecer riesgos asociados son:

Confidencialidad: Los datos referente a la salud deben de ser tratados con el nivel ms alto de proteccin; en esta variable conviene recordar que existen mayores riesgos cuando la informacin no est informatizada Integridad: Concepto indispensable para mantener la informacin mdico-sanitaria; debo garantizar la seguridad de los pacientes en su atencin y ofrecer a las instituciones, prestadores y profesionales informacin fidedigna Disponibilidad: Fundamental para la eficacia de la prestacin de servicios mdicos

Esto podr ayudar a orientarnos a determinar cules pueden ser lo factores de riesgos para nuestra actividad y que determinamos en dos clases:

Factores de riesgos de gestin: Incumplimiento de normas de regulacin legal y de sanidad; exposicin de datos sensibles a personas (historias clnicas, resultados de investigaciones); errores de gestin de seguridad con gerenciadoras d e contratos, distribuidoras, drogueras, farmacias, mdicos, obras sociales y empresas de medicina prepaga; exposicin negativa ante la competencia y pblico en general Factores de riesgo tcnico: Transferencia de observaciones clnicas entre sistemas independientes (resultados de laboratorio); trasferencia de informacin entre instrumentos clnicos (equipos de laboratorio y sistemas informticos); Intercambio, gestin e integracin de informacin relacionada con la atencin de sanidad y la gestin de servicios de salud; transacciones para trasmitir datos de registro de pacientes, admisin, cobertura de salud, rdenes y resultados de laboratorio; observaciones sanitarias y de enfermera; indicaciones de exmenes, dietas, medicamentos; comunicacin con farmacias, prestadores y proveedores

Conozco el impacto que pueda ocasionar la material izacin de estos factores de riesgos sobre los datos de salud y sus consecuencias? Basados en las variables de aseguramiento mencionadas anteriormente, la prdida de datos es la primera de las consecuencias ms probable si no se tiene una adecuada gestin sobre procesos fun cionales y tecnolgicos, y si esto ocurre sabemos que si no se elabora la historia clnica o se omite anotar algn procedimiento o medicacin en la misma, esto puede ser usado en contra de quien cometi la omisin, adicionalmente a exponerse a sanciones ante el Tribunal de tica Md ica. Si es empleado oficial comete el delito de prevaricato por omisin y cuando recibe colaboraci n de una persona particular tambin sta responder como cmplice. La segunda consecuencia probable es la falta de integridad de los datos para lo cual la ley prev el delito de falsedad ideolgica en documento privado en caso de detectarse anotaciones de las

' 2013 CYBSEC 4

condiciones de salud de una persona, o actos mdicos o procedimientos que nunca se realizaron; y la tercera se refiere a la proteccin de confidenciali dad de los datos (aseguramiento de la privacidad) que sanciona a quienes revelen informacin que est en la historia clnica de otra persona culpndolo del delito de divulgacin y empleo de documentos re servados. Tengamos en cuenta que la ley 25.326 prev penas de un mes a dos aos de prisin al que insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales y la ley 26.529 sobre derechos del paciente tambin contempla el resguardo del derecho a la intimidad y a la confidencialidad de la informacin mdica del paciente. Este anlisis sobre riesgos e impacto es fundamental y debe realizarse en primera instancia para determinar los recursos a utilizar para dar una repuesta acorde y medida, involucrando aspectos tcnicos, fsicos y humanos que nos permitir establecer como valor agregado un marco relacionado tambin con la calidad de servicios ya que sus directrices estarn enfocadas a brindar mejoras bajo un entorno controlado cuya base su sustenta en la gobernabilidad de los datos, de la tecnologa y de la seguridad. Qu debo hacer para dar respuesta a la necesidad de mejorar y asegurar la gestin sobre los datos de salud? Como saben, el uso de estndares simplifica y ordena la gestin de tratamiento de la informacin y facilita la interoperabilidad entre los sistemas, por ello se debe seleccionar un marco metodolgico basado en estndares que nos permita mejorar la especificidad clnica requerida para medir resultados asistenciales y nos ayude a definir polticas y procedimientos para proteger la confidencialidad. Este marco metodolgico no debe estar compuesto solo por un estndar especfico, sino que debe estar compuesto por aquellos estndares que nos aporten una correcta evaluacin de los programas de implementac in y nos ayuden a establecer los requerimientos mnimos para la seguridad e integridad de los datos. Algunos ejemplos y dependiendo de la actividad que realicemos, pueden ser la norma ISO 27799, la ISO 18308, los estndares HL7 (Health Level Seven), o bien basarnos en el marco legal y regulatorio de HIPPA o las guas HealthIT de la Oficina de Coordinacin Nacional de USA (The Office of the National Coordinator for Healt Information Technology). Cmo implementar el marco metodolgico seleccionad o para mejorar mi sistema de gestin de informacin? Antes que nada debemos reconocer la existencia de los dominios sobre los cuales debemos actuar, que son: Administrativo, Fsico y Tecnolgico. Dentro de estos dominios identificaremos los procesos funcionales sobre los cuales se soporta la gestin documental (o fsica) y la tecnolgica (o electrnica) en donde aplicaremos los procedimientos y controles surgidos de los estndares seleccionados que dan respuesta a la mitigacin de los riesgos identificados para nuestra actividad.

' 2013 CYBSEC 5

Esta implementacin requiere de actividades que involucren no solo aspectos tcnicos relacionados con los sistemas de informacin, sino tambin condiciones relacionadas con la seguridad fsica en relacin a la ubicacin de sectores acorde a la informacin de procesan, control de acceso y monitoreo, y principalmente el aspecto humano basado en actividades de concientizacin sobre la importancia de la informacin y su tratamiento. Recuerden que pacientes, afiliados y profesionales confan en usted, y la confianza es clnicamente importante y un activo empresarial clave para el

sector. Por ello manejen cuidadosamente la informac in de salud y mantengan la informacin sensible tan precisa como sea posible. Fabin Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. Security Systems Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Informacin (CAECE), certificado ITIL v3-2011 y auditor ISO 20000. Posee amplia experiencia en la implementacin y cumpl imiento de Leyes y Normativas Nacionales e Internacionales en compaas de primer nivel de diferentes reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de informacin, Gobierno d e TI/SI y Continuidad de la Institucin de Salud. Actualmente es responsable de servicios y soluciones en las reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institucin de Salud CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Informacin. Su rea de servicios cubre Amrica y Europa y ms de 400 clientes acreditan la trayectoria empresaria. Para ms informacin: www.cybsec.com