Etiquetado: LOPD Mostrar/Ocultar Comentarios | Atajos de teclado

  • tonimartinavila 22:35 el 13 October, 2010 Permalink | Responder
    Etiquetas: LOPD, sanidad   

    La sanidad pública española no cumple la LOPD 

    Ha salido publicado un nuevo informe de la Agencia Española de Protección de datos sobre el cumplimiento de la LOPD en el sector sanidad. Los números cantan. Uno de cada tres hospitales españoles no cumple con la Ley Orgánica de Protección de Datos. La Ley, como sabemos todos, obliga a implantar medidas de seguridad, controles y procedimientos sobre la confidencialidad de la información sanitaria y las historias clínicas de los pacientes.

    Para dicha estudio, la AEPD requirió información a más de 600 hospitales públicos y privados, a través de encuestas recibidas por los hospitales hace unos meses. Del total enviado, 562 hospitales atendieron las preguntas de la AEPD, de ellos y tras el estudio 202 centros presentan “deficiencias de cumplimiento” y por indicación de la AEPD deberán desplegar medidas correctoras en los próximos seis meses. Visto estos resultados, de hecho ha sido una inspección de oficio, vestida como “Estudio”.

    Algunos resultados que al autor de esta entrada le hna llamado la atención:

    1. Aunque en promedio más del 90% de hospitales cuentan con el documento de seguridad preceptivo según el RLOPD, un 45% de los centros públicos de Canarias y 49% de los de la Comunidad Valenciana no disponen de él.
    2. El 55% de los centros públicos de Baleares y Comunidad Valenciana no cuentan con procedimientos para la notificación y gestión de incidencias de seguridad, valor sensiblemente superior al registrado en el conjunto de hospitales de titularidad pública (20%)

    El informe muestra como el grado de incumplimiento de la normativa española de protección de datos es mayor en los centros públicos, aunque, como ya sabemos, para el ámbito público  no existe ninguna sanción económica.

    Nos preguntamos, ¿si en los hospitales públicos españoles aun no cumplen la LOPD cómo van a cumplir directrices de seguridad mucho más restrictivas, como el Esquema Nacional de Seguridad?. Desde luego, aunque la Ley hace ya meses está en vigor, el camino va ser largo y arduo.

     

    Mucho camino por recorre en el ENS en el sector Sanidad

     

     

     
    • Juan R. Martin 17:15 el 22 febrero, 2011 Permalink | Responder

      No han sido inspecciones, lo realizaron con una encuesta Web con credenciales enviadas al hospital vía Mail.

      Juan R. Martín.

  • tonimartinavila 15:00 el 3 August, 2010 Permalink | Responder
    Etiquetas: ENS, , Gestión del Personal, ISO 20000, ISO 27001, ITIL, ITSM, LOPD, , Principios básicos, Profesionalidad, Requisitos mínimos seguridad, Seguridad diferenciada, seguridad integral, SGSI   

    El Esquema Nacional de Seguridad. Una visión global 

    Desde el 8 de enero de 2010 entró en vigor el Real Decreto 3/2010, de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

    La finalidad del Esquema Nacional de Seguridad es crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.

    La redacción del Real Decreto se realiza bajo un entorno de PRINCIPIOS BÁSICOS y REQUÍSITOS MÍNIMOS sobre el que posteriormente se desarrolla el detalle de la gestión de la seguridad de la información.

    A NIVEL PRÁCTICO

    El Esquema se centra en la aplicación de un conjunto de MEDIDAS DE SEGURIDAD en base a un análisis de riesgos sobre los activos y sistemas de información relacionados con Administración electrónica. La aplicabilidad del conjunto de estos controles , 75 en total, se deriva del citado análisis de riesgos previos y en la categorización de los niveles de seguridad según las dimensiones de seguridad de cada uno de los sistemas de información que forman parte del alcance. Los niveles BÁSICO, MEDIO y ALTO nos recuerdan mucho al Reglamento de Medidas de seguridad de la LOPD pero a diferencia de la legislación sobre protección de datos personales, éstos se calculan aquí según el impacto en la organización (estilo ISO 27001).

    El Real Decreto también legisla sobre la auditoría del propio Esquema, uniendo en estos aspectos la posibilidad de realizar un enfoque práctico y global junto con la normativa de protección de datos personales e incluso con la certificación de un SGSI sobre ISO 27001

    Medidas de Seguridad Esquema Nacional de Seguridad

    LA SEGURIDAD DIFERENCIADA y el ALTO VALOR SOBRE EL FACTOR HUMANO
    Actualmente los sistemas de información de las administraciones públicas están fuertemente imbricados entre sí y con entornos del sector privado. Por ello la seguridad tiene un gran reto, a nivel de responsabilidad, organización y coordinación humana, para que ningún incidente no pueda resolverse porque se quede en “terreno de nadie”. En este sentido el ENS sitúa como principio básico la SEGURIDAD DIFERENCIADA en el sentido de “diferenciar” el responsable de información, el responsable del servicio, y el responsable de seguridad. Otro de los puntos enfatizados por la norma y relacionado con el factor humano es el principio básico de SEGURIDAD INTEGRAL, el  requisito mínimo de PROFESIONALIDAD y el grupo de Medidas de Seguridad GESTIÓN DEL PERSONAL, donde se citan 5 Medidas específicas sobre la seguridad en las personas. El Esquema cita en numerosos puntos la concienciación y formación a todo el personal, incluso a la parte administrativa y a los “responsables jerárquicos” (Art 5. La Seguridad como proceso integral) para que “ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad”

    ¿UNA ISO 27001 para LA ADMINISTRACIÓN PÚBLICA?

    El RD en realidad presenta analogías constantes con la norma ISO 27001:2005, Gestión de la Seguridad de la Información, pero determina de manera específica controles a implementar en la administración electrónica. Un esquema basado en el análisis de los riesgos, el concepto de seguridad integral, la organización de la misma como instrumento para la gestión y por el desarrollo de procesos de reevaluación, prevención, reacción y recuperación mediante la implantación de medidas de seguridad según la naturaleza y servicios de la organización.

    Por ello el Real Decreto 3/2010 representa una especie de SGSI con sus buenas prácticas incluido (Medidas de Seguridad), y auditable.

    AIRE ITIL
    El Esquema Nacional de Seguridad se basa en procesos ITIL, aunque sin nombrarlos directamente. Principios básicos como la Seguridad diferenciada y la Gestión de Riegos, y en grupos de Medidas de seguridad como son la Continuidad de la actividad, Gestión contínua, Gestión de cambios, acuerdos de nivel de servicio y Proceso de Autorización. Por ello es completamente factible la convivencia e integración con procesos ITIL y sistemas de gestión ITSM sobre por ejemplo ISO 20000.

     
c
Redacta una entrada nueva
j
Next post/Next comment
k
Previous post/Previous comment
r
Responder
e
Editar
o
Show/Hide comments
t
Go to top
l
Go to login
h
Show/Hide help
shift + esc
Cancelar
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 26 seguidores