Gestión de la Seguridad de la Información en el Sector Sanitario.
Bureau Veritas Certification
Valencia, 24 octubre de 2013
Bureau Veritas Certification Octubre 2013 2
Bureau Veritas de un vistazo
► Creado en 1828
Líder mundial en evaluación de la conformidad y certificación en las áreas de calidad, seguridad y salud, medio ambiente y responsabilidad social (QHSE)
► Facturación: 3.150 Millones de €
Más de 900 oficinas y 330 laboratorios, en 140 países 48,000 empleados
8 líneas de actividad que ofrecen un conjunto completo de servicios
Inspección, verificación, auditoria, certificación, gestión de riesgos, outsourcing y servicios de formación
Prestación de servicios a 400.000 clientes a través de una amplia gama de mercados
► En España:
Facturación 2010: 221 Millones de €
Más de 80 oficinas
Más de 3500 empleados
Marina 10%
Inspección y Verificación
en servicio 14%
Certificación 10%
Industria 19%
Productos de Consumo
12%
Construcción 14%
Commodities 15%
Ocho áreas de negocios globales
Desglose por facturación (Pro-forma*)
Contratos de Gobierno y Comercio Internacional 6%
Asia Pacífico 27%
Américas 19%
Francia 21%
EMEA*
33%
Europa – excepto Francia Oriente Medio Africa
Una amplia presencia geográfica
Desglose por facturación
Bureau Veritas Certification Octubre 2013 3
Amplia presencia geográfica
Americas (19% ingresos*)
200 oficinas
y 100 laboratorios
10,800 empleados
30 países
Red mundial más de 900 oficinas y 330 laboratorios en 140 países
Europa – excepto Francia Oriente Medio África
Asia-Pacifico (27% ingresos*)
210 oficinas
y 110 laboratorios
16,700 empleados
22 países Francia (21% ingresos*)
160 oficinas
y 10 laboratorios
7,400 empleados EMEA (1) (33% ingresos*)
360 oficinas
y 110 laboratorios
13,100 empleados
87 países
* Los ingresos del 2010 incluyendo Inspectorate de más de 12 meses
Bureau Veritas Certification Octubre 2013 4
Actuando en 140
paises con una cuota de mercado
mundial del 9%
Mas de 90.000
organizaciones certificadas en el mundo
Más de 25.000 en España
Certificador de las compañias
excelentes
Alrededor de
103.000 certificados emitidos
Mas de 31.000 en España
Alrededor 5,700 auditores excelentemente cualificados
Más de 480 en España Reconocido por más de 40
entidades de acreditación tanto nacionales como
internacionales
Una amplia oferta de soluciones de auditoría y
certificación
BV Certification: Nº1 mundial
Bureau Veritas Certification Octubre 2013 5
►
Clasificación y certificación de buques y equipos navales
►
Evaluación de la conformidad de instalaciones y equipos
►
Inspección periódica de equipos e instalaciones en funcionamiento y evaluar la conformidad
►
Evaluación de la conformidad de edificios e infraestructuras
►
Certificación de sistemas de gestión en el área de QHSE y servicios de auditoria de segunda parte
►
Inspección, análisis y certificación de productos de consumo
►
Servicios para facilitar el comercio internacional, inspección y análisis de productos
Una cartera amplia y equilibrada de actividades
Marina Industria Inspección y Verificación en Servicio Construcción
Certificación
Productos de Consumo Contratos de Gobierno y Comercio Internacional
Posiciones de liderazgo en nuestra o áreas de negocio
►
Inspección y análisis de materias primas: petróleo y productos petroquímicos, metales y minerales, agricultura
Commodities
Bureau Veritas Certification Octubre 2013 6
EXPERIENCIA EN EL SECTOR SANITARIO - ESPAÑA
Experiencia en certificaciones:
►
Calidad: ISO 9001, EFQM
►
Medio ambiente: ISO 14001
►
Prevención de riesgos laborales: OHSAS 18001
►
Seguridad de la información: ISO 27001
►
Responsabilidad Social: SGE21, SA 8000, Modelo efr
►
Esquemas sanitario: UNE 179002- Transporte Sanitario,
UNE 179003 – Gestión de riesgos, UNE 179006- Sistema para la vigilancia, prevención y control de las infecciones relacionadas con la atención sanitaria en los hospitales,
►
Esquemas sociales: FAMILIA NORMAS UNE 158000
Experiencia en formación:
►
La Seguridad del Paciente y la Gestión de Riesgos Sanitarios. Norma UNE 179003 – 60 horas
►
La Seguridad del Paciente y la Gestión de Riesgos Sanitarios en Enfermería. Norma UNE 179003 – 80 horas
►
Gestión de la Calidad en el Sector Sanitario y Sociosanitario – 80 horas
►
Modelo EFQM en el Sector Sanitario - 40 horas por cada curso específico (4 cursos)
►
Curso básico - Gestión ambiental en el ámbito sanitario y sociosanitario – 30 horas
Bureau Veritas Certification Octubre 2013 7
EXPERIENCIA EN EL SECTOR SANITARIO - ESPAÑA
►
Experiencia de Bureau Veritas en Modelos Sanitarios:
Sección de Estimulación Cardiaca: Entidad colaboradora en la acreditación del Modelo de Estimulación Cardiaca
Asociación Española de Genética Humana (AEGH): Entidad colaboradora en el Diseño y certificación del estándar de Genética Humana
Modelo de Acreditación de Centros Sanitarios de la Comunidad Valenciana
Modelo de Acreditación de Centros Sanitarios de Cataluña:
Entidad autorizada en la Acreditación (actualmente en vías de Acreditación)
Asociación Española de Farmacéuticos Analistas (AEFA):
Entidad colaboradora en la certificación de las Directrices AEFA para laboratorios de análisis clínicos
Servicio Madrileño de salud: colaboración con la Subdirección
General de Formación y Acreditación Docente Sanitaria.
Bureau Veritas Certification Octubre 2013 8
COMITÉ DE INNOVACIÓN
Arantxa Santamaría
Francisco Martín-Santamaría
Margarita Sirvent
Eduardo Sierra
Ricardo Santamaría
Product Develop Pharma, Health and Social Work. Auditora jefe de BVCertification del Sector Sanitario y sociosanitario. Experiencia en la dirección, gestión e implatación de proyectos sanitarios
Visión: Interlocutora con la Red Comercial y el área Área Técnica
Director Regional de BVCertification. Auditor Jefe. Experiencia en el sector sanitario y sociosanitario.
Visión: Director Regional y enfoque comercial
Médico especialista en análisis clínicos con experiencia en el desarrollo, implantación y auditoria de sistemas de gestión en el sector sanitario Auditora Jefe de BVCertification del Sector Sanitario.
Visión: profesional médico y auditor
Doctor en Medicina, Especialista en Ginecología. Jefe de Servicio de Toco-Ginecología del Hospital General de Segovia y Académico numerario de la Real Academia de Medicina de Salamanca. Con amplia experiencia en calidad asistencial.
Visión: profesional médico y Representante de la Sociedad Española de Ginecología y Obstetricia Médico, especialista en Pediatría con más de 20 años de experiencia asistencial en hospitales públicos.
Fue coordinador de calidad de calidad del Complejo hospitalario de Segovia durante 7 años y jefe de servicio de la Agencia de Calidad del Ministerio de Sanidad durante 9 años, periodo en el que coordinó los proyectos de seguridad del paciente llevados a cabo en todas las comunidades autónomas del Sistema Nacional de Salud.
Visión: Expertise en Calidad Asistencial y Seguridad del Paciente
Clara Abellán DUE (Diplomado Universitario en Enfermería). Supervisora responsable de la Unidad de Calidad del Hospital General Universitario de Alicante. Experiencia en calidad asistencial y seguridad del paciente.
Visión: profesional de enfermería y Coordinador de Calidad de un Centro Sanitario
Herramienta de gestión de riesgos de la Seguridad de la Información en el Sector Sanitario
Pablo Sotres Cruz, Product Developer TIC de Bureau Veritas Certification
Valencia, 24 octubre de 2013
Bureau Veritas Certification Octubre 2013 10
TICs: Tecnologías de la Información y las Comunicaciones Herramienta de gestión de riesgos de la Seguridad de la
Información en el Sector Sanitario
Seguridad Calidad Fiabilidad Aunque no seamos
conscientes…
…
las TICs soncríticas
para el funcionamiento de la economíamundial…
…y la Sociedad exige
:
SANITARIO TRANSPORTE Y
LOGÍSTICA I+D+i
INDUSTRIA
INFORMÁTICA
Y TELECOMUNICACIONES BANCA Y
SEGUROS
Bureau Veritas Certification Octubre 2013 11
► Retos del sector sanitario en cuanto a seguridad de la información:
A) Cumplimiento Legal Seguridad del Paciente y Privacidad de los datos:
Confidencialidad de los datos e informaciones personales
Integridad de los datos e informaciones personales
Disponibilidad en el tratamiento a los datos e informaciones personales
B) Comunicación clara a la sociedad de la fiabilidad y seguridad de sus servicios.
C) Innovación Tecnológica constante.
D) Capacidad para hacer frente a imprevistos que incidan en la continuidad del servicio E) Los procesos basados en la tecnología ya no pueden seguir siendo “cajas negras”.
Herramienta de gestión de riesgos de la Seguridad de la
Información en el Sector Sanitario
Bureau Veritas Certification Octubre 2013 12 Marco legal y normativo
Gobierno y organizaciones internacionales
Ministerio de Salud, Consejerías Autonómicas, etc…
Pacientes
Compañías farmacéuticas Profesionales sanitarios
y sociedad científica
Proveedores de equipamiento
médico
Medicamentos Tratamiento
Hospitales y centros sanitarios
Control
Proveedores de servicios
(ambulancias, servicios generales,.. )
Herramienta de gestión de riesgos de la Seguridad de la
Información en el Sector Sanitario
Bureau Veritas Certification Octubre 2013 13
Suplantación de identidades (interna, proveedores y terceros)
Uso no autorizado de una aplicación de informática sanitaria.
Introducción de software dañino o perjudicial.
Uso indebido de los recursos del sistema.
Documentación incompleta o incorrecta (papel o digital).
Fallo en las aplicaciones de software sanitario.
Robo y Daño premeditado (medicamentos, instrumental…)
Caídas de suministro eléctrico, bloqueo temporal de sistemas informáticos…
Ejemplo de amenazas habituales en Seguridad Información Sanitaria:
Herramienta de gestión de riesgos de la Seguridad de la
Información en el Sector Sanitario
Bureau Veritas Certification Octubre 2013 14
► ISO/IEC 27001
Sistema de Gestión de Seguridad de la Información (SGSI):
Centrado en los sistemas de información necesarios (infraestructuras, aplicaciones, comunicaciones, personas y datos) que dan soporte a los procesos del negocio, minimizando los riesgos y asegurando su continuidad frente a imprevistos o desastres.
Norma preventiva basada en la valoración y tratamiento sistemático de los riesgos asociados a los activos de información.
Ciclo de mejora continua basado en PDCA. Integrable con ISO 9001
Se caracteriza por preservar, al menos:
•
Confidencialidad
•
Integridad
•
Disponibilidad
Adicionalmente (no repudio, cumplimiento, etc…)
Propone un catálogo de controles, detallados en ISO 27002.
(Técnicos, organizativos y legales)
Herramienta de gestión de riesgos de la Seguridad de la
Información en el Sector Sanitario
Bureau Veritas Certification Octubre 2013 15
ISO/IEC 27001
1. Establece los requisitos 2. Modelo de gestión 3. Certificable
Implantar y Operar el SGSI
Hacer
Monitorizar y Revisar el SGSI
Comprobar Mantener y
Mejorar el SGSI Actuar
Establecer el SGSI Planificar
Definir el alcance del SGSI
Definir la política del SGSI
Definir los objetivos
Identificar los riesgos
Gestionar los riesgos
Seleccionar los controles de ISO 27002 / ISO 27799
Definir e implantar plan de gestión de riesgos
Implantar controles seleccionados
Implantar el Sistema de Gestión
Desarrollar procedimientos de monitorización
Revisar regularmente el SGSI
Revisar los niveles de riesgo
Auditar internamente el SGSI
Implantar las mejoras
Adoptar acciones preventivas y correctivas
Comunicar acciones y resultados
Verificar que las mejoras cumplen su objetivo
Partes interesadas
Herramienta de gestión de riesgos de la Seguridad de la
Información en el Sector Sanitario
Bureau Veritas Certification Octubre 2013 16
Ejemplo de implantación y certificación de un SGSI
Procesos de Negocio Análisis y Gestión de riesgos
- Confidencialidad información pacientes
- Integridad información pacientes
- Disponibilidad Aplicación, BBDD pacientes y centralita
- Cumplimiento legal .
Riesgos Residuales
Riesgo: Pérdida integridad información pacientes
- Riesgo: No disponibilidad aplicaciones de gestión de los datos pacientes
Marco de gestión ISO 27001:
Catálogo ISO 27002 – ISO 27799
Selección de controles activos de Sistemas Información riesgos
Plan de tratamiento de riesgos Análisis
Clínico
Diagnóstico por imagen
Admisión
Riesgo = Impacto x Probabilidad Activos de
Sistemas de Información
Aplicación pacientes
Base Datos pacientes
Red interna
Servidores de ficheros
Centralita
Infraestructura
Herramienta de gestión de riesgos de la Seguridad de la
Información en el Sector Sanitario
Bureau Veritas Certification Octubre 2013 17
CUESTIONES A DEBATIR
► Principales barreras con las que se encuentra una organización a la hora de implantar un SGSI
► ¿Qué implica para una organización tener implantado un SGSI?
► ¿Esto me asegura el cumplimiento de la Ley de Protección de Datos?
¿Sustituye a las auditorías reglamentarias que exige la LOPD?
► ¿Existen metodologías de análisis de riesgos específicas para el sector sanitario?
► ¿El SGSI es responsabilidad del departamento de informática?
¿Qué papel juegan los profesionales sanitarios en el SGSI?
► ¿Qué evitar cuando se está empezando a definir e
implementar el SGSI?
Bureau Veritas Certification Octubre 2013 18
Muchas gracias por su atención
Arantxa Santamaría Jiménez
Responsable del área sanitaria de Bureau Veritas arantxa.santamaria@es.bureauveritas.com
Pablo Sotres Cruz
Responsable del área Seguridad Información de Bureau Veritas
pablo.sotres @es.bureauveritas.com
Bureau Veritas Certification Octubre 2013 19