Seguridad de la información en salud, un sector olvidado
En un mundo hiperconectado, la incorporación de tecnologías ha evolucionado la forma en que se crea la información, en su intercambio, almacenamiento y difusión. Ha dado lugar a nuevas amenazas que afectan la confidencialidad, disponibilidad y la integridad de los datos, es decir, la seguridad de la información. Esta situación no es única de sectores como el financiero o el tecnológico, ni exclusiva de grandes empresas o instituciones.
El sector salud en México enfrenta grandes retos en materia de seguridad de la información, en los últimos años se han incorporado nuevas tecnologías como una medida para renovar y agilizar la prestación de servicios, esta situación se ha visto reflejada recientemente en las estrategias del gobierno mexicano.
La recién liberada Estrategia Digital Nacional tiene como objetivo mejorar el uso de la tecnología para contribuir al desarrollo del país, cinco objetivos son los que conforman dicha estrategia. En aspectos relacionados con la salud, el objetivo número cuatro, denominado Salud Universal y Efectiva, fue creado con la finalidad de aprovechar la incorporación de las tecnologías de información y comunicación como medio para aumentar la cobertura, el acceso y la calidad de los servicios de salud, otra de las finalidades es lograr el uso eficiente de la infraestructura y los recursos destinados a proveer el servicio de salud a la población.
Previamente, existían ya iniciativas de integrar los datos clínicos en un expediente electrónico, de hecho, algunas entidades ya lo han implantado, junto con algunas otras leyes en México que regulan en el sector público y privado, la protección de los datos personales, los datos personales sensibles y las Normas Oficiales Mexicanas (NOM) en materia de salud. Algunas de ellas son la NOM-004-SSA3-2012 del expediente clínico, la NOM-024-SSA3-2010 de Sistemas de Información de Registro Electrónico para la salud y en cuanto a intercambio de información en salud, la NOM-035-SSA3-2012.
Todas estas iniciativas, si bien son de gran ayuda, deben ir de la mano con una estrategia en materia de seguridad de la información que considere la gestión de nuevos riesgos asociados a la incorporación de las TIC. Esta estrategia debe ser evaluada previamente, considerando la problemática a nivel organizacional que enfrenta el sector, la prevaleciente resistencia al cambio y la falta de conciencia sobre temas relacionados con la seguridad de la información. De no considerarse estos factores, podrían convertirse en una gran limitante.
Para identificar los retos en materia de seguridad de la información que enfrenta el sector salud en México, se realizó un análisis tomando como base el modelo de negocio para la seguridad de la información (veáse figura 1.1) desarrollado por el Dr. Laree Kiely y Terry Benzel en Institute for Critical Information Infrastructure Protection (Instituto de Infraestructura de Protección para la Información Crítica) en la escuela de negocios Marshall School of Business de la Universidad del Sur de California de EUA. El modelo se representa gráficamente como una pirámide conformada por cuatro elementos unidos mediante seis interconexiones dinámicas, todas las partes que integran el modelo interactúan entre sí. Si cualquiera de los elementos es modificado o gestionado de forma inadecuada, afectará el equilibrio del modelo.
El resultado del análisis aplicado al sector salud en México se presenta a continuación:
1. Diseño y estrategia de la organización
El Sistema Nacional de Salud en México fue creado en cumplimiento al derecho a la protección de la salud que toda persona tiene, según lo establece el artículo 4º de la Constitución Política de los Estados Unidos Mexicanos, formalmente se encuentra definido en la Ley General de Salud. Los principales objetivos de este sistema son: proporcionar servicios de salud a toda la población, colaborar con el bienestar social, dar impulso al desarrollo de la familia y comunidades indígenas, apoyar en la mejora de las condiciones sanitarias y promover el conocimiento y desarrollo de la medicina tradicional, principalmente. Para el cumplimiento de sus objetivos son considerados el Plan Nacional de Desarrollo y el Programa Nacional de Salud.
El Sistema de Salud de México se divide en dos sectores: el público y el privado. La siguiente tabla presenta las instituciones que forman parte de cada sector:
|
Sector público
|
Sector privado
|
|---|---|
|
Instituciones de seguridad social:
Instituto Mexicano de Seguridad Social (IMSS) Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (ISSSTE) Petróleos Mexicanos (PEMEX) Secretaría de la Defensa (SEDENA) Secretaría de Marina (SEMAR) Instituciones para población sin seguridad social:
Secretaría de Salud (SSA) Servicios Estatales de Salud (SESA) Programa IMSS-Oportunidades Seguro Popular |
Compañías aseguradoras. Prestadores de servicios que laboran en consultorios, clínicas y hospitales privados. Servicios de medicina alternativa. |
La estructura funcional del Sistema de Salud en México está integrada por tres niveles de atención, se describen brevemente en la Figura 1.2.
México cuenta con una amplia red de atención médica, resultado de la inversión que el gobierno federal ha designado para mejorar la prestación de servicios de salud. Según datos del Banco Mundial, este hecho que se ve reflejado en un incremento del porcentaje del PIB destinado para gastos de salud, de un 5.8 % en el año 2008, a un 6.2 % en el año 2011. La decisión ha favorecido a las instituciones de salud en México, fortaleciendo la infraestructura y mejorando los recursos tecnológicos disponibles para la prestación de los servicios de salud a la población.
2. Personas
Es fundamental realizar mayores esfuerzos para lograr la capacitación y concienciación del personal administrativo y médico que labora en las instituciones de salud en México, sobre todo, en los aspectos relacionados con la seguridad de la información. Es importante que conozcan las amenazas, las vulnerabilidades y las principales técnicas de ataques que pudieran afectar, tanto la operación de la institución como la confidencialidad, integridad y disponibilidad de los datos clínicos.
Otro aspecto importante a considerar es la resistencia al cambio. En algunas instituciones ha sido una gran limitante que ha impedido la adopción efectiva de la tecnología para mejorar los procesos institucionales.
También es necesario considerar controles más rigurosos para los proveedores y personal externo que brinda productos o servicios a las instituciones de salud.
De igual forma, se deben mejorar los controles de acceso. En algunas instituciones éstos son deficientes debido a la gran demanda del servicio, que sin duda se vuelve un asunto prioritario que deja para después los temas y controles relacionados con la seguridad de la información.
3. Procesos
Las instituciones de salud cuentan con diversos procesos para llevar a cabo sus actividades diarias, sin embargo, en la operación, los procedimientos asociados se exceden en trámites. Esta situación genera mayores tiempos de espera, descontento por parte de los usuarios del servicio y, en el peor de los casos, puede afectar la vida misma de los pacientes, resultado de errores en los procedimientos o exceso en los tiempos de espera.
Los procesos deben ser difundidos adecuadamente y se deben llevar a cabo acciones para monitorear su cumplimiento bajo un esquema de indicadores y métricas.
En cuanto a la estandarización de los procedimientos, las entidades de los estados de la república deben realizar sus actividades bajo condiciones similares, además, es indispensable incorporar procesos y procedimientos en materia de seguridad de la información en donde se definan claramente los roles y responsabilidades de los involucrados. Esta acción contribuirá a cambiar de un enfoque de respuesta reactivo a uno proactivo.
4. Tecnología
Con la finalidad de generar una mejora en la operación de este sector, se han incorporado nuevas tecnologías que permitan brindar el servicio a una cantidad mayor de usuarios, una de ellas, es la iniciativa de incorporar el expediente clínico electrónico.
En la actualidad, las instituciones cuentan con dos modalidades de expedientes, la versión física y la digital. La implantación de sistemas de información como éstos, desarrollados sin considerar la experiencia de los usuarios (médicos, administrativos o enfermeras) ha ocasionado una resistencia a su adopción o bien, información incompleta en los expedientes.
|
Interconexión dinámica
|
Resultados
|
|---|---|
|
Gobierno
|
Las instituciones de salud deben fortalecerse en este ámbito para garantizar el cumplimiento de los objetivos. Deben integrar o mejorar la gestión de sus riesgos de manera que les permita actuar de forma proactiva, así como mejorar las estrategias que actualmente se tienen implantadas para verificar el uso responsable de los recursos institucionales, reduciendo con ello los fraudes y eventos que puedan afectar la continuidad o causar daños en los activos.
|
|
Cultura
|
El gran reto en este rubro está enfocado en reducir la división que existe entre el personal médico y el administrativo, además de realizar programas efectivos de concienciación en materia de seguridad de la información para generar una cultura en la materia.
|
|
Habilitación y soporte
|
La labor en este aspecto se relaciona con llevar a cabo una reingeniería de procesos con el objetivo de mejorarlos en cada una de las instituciones de salud. El resultado será que éstos sean prácticos y fáciles de poner en marcha. Si son transparentes para el personal, podrán salir adelante de mejor manera.
El fortalecimiento con buenas prácticas, normas, políticas y estándares no se debe dejar de lado. Si bien la mayoría de las instituciones cuentan con éstos a nivel documental, en algunas entidades no se encuentran realmente implementados.
|
|
Surgimiento
|
La resistencia al cambio ha impactado esta interconexión en el sector público de salud, que en gran parte ha sido el resultado de incorporar tecnología sin llevar a cabo de forma previa una evaluación sobre el impacto a nivel organizacional que dicho cambio traerá en consecuencia.
|
|
Factores humanos
|
Es necesario que los desarrollos y tecnologías a ser implantadas tomen en cuenta la experiencia de los usuarios de dichos recursos con el objetivo de reducir errores por desconocimiento o generados por la resistencia al uso de los recursos tencnológicos.
|
|
Arquitectura
|
Es fundamental que las instituciones de salud, una vez que identifiquen sus necesidades en materia de seguridad, incorporen una arquitectura que incluya los controles requeridos para la protección de sus activos, al tiempo que permita a las entidades de salud ser proactivas con sus decisiones de inversión en materia de seguridad.
|
El Sistema de Salud en México enfrenta grandes retos, tanto a nivel organizacional como operativo, por un lado es necesario ampliar la cobertura del servicio y por otro mejorar la calidad y eficiencia de las instituciones que se encuentran actualmente en operación. Dado el crecimiento de la población, éstas se encuentran saturadas y con escasos recursos, complicando significativamente la prestación de servicios que garanticen la satisfacción de los usuarios.
Para dar una mejor respuesta a las necesidades de la población en materia de salud, es necesaria una planeación interinstitucional de largo plazo, con estrategias claramente definidas, una mejor administración de riesgos, así como el compromiso y corresponsabilidad entre instituciones. Además, es fundamental considerar los controles necesarios para garantizar la protección de la información que es creada, almacenada y transmitida en las instituciones de salud.
Como resultado de este análisis, podemos identificar claramente grandes oportunidades para proponer, actuar y, como profesionales, contribuir por medio de conocimientos, tecnologías y personal calificado a mejorar la seguridad de la información en el Sector Salud en México.
Fuente: http://revista.seguridad.unam.mx/
Fecha de consulta: 08 Abril 2016
