La seguridad de la información clave para el tratamiento de datos personales en el ámbito sanitario
| Autor | Karina Ingrid Medinaceli Díaz |
| Páginas | 436-516 |
CAPÍTULO VII
LA SEGURIDAD DE LA INFORMACIÓN
CLAVE PARA EL TRATAMIENTO
DE DATOS PERSONALES EN EL ÁMBITO
SANITARIO
7.1 LA SEGURIDAD
«Ser lo que soy, no es nada sin la seguridad», una frase acuñada
por W. Shakespeare en el siglo XVI muestra como el hombre tiene la
necesidad de vivir en seguridad. Considerando que la adopción de
diversos Sistemas de Información es masiva en casi cualquier contex-
to, surge la necesidad de proteger la información que forma parte de
dichos sistemas, pues dicha información se torna crítica e invaluable,
pues concentra el día a día de la organización. La «Seguridad es una
necesidad básica. Estando interesada en la prevención de la vida y de
las posesiones, es tan antigua como ella» (Manunta, 2003).
Si se observa lo que define la Real Academia Española (RAE)
como seguro, se tienen características importantes como la de estar
libre y exento de peligro, daño o riesgo. Toda vez que el activo que se
está resguardando se encuentra en los sistemas de información, se
puede seguir la definición de Aguilera López (2010:9) que señala que
la seguridad de la información «es una disciplina que se ocupa de di-
señar normas, procedimientos, métodos y técnicas destinados a con-
seguir un sistema de información seguro y confiable». Por lo que se
puede entender, respecto a todas aquellas medidas preventivas y reac-
tivas del hombre, de las organizaciones y de los sistemas tecnológicos
que permitan resguardar y proteger la información buscando mante-
ner la confidencialidad, la autenticidad e integridad de la misma.
De la misma manera, Sanz y Hualde (2000:74) definen a la seguri-
dad como «la característica de un sistema que lo hace ser capaz de
proteger sus datos frente a la destrucción, interceptación o modifica-
ción no deseadas». Se entiende que la seguridad debe ser una caracte-
rística de los sistemas de información que almacenan datos de carác-
El tratamiento de los datos sanitarios en la historia clínica electrónica... 437
ter sensible, por lo que se hace muy necesario tenerlo en cuenta en
todo el ciclo de desarrollo de los Sistemas de Información.
Si se mira la norma (UNE) ISO/IEC 17799, predecesora de la ac-
tual UNE-ISO/IEC 27001, esta recuerda que la información es un ac-
tivo que hay que proteger, y que puede estar en diferentes tipos de so-
portes. La norma citada sigue manteniendo tres principios clásicos de
la seguridad (conocida como la Triada CIA por sus siglas en inglés):
— Confidencialidad: el acceso a la información debe ser restringi-
do en función de la persona que intenta acceder y de la perti-
nencia de dicho acceso. En otras palabras, se debe establecer
quién accede a qué datos, cuándo y cómo.
— Integridad: la información registrada debe ser veraz y comple-
ta, y para ello debe estar protegida contra accidentes y ata-
ques. Si los datos no son fiables o están incompletos, no son de
utilidad.
— Disponibilidad: la información debe estar disponible en el mo-
mento y lugar en que sea necesaria, independientemente del mo-
mento y lugar en el que se haya generado (Blanco y Rojas, 2012).
Se entiende que la disponibilidad estaría dentro de un marco de
tiempo variable según el sector y tipo de aplicación y que una situa-
ción de no disponibilidad temporal es un riesgo, generalmente mucho
menor que la no disponibilidad definitiva por pérdida irreversible de
la información correspondiente.
Tabla 11. Necesidades de seguridad
Necesidad Medidas
Condencialidad
Denición de permisos: determinar quién puede acceder
al sistema y a qué información puede acceder.
Control de accesos: conocer quién accede realmente al
sistema y a qué información accede.
Protección del sistema: impedir accesos no autorizados.
Integridad
Protección de la información: evitar la alteración o pér-
dida de datos, y garantizar su recuperación en caso
necesario.
No repudio: impedir que un agente implicado en el tra-
tamiento de la información niegue su participación.
438 Karina Ingrid Medinaceli Díaz
Necesidad Medidas
Disponibilidad
Denición de los niveles de servicio correspondientes.
Adaptación de los sistemas de información a los niveles
de servicio.
Dotación de los recursos necesarios para garantizar el
nivel de servicio.
Fuente: Rojas y Blanco, 2008.
El Instituto Nacional de Tecnologías de la Comunicación de Espa-
ña (INTECO) señala que existen numerosos e importantes beneficios
para implementar Sistemas de Seguridad de la información, como por
ejemplo:
— Reducción de costes: Incide directamente sobre la rentabilidad
económica de una organización. No suele serlo porque lo que
se ve en un principio es el coste del mismo; sin embargo, en un
breve plazo, se puede observar como los diferentes mecanismos
de seguridad de la información evitan varias situaciones que
suponen un coste, a veces importante.
— Optimizar los recursos y las inversiones en tecnología: Con me-
didas de seguridad de la información correcta, las decisiones se
tomarán en base a información fiable sobre el estado de los
sistemas de información y a los objetivos de la organización. La
organización dejará de depender exclusivamente de la expe-
riencia o pericia del responsable de informática, o más peligro-
so aún, del proveedor habitual de informática a la hora de va-
lorar las distintas opciones de compra.
— Protección del negocio: La Seguridad de la información en mar-
cha evita interrupciones en el flujo de ingresos, ya que se está
asegurando de una manera eficaz la disponibilidad de los activos
de información y, por lo tanto, de los servicios que la organiza-
ción ofrece. Esto en cuanto a la actividad cotidiana; pero tam-
bién se está preparado para recuperarse ante incidentes más o
menos graves e incluso garantizar la continuidad del negocio,
afrontando un desastre sin que peligre el negocio a largo plazo.
— Mejora de la competitividad: Cualquier mejora en la gestión de
la organización tiene consecuencias directas en beneficio de la
eficacia y la eficiencia de la misma, haciéndola más competiti-
Para continuar leyendo
Solicita tu prueba