ISO 27799:2008 - Seguridad de la Información en el Sector Sanitario

'La norma ISO 27799:2008 define las directrices que pueden apoyar la interpretación y la aplicación al sector sanitario de las ya conocidas ISO 27001 y 27002, puesto que especifica un conjunto detallado de controles para la gestión de la seguridad de la información específicas para el ámbito sanitario y nos proporciona una serie de claras directrices de seguridad sobre las mejores prácticas a seguir en los temas relacionados con la salud.

Mediante la aplicación de esta norma internacional, las organizaciones sanitarias y entidades afines serán capaces de garantizar un nivel mínimo de seguridad necesaria para que pueda mantenerse en ellas de manera coherente la confidencialidad, integridad y disponibilidad de los datos personales referentes a la salud

ISO 27799:2008 es aplicable a la información sanitaria en todos sus aspectos y en cualquiera de sus formas (palabras y cifras o coeficientes, grabaciones sonoras, dibujos, vídeo e imágenes médicas o radiografías), sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrónico) y a través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas o correo electrónico).

Esta norma se refiere obviamente a la seguridad de la información, pero siempre mediante una gestión orientada a las necesidades del sector sanitario a través del control de sus específicos entornos operativos. Si bien la protección y la seguridad de la información personal es importante para todas las personas, empresas, instituciones y gobiernos, existen requisitos especiales en este sector que deben satisfacerse para garantizar la confidencialidad, la integridad y la disponibilidad de la información médico-asistencial.

Proteger la confidencialidad se hace mandatorio, puesto que los datos personales referentes a la salud deben de ser tratados - en la mayoría de los países - con el nivel más alto de protección.

Por otra parte, es indispensable mantener la integridad de la información médico-sanitaria, para garantizar la seguridad de los pacientes, además de garantizar que este tipo de información sea auditable fielmente durante todo su ciclo de vida.

Por último, la disponibilidad de información referente a la salud también es fundamental para la eficacia de la prestación de servicios médicos. Los sistemas informáticos sanitarios deben de cumplir con la única premisa de permanecer en funcionamiento tanto en situaciones de desastre natural, como en fallos del sistema o durante eventuales ataques de denegación de servicio.

Por tanto, la protección de la confidencialidad, la integridad y la disponibilidad de la información de índole médico, requiere de un conocimiento y una experiencia específicos en la materia que han sido reunidos en esta norma, que no pretende suplantar a la ISO 27001 o 27002 sino complementarlas puesto que estas pueden ser aplicadas a organizaciones de todo tipo, mientras que la ISO 27799 ha sido creada contemplando las mejores prácticas llevadas a cabo en diversos centros de atención primaria, en clínicas, por equipos de atención domiciliaria, en hospitales, en consultas de especialistas, etc... con la única finalidad de incorporar una aproximación a la realidad del sector sanitario para controlar su seguridad de manera eficaz.'

Fuente: Beatriz Martínez en Sigea - 6/10/08