Gestión de la Seguridad de la Información en el Sector Sanitario.

(1)

Gestión de la Seguridad de la Información en el Sector Sanitario.

Bureau Veritas Certification

Valencia, 24 octubre de 2013

(2)

Bureau Veritas Certification Octubre 2013 2

Bureau Veritas de un vistazo

► Creado en 1828

Líder mundial en evaluación de la conformidad y certificación en las áreas de calidad, seguridad y salud, medio ambiente y responsabilidad social (QHSE)

► Facturación: 3.150 Millones de €

Más de 900 oficinas y 330 laboratorios, en 140 países 48,000 empleados

8 líneas de actividad que ofrecen un conjunto completo de servicios

Inspección, verificación, auditoria, certificación, gestión de riesgos, outsourcing y servicios de formación

Prestación de servicios a 400.000 clientes a través de una amplia gama de mercados

► En España:

 Facturación 2010: 221 Millones de €

 Más de 80 oficinas

 Más de 3500 empleados

Marina 10%

Inspección y Verificación

en servicio 14%

Certificación 10%

Industria 19%

Productos de Consumo

12%

Construcción 14%

Commodities 15%

Ocho áreas de negocios globales

Desglose por facturación (Pro-forma*)

Contratos de Gobierno y Comercio Internacional 6%

Asia Pacífico 27%

Américas 19%

Francia 21%

EMEA*

33%

Europa – excepto Francia Oriente Medio Africa

Una amplia presencia geográfica

Desglose por facturación

(3)

Amplia presencia geográfica

Americas (19% ingresos*)

 200 oficinas

y 100 laboratorios

 10,800 empleados

 30 países

Red mundial más de 900 oficinas y 330 laboratorios en 140 países

Europa – excepto Francia Oriente Medio África

Asia-Pacifico (27% ingresos*)

 210 oficinas

y 110 laboratorios

 22 países Francia (21% ingresos*)

 160 oficinas

y 10 laboratorios

 7,400 empleados EMEA ⁽¹⁾ (33% ingresos*)

 360 oficinas

y 110 laboratorios

 87 países

* Los ingresos del 2010 incluyendo Inspectorate de más de 12 meses

(4)

Actuando en 140

paises con una cuota de mercado

mundial del 9%

Mas de 90.000

organizaciones certificadas en el mundo

Más de 25.000 en España

Certificador de las compañias

excelentes

Alrededor de

103.000 certificados emitidos

Mas de 31.000 en España

Alrededor 5,700 auditores excelentemente cualificados

Más de 480 en España Reconocido por más de 40

entidades de acreditación tanto nacionales como

internacionales

Una amplia oferta de soluciones de auditoría y

certificación

BV Certification: Nº1 mundial

(5)

►

Clasificación y certificación de buques y equipos navales

►

Evaluación de la conformidad de instalaciones y equipos

►

Inspección periódica de equipos e instalaciones en funcionamiento y evaluar la conformidad

►

Evaluación de la conformidad de edificios e infraestructuras

►

Certificación de sistemas de gestión en el área de QHSE y servicios de auditoria de segunda parte

►

Inspección, análisis y certificación de productos de consumo

►

Servicios para facilitar el comercio internacional, inspección y análisis de productos

Una cartera amplia y equilibrada de actividades

Marina Industria Inspección y Verificación en Servicio Construcción

Certificación

Productos de Consumo Contratos de Gobierno y Comercio Internacional

Posiciones de liderazgo en nuestra o áreas de negocio

►

Inspección y análisis de materias primas: petróleo y productos petroquímicos, metales y minerales, agricultura

Commodities

(6)

EXPERIENCIA EN EL SECTOR SANITARIO - ESPAÑA

Experiencia en certificaciones:

►

Calidad: ISO 9001, EFQM

►

Medio ambiente: ISO 14001

►

Prevención de riesgos laborales: OHSAS 18001

►

Seguridad de la información: ISO 27001

►

Responsabilidad Social: SGE21, SA 8000, Modelo efr

►

Esquemas sanitario: UNE 179002- Transporte Sanitario,

UNE 179003 – Gestión de riesgos, UNE 179006- Sistema para la vigilancia, prevención y control de las infecciones relacionadas con la atención sanitaria en los hospitales,

►

Esquemas sociales: FAMILIA NORMAS UNE 158000

Experiencia en formación:

►

La Seguridad del Paciente y la Gestión de Riesgos Sanitarios. Norma UNE 179003 – 60 horas

►

La Seguridad del Paciente y la Gestión de Riesgos Sanitarios en Enfermería. Norma UNE 179003 – 80 horas

►

Gestión de la Calidad en el Sector Sanitario y Sociosanitario – 80 horas

►

Modelo EFQM en el Sector Sanitario - 40 horas por cada curso específico (4 cursos)

►

Curso básico - Gestión ambiental en el ámbito sanitario y sociosanitario – 30 horas

(7)

EXPERIENCIA EN EL SECTOR SANITARIO - ESPAÑA

►

Experiencia de Bureau Veritas en Modelos Sanitarios:



Sección de Estimulación Cardiaca: Entidad colaboradora en la acreditación del Modelo de Estimulación Cardiaca



Asociación Española de Genética Humana (AEGH): Entidad colaboradora en el Diseño y certificación del estándar de Genética Humana



Modelo de Acreditación de Centros Sanitarios de la Comunidad Valenciana



Modelo de Acreditación de Centros Sanitarios de Cataluña:

Entidad autorizada en la Acreditación (actualmente en vías de Acreditación)



Asociación Española de Farmacéuticos Analistas (AEFA):

Entidad colaboradora en la certificación de las Directrices AEFA para laboratorios de análisis clínicos



Servicio Madrileño de salud: colaboración con la Subdirección

General de Formación y Acreditación Docente Sanitaria.

(8)

COMITÉ DE INNOVACIÓN

Arantxa Santamaría

Francisco Martín-Santamaría

Margarita Sirvent

Eduardo Sierra

Ricardo Santamaría

Product Develop Pharma, Health and Social Work. Auditora jefe de BVCertification del Sector Sanitario y sociosanitario. Experiencia en la dirección, gestión e implatación de proyectos sanitarios

Visión: Interlocutora con la Red Comercial y el área Área Técnica

Director Regional de BVCertification. Auditor Jefe. Experiencia en el sector sanitario y sociosanitario.

Visión: Director Regional y enfoque comercial

Médico especialista en análisis clínicos con experiencia en el desarrollo, implantación y auditoria de sistemas de gestión en el sector sanitario Auditora Jefe de BVCertification del Sector Sanitario.

Visión: profesional médico y auditor

Doctor en Medicina, Especialista en Ginecología. Jefe de Servicio de Toco-Ginecología del Hospital General de Segovia y Académico numerario de la Real Academia de Medicina de Salamanca. Con amplia experiencia en calidad asistencial.

Visión: profesional médico y Representante de la Sociedad Española de Ginecología y Obstetricia Médico, especialista en Pediatría con más de 20 años de experiencia asistencial en hospitales públicos.

Fue coordinador de calidad de calidad del Complejo hospitalario de Segovia durante 7 años y jefe de servicio de la Agencia de Calidad del Ministerio de Sanidad durante 9 años, periodo en el que coordinó los proyectos de seguridad del paciente llevados a cabo en todas las comunidades autónomas del Sistema Nacional de Salud.

Visión: Expertise en Calidad Asistencial y Seguridad del Paciente

Clara Abellán DUE (Diplomado Universitario en Enfermería). Supervisora responsable de la Unidad de Calidad del Hospital General Universitario de Alicante. Experiencia en calidad asistencial y seguridad del paciente.

Visión: profesional de enfermería y Coordinador de Calidad de un Centro Sanitario

(9)

Herramienta de gestión de riesgos de la Seguridad de la Información en el Sector Sanitario

Pablo Sotres Cruz, Product Developer TIC de Bureau Veritas Certification

Valencia, 24 octubre de 2013

(10)

TICs: Tecnologías de la Información y las Comunicaciones Herramienta de gestión de riesgos de la Seguridad de la

Información en el Sector Sanitario

Seguridad Calidad Fiabilidad Aunque no seamos

conscientes…

…

las TICs son

críticas

para el funcionamiento de la economía

mundial…

…y la Sociedad exige

:

SANITARIO TRANSPORTE Y

LOGÍSTICA I+D+i

INDUSTRIA

INFORMÁTICA

Y TELECOMUNICACIONES BANCA Y

SEGUROS

(11)

► Retos del sector sanitario en cuanto a seguridad de la información:

A) Cumplimiento Legal Seguridad del Paciente y Privacidad de los datos:

Confidencialidad de los datos e informaciones personales

Integridad de los datos e informaciones personales

Disponibilidad en el tratamiento a los datos e informaciones personales

B) Comunicación clara a la sociedad de la fiabilidad y seguridad de sus servicios.

C) Innovación Tecnológica constante.

D) Capacidad para hacer frente a imprevistos que incidan en la continuidad del servicio E) Los procesos basados en la tecnología ya no pueden seguir siendo “cajas negras”.

Herramienta de gestión de riesgos de la Seguridad de la

Información en el Sector Sanitario

(12)

Bureau Veritas Certification Octubre 2013 12 Marco legal y normativo

Gobierno y organizaciones internacionales

Ministerio de Salud, Consejerías Autonómicas, etc…

Pacientes

Compañías farmacéuticas Profesionales sanitarios

y sociedad científica

Proveedores de equipamiento

médico

Medicamentos Tratamiento

Hospitales y centros sanitarios

Control

Proveedores de servicios

(ambulancias, servicios generales,.. )

Herramienta de gestión de riesgos de la Seguridad de la

Información en el Sector Sanitario

(13)

 Suplantación de identidades (interna, proveedores y terceros)

 Uso no autorizado de una aplicación de informática sanitaria.

 Introducción de software dañino o perjudicial.

 Uso indebido de los recursos del sistema.

 Documentación incompleta o incorrecta (papel o digital).

 Fallo en las aplicaciones de software sanitario.

 Robo y Daño premeditado (medicamentos, instrumental…)

 Caídas de suministro eléctrico, bloqueo temporal de sistemas informáticos…

Ejemplo de amenazas habituales en Seguridad Información Sanitaria:

Herramienta de gestión de riesgos de la Seguridad de la

Información en el Sector Sanitario

(14)

► ISO/IEC 27001



Sistema de Gestión de Seguridad de la Información (SGSI):

Centrado en los sistemas de información necesarios (infraestructuras, aplicaciones, comunicaciones, personas y datos) que dan soporte a los procesos del negocio, minimizando los riesgos y asegurando su continuidad frente a imprevistos o desastres.



Norma preventiva basada en la valoración y tratamiento sistemático de los riesgos asociados a los activos de información.



Ciclo de mejora continua basado en PDCA. Integrable con ISO 9001



Se caracteriza por preservar, al menos:

•

Confidencialidad

•

Integridad

•

Disponibilidad

Adicionalmente (no repudio, cumplimiento, etc…)



Propone un catálogo de controles, detallados en ISO 27002.

(Técnicos, organizativos y legales)

Herramienta de gestión de riesgos de la Seguridad de la

Información en el Sector Sanitario

(15)

ISO/IEC 27001

1. Establece los requisitos 2. Modelo de gestión 3. Certificable

Implantar y Operar el SGSI

Hacer

Monitorizar y Revisar el SGSI

Comprobar Mantener y

Mejorar el SGSI Actuar

Establecer el SGSI Planificar

 Definir el alcance del SGSI

 Definir la política del SGSI

 Definir los objetivos

 Identificar los riesgos

 Gestionar los riesgos

Seleccionar los controles de ISO 27002 / ISO 27799

 Definir e implantar plan de gestión de riesgos

Implantar controles seleccionados

 Implantar el Sistema de Gestión

 Desarrollar procedimientos de monitorización

 Revisar regularmente el SGSI

 Revisar los niveles de riesgo

 Auditar internamente el SGSI

 Implantar las mejoras

 Adoptar acciones preventivas y correctivas

 Comunicar acciones y resultados

 Verificar que las mejoras cumplen su objetivo

Partes interesadas

Herramienta de gestión de riesgos de la Seguridad de la

Información en el Sector Sanitario

(16)

Ejemplo de implantación y certificación de un SGSI

Procesos de Negocio Análisis y Gestión de riesgos

- Confidencialidad información pacientes

- Integridad información pacientes

- Disponibilidad Aplicación, BBDD pacientes y centralita

- Cumplimiento legal .

Riesgos Residuales

 Riesgo: Pérdida integridad información pacientes

- Riesgo: No disponibilidad aplicaciones de gestión de los datos pacientes

 Marco de gestión ISO 27001:

 Catálogo ISO 27002 – ISO 27799

 Selección de controles  activos de Sistemas Información  riesgos

 Plan de tratamiento de riesgos Análisis

Clínico

Diagnóstico por imagen

Admisión

Riesgo = Impacto x Probabilidad Activos de

Sistemas de Información

Aplicación pacientes

Base Datos pacientes

Red interna

Servidores de ficheros

Centralita

Infraestructura

Herramienta de gestión de riesgos de la Seguridad de la

Información en el Sector Sanitario

(17)

CUESTIONES A DEBATIR

► Principales barreras con las que se encuentra una organización a la hora de implantar un SGSI

► ¿Qué implica para una organización tener implantado un SGSI?

► ¿Esto me asegura el cumplimiento de la Ley de Protección de Datos?

¿Sustituye a las auditorías reglamentarias que exige la LOPD?

► ¿Existen metodologías de análisis de riesgos específicas para el sector sanitario?

► ¿El SGSI es responsabilidad del departamento de informática?

¿Qué papel juegan los profesionales sanitarios en el SGSI?

► ¿Qué evitar cuando se está empezando a definir e

implementar el SGSI?

(18)

Muchas gracias por su atención

Arantxa Santamaría Jiménez

Responsable del área sanitaria de Bureau Veritas arantxa.santamaria@es.bureauveritas.com

Pablo Sotres Cruz

Responsable del área Seguridad Información de Bureau Veritas

pablo.sotres @es.bureauveritas.com

(19)