ISO 27001 e ISO 27799 en el sector de la salud

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

La norma ISO 27001 e ISO 27799 en el sector de la salud

La norma ISO 27001 e ISO 27799 en el sector de la salud

ISO 27001

ISO 27001

Cada vez son más los hospitales que se encuentran interesados en proteger información de los pacientes, pero no ven que puedan utilizar la norma ISO 27001 por no ser lo suficientemente específica. Aunque cubre muchos de los aspectos generales sobre la seguridad de la información, se puede integrar con otras normas para cubrir aspectos más específicos, por ejemplo, la norma ISO 27799 para la protección de la información personal del sector salud. Esta integración es similar a la norma ISO 27001 e ISO 27002.

Los fundamentos de la norma ISO 27799

El objetivo que persigue la norma ISO 27799 es proporcionar controles de seguridad para proteger la información personal en cuanto a los temas de salud. De hecho, es el uso de la norma ISO 27002 lo que ofrece son controles adaptados a un entorno de salud, aunque también necesitará a la norma ISO 27001.

Una cosa más debe aclararse, la última versión de la norma ISO 27799 no se encuentra alineada con las versiones actuales de la norma ISO 27001 2013 e ISO 27002 2013, debido a que la norma ISO 27799 se refiere de forma explícita a la norma ISO 27002 2005. No obstante no hay que preocuparse porque los cambios entre la versión 2005 y 2013 no impiden su uso.

En EEUU existe la Ley de Responsabilidad y Portabilidad del Seguro de Seguridad en la que se regula el uso y la divulgación de la información de salud protegida. Esta regulación tiene muchos puntos en común con la norma ISO 27799. Para poder aplicar la ley es necesario cumplir con unos requisitos que la hagan más compatible con la norma ISO 27799.

Principales similitudes y diferencias

La principal similitud entre ambas normas es que se habla de un Sistema de Gestión de Seguridad de la Información. La diferencia principal es que la ISO 27799 no define los requisitos, es más que un código de buenas prácticas, como la ISO 27002, y se centra de forma principal en los controles de seguridad.

Por cierto, en la norma ISO 27001 los controles de seguridad se incluyen en un anexo, mientras que la norma ISO 27799 de los controles de seguridad es una parte fundamental de la norma.

En un entorno de salud se puede implantar un Sistema de Gestión de Seguridad de la Información y poner en práctica los controles de seguridad ISO 27799.

¿Por qué implementar la norma ISO 27001 en conjunto con la norma ISO 27799?

Como en cualquier tipo de organización, también cuentan con una infraestructura, sistemas de información y aplicaciones tecnológicas que pueden ser vulnerables, y que manejan información personal de salud, por lo que también hay riesgos que deben ser gestionados. La norma ISO 27001 es una norma que ofrece los requisitos para establecer un Sistema de Gestión de Seguridad de la Información, y se puede integrar con otras normas como la ISO 27002 para implantar controles de seguridad, pero en un ambiente de salud ISO 27799 proporciona controles de seguridad específicos, por lo que en este caso la integración de la ISO 27001 e ISO 27799 tiene sentido.

Amenazas

Las normas ISO 27001 e ISO 27002 no se han desarrollado específicamente para un entono de salud, pero en la norma ISO 27799 tenemos un listado de amenazas específicas para este sector, que puede encontrarse dentro del Anexo A. Los podemos enumerar a continuación:

  • Enmascararse por los internos
  • Enmascararse por los proveedores de servicios
  • Enmascararse por extraños
  • El uso no autorizado de una solicitud de información de salud
  • Introducción del software dañino o perjudicial
  • El mal uso de los recursos del sistema
  • La infiltración de las comunicaciones
  • Interceptación de comunicaciones
  • Repudio
  • Fallo en la conexión
  • Incrustación de código malicioso
  • Fallo técnico del anfitrión, instalaciones de almacenamiento o infraestructura de red
  • El fracaso de apoyo ambiental
  • Sistema o software de red falla
  • Falla de software de aplicaciones
  • El error del operador
  • Error de mantenimiento
  • Error del usuario
  • Escasez de personal
  • Robo por los internos
  • Robo por parte de personas ajenas
  • Daño intencional por los internos
  • Daño intencional por personas ajenas
  • Terrorismo

Todas las consecuencias de la materialización de estas amenazas pueden ser desastrosas, no sólo para la imagen del hospital, sino también para la salud del paciente. Podemos imaginar lo que sucedería en un hospital en el que todo depende de los sistemas de información, y si dejan de trabajar debido a fallas técnicas, o no funcionan de forma correcta.

La protección de las personas y su información personal de salud es compatible

Los hospitales se preocupan por la salud de los pacientes, ya que su principal misión es curar enfermedades o condiciones médicas, pero también deben estar preocupados por la información médica personal, porque existen muchas amenazas.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...