Menú Principal
25 de agosto de 2016

Fortaleciendo la Estrategia Digital en Salud a través de la Seguridad de la Información

Por: José Villa C., Encargado de PMG de Seguridad de la Información de Subsecretarías de Salud

La incorporación de tecnologías de información y comunicación (TIC) al sector público de salud resulta un paso fundamental para la optimización de los procesos clínicos y administrativos que ocurren en los establecimientos de la Red Asistencial, así como para la definición de mejores políticas públicas a nivel central. Pero sobre todo permite mejorar la calidad de la atención de los pacientes y la experiencia ciudadana al momento de interactuar con las instituciones de salud.

Sin embargo, el uso cada vez mayor de las TIC, impulsado por la implementación de estrategias digitales desde el Ministerio de Salud para todo el sector, también conlleva la necesidad de robustecer los mecanismos para resguardar información confidencial y sensible de los pacientes [1], frente a riesgos y amenazas permanentes, asociados a factores humanos, desastres naturales y actos maliciosos o malintencionados.

En esa línea, durante este año el Minsal se encuentra implementando para el período 2016-2017 un Sistema de Gestión de Seguridad de la Información Sectorial, que permita asegurar la confidencialidad, integridad y disponibilidad de la información. Junto con ello, se está llevando a cabo una serie de iniciativas para conocer las brechas en materia de seguridad, elaborar un mapa de riesgos de la situación actual y contar con un Plan Estratégico en este ámbito.

Actualmente el Minsal, a través de las Subsecretarías de Salud Pública y de Redes Asistenciales, trabaja en la implementación de controles establecidos en la Norma Chilena vigente NCh-ISO 27001. Of 2013.

Comprendiendo que la importancia de que este estándar sea replicado en las Secretarías Regionales Ministeriales de Salud y Servicios de Salud del país, la implementación de la norma considera la formalización de una estructura para la gobernanza de la seguridad en sector. Esta contempla un Comité de Seguridad Sectorial con siguientes objetivos:

• Liderar el Sistema de Seguridad de Información Sectorial
• Gestionar los incidentes relevantes de seguridad que pudieren afectar al sector salud
• Disponer de un marco sectorial de políticas generales y ser una guía para los servicios en cuanto a su realidad local en estas materias.

Además, el Minsal realizará este año una auditoría externa para evaluar el estado de la Seguridad de la Información en el sector. También se ha capacitado a los equipos de auditores internos de los servicios de salud, lo que permitirá incorporar en el Plan de Auditoría Anual la realización de auditorías de seguridad de la información.

Igualmente se ha estado realizando cursos de capacitación de la Norma ISO 27.001 tanto para las Secretarias Regionales Ministeriales de Salud como para Servicios de Salud del país, lo que permite fortalecer las competencias en los encargados de seguridad y jefes de tecnologías de dichas instituciones.

Paralelamente, se está trabajando con el Ministerio del Interior en la integración de la Gestión de Incidentes del Sector. Además, se programa la realización de un Encuentro Nacional para unificar criterios desde el punto de vista de Administración del Contrato y Seguridad de la Red de Comunicaciones.

Sin embargo, en este desafío por reforzar la seguridad de la información en salud, también se requiere de la colaboración de otros actores: desde las empresas proveedoras de tecnologías, las cuales deben tomar medidas para el mejor resguardo de la información sensible como parte de los servicios que prestan, hasta las propias instituciones que conforman el sector salud, que almacenan gran cantidad de datos de pacientes a través del Registro Clínico Electrónico.

Para ello, el Minsal trabaja sobre un marco normativo que permita definir los requisitos para la protección de datos, que deben ser cumplidos por todos los sistemas que son desarrollados, adquiridos y/o contratados en el sector, teniendo especial consideración con aquellos que administran datos de carácter sensible y/o confidencial.

En suma, es necesario que la creciente presencia y uso de tecnologías de información en el sector salud vayan coherentemente acompañados de iniciativas para proteger la seguridad de los datos, de manera que la Estrategia Digital en Salud se fortalezca integralmente.

[1] Ley 19.628: Datos sensibles, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.