Modelo de gestión de seguridad de información basado en un enfoque de Gestión de Riesgos para el Sector de Salud privado de Chiclayo

Abstract

La presente investigación aborda la problemática de la gestión de la seguridad de la información en procesos relacionados a la gestión de historias clínicas en las instituciones prestadoras de servicios de salud (IPRESS) que poco son tratados en investigaciones y en modelos de gestión de seguridad. El propósito de este estudio es desarrollar un modelo de seguridad de la información bajo un enfoque de gestión de riesgos de tecnologías de información utilizando como referencia las recomendaciones y buenas prácticas de estándares como la ISO/IEC 27001, ISO/IEC 27002 y la metodología española Magerit, aplicado en tres IPRESS de la ciudad de Chiclayo Perú, como casos de estudio. Para la construcción del modelo propuesto se tomó en consideración la normativa vigente para Perú, relacionada con la gestión de las historias clínicas electrónicas considerándolos como el centro de los procesos hospitalarios, de consulta ambulatoria y de emergencia. El método investigativo utilizado fue del tipo descriptivo propositivo en la cual se explica cada una de las actividades y tareas como un marco de trabajo para la identificación y gestión de los riesgos llegando hasta el cálculo del nivel de exposición a los riesgos. Con los resultados obtenidos se llegó a concluir que las amenazas provenientes por actos malintencionados o por errores y negligencias del personal son los que tienen un mayor nivel de exposición al riesgo; mientras que las amenazas que provienen de acciones sobre los sistemas y los datos son los que presentan menor exposición al riesgo.

This research addresses the problem of information security management in processes related to the management of clinical records in health service provider institutions (IPRESS) that are rarely addressed in research and in security management models. The purpose of this study is to develop an information security model under an information technology risk management approach using as a reference the recommendations and good practices of standards such as ISO/IEC 27001, ISO/IEC 27002 and the Spanish Magerit methodology, applied in three IPRESS in the city of Chiclayo, Peru, as case studies. For the construction of the proposed model, the current regulations for Peru were taken into consideration, related to the management of electronic clinical records, considering them as the center of hospital, outpatient and emergency processes. The investigative method used was of the descriptive propositional type in which each of the activities and tasks is explained as a framework for the identification and management of risks, reaching the calculation of the level of exposure to risks. The results obtained led to the conclusion that threats arising from malicious acts or errors and negligence on the part of personnel are those with the highest level of exposure to risk, while threats arising from actions on systems and data are those with the lowest exposure to risk.