Cybersecurity Standards Applicable to Health IT Systems to Protect Personal Data
Article Sidebar
Main Article Content
Abstract
Technological progress has made it possible to electronically manage health-related data through computer platforms and systems to offer users better health services; however, the protection of personal data has not been considered of vital importance in the development of these software products. The objective of this paper is to analyze the cybersecurity standards that can be applicable to computer systems to protect health data in accordance with the current legal regulations on personal data protection in Ecuador. The research has a descriptive documentary approach, in it the analysis of cybersecurity standards and the Organic Law for the Protection of Personal Data was carried out to determine which ones can be applicable in the development of computer systems and comply with current legislation. The correct application of IT security or cybersecurity standards minimizes the risk of data breach, while allowing healthcare entities to comply with the Law and avoid sanctions.
Downloads
Article Details
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
1. Derechos de autor
Las obras que se publican en 593 Digital Publisher CEIT están sujetas a los siguientes términos:
1.1. 593 Digital Publisher CEIT, conserva los derechos patrimoniales (copyright) de las obras publicadas, favorece y permite la reutilización de las mismas bajo la licencia Licencia Creative Commons 4.0 de Reconocimiento-NoComercial-CompartirIgual 4.0, por lo cual se pueden copiar, usar, difundir, transmitir y exponer públicamente, siempre que:
1.1.a. Se cite la autoría y fuente original de su publicación (revista, editorial, URL).
1.1.b. No se usen para fines comerciales u onerosos.
1.1.c. Se mencione la existencia y especificaciones de esta licencia de uso.
Cinthya Daniela Salazar-Lazo, Universidad Católica de Cuenca - Ecuador
https://orcid.org/0009-0002-0924- 416X
Graduated in Software Engineering from the Catholic University of Cuenca. Her professional experience is as an assistant in the development of information security management systems in healthcare systems in institutions that provide services to government entities.
Blanca Lucía Avila-Correa, Universidad Católica de Cuenca - Ecuador
https://orcid.org/0000-0002-9273- 468X
My name is Blanca Lucía Ávila Correa, I was born in Azogues, city where I have lived my whole life. I am a professor at the Catholic University of Cuenca for almost 25 years. My expertise area is computer science. I have fourth level studies in Systems and IT Management at the Universidad de las Américas and also Project Management at at the Catholic University of Cuenca.
References
Abad, I., & Carnicero, J. (212). Intercambio internacional de información clínica. En S. E. Caribe, Manual de Salud electrónica para directivos de servicios y sistemas de salud (pág. 414). Nueva York: Naciones Unidas.
Arrieta Cortés, R. (2011). Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile. Santiago de Chile, Chile: Andros Impresores. Recuperado el 23 de Junio de 2023, de www.consejotransparencia.cl/wp-content/uploads/estudios/2018/01/reflexiones_sobre_el_uso_y_abuso_de_los_datos_personales_en_chile.pdf
Asamblea Nacional del Ecuador. (26 de Mayo de 2021). Ley de Ptotección de Datos Personales. Quito: Asamble Naciona del Ecuador. Recuperado el 12 de Marzo de 2023, de https://www.asambleanacional.gob.ec/es/multimedios-legislativos/63464-ley-organica-de-proteccion-de-datos
Asamblea Nacional del Ecuador. (2021). LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES. Quito. Obtenido de https://www.telecomunicaciones.gob.ec/wp-content/uploads/2021/06/Ley-Organica-de-Datos-Personales.pdf
Asamblea Nacional del Ecuador. (2022). Ley Orgánica de Salud (Última Reforma 29-04-2022) (Última Reforma: Segundo Suplemento del Registro Oficial 53, 29-04-2022 ed.). Quito: Asamblea Nacional. Obtenido de http://biblioteca.defensoria.gob.ec/handle/37000/3426
Blanco, O., & Rojas, D. (2012). Manual de salud electrónica para directivos de servicios y sistemas de salud. Santiago de Chile: Publicación de las Naciones Unidas.
Bozic, V. (2020). Managing information security in healthcare. Smart Cities and Regional Development Journal, 4(2), 63-83. doi:https://doi.org/10.25019/scrd.v4i2.72
Cabrera Peña, K. I., & Montenegro Jaramillo, Y. A. (05 de 2022). Protección de Datos Personales en el Marco de la COVID-19: el Caso de CoronApp en Colombia. The Law, State and Telecommunications Review, 14(1), 179. doi:doi.org/10.26512/lstr.v14i1.39063
Castro Silvestre, L., Hernández Bravo, J., Carranza Gómez, J., & Montero Valverde, J. (2019). Propuesta de una Aplicación Web para la administración y manejo del historial clínico electrónico (HCE) en el sector salud, utilizando el estándar HL7 para la interoperabilidad. Memorias del Congreso Internacional de Investigación Academia Journals Puebla 2019, 11, págs. 369-. Puebla. Recuperado el 21 de 06 de 2023, de https://eds-s-ebscohost-com.vpn.ucacue.edu.ec/eds/detail/detail?vid=0&sid=b8262874-11e4-4a2f-9c7d-0ffc514ccc5e%40redis&bdata=Jmxhbmc9ZXMmc2l0ZT1lZHMtbGl2ZQ%3d%3d#AN=140500802&db=edb
Codina, L. (2018). Sistemas de búsqueda y obtención de informacion: componentes y evolución. Anuario Think EPI, 12, 77-82. doi:https://doi-org.vpn.ucacue.edu.ec/10.3145/thinkepi.2018.06
Consejo de Europa. (2023). https://www.coe.int. Recuperado el 11 de 9 de 2023, de https://www.coe.int/es/web/data-protection/convention108/parties
De La Cruz Rodríguez, G., Méndez Fernández, R. A., & Méndez Fernández, A. C. (30 de 03 de 2023). Seguridad de la información en el comercio electrónico basado en ISO 27001 : Una revisión sistemática. Revista Innovación y Software, 4(1), 4. Recuperado el 6 de 7 de 2023, de https://revistas.ulasalle.edu.pe/innosoft
Díaz Ordoñez, P. E. (2020). Desarrollo de un Prototipo de Framework para brindar seguridad en la confidencialidad de la información en el estándar HL7 CDA R2. Medellín, Colombia. Recuperado el 10 de 06 de 2023, de hdl.handle.net/20.500.12622/4462.
Eichelberg, M., Kleber, K., & Kämmerer, M. (s.f.). Cybersecurity in PACS and Medical Imaging: an Overview. Journal of Digital Imaging, 33(6), 1527–1542. doi:doi.org/10.1007/s10278-020-00393-3
García Ortega, B. (16 de 07 de 2023). upv.es. Obtenido de Introducción a la gestión de la información y del conocimiento en la empresa: https://riunet.upv.es/bitstream/handle/10251/184851/Garcia%20-%20Introduccion%20a%20la%20gestion%20de%20la%20informacion%20y%20del%20conocimiento%20en%20la%20empresa.pdf?sequence=1
Gehrmann, M. (julio-diciembre de 2012). Combining ITIL, COBIT and ISO/IEC 27002 for structuring comprehensive information technology for management in organizations. NAVUS - Revista de Gestão e Tecnologia, 2(2), 66-77. Obtenido de www.redalyc.org/articulo.oa?id=350450810007
HL7 International. (2023). HL7 International. Recuperado el 21 de Junio de 2023, de http://www.hl7.org/implement/standards/index.cfm?ref=nav
Instituto Nacional de Ciberseguridad España, INCIBE. (2016). Cómo gestionar una fuga de información: una guía de aproximación para el empresario. Instituto Nacional de Ciberseguridad España, INCIBE, 1, 20. Recuperado el 17 de 07 de 2023, de www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_fuga_informacion_0.pdf
Internacional Organization for Standardization (ISO). (2023). Norma ISO 27799:2016 Informática de la salud — Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002. Recuperado el 8 de 7 de 2023, de https://www.iso.org/: https://www.iso.org/standard/62777.html
Internacional Organization for Standardization. (2023). ISO.org. Recuperado el 25 de 07 de 2023, de ISO/IEEE 11073-10102:2014: https://www.iso.org/standard/63903.html?browse=tc
Internacional Organization for Standardization. (2023). ISO/TC 215 Informática de la salud. Recuperado el 16 de 07 de 2023, de ISO.org: https://www.iso.org/committee/54960.html
International Organization for Standardization. (Octubre de 2022). ISO/IEC 27001. Recuperado el 15 de Junio de 2023, de https://www.iso.org/standard/27001
International Organization for Standardization. (2023). https://www.iso.org/home.html. Recuperado el 01 de 07 de 2023, de https://www.iso.org/obp/ui/es/#iso:std:iso-iec:27002:ed-3:v2:en
International Organization for Standardization. (2023). ISO. Recuperado el 19 de Junio de 2023, de ISO: https://www.iso.org/standard/iso-iec-27000-family
International Organization for Standardization. (s.f.). Familia ISO/IEC 27000. Obtenido de https://www.iso.org/standard/iso-iec-27000-family
International Organization for Standardization. (s.f.). ISO/IEC 27000:2018. Obtenido de https://www.iso.org/standard/73906.html
ISO 27000. (17 de 07 de 2023). https://www.iso27000.es/glosario.html. Obtenido de https://www.iso27000.es/glosario.html
Jacek Kryszyn, Waldemar T. Smolik, Damian Wanta, Mateusz Midura, & Przemysław Wróblewski. (Marzo de 2023). Comparison of OpenEHR and HL7 FHIR Standards. (P. A. Sciences, Ed.) International Journal of Electronics and Telecommunications, 69(1), 48. doi:https://doi.org/10.24425/ijet.2023.144330
Kim, L. (17 de Febrero de 2018). Concienciación en materia de ciberseguridad: protección de datos y de pacientes. Nursing, 35(1), 62-64. doi:10.1016/j.nursi.2018.02.017.
Kitsios, F., Chatzidimitriou, E., & Kamariotou, M. (27 de Marzo de 2023). El estándar de gestión de seguridad de la información ISO/IEC 27001: cómo extraer valor de los datos en el sector de TI" Sostenibilidad 15, no. 7: 5828. Sustainability, 15(5828), 1-17. doi:10.3390/su15075828
Martínez Jara, J. N. (2022). Protección de datos personales en la historia clínica electrónica bajo el marco legal ecuatoriano. Iustitia Socialis. Revista Arbitrada de Ciencias Jurídicas, 7(1), 776-801. doi:doi.org/10.35381/racji.v7i1.2203
Mendes, R. R., L. de Oliveira, R. R., & B. F. da Costa, A. F. (Junio de 2013). Uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. Revista Principia(22), 69-80. Recuperado el 22 de 05 de 2023, de https://periodicos.ifpb.edu.br/index.php/principia/article/download/158/128
Méndez Solar, J., & Eíto Brun, R. (Noviembre de 2017). NORMAS TÉCNICAS PARA HISTORIA CLÍNICA ELECTRÓNICA EN EL PROYECTO HCDSNS. El profesional de la información, 26(6), 1199-1210. doi:10.3145/epi.2017.nov.19
Ministerio de Telecomunicaciones y de la Sociedad de la Información. (26 de 01 de 2022). https://www.telecomunicaciones.gob.ec/. Recuperado el 10 de 9 de 2023, de https://www.telecomunicaciones.gob.ec/proyecto-de-reglamento-a-la-ley-de-proteccion-de-datos-personales/
Motii, M., & Semma, A. (Mayo de 2017). Towards a new approach to pooling COBIT 5 and ITIL V3 with ISO/IEC 27002 for better use of ITG in the Moroccan parliament. IJCSI International Journal of Computer Science Issues, 14(3), 49-58. doi:doi.org/10.20943/01201703.4958
Nieves, A. (2017). DISEÑO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADOS EN LA NORMA ISO/IEC 27001:2013.
Perez Vasquez, B. (28 de 06 de 2022). Implementación de Seguridad y Privacidad de datos clínicos con el estándar HL7 FHIR. Barcelona, España. Recuperado el 05 de 06 de 2023, de http://hdl.handle.net/2117/371386
Pérez, S. B. (30 de junio de 2022). Situaciones de riesgo moral e incentivos desalineados en ciberseguridad. Revista Chilena de Derecho y Tecnología, 11(1), 103-120. doi:0.5354/0719-2584.2022.60821
Purba, A. D., Purnawan, I. A., & Eka Pratama, I. A. (Diciembre de 2018). Audit Keamanan TI Menggunakan Standar ISO/IEC 27002 dengan COBIT 5. Merpati, 6(3), 148-158. doi:doi.org/10.24843/JIM.2018.v06.i03.p01
Ramirez Benavides, J. (2020). DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LOS PROCESOS DE SOPORTE Y DESARROLLO DE SOFTWARE EN LA EMPRESA ALFCOM S.A BASADO EN LA NORMA ISO/IEC 27001:2013. Trabajo de grado, Bogotá. Recuperado el 5 de Junio de 2023, de http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/11101/TRABAJO%20DE%20GRADO%20ESI43.pdf?sequence=1&isAllowed=y
Ramos Mamami, R. G., Cahuaya Ancco, R., & Llanqui Argollo, R. R. (2023). Política informática y la gestión de la seguridad de la información en base a la norma ISO 27001. Revista Innovación y Software, 4(1), 96-106. Obtenido de revistas.ulasalle.edu.pe/innosoft
Ramos Mamami, R., Cahuaya Ancco, R., & Llanqui Argollo, R. (Marzo de 2023). Política informática y la gestión de la seguridad de la información en base a la norma ISO 27001. Revista Innovación y Software, 4(1), 96-106.
Red Iberoamericana de Protección de Datos. (2016). Estándares de Protección de Datos de los Estados Iberoamericanos. Montevideo, Uruguay. Recuperado el 01 de 07 de 2023, de https://www.redipd.org/sites/default/files/inline-files/Estandares_Esp_Con_logo_RIPD
Rivera Barrantes, V. (2019). Realidad sobre la Privacidad de los Datos Personales en Costa Rica. e-Ciencias de la Información, 9(2). doi:10.15517/eci.v9i2.37503
Rodríguez Arroyo, H. A. (2020). Importancia de controlar todas las amenazas detectadas a través de Magerit v.3 e ISO/ IEC 27002 según análisis de ataques informáticos en Latinoamérica. Barranquilla, Colombia: UNAD. Recuperado el 18 de 05 de 2023, de repository.unad.edu.co/handle/10596/31879
Sanchez Henarejos, A., Fernández Alemán, J. L., & Toval Álvarez, A. (2013). Recomendaciones sobre seguridad y privacidad informática en el tratamiento de datos de salud. Revista eSalud, 9(34), 1-7. Recuperado el 20 de 07 de 2023, de https://dialnet.unirioja.es/servlet/articulo?codigo=4339745
Servicio Ecuatoriano de Normalización. (2023). Academia. Recuperado el 1 de Julio de 2023, de Academia: https://www.academia.edu/35400585/NTE_INEN_ISO_IEC_27000_TECNOLOG%C3%8DAS_DE_LA_INFORMACI%C3%93N_T%C3%89CNICAS_DE_SEGURIDAD_SISTEMAS_DE_GESTI%C3%93N_DE_SEGURIDAD_DE_LA_INFORMACI%C3%93N_DESCRIPCI%C3%93N_GENERAL_Y_VOCABULARIO_ISO_IEC_27000_2016_IDT
Socarrás Benitez, D., Vega Izaguirre, L., & Afonso Artiles, Y. (Febrero de 2021). Propuesta de nuevas funcionalidades para la gestión de la Historia Clínica Electrónica en el sistema XAVIA HIS. Revista Cubana de Informática Médica, 1(1), 6. Obtenido de https://doaj.org/article/318d1191847b409cb463b8d1441e2dd9
Suárez-Obando, F., & Camacho Sánchez, J. (Septiembre de 2013). Estándares en informática médica: generalidades y aplicaciones. Revista colombiana de Psiquiatría, 42(3), 295-302. doi:10.1016/S0034-7450(13)70023-4
Sulistyowati, D., Handayani, F., & Suryanto, Y. (2022). Comparative Analysis and Design of Cybersecurity Maturity Assessment Methodology Using NIST CSF, COBIT, ISO/IEC 27002 and PCI DSS. International Journal on Informatics Visualization, 4(4), 225-230. doi:http://dx.doi.org/10.30630/joiv.4.4.482
Sungkee, L., & Hyoungho, D. (31 de 01 de 2018). Comparison and Analysis of ISO/IEEE 11073, IHE PCD-01, and HL7 FHIR Messages for Personal Health Devices. (K. S. Informatics, Ed.) Healthc Inform Research, 24, 46-52. doi:10.4258/hir.2018.24.1.46
Thales group. (04 de 07 de 2023). Thales Group. Obtenido de https://cpl.thalesgroup.com/es/compliance/iso-277992016-compliance
Velasco Melo, A. H. (Junio de 2008). El derecho informático y la gestión de la seguridad de la información una perspectiva con base en la norma ISO 27 001. Revista de Derecho(29), 333-366. Recuperado el 08 de 07 de 2023, de https://doaj.org/article/d0b89750c953459a80efac6c2b2f5fa4
Velepucha Sánchez, M. A., Morales Carrillo, J., & Pazmiño Campuzano, M. F. (2022). Análisis y evaluación de riesgos aplicados a la seguridad de la información bajo la norma ISO. Revista de Tecnologías de la informática y las telecomunicaciones, 6(1), 63-78. doi:doi.org/10.33936/isrtic.v6i1.4473
Vidal Ledo, M., García Pierrot, G., & Cazes, G. (2005). Seguridad, Información y Salud. Revista Cubana de información médica. Recuperado el 15 de 07 de 2023, de http://www.rcim.sld.cu/revista_7/articulo_htm/segurinfsalud.htm
Viguri Cordero, J. (Octubre de 2021). Las normas ISO/IEC como mecanismos de responsabilidad proactiva en el Reglamento General de Protección de Datos. IDP: Revista de Internet, Derecho y Politica(33), 1-12. doi:10.7238/idp.v0i33.376366