05 Jun Segunda auditoría de certificación del sistema de receta médica privada electrónica
Recientemente he podido firma la segunda auditoria de auditoría de certificación del sistema de receta médica privada electrónica que se realiza en España. En este caso un importante software multinacional me solicita realizar esta auditoria por haber sido el primer auditor en España en haber realizado la única que se ha presentado a la OMC (Organización Médica Colegial de España).
Uno de los requisitos que la OMC solicita a mis clientes es ser Auditor CISA, certificación que poseo y que me ayuda a trabajar metódicamente este tipo de auditorias.
Segunda auditoría de certificación del sistema de receta médica privada electrónica
Como auditor CISA este tipo de auditoria se realiza en 2 fases. En una primera fase comprobamos que, en rasgos generales y siempre siguiendo los criterios de la OMC, que el software cumple con una serie de requisitos establecidos. En una segunda fase, presencialmente con el cliente, se realizara la auditoria final, tomando evidencias de todos los puntos de control y requisitos que marca esta certificación.
En este post quiero hablar de los objetivos de control. Tengamos en cuenta que los objetivos de control que deben cumplir los sistemas de receta médica privada electrónica candidatos a la certificación por el organismo de certificación se agrupan en las siguientes categorías:
– Controles funcionales y técnicos. En este punto profundizaremos en que realmente se desarrollan las funcionalidades y cuestiones técnicas que requiere la OMC, por ejemplo, centrando el foco en el concepto de tratamiento, gestión de estupefacientes, gestión de aseguradoras,…
– Controles de formalización documental. En este punto hablamos de toda la documentación que debe generar la aplicación para cumplir con los requisitos de la OMC. Por ejemplo recetas, consentimientos,…
– Controles de interoperabilidad. El sistema debe interoperar con diferentes sistemas externos, típicamente debe ofrecer integración vía Web Service, SOA, DNI electrónico, firma electrónica,…
– Controles de protección de datos de carácter personal. Ahora con más importancia con el nuevo RGPD y teniendo en cuenta que estamos en el nivel más alto de protección, datos de salud.
– Controles de seguridad y confidencialidad. Como auditor CISA y máster en ciberseguridad por Deloitte considero que la seguridad y confidencialidad son dos pilares clave de las aplicaciones que se desarrollan para este tipo de fin, tal y como lo considera la OMC. Es por ello que se debe asegurar que la arquitectura, buenas prácticas, etc están alineados con la seguridad y ciberseguridad de la información. En este caso considero clave complementar este tema con técnicas de hacking ético y pentesting, asi como tomar el marco de referencia de ISO27001 de seguridad de la información.
Conclusión
Desde mi punto de vista la OMC ha acertado en los objetivos seleccionados para cumplir con la certificación. HE tenido la suerte de ser el primer auditor de España en presentar una empresa para optar a esta certificación y ahora, en esta segunda empresa, podré volver a trabajar este marco de auditoria que, trabajando adecuadamente, mi cliente podrá obtener el sello en no demasiado tiempo. Si está en la misma situación que estos clientes no dude en contactar conmigo.
Luis Vilanova Blanco. Auditor de certificación del sistema de receta médica privada electrónica
606954593