Estándares de Ciberseguridad Aplicables a los Sistemas Informáticos Sanitarios para Proteger los Datos Personales
Barra lateral del artículo
Contenido principal del artículo
Resumen
El avance tecnológico ha permitido gestionar electrónicamente los datos relativos a la salud a través de plataformas y sistemas informáticos para ofrecer a los usuarios mejores servicios sanitarios, no obstante, la protección de datos personales no ha sido considerada de vital importancia en el desarrollo de estos productos de software. El objetivo del presente trabajo es analizar los estándares de ciberseguridad que pueden ser aplicables a los sistemas informáticos para proteger los datos sanitarios de acuerdo con la normativa legal vigente en materia de protección de datos personales en el Ecuador. La investigación tiene enfoque documental descriptivo, en ella se realizó el análisis de los estándares de ciberseguridad y de la Ley Orgánica de Protección de Datos Personales para determinar cuáles pueden ser aplicables en el desarrollo de los sistemas informáticos y cumplir la legislación vigente. La aplicación correcta de estándares de seguridad informática o ciberseguridad minimiza riesgos de vulneración de datos, al mismo tiempo que permite a las entidades sanitarias cumplir la Ley y evitar sanciones.
Descargas
Detalles del artículo
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.
1. Derechos de autor
Las obras que se publican en 593 Digital Publisher CEIT están sujetas a los siguientes términos:
1.1. 593 Digital Publisher CEIT, conserva los derechos patrimoniales (copyright) de las obras publicadas, favorece y permite la reutilización de las mismas bajo la licencia Licencia Creative Commons 4.0 de Reconocimiento-NoComercial-CompartirIgual 4.0, por lo cual se pueden copiar, usar, difundir, transmitir y exponer públicamente, siempre que:
1.1.a. Se cite la autoría y fuente original de su publicación (revista, editorial, URL).
1.1.b. No se usen para fines comerciales u onerosos.
1.1.c. Se mencione la existencia y especificaciones de esta licencia de uso.
Cinthya Daniela Salazar-Lazo, Universidad Católica de Cuenca - Ecuador
https://orcid.org/0009-0002-0924- 416X
Egresada de la carrera de Ingeniería de Software, de la Universidad Católica de Cuenca. Como experiencia profesional es de ayudante de desarrollo de Sistemas de gestión de la seguridad de la Información
en sistemas sanitarios en instituciones que prestan servicios a entidades gubernamentales.
Blanca Lucía Avila-Correa, Universidad Católica de Cuenca - Ecuador
https://orcid.org/0000-0002-9273- 468X
Mi nombre es Blanca Lucía Ávila Correa, nací en la ciudad de Azogues en la cual me radico. Soy Docente de la Universidad Católica de Cuenca por casi 25 años. Mi área de conocimiento es la informática.
Tengo estudios de cuarto nivel en Gerencia Sistemas y TI en la Universidad de las Américas y en Gestión de Proyectos en la Universidad Católica de Cuenca.
Citas
Abad, I., & Carnicero, J. (212). Intercambio internacional de información clínica. En S. E. Caribe, Manual de Salud electrónica para directivos de servicios y sistemas de salud (pág. 414). Nueva York: Naciones Unidas.
Arrieta Cortés, R. (2011). Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile. Santiago de Chile, Chile: Andros Impresores. Recuperado el 23 de Junio de 2023, de www.consejotransparencia.cl/wp-content/uploads/estudios/2018/01/reflexiones_sobre_el_uso_y_abuso_de_los_datos_personales_en_chile.pdf
Asamblea Nacional del Ecuador. (26 de Mayo de 2021). Ley de Ptotección de Datos Personales. Quito: Asamble Naciona del Ecuador. Recuperado el 12 de Marzo de 2023, de https://www.asambleanacional.gob.ec/es/multimedios-legislativos/63464-ley-organica-de-proteccion-de-datos
Asamblea Nacional del Ecuador. (2021). LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES. Quito. Obtenido de https://www.telecomunicaciones.gob.ec/wp-content/uploads/2021/06/Ley-Organica-de-Datos-Personales.pdf
Asamblea Nacional del Ecuador. (2022). Ley Orgánica de Salud (Última Reforma 29-04-2022) (Última Reforma: Segundo Suplemento del Registro Oficial 53, 29-04-2022 ed.). Quito: Asamblea Nacional. Obtenido de http://biblioteca.defensoria.gob.ec/handle/37000/3426
Blanco, O., & Rojas, D. (2012). Manual de salud electrónica para directivos de servicios y sistemas de salud. Santiago de Chile: Publicación de las Naciones Unidas.
Bozic, V. (2020). Managing information security in healthcare. Smart Cities and Regional Development Journal, 4(2), 63-83. doi:https://doi.org/10.25019/scrd.v4i2.72
Cabrera Peña, K. I., & Montenegro Jaramillo, Y. A. (05 de 2022). Protección de Datos Personales en el Marco de la COVID-19: el Caso de CoronApp en Colombia. The Law, State and Telecommunications Review, 14(1), 179. doi:doi.org/10.26512/lstr.v14i1.39063
Castro Silvestre, L., Hernández Bravo, J., Carranza Gómez, J., & Montero Valverde, J. (2019). Propuesta de una Aplicación Web para la administración y manejo del historial clínico electrónico (HCE) en el sector salud, utilizando el estándar HL7 para la interoperabilidad. Memorias del Congreso Internacional de Investigación Academia Journals Puebla 2019, 11, págs. 369-. Puebla. Recuperado el 21 de 06 de 2023, de https://eds-s-ebscohost-com.vpn.ucacue.edu.ec/eds/detail/detail?vid=0&sid=b8262874-11e4-4a2f-9c7d-0ffc514ccc5e%40redis&bdata=Jmxhbmc9ZXMmc2l0ZT1lZHMtbGl2ZQ%3d%3d#AN=140500802&db=edb
Codina, L. (2018). Sistemas de búsqueda y obtención de informacion: componentes y evolución. Anuario Think EPI, 12, 77-82. doi:https://doi-org.vpn.ucacue.edu.ec/10.3145/thinkepi.2018.06
Consejo de Europa. (2023). https://www.coe.int. Recuperado el 11 de 9 de 2023, de https://www.coe.int/es/web/data-protection/convention108/parties
De La Cruz Rodríguez, G., Méndez Fernández, R. A., & Méndez Fernández, A. C. (30 de 03 de 2023). Seguridad de la información en el comercio electrónico basado en ISO 27001 : Una revisión sistemática. Revista Innovación y Software, 4(1), 4. Recuperado el 6 de 7 de 2023, de https://revistas.ulasalle.edu.pe/innosoft
Díaz Ordoñez, P. E. (2020). Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2. Medellín, Colombia. Recuperado el 10 de 06 de 2023, de hdl.handle.net/20.500.12622/4462.
Eichelberg, M., Kleber, K., & Kämmerer, M. (s.f.). Cybersecurity in PACS and Medical Imaging: an Overview. Journal of Digital Imaging, 33(6), 1527–1542. doi:doi.org/10.1007/s10278-020-00393-3
García Ortega, B. (16 de 07 de 2023). upv.es. Obtenido de Introducción a la gestión de la información y del conocimiento en la empresa: https://riunet.upv.es/bitstream/handle/10251/184851/Garcia%20-%20Introduccion%20a%20la%20gestion%20de%20la%20informacion%20y%20del%20conocimiento%20en%20la%20empresa.pdf?sequence=1
Gehrmann, M. (julio-diciembre de 2012). Combining ITIL, COBIT and ISO/IEC 27002 for structuring comprehensive information technology for management in organizations. NAVUS - Revista de Gestão e Tecnologia, 2(2), 66-77. Obtenido de www.redalyc.org/articulo.oa?id=350450810007
HL7 International. (2023). HL7 International. Recuperado el 21 de Junio de 2023, de http://www.hl7.org/implement/standards/index.cfm?ref=nav
Instituto Nacional de Ciberseguridad España, INCIBE. (2016). Cómo gestionar una fuga de información: una guía de aproximación para el empresario. Instituto Nacional de Ciberseguridad España, INCIBE, 1, 20. Recuperado el 17 de 07 de 2023, de www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_fuga_informacion_0.pdf
Internacional Organization for Standardization (ISO). (2023). Norma ISO 27799:2016 Informática de la salud — Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002. Recuperado el 8 de 7 de 2023, de https://www.iso.org/: https://www.iso.org/standard/62777.html
Internacional Organization for Standardization. (2023). ISO.org. Recuperado el 25 de 07 de 2023, de ISO/IEEE 11073-10102:2014: https://www.iso.org/standard/63903.html?browse=tc
Internacional Organization for Standardization. (2023). ISO/TC 215 Informática de la salud. Recuperado el 16 de 07 de 2023, de ISO.org: https://www.iso.org/committee/54960.html
International Organization for Standardization. (Octubre de 2022). ISO/IEC 27001. Recuperado el 15 de Junio de 2023, de https://www.iso.org/standard/27001
International Organization for Standardization. (2023). https://www.iso.org/home.html. Recuperado el 01 de 07 de 2023, de https://www.iso.org/obp/ui/es/#iso:std:iso-iec:27002:ed-3:v2:en
International Organization for Standardization. (2023). ISO. Recuperado el 19 de Junio de 2023, de ISO: https://www.iso.org/standard/iso-iec-27000-family
International Organization for Standardization. (s.f.). Familia ISO/IEC 27000. Obtenido de https://www.iso.org/standard/iso-iec-27000-family
International Organization for Standardization. (s.f.). ISO/IEC 27000:2018. Obtenido de https://www.iso.org/standard/73906.html
ISO 27000. (17 de 07 de 2023). https://www.iso27000.es/glosario.html. Obtenido de https://www.iso27000.es/glosario.html
Jacek Kryszyn, Waldemar T. Smolik, Damian Wanta, Mateusz Midura, & Przemysław Wróblewski. (Marzo de 2023). Comparison of OpenEHR and HL7 FHIR Standards. (P. A. Sciences, Ed.) International Journal of Electronics and Telecommunications, 69(1), 48. doi:https://doi.org/10.24425/ijet.2023.144330
Kim, L. (17 de Febrero de 2018). Concienciación en materia de ciberseguridad: protección de datos y de pacientes. Nursing, 35(1), 62-64. doi:10.1016/j.nursi.2018.02.017.
Kitsios, F., Chatzidimitriou, E., & Kamariotou, M. (27 de Marzo de 2023). El estándar de gestión de seguridad de la información ISO/IEC 27001: cómo extraer valor de los datos en el sector de TI" Sostenibilidad 15, no. 7: 5828. Sustainability, 15(5828), 1-17. doi:10.3390/su15075828
Martínez Jara, J. N. (2022). Protección de datos personales en la historia clínica electrónica bajo el marco legal ecuatoriano. Iustitia Socialis. Revista Arbitrada de Ciencias Jurídicas, 7(1), 776-801. doi:doi.org/10.35381/racji.v7i1.2203
Mendes, R. R., L. de Oliveira, R. R., & B. F. da Costa, A. F. (Junio de 2013). Uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. Revista Principia(22), 69-80. Recuperado el 22 de 05 de 2023, de https://periodicos.ifpb.edu.br/index.php/principia/article/download/158/128
Méndez Solar, J., & Eíto Brun, R. (Noviembre de 2017). NORMAS TÉCNICAS PARA HISTORIA CLÍNICA ELECTRÓNICA EN EL PROYECTO HCDSNS. El profesional de la información, 26(6), 1199-1210. doi:10.3145/epi.2017.nov.19
Ministerio de Telecomunicaciones y de la Sociedad de la Información. (26 de 01 de 2022). https://www.telecomunicaciones.gob.ec/. Recuperado el 10 de 9 de 2023, de https://www.telecomunicaciones.gob.ec/proyecto-de-reglamento-a-la-ley-de-proteccion-de-datos-personales/
Motii, M., & Semma, A. (Mayo de 2017). Towards a new approach to pooling COBIT 5 and ITIL V3 with ISO/IEC 27002 for better use of ITG in the Moroccan parliament. IJCSI International Journal of Computer Science Issues, 14(3), 49-58. doi:doi.org/10.20943/01201703.4958
Nieves, A. (2017). DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADOS EN LA NORMA ISO/IEC 27001:2013.
Perez Vasquez, B. (28 de 06 de 2022). Implementación de Seguridad y Privacidad de datos clínicos con el estándar HL7 FHIR. Barcelona, España. Recuperado el 05 de 06 de 2023, de http://hdl.handle.net/2117/371386
Pérez, S. B. (30 de junio de 2022). Situaciones de riesgo moral e incentivos desalineados en ciberseguridad. Revista Chilena de Derecho y Tecnología, 11(1), 103-120. doi:0.5354/0719-2584.2022.60821
Purba, A. D., Purnawan, I. A., & Eka Pratama, I. A. (Diciembre de 2018). Audit Keamanan TI Menggunakan Standar ISO/IEC 27002 dengan COBIT 5. Merpati, 6(3), 148-158. doi:doi.org/10.24843/JIM.2018.v06.i03.p01
Ramirez Benavides, J. (2020). DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LOS PROCESOS DE SOPORTE Y DESARROLLO DE SOFTWARE EN LA EMPRESA ALFCOM S.A BASADO EN LA NORMA ISO/IEC 27001:2013. Trabajo de grado, Bogotá. Recuperado el 5 de Junio de 2023, de http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/11101/TRABAJO%20DE%20GRADO%20ESI43.pdf?sequence=1&isAllowed=y
Ramos Mamami, R. G., Cahuaya Ancco, R., & Llanqui Argollo, R. R. (2023). Política informática y la gestión de la seguridad de la información en base a la norma ISO 27001. Revista Innovación y Software, 4(1), 96-106. Obtenido de revistas.ulasalle.edu.pe/innosoft
Ramos Mamami, R., Cahuaya Ancco, R., & Llanqui Argollo, R. (Marzo de 2023). Política informática y la gestión de la seguridad de la información en base a la norma ISO 27001. Revista Innovación y Software, 4(1), 96-106.
Red Iberoamericana de Protección de Datos. (2016). Estándares de Protección de Datos de los Estados Iberoamericanos. Montevideo, Uruguay. Recuperado el 01 de 07 de 2023, de https://www.redipd.org/sites/default/files/inline-files/Estandares_Esp_Con_logo_RIPD
Rivera Barrantes, V. (2019). Realidad sobre la Privacidad de los Datos Personales en Costa Rica. e-Ciencias de la Información, 9(2). doi:10.15517/eci.v9i2.37503
Rodríguez Arroyo, H. A. (2020). Importancia de controlar todas las amenazas detectadas a través de Magerit v.3 e ISO/ IEC 27002 según análisis de ataques informáticos en Latinoamérica. Barranquilla, Colombia: UNAD. Recuperado el 18 de 05 de 2023, de repository.unad.edu.co/handle/10596/31879
Sanchez Henarejos, A., Fernández Alemán, J. L., & Toval Álvarez, A. (2013). Recomendaciones sobre seguridad y privacidad informática en el tratamiento de datos de salud. Revista eSalud, 9(34), 1-7. Recuperado el 20 de 07 de 2023, de https://dialnet.unirioja.es/servlet/articulo?codigo=4339745
Servicio Ecuatoriano de Normalización. (2023). Academia. Recuperado el 1 de Julio de 2023, de Academia: https://www.academia.edu/35400585/NTE_INEN_ISO_IEC_27000_TECNOLOG%C3%8DAS_DE_LA_INFORMACI%C3%93N_T%C3%89CNICAS_DE_SEGURIDAD_SISTEMAS_DE_GESTI%C3%93N_DE_SEGURIDAD_DE_LA_INFORMACI%C3%93N_DESCRIPCI%C3%93N_GENERAL_Y_VOCABULARIO_ISO_IEC_27000_2016_IDT
Socarrás Benitez, D., Vega Izaguirre, L., & Afonso Artiles, Y. (Febrero de 2021). Propuesta de nuevas funcionalidades para la gestión de la Historia Clínica Electrónica en el sistema XAVIA HIS. Revista Cubana de Informática Médica, 1(1), 6. Obtenido de https://doaj.org/article/318d1191847b409cb463b8d1441e2dd9
Suárez-Obando, F., & Camacho Sánchez, J. (Septiembre de 2013). Estándares en informática médica: generalidades y aplicaciones. Revista colombiana de Psiquiatría, 42(3), 295-302. doi:10.1016/S0034-7450(13)70023-4
Sulistyowati, D., Handayani, F., & Suryanto, Y. (2022). Comparative Analysis and Design of Cybersecurity Maturity Assessment Methodology Using NIST CSF, COBIT, ISO/IEC 27002 and PCI DSS. International Journal on Informatics Visualization, 4(4), 225-230. doi:http://dx.doi.org/10.30630/joiv.4.4.482
Sungkee, L., & Hyoungho, D. (31 de 01 de 2018). Comparison and Analysis of ISO/IEEE 11073, IHE PCD-01, and HL7 FHIR Messages for Personal Health Devices. (K. S. Informatics, Ed.) Healthc Inform Research, 24, 46-52. doi:10.4258/hir.2018.24.1.46
Thales group. (04 de 07 de 2023). Thales Group. Obtenido de https://cpl.thalesgroup.com/es/compliance/iso-277992016-compliance
Velasco Melo, A. H. (Junio de 2008). El derecho informático y la gestión de la seguridad de la información una perspectiva con base en la norma ISO 27 001. Revista de Derecho(29), 333-366. Recuperado el 08 de 07 de 2023, de https://doaj.org/article/d0b89750c953459a80efac6c2b2f5fa4
Velepucha Sánchez, M. A., Morales Carrillo, J., & Pazmiño Campuzano, M. F. (2022). Análisis y evaluación de riesgos aplicados a la seguridad de la información bajo la norma ISO. Revista de Tecnologías de la informática y las telecomunicaciones, 6(1), 63-78. doi:doi.org/10.33936/isrtic.v6i1.4473
Vidal Ledo, M., García Pierrot, G., & Cazes, G. (2005). Seguridad, Información y Salud. Revista Cubana de información médica. Recuperado el 15 de 07 de 2023, de http://www.rcim.sld.cu/revista_7/articulo_htm/segurinfsalud.htm
Viguri Cordero, J. (Octubre de 2021). Las normas ISO/IEC como mecanismos de responsabilidad proactiva en el Reglamento General de Protección de Datos. IDP: Revista de Internet, Derecho y Politica(33), 1-12. doi:10.7238/idp.v0i33.376366