Asegurar implementación de la HCE

Servicios profesionales para asegurar implementación de la HCE

Diagnóstico de la Seguridad de la Información

Brindamos asesoría para realizar el análisis de seguridad a sus procesos misionales, trabajando conjuntamente con los dueños de sus procesos, para generar un plan de acción a corto, mediano o largo plazo; logrando oportunamente ir adoptando medidas de mejora para proteger su activo más importante: las Historias Clínicas de sus pacientes, que les permitirá tener una visión más clara de los requerimientos para la transformación hacia la HCE (Historia Clínica Electrónica), o si ya lo realizaron, determinar si los controles definidos son suficientes.

Duración y costo del diagnóstico: 24 horas/ $2.200.000, más IVA

Implementación Seguridad de la Información (SGSI /MSPI)

Gestionamos el proyecto de implementación de un Sistema de Gestión de seguridad de la información, para que su organización cumpla con los requisitos de la norma  internacional ISO 27001, que le permitirá posicionarse en el mercado como una empresa que maneja correctamente su  información.

Estos proyecto pueden tener una duración estimada de 4 meses, requieren un compromiso de la Alta Gerencia para su desarrollo, los resultados minimizan los riesgos alrededor de la información, gracias al desarrollo de una cultura empresarial que gira en torno a la seguridad y sensibiliza a cada funcionario sobre la necesidad del correcto manejo de la información (Sector Privado SGSI / Sector Público MSPI).

Nuestra metodología maneja el proyecto de una forma modular acorde a las prioridades y recursos de la Organización.

Metodología de solución

Contáctenos

Si desea más información o ampliar algún tema, déjanos sus datos y nosotros nos comunicaremos.

Riesgos asociados a la implementación de la HCE.

Para evitar sanciones, multas o engaños con las Historias Clínicas Electrónicas (HCE), los prestadores de Servicios de Salud, responsables de la información de sus pacientes,  deben establecer procesos que permitan garantizar la seguridad de esta, aún cuando la misma esté en Plataformas digitales o sean administradas en medios físicos (papel).

IHCE-LEY-2015_componentes

La ley 2015 de 2020, aprobada el 31 de enero de 2020, define el futuro de la Historia Clínica Electrónica en Colombia, un futuro donde el paciente, se hace dueño de su información esprerando  que siempre esté asegurada, disponible y al día, para que con su autorizaicón previa (tratamiento de datos personales), pueda ser compartida en tiempo real con otras instituciones (interoperabilidad).

Algunos controles recomendados para asegurar implementación de la HCE

Presentamos a continuación el listado de algunos controles, que por nuestra experiencia, debería implementar para asegurar sus HCE, estos controles son tomados de la norma ISO27002, aceptada internacionalmente como buenas prácticas de Seguridad.

Controles sobre el talento humano antes, durante y al momento de finalizar el contrato de trabajo:

  • Investigación de antecedentes.
  • Términos y condiciones del empleo.
  • Concienciación, educación y capacitación en seguridad de la información.
  • Proceso disciplinario.
  • Responsabilidades ante la finalización o cambio de contrato.
Es la información que debe permanecer confidencial entre paciente e institución prestadora de salud por el cumplimiento de la ley 1581 de 2012 (Habeas Data), algunos controles a tener en cuenta:
  • Inventario de activos.
  • Propiedad de los activos.
  • Uso aceptable de los activos.
  • Clasificación de la información.

Servidores, equipos de cómputo, elementos de red, etc. controles como:

  • Procedimientos seguros de inicio de sesión.
    Política de uso de los controles criptográficos.
    Mantenimiento de los equipos.
  • Retirada de materiales propiedad de la empresa.
  • Seguridad de los equipos fuera de las instalaciones.
  • Reutilización o eliminación segura de equipos.
  • Política de puesto de trabajo despejado y pantalla limpia.

Personas y entidades públicas o privadas con las que la entidad tiene que compartir información o aquellos requerimientos legales que se deben cumplir.

  • Políticas para la seguridad de la información.
  • Requisitos de seguridad en contratos con terceros.
  • Políticas y procedimientos de intercambio de información.
  • Acuerdos de intercambio de información.
  • Acuerdos de confidencialidad o no revelación.

El control en este punto se hace relevante en el sentido de poder detectar a tiempo posibles puertas traseras que aumentan el riesgo de ataque a la información.

  • Análisis de requisitos y especificaciones de seguridad de la información.
  • Asegurar los servicios de aplicaciones en redes públicas.
  • Protección de las transacciones de servicios de aplicaciones.
  • Política de desarrollo seguro.
  • Entorno de desarrollo seguro.
  • Externalización del desarrollo de software.
  • Pruebas de aceptación de sistemas.