Publicado el procedimiento de gestión de incidencias
La gestión de las incidencias en general y de las relacionadas con la seguridad en particular es un aspecto muy importante en el ámbito de la seguridad de la información. Se entiende por incidencia de seguridad cualquier anomalía o evento con consecuencias en detrimento de la seguridad de los sistemas de información —tanto los de tecnología de la información como los tradicionales— o de los datos que gestionan.
La gestión de las incidencias de seguridad es más efectiva cuanto antes se conozca su existencia. Por eso es clave una comunicación adecuada de dichas incidencias, definida y formalizada adecuadamente.
En este número del BOLETÍN INFORMATIVO pre-tendemos difundir el procedimiento general que debe aplicarse para el proceso de gestión de incidencias de tecnología de la información y el proceso de gestión de incidencias de seguridad, dando a conocer los elementos esenciales para conseguir que la notificación y el registro de incidencias sean efectivos.
Uno de los elementos esenciales es la fase de registro de la incidencia, que comprende desde que se detecta hasta que se notifica. El registro inicial puede tener tres vías de entrada:
- Autoservicio: el registro por autoservicio se produce cuando un cliente? utiliza un sistema de información para registrar automáticamente el caso.
- Llamada al CAU: un cliente sufre una incidencia y llama por teléfono al CAU para comunicársela.
- Agente: un agente detecta o sufre una incidencia y la introduce directamente en el sistema de gestión de incidencias.
La notificación de las incidencias de tecnología de la información y de las incidencias de seguridad es responsabilidad de todo el personal que trabaja en el Servicio de Salud, incluidos el personal externo, los proveedores del servicio de soporte de tecnología de la información y los proveedores de los servicios de seguridad.
Cualquier trabajador que conozca o detecte una incidencia de cualquier tipo o un evento que potencialmente pueda desembocar en un incidente tiene la obligación de notificarlos. No hacerlo puede acarrear que se le apliquen medidas disciplinarias, de conformidad con el régimen disciplinario vigente.
En este sentido, le recordamos que en el enlace siguiente está a su disposición el Código de buenas prácticas en el uso de los sistemas de información y el tratamiento de los datos de carácter personal del Servicio de Salud:
http://www.ibsalut.es/ibsalut/documentospdf/esp/CBP_SSIB_cast.pdf
*Se usa el concepto cliente para diferenciarlo del de usuario, que en el Servicio de Salud se utiliza para referirse a las personas que reciben la prestación sanitaria.