Universidad Piloto de Colombia. Torres Roa Henry Alexander. El modelo BMIS en el sector salud.

El modelo BMIS en el sector salud colombiano

Henry Alexander Torres Roa
henrytorres8073@gmail.com
Universidad Piloto de Colombia

Es de saber que la informacin que se maneja en

ResumenEl presente documento muestra una visin los hospitales e instituciones prestadoras de
general del modelo BMIS de ISACA, as como un anlisis del
estado actual de la seguridad informtica en las organizaciones servicios de salud en general va ms all de
prestadoras de servicios de salud colombianas y una breve nombres, direcciones y padecimientos, muchas
proyeccin del impacto positivo que tendra la implementacin veces existen datos de contacto de familiares y
del modelo en este sector amigos, tarjetas de crdito, nmeros telefnicos,
historiales mdicos familiares y otra informacin
ndice de TrminosOrganizacin, Seguridad sensible que puede ser utilizada para fines de fraude,
informtica, ciberdelincuentes.
extorsiones o secuestros. [1]

Dice Jun Pablo Caro que los ciberdelincuentes

I. INTRODUCCIN
ISACA elabor el modelo BMIS con el objetivo
de proveer seguridad a los activos de informacin de
las empresas para que estas puedan lograr los
objetivos del negocio con un nivel aceptable de
riesgo, con este modelo las empresas se ven como
un conjunto que tiene cuatro elementos que son:
organizacin, personas, tecnologa y procesos, que a
su vez se interrelacionan dinmicamente con el
gobierno, la cultura, la arquitectura, la habilitacin,
el soporte, los factores humanos y emergentes. El
modelo propone un estudio exhaustivo de cada uno
de los elementos e interconexiones desde la
perspectiva de la seguridad que impactar en
agregarle valor al negocio.
II. SEGURIDAD INFORMATICA EN EL
SECTOR SALUD COLOMBIANO
estn volteando por la remuneracin que implica en
los datos y dinero que genera el robo de informacin
de las entidades prestadoras de servicios de salud
del sector pblico o privado, lo cual genera gran
afectacin para ests instituciones.
Implementando BMIS en el sector salud
colombiano, solucionaramos uno de los aspectos que
ms preocupa a las administraciones sanitarias y en
general al sector salud en el pas, el mantenimiento de
la debida privacidad de los pacientes, pues sabemos
que el incumplimiento de la seguridad de la
informacin contina azotando a las empresas en
todo el mundo, a pesar de la implementacin de
tecnologa de punta. Sabemos que para resolver estos
problemas requerimos mucho ms que dispositivos y
software, por lo cual es perfecto el modelo de
negocios de ISACA en mencin ya que aborda los
aspectos de las personas, el proceso, la organizacin
y la tecnologa de la seguridad de la informacin.

[1] Para Jun Pablo Caro, experto e investigador

Colombiano del primer laboratorio de forensia
digital en Amrica Latina (Mattica), las instituciones
clnicas son las ms expuestas a robos de
informacin, no solo porque manejan mucha
informacin sensible de sus pacientes, que es
sensible de recibir ataques de hackers o insiders,
sino porque muchos estn por debajo de la media
internacional de proteccin contra ciberataques.
III. NORMATIVIDAD ACTUAL
La ley 1438 de 2011 en el pargrafo transitorio
dice textualmente: [2] la historia clnica nica
electrnica ser de obligatoria aplicacin antes del
31 de diciembre del ao 2013, esta tendr plena
validez probatoria. [2] la ley estatutaria 1581 de
2012 por la cual se dictan disposiciones para la
proteccin de datos personales decreta en el artculo
Universidad Piloto de Colombia. Torres Roa Henry Alexander. El modelo BMIS en el sector salud.
10 numeral c) que la autorizacin del paciente para
el registro en la base de datos en su atencin mdica
solo dejar de ser necesaria en casos de urgencia
mdica o sanitaria.
La ley colombiana en temas de salud y tecnologa
es muy compleja y contradictoria y podemos verlo si
analizamos con detalle el prrafo anterior, pues
siguiendo la ley al pie de La letra y en la prctica,
observaramos la dificultad operativa y el sobrecosto
que esto genera a la hora de la consulta mdica ya
que cada paciente debe firmar a mano alzada el
consentimiento para autorizar el almacenamiento de
su informacin personal y clnica en la base de datos
durante la consulta mdica, que entre otros tendra
altos sobrecostos por el gasto de papelera en
consentimientos informados aprobatorios y mayores
tiempos de consulta en los que cada profesional de la
salud tendra que explicarle a sus pacientes las
generalidades de la ley de habeas data.
IV. APLICACIN DEL MODELO BMIS
En la figura 1 podemos ver los 4 elementos que
componen el modelo BMIS ISACA y su
interrelacin, que sern en adelante nuestro punto de
partida para el analizar la implementacin del modelo
en el sector salud colombiano.
La organizacin: Segn el modelo BMIS la
organizacin permite el cumplimiento de los
objetivos misionales de la entidad y el logro de los
objetivos de la seguridad de la informacin.
Aplicando este principio del modelo en el sector
2
salud colombiano subsanaramos las contradicciones
existentes en la normatividad, pues si le hacemos un
anlisis a fondo, podramos ver que el estado est
preocupado por la seguridad de la informacin y en
especial por la de los usuarios del sector, pero no se
ha preocupado por los problemas operativos que
genera la aplicacin de las leyes.
Los procesos: aplicando este elemento lograramos
la estandarizacin de los procesos sin dejar de lado la
naturaleza del negocio, pues segn ISACA, los
procesos dentro de la organizacin son el elemento
fundamental que presenta los requerimientos que
establece la empresa para desarrollar, divulgar,
educar y reforzar las prcticas y procedimientos en su
operacin diaria y estos deben tener una justificacin
clara para la naturaleza del negocio.
Tecnologa: segn el modelo BMIS, aunque no es el
todo, la tecnologa es el elemento ms comn de los
sistemas de gestin de seguridad de la informacin y
comparativamente es el de mayor complejidad y
especializacin que proporciona a los responsables de
la seguridad muchas de las herramientas que se deben
usar para el cumplimiento de la misin y la estrategia
de la organizacin como un todo en cuanto a la
seguridad de la informacin.
Teniendo en cuenta lo anterior, el modelo debera
aplicarse en el sector salud decretando un estndar
mnimo de requerimientos tecnolgicos y de
competencias de recurso humano para el manejo
tecnolgico de todas las organizaciones, pues es de
saber que ests prefieren no invertir en este elemento
debido a la falta de conocimiento, lo que sin saber
pone en riesgo al negocio.
Por otro lado, debemos ver el estudio de casos por
separado que muestren fallos de seguridad
informtica y seguramente encontraremos que el
impacto pudo mitigarse o eliminado con la aplicacin
de medidas de seguridad sencillas.
Personas: siguiendo el modelo, las personas no son
nicamente unidades de una persona y no pueden ser
estudiadas de manera aislada, lo que sella la
congruencia del BMIS que tambin dice que para
estudiar cmo las personas afectan la seguridad y
cmo la seguridad afecta las personas es necesario
estudiar la interaccin de las personas como el resto
de los elementos del modelo: procesos, tecnologa y
la organizacin. Las personas dentro de la
Universidad Piloto de Colombia. Torres Roa Henry Alexander. El modelo BMIS en el sector salud. 3

organizacin tienen sus propias creencias, valores y indemnizaciones a pacientes afectados y

comportamientos y una forma en la que se espera que reparacin de daos.
se comporten las personas.

La realidad de los sistemas de gestin que aplican

actualmente las organizaciones que prestan servicios REFERENCIAS
de salud no consideran a las personas como lo
propone el modelo de ISACA y por lo mismo fallan
recurrentemente, ya que estos sistemas consideran el [1] (Blog / Recursos en lnea) Autor Fernando Trujillo,
Mattica Colombia. (2014). Hospitales y clnicas
recurso humano como el operario de un proceso,
vulnerables ante ciberdelincuentes. Disponible en:
dejando de lado las necesidades humanas y por lo
http://fernacsystem.blogspot.com/2013/05/hospitale
mismo encontramos que los fallos de seguridad en los
s-y-clinicas-vulnerables-ante.html
sistemas de gestin de calidad tienen en su mayor
parte un origen humano.
[2] (2011, E n e r o 1 9 ). Ley 1438 de 2011
[Online]. Disponible en:
http://www.unipamplona.edu.co/unipamplona/portal
V. CONCLUSIONES IG/home_54/recursos/01general/04122012/ley_1438
_2011.pdf

1. La implementacin de BMIS en el sector

salud colombiano subsanara incongruencias
normativas que existen actualmente sin dejar
de lado a los pacientes o al negocio como tal.
2. Las personas que trabajan en el sector salud
no pueden ser vistas como unidades
procesales de los sistemas de gestin actual,
pues como concluye Jeimy J. Cano en su
artculo el debido cuidado en seguridad de
la informacin, cuando se tiene claridad
sobre el debido cuidado en el tratamiento de
la informacin en las empresas, se tiene
mayor certeza sobre los impactos de la
materializacin de los riesgos y la forma
como ellos deben ser atendidos. Por lo que
cada persona se convierte en colaboradora
del proceso.
[3] (2013, Julio 28), Artculo, Proteja sus datos personales con
la ley habeas data. Disponible en:
http:// www.larepublica.co/asuntos -
legales/proteja -sus-datos-personales-con-la-ley-
h%C3%A1beas-data_44331
Henry Alexander Torres Roa
Ingeniero en Control Universidad Distrital Francisco Jos de
Caldas.
Aspirante a Especialista en Seguridad Informtica Universidad
Piloto de Colombia.
Ingeniero Coordinador de soporte informtico en
AUDIOCOM S.A.S.

3. En su mayora, las organizaciones que

prestan servicios de salud en Colombia no
dan gran importancia a las tecnologas y las
capacidades cognitivas del recurso humano
que las administra. Si les aplicramos BMIS
impactaramos positivamente la
confidencialidad, integridad y disponibilidad
de la informacin de los pacientes y procesos
en general, previniendo, reduciendo y
evitando fallas de seguridad que podran
costar millones en recuperacin de datos e
Universidad Piloto de Colombia. Torres Roa Henry Alexander. El modelo BMIS en el sector salud. 4