ISO 17025 y la Seguridad de la Información

En este momento estás viendo ISO 17025 y la Seguridad de la Información

Entre los diversos aspectos que debemos considerar dados los nuevos enfoques que han experimentado los Sistemas de calidad de Gestión, y los extraordinarios cambios tecnológicos que se siguen sucediendo, está el manejo de la seguridad y confidencialidad de la información.

Es sorprendente la cantidad de conceptos y particularidades que encontramos en esta categoría que llamamos seguridad de la información, de allí se desprende la necesidad de identificar y conocer desde la terminología hasta la forma de abordar en forma efectiva y eficaz este requisito para lograr la preservación, el manejo y la confidencialidad de la información sensible en el ámbito de la producción de bienes y servicios.

Además de la confiabilidad, el concepto de confidencialidad siempre ha estado presente en el tipo de trabajo e información que se produce en un laboratorio, sin embargo, la seguridad de la información ha sido asociado más bien a la afectación positiva o negativa que su fuga puede producir sobre las partes interesadas específicamente en materia de salud, ambiente, cumplimiento de especificaciones comerciales, entre otros. Sin importar del tipo de actividad a que este asociado el resultado emitido por un laboratorio; control de calidad, investigación, desarrollo o control de procesos, todos tienen un impacto que puede ser de menor o mayor relevancia, de allí que la materia de seguridad de la información y su confidencialidad son de especial atención.

Las propias normas 17025 y 15189 sobre competencias de laboratorios de calibración y ensayo, y clínicos incorporan la confidencialidad dentro de los requisitos generales.

Cambios en los Sistemas de Gestión de Calidad

Como sabemos, a partir del año 2015 los Sistemas de Gestión de Calidad han experimentado cambios en lo relacionado con organización por procesos, desempeño y riesgo.

El enfoque en procesos está asociado con la forma de abordar la organización, sus actividades y responsabilidades, en este sentido sugiere una arquitectura donde el protagonista es el proceso y su líder.

El segundo enfoque habla del reconocimiento de las organizaciones por su competencia y no solamente por el cumplimiento de los requisitos establecidos en las normas.

El reconocimiento con base en el desempeño genera la necesidad de disponer de información relacionada con la medición del cumplimiento de las metas. En línea con este enfoque aparece el concepto de indicadores de gestión cuyo uso se ha intensificado por ser una herramienta que facilita el monitoreo de la gestión y el cumplimiento de las metas lo cual es información sensible en cualquier organización.

El enfoque por desempeño obliga al cumplimiento de las metas como muestra de competencia, sin embargo, es bueno tener presente que el cumplimiento de los requisitos en un sistema de gestión de la calidad es una condición importante para desarrollar organizaciones sólidas, respaldadas por procedimientos, controles y evaluaciones y con orientación hacia la satisfacción del cliente.

El tercer cambio importante es el enfoque basado en riesgo que tiene como objetivo detectar, controlar y dar solución a todas aquellas amenazas que pueden incidir en la no consecución de las metas, sobre la continuidad del negocio y hasta en la supervivencia de una empresa.

Es notable la cantidad y diversidad de información que debe ser generada y que puede ser en menor o mayor grado sensible para los objetivos de cualquier empresa.

La información relacionada con cada una de las actividades que constituyen el quehacer de las organizaciones, es información que debe ser valorada en términos de su manejo, preservación, resguardo y confidencialidad.

Seguridad de la Información

Hoy en día la seguridad de la información es una materia de gran relevancia y es considerada la disciplina que se encarga de garantizar la confidencialidad, integridad y disponibilidad de la información. La seguridad de la información es un tópico que debe ser abordado y considerado dentro de la evaluación de los riesgos de la empresa y revisar las consecuencias de su inadecuado manejo.

En concreto, cuando hablamos de seguridad de la información en una organización nos referimos a aquella información sensible a los intereses de la misma y a sus clientes y está condicionada por los procesos organizativos utilizados, el tamaño y la estructura de las empresas.

La gestión de la seguridad de la información tiene como objetivo preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos.

La seguridad de la información y la evaluación del riesgo son áreas de atención para una empresa que van de la mano por lo que para lograr eficacia y eficiencia en su gestión deben ser abordadas como complementarias. Luce razonable que con las expectativas que generan los cambios en los sistemas de gestión de la calidad las organizaciones evalúen en forma preliminar los tipos de información y sus requerimientos en cuanto a su manejo, preservación, resguardo y confidencialidad.

Estudios sobre la ineficiencia del manejo de la información señalan que alrededor del cincuenta por ciento de la información de las empresas está duplicada, de allí que es necesario revisar la administración de dicha información y diseñar su manejo desde una perspectiva global lo cual nos habilitaría para hacer un uso eficiente de la tecnología.

imagen-articulo-blog-seguridad-informacion-iso-17025-1

Los cambios que hemos reseñado están ocurriendo en simultáneo con los grandes desarrollos tecnológicos en el campo de la información y comunicación y son una gran oportunidad para pensar en posibles vías para el tratamiento de la información y el abordaje de su seguridad basada en las necesidades tanto de la empresa como de los clientes.

Como pasos inmediatos está inventariar el tipo de información que se maneja, determinar las necesidades de preservación y disponer de una clasificación del riesgo asociado, así como, de la valoración de su confidencialidad. En resumen, la información debe ser clasificada según la importancia para el negocio, prioridades, valor y relevancia..

Disponer de una información apropiada es imprescindible si queremos hacer uso de las bondades que nos proporcionan las tecnologías de información.

En el caso de los laboratorios y adicional a las consideraciones mencionadas, se debe añadir, la forma de su obtención de la información, sobre todo los datos ya que se generan de manera diversa a través de los sistemas de medición en el laboratorio, de sistemas de procesamiento de datos, o en forma directa de analizadores en línea como en el caso de control de procesos. De la misma forma se debe considerar la inmediatez de la información como en el caso de análisis in situ, remoto o en tiempo real.

Bondades del uso de las TIC

Visualicemos ahora las bondades que representa el uso de las tecnologías de información y comunicación (TICs) cuyo uso es mandatorio de acuerdo con las necesidades del mercado.

La aparición de las TICs ha ocasionado un incremento de la demanda de procesos digitalizados, de información de mejor calidad manejada en forma más rigurosa, confiable, mejor control de los datos y su generación en tiempo real y con una atención especial con relación a la preservación, integridad y confidencialidad no solo de la información sino de la infraestructura tecnológica utilizada.

Cuando revisamos todos los cambios que se han introducido no cabe duda que estamos frente a un reto mayúsculo que es el rediseño de las organizaciones. Debemos tener presente que el fin último de todos estos cambios es mejorar el desempeño de las organizaciones dando solución a los tres requerimientos básicos de la sociedad que son >confiabilidad de productos y servicios, rapidez y productividad.

La mejor manera de utilizar la tecnología es conocer las facilidades que ellas proporcionan y como responden a las necesidades de la organización. Comencemos por hacer algunas distinciones de cierta terminología usada: TICs, informatización, digitalización y transformación digital de las organizaciones.

Bajo el nombre de TICs se integran los recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios que permiten la compilación, procesamiento, almacenamiento, transmisión de información como: voz, datos, texto, video e imágenes. Estas herramientas ya han sido utilizadas para actividades como por ejemplo en las auditorias remotas de sistemas de gestión de la calidad de acuerdo con la última versión de la ISO 19011.

Informatizar consiste en añadir capas informáticas a una cadena de valor que no cambian. Mediante esta acción ocurre la implantación efectiva de procedimientos operativos de las organizaciones evitando el manejo de datos en forma manual siendo el beneficio principal evitar errores humanos y la mejora del control de los procesos. Las herramientas que se utilizan deben ser adaptables a los procesos además de eficaces. En este sentido se introduce el uso de computadoras u otros recursos de la informática para mejorar un proceso o actividad. Se dice que este es un proceso transformador hacia una sociedad de la información. A este concepto se adaptan las iniciativas que desde hace años se llevan a cabo en los laboratorios.

La informatización de un área o actividad en una empresa representa un trabajo exhaustivo, que conviene anticipar y realizar de manera muy bien planificada. Debemos responder tres preguntas básicas: objetivos de la informatización de los procesos, estrategia a seguir y como se construyen esos procesos informatizados.

El objetivo en la informatización de procesos es el control del proceso, es decir, la mejora del proceso a través de la aplicación de herramientas informatizadas eficaces y adaptadas al proceso, de forma que consigamos: La implantación efectiva de los protocolos definidos por la organización, que sirvan como guía para los operarios en los procesos. Evitar la introducción de datos de forma manual y los errores asociados.

imagen-articulo-blog-seguridad-informacion-iso-17025-2

Digitalización consiste en fraccionar la cadena de valor de un negocio y plantearse desde el valor al cliente una cadena nueva, eliminando todo lo accesorio.

Se dice también que la digitalización es la automatización de los procesos manuales y en papel existente, habilitada por la digitalización de la información de un formato analógico a un formato digital o dicho de otra manera, es el proceso por el cual procesos analógicos y objetos físicos se convierten al formato digital. En esta categoría están los sistemas de información de laboratorios (LIMS). Sería de gran beneficio que los procesos de validación y control de calidad en los laboratorios puedan ser informatizados.

¿Dentro de qué concepto se enmarcan los cambios y cuáles han sido los avances en los laboratorios?

Cualquiera que sea el concepto y directamente relacionado con la seguridad de la información está la preservación digital que es el conjunto de métodos, normas y técnicas destinadas a garantizar que la información digital almacenada, sea cual sea el formato, programa, máquina o sistema que se utilizó para su creación, pueda permanecer y seguir usándose pese a los futuros cambios tecnológicos u otras causas que puedan alterar la información que contienen.

La incorporación de la tecnología trae consigo nuevas amenazas y por ende nuevos riesgos que atender para la gerencia de la información. Con respecto a la digitalización y a la informatización estamos hablando de obsolescencia de la tecnología, datos fácilmente alterables, barreras de acceso, mala identificación, falta de conocimientos y competencia en el área.

La ISO ha desarrollado una serie de guías o normas denominadas serie 27000 las cuales contienen un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.

Para el caso de los laboratorios, y como ya he expresado en anteriores blogs, los laboratorios no necesitan implementar un sistema de gestión de calidad de seguridad de la información pero si conocer los conceptos, elementos y las buenas prácticas relacionados con esta materia e incorporarlos al manejo de su información sensible, normas como la ISO 27004 donde se presentan técnicas de medida, las métricas y los controles aplicables para medir la eficacia en la seguridad de la información así como la ISO 27005 que ayuda a manejar la seguridad de la información con un enfoque basado en riesgo.

Como podemos concluir las organizaciones de laboratorio enfrentan el enorme reto de incorporar todos estos cambios, que además de requerir una atención especial dentro del propio quehacer diario del laboratorio, organización prestadora de un servicio muy demandante en cuanto a conocimientos técnicos, velocidad de respuesta y confiabilidad. La nueva manera de hacer las cosas implica el desarrollo de una serie de competencias hasta ahora no consideradas. Los cambios se van a concretar, sin embargo, hay que estar conscientes de que su éxito depende de una buena identificación de las necesidades, objetivos y la planificación correspondiente.

Sobre el Autor: Mirtha Jimenéz. PHD en Química. Egresada de la UCV. Con 40 años de experiencia en química analítica y sistemas de gestión de calidad para laboratorios, ha sido instructor en el Diplomado de Calidad para Laboratorios de la UCAB y actualmente dicta conferencias a nivel nacional e internacional en el área de calidad.

Deja un comentario