FICHA DE AVANCE SUBPROYECTO PROYECTO H2050 … · a las unidades de la organización responsables...
Transcript of FICHA DE AVANCE SUBPROYECTO PROYECTO H2050 … · a las unidades de la organización responsables...
Fichas Avance Subproyectos pag 1
FICHA DE AVANCE SUBPROYECTO
PROYECTO H2050
SUBPROYECTO 8-Hospital Digital Seguro
ÁREA TEMÁTICA Hospital seguro
1. Nº total propuestas recibidas y empresas participantes:
2. Alcance del proyecto / Análisis funcional:
Este subproyecto se orienta a:
a) La creación de un laboratorio de seguridad que incluya las diferentes líneas de actuación:
- Desarrollo de aplicaciones y servicios de auditoría ética /herramientas de apoyo.
- Consultoría en la elaboración de metodología en seguridad de la información
sanitaria basado en los estándares de seguridad existentes creando un modelo de
referencia que aplicará al desarrollo de los proyectos asociados al H2050 y otros
futuros de la organización.
- Definición/implantación de un comité operativo de seguridad.
- Elaboración de un cuadro de mandos de seguridad.
- Revisión independiente de la seguridad.
- Revisión periódica del análisis de riesgos.
- Elaboración de guías y cursos de buenas prácticas en materia de seguridad de la
información sanitaria.
- Refuerzo continuo la seguridad en el acceso a la información sanitaria.
- Gestión optimizada del parque informático.
SUBPROYECTONº
PROPUESTASENTIDADES PARTICIPANTES
ÚLTIMA FECHA DE ENVIO PROPUESTA
AMERICAN APPRAISAL
ATOS SPAIN S.A.
BIT OCEANS RESEARCH, S.L.
CA IT Management Solutions Spain S.L.U.
CANDEDO & ABYPERSONALIZE
CITIC: Centro de Investigación en Tecnoloxías
da Información e as Comunicacións da Universidade da Coruña
CyE Control y Estudios S.L.
ENXENDRA TECHNOLOGIES, S.L.
EVERIS SPAIN S.L.U.
FUJITSU TECHNOLOGY SOLUTIONS
GRADIANT: Fundacion Centro Tecnolóxico de Telecomunicacións de Galicia
INSTITUTO CIENTIFICO DE INNOVACION Y TECNOLOGIAS APLICADAS, SL (INCITA)
JESÚS PREGO DOMÍNGUEZ
ROCÍO LÓPEZ CONDE
SALVADOR MARTÍNEZ PARDO
CONVOCATORIA ABIERTA DE PROPUESTAS DE
SOLUCIONES INNOVADORAS
H2050-8-Hospital digital
seguro31
Fech
a ac
tual
izad
a d
el ú
ltim
o e
nví
o d
e p
rop
ues
tas:
06
/03
/20
13
Fichas Avance Subproyectos pag 2
b) Sistema integral de gestión de derechos /solicitudes en el ámbito de la Ley Orgánica de Protección
de Datos: Gestión de Protección de Datos 2.0: Desarrollo de herramientas / procedimientos que
faciliten el ejercicio de determinados derechos de los ciudadanos respecto la información que de
ellos es manejada por la organización, que permita:
- Facilitar la tramitación de la autorización del acceso por terceros a la información
asegurando el consentimiento por parte de los afectados
- Implementar un portal de tramitación de los derechos ARCO (Acceso/ Rectificación
/Cancelación / Oposición) de forma que se facilite / agilice el ejercicio de los
mismos
- Automatizar la supervisión de registros de acceso a datos sensibles
c) Mejoras en el Dispositivo del Botón de Alerta: Existen situaciones de violencia contra los
profesionales de la organización que requieren un aumento de las medidas de seguridad
implementadas. Resulta imprescindible proporcionar mecanismos de respuesta por la vía de la
prevención, de forma que se atajen las situaciones violentas antes de que estas lleguen a
producirse. Para ello se plantea:
- Implementación / mejora las soluciones actualmente existentes, para facilitar al
resto de compañeros de trabajo la identificación y conocimiento de las solicitudes
de ayuda de cualquier profesional dentro de los edificios de la organización, o
incluso cuando se desplaza fuera de estos para el desarrollo de sus funciones
limitando y controlando los falsos positivos.
- Evaluar la conexión con algún sistema de seguridad centralizado y facilitar el trabajo
a las unidades de la organización responsables del estudio de estos incidentes.
- Mejorar y evolucionar los métodos implementados de aviso tales como una alarma
luminosa o sonora, el envío de mensajes al teléfono móvil / llamada automática o
salto de tono de alarma etc.
- Seguimiento continúo de los casos y en función de la evolución y tipología de los
mismos adaptar los sistemas a las necesidades detectadas.
Así mismo se identifican diferentes ideas en estudio:
• Acceso a Información en Remoto y desde Dispositivos Móviles: Estudiar las posibilidades de
descargar la información estrictamente necesaria en un formato estándar a dispositivos móviles
debidamente controlados y autorizados, con el fin de garantizar el respeto a la seguridad de la
información en ámbitos tan sensibles como los sanitarios.
Fichas Avance Subproyectos pag 3
• Gestión de Acceso Temporal a los Sistemas de Información en la Renovación / Olvido de la Tarjeta
de Acceso: Proporcionar soluciones temporales y seguras de acceso mientras se tramita la
creación ó renovación de la tarjeta de profesional ó bien poder proporcionar un acceso seguro y
no permanente que cubra eventualidades semejantes (pérdida, robo, olvido, etc).
• Seguridad en la digitalización de la información: Se trata de reducir al máximo el uso del papel en
la organización, así como de la digitalización del papel existente atendiendo a la legislación en la
materia. El proyecto debe tener el alcance de forma que cubra la generación de los registros
asociados y la trazabilidad necesaria que garanticen el correcto desarrollo de los procesos
asistenciales y la tramitación de los procedimiento administrativo, atendiendo a los establecido en
el Esquema Nacional de Interoperabilidad y demás legislación que sea aplicable.
• Base de Datos Sanitarios Anonimizada / Cifrada: Existe una demanda de explotación de la
información con fines de investigación por parte de personal de la organización y incluso ajenas a
esta que el Sergas no es capaz de proporcionar de manera segura y eficiente, por lo que no se está
facilitando a terceros obtener todos los beneficios posibles a la información que el Sergas gestiona.
• Implantación de un Servicio de Certificación Video y Mensajería: Establecimiento de servicios de
certificación de forma que se asegure la integridad y autenticidad de la información en los
sistemas de transmisión de información y comunicación de difícil control, como puede ser el caso
del correo electrónico, videoconferencia, mensajería instantánea, todos ellos integrados con las
tecnologías y necesidades de uso del Sergas. Además el alcance de los requisitos para la video-
conferencia deben recoger la validación funcional de las condiciones en las que se desarrolla la
mismas por parte de los usuarios de los sistemas.
3. Identificación de elementos innovadores a desarrollar:
Desarrollar un portal que recoja toda la información de los procedimientos y resultados del subproyecto 8-
Hospital Digital Seguro.
4. Documentación anexa
Hospital Digital Seguro
• Dentro de las líneas de actuación identificadas, el subproyecto en que nosenglobamos es el de Hospital Digital Seguro.• El grupo de trabajo identifica posibles ideas de actuación dentro del subproyecto.• Las ideas deben enfocarse a innovación tecnológica /organizativa dentro de laorganización.• Hasta la fecha se tienen identificadas varias propuestas (hasta 18) que se pueden
Título de la presentación | 2
englobar dentro de las diferentes líneas de actuación definidas.•Se ha puesto en común estas propuestas con el resto de grupos definidos,clasificándose en ideas de demanda temprana y en estudio.
Desarrollo de las Líneas de Actuación
En cada una de la líneas de actuación se van a identificar diferentes ideas deforma que estas puedan alcanzar determinados objetivos .El alcance y tipología de cada una de las ideas que se desarrollan entran dentro delámbito tecnológico o en el ámbito organizativo.Los proyectos a desarrollar pueden ir desde los de gran alcance en cuanto amedios y recursos hasta pequeñas modificaciones , cambios organizativos omejoras identificadas sobre procesos o actividades concretas.
Título de la presentación | 3
mejoras identificadas sobre procesos o actividades concretas.La tecnología puede ser la base en la mayor parte de los proyectos que sedesarrollen, pero el carácter innovador de las iniciativas incluye también el cambioen algunas estructuras organizativas, la utilización de sinergias existentes o lareutilización optimización de tecnologías que se encuentren en explotación enámbitos / áreas donde no se emplean todavía.
Recopilación de Actuaciones
Una vez identificadas las principales líneas de actuación, ser pretende que elpersonal interno y externo a la organización pueda identificar los proyectos yactuaciones de mejora concretos, y que se abran vías para proponerposibilidades de mejora, que puedan ser analizadas en búsqueda de una solucióntécnica y/u organizativa que se pueda poner en marcha.
Las propuestas de mejora que se reciban se englobarán dentro de las líneas de
Título de la presentación | 4
Las propuestas de mejora que se reciban se englobarán dentro de las líneas deactuación, bien dentro de cada una de las ideas de desarrollo ya definidas , ó bienestableciendo una nueva idea englobada en las líneas ya definidas .
Título de la presentación | 5
Ideas de Demanda TempranaIdeas de Demanda Temprana
Hospital Digital Seguro
Grado de Madurez de la Idea
Idea desarrollada a un nivel que permite comenzar la definición concreta de su puesta en marcha
Idea desarrollada a un nivel que aconseja una mayor definición antes de su puesta en marcha
Título de la presentación | 6
Idea desarrollada a un nivel que no permite el inicio de su puesta en marcha antes de una mayor nivel de definición
Puesta en Marcha de un laboratorio de seguridad de la información sanitaria
Idea Identificada
Desarrollo de un punto único de referencia en materia de seguridad de la información sanitariaque centralice las actuaciones en materia de seguridad de la información sanitaria.
Solución Propuesta
Creación de un laboratorio de seguridad que incluya las diferentes líneas de actuación:• Desarrollo de aplicaciones y servicios de auditoría ética /herramientas de apoyo• Consultoría en la elaboración de metodología en seguridad de la información sanitaria
Título de la presentación | 7
• Consultoría en la elaboración de metodología en seguridad de la información sanitariabasado en los estándares de seguridad existentes creando un modelo de referencia queaplicará al desarrollo de los proyectos asociados al H2050 y otros futuros de la organización.
• Definición/implantación de un comité operativo de seguridad• Elaboración de un cuadro de mandos de seguridad• Revisión independiente de la seguridad• Revisión periódica del análisis de riesgos• Elaboración de guías y cursos de buenas prácticas en materia de seguridad de la información
sanitaria• Refuerzo continuo la seguridad en el acceso a la información sanitaria• Gestión optimizada del parque informático
Sistema integral de gestión de derechos /solicitudes en el ámbito de la Ley
Orgánica de Protección de Datos: Gestión de Protección de Datos 2.0
Idea Identificada
Desarrollo de herramientas / procedimientos que faciliten el ejercicio de determinados derechosde los ciudadanos respecto la información que de ellos es manejada por la organización.
Solución Propuesta
Desarrollo de herramientas y de la normativa que permita:
Título de la presentación | 8
Desarrollo de herramientas y de la normativa que permita:• Facilitar la tramitación de la autorización del acceso por terceros a la información
asegurando el consentimiento por parte de los afectados• Implementar un portal de tramitación de los derechos ARCO (Acceso/ Rectificación /
Cancelación / Oposición) de forma que se facilite / agilice el ejercicio de los mismos• Automatizar la supervisión de registros de acceso a datos sensibles
Mejoras en el Dispositivo del Botón de AlertaIdea Identificada
Existen situaciones de violencia contra los profesionales de la organización que requieren un aumento delas medidas de seguridad implementadas. Resulta imprescindible proporcionar mecanismos de respuestapor la vía de la prevención, de forma que se atajen las situaciones violentas antes de que estas lleguen aproducirse.
Solución Propuesta
Implementación / mejora las soluciones actualmente existentes, para facilitar al resto de compañeros de
Título de la presentación | 9
Implementación / mejora las soluciones actualmente existentes, para facilitar al resto de compañeros detrabajo la identificación y conocimiento de las solicitudes de ayuda de cualquier profesional dentro de losedificios de la organización, o incluso cuando se desplaza fuera de estos para el desarrollo de susfunciones limitando y controlando los falsos positivos. Evaluar la conexión con algún sistema deseguridad centralizado y facilitar el trabajo a las unidades de la organización responsables del estudio deestas incidentes.Así mismo se plantea mejorar y evolucionar los métodos implementados de aviso tales como una alarmaluminosa o sonora, el envío de mensajes al teléfono móvil / llamada automática o salto de tono de alarmaetc. Seguimiento continuo de los casos y en función de la evolución y tipología de los mismos adaptar lossistemas a las necesidades detectadas.
Acceso a Información en Remoto y desdeDispositivos Móviles
Idea Identificada
La información no siempre se encuentra accesible cuando se necesita, comopuede ser el caso de desplazamientos a domicilios, urgencias sanitarias, servicios prestadosdesde unidades móviles ...
Solución Propuesta
Estudiar las posibilidades de descargar la información estrictamente necesaria en un formato
Título de la presentación | 11
Estudiar las posibilidades de descargar la información estrictamente necesaria en un formatoestándar a dispositivos móviles debidamente controlados y autorizados, con el fin degarantizar el respeto a la seguridad de la información en ámbitos tan sensibles como lossanitarios. Se pretende explorar vías como tarjetas de memoria cifradas, posibilidades delsoftware de móviles,… de forma que se tenga acceso a la información requerida en eltrascurso de la atención sanitaria de manera segura, controlada y con plenas garantías paralos pacientes y profesionales.En los casos de los profesionales que desarrollan su trabajo fuera de los locales de laorganización el alcance de los proyectos no se limitará a la descarga puntual de información,sino que conllevara lograr el acceso continuo a la misma manteniendo las mismascondiciones que en el acceso desde los locales de la organización.Idea a desarrollar con el resto de grupos de trabajo.
Gestión de Acceso Temporal a los Sistemas de Información en la Renovación / Olvido de la Tarjeta de Acceso
Idea Identificada
Proporcionar soluciones temporales y seguras de acceso mientras se tramita la creación órenovación de la tarjeta de profesional ó bien poder proporcionar un acceso seguro y nopermanente que cubra eventualidades semejantes (pérdida, robo, olvido, etc).
Solución Propuesta
Aplicar tecnologías ó soluciones que permitan cargar de forma temporal y con plenas garantías deseguridad los certificados digitales, de tal forma que permitan acceder a los sistemas de
Título de la presentación | 12
seguridad los certificados digitales, de tal forma que permitan acceder a los sistemas deinformación de forma temporal hasta que se emita / recupere la tarjeta (stock de tarjetasprovisionales en las que puedan grabar temporalmente certificados, servidores seguros decertificados…).Otra posible solución es tener un servidor de certificados centralizado donde los profesionalescarguen voluntariamente el mismo para los casos de eventualidades identificados conanterioridad, estableciendo para su acceso los mecanismos de validación en remoto necesarios(ej: voz / datos biométricos / etc), de forma que comprobada la autenticidad del solicitante sepermita el acceso al certificado para la firma.Necesario darle un mayor enfoque a innovación.
Seguridad en la digitalización de la información
Idea Identificada
Trabajar para eliminar, en la medida de lo posible, el papel en el desarrollo de la actividad de forma que lamayor parte de actividades se hagan de forma electrónica, incluyendo la tramitación, gestión y custodiade la documentación asociada a los procesos de autorización del usuario.
Solución Propuesta
Se trata de reducir al máximo el uso del papel en la organización, así como de la digitalización del papelexistente atendiendo a la legislación en la materia. El proyecto debe tener el alcance de forma que cubra
Título de la presentación | 13
existente atendiendo a la legislación en la materia. El proyecto debe tener el alcance de forma que cubrala generación de los registros asociados y la trazabilidad necesaria que garanticen el correcto desarrollode los procesos asistenciales y la tramitación de los procedimiento administrativo, atendiendo a losestablecido en el Esquema Nacional de Interoperabilidad y demás legislación que sea aplicable.Coordinar el desarrollo con el grupo de Antonio.
Health’s Big DataBase de Datos Sanitarios Anonimizada / Cifrada
Idea Identificada
Existe una demanda de explotación de la información con fines de investigación por parte de personal de laorganización y incluso ajenas a esta que el Sergas no es capaz de proporcionar de manera segura yeficiente, por lo que no se está facilitando a terceros obtener todos los beneficios posibles a la informaciónque el Sergas gestiona.
Solución PropuestaContratación del proyecto de creación de una base de datos centralizada, securizada, cifrada y
Título de la presentación | 14
Contratación del proyecto de creación de una base de datos centralizada, securizada, cifrada yanonimizada a la que se pueda tener acceso de forma segura y que sea útil para la organización facilitandola correcta explotación de la información en ella contenida. El alcance abarca desde la fase de definición ala puesta en marcha y definición del proceso de gestión una vez definida.Coordinar el desarrollo con el grupo de Javier Quiles.
Implantación de un Servicio de CertificaciónVideo y Mensajería
Idea Identificada
Ante al aumento exponencial en el uso de nuevas tecnologías de comunicación, podrían darsesituaciones que impliquen falta de seguridad sobre la identidad de los interlocutores, mensajesenviados que puedan ser interceptados y/o modificados por terceros de forma no autorizada orepudio de la autoría de los mismos, ante la ausencia de servicios de certificación de utilizaciónsencilla.
Solución Propuesta
Título de la presentación | 15
Solución Propuesta
Establecimiento de servicios de certificación de forma que se asegure la integridad y autenticidad dela información en los sistemas de transmisión de información y comunicación de difícil control, comopuede ser el caso del correo electrónico, videoconferencia, mensajería instantánea, todos ellosintegrados con las tecnologías y necesidades de uso del Sergas. Además el alcance de los requisitospara la video-conferencia deben recoger la validación funcional de las condiciones en las que sedesarrolla la mismas por parte de los usuarios de los sistemas.La idea se desarrollará con la colaboración de todos los grupos
Título de la presentación | 16
Recopilación de Ideas / Próximos Pasos Recopilación de Ideas / Próximos Pasos
Hospital Digital Seguro
Portal Sergas de la Seguridad de la Información
Desde el momento de presentación del proyecto H2050 se propuso que toda lainformación, procedimientos y resultados del subproyecto Hospital DigitalSeguro estuviese disponible en un portal que se pretende sea referencia en elámbito sanitario.
Título de la presentación | 17
http://www.sergas.es/MostrarContidos_N2_T01.aspx?IdPaxina=60433
Próximos Pasos
Presentación de las líneas de actuación/ ideas identificadas a los componentesdel grupo de trabajoDesarrollo de los siguientes pasos de actuación:
• Apertura a actores internos y externos de la organización para la identificación denuevas ideas, oportunidades de mejora y actuaciones concretas dentro de lasideas identificadas o complementarias a los objetivos marcados.
Título de la presentación | 18
ideas identificadas o complementarias a los objetivos marcados.• Avance en el detalle de desarrollo de cada uno de los subproyectos asociadosa cada una de las ideas identificadas:
�Desarrollo de objetivos específicos�Identificación de indicadores�Estimación del esfuerzo asociado�Análisis de impacto en la organización