«El uso mayoritario de equipos informáticos y tecnologías de la información por parte de los trabajadores ha convertido la información digital en uno de los activos que mayor grado de seguridad necesita y a la que prestamos cada vez mayor atención». Son palabras de Santiago García San Martín, responsable de Seguridad del Instituto Psiquiátrico José Germain, de Leganés (Madrid), quien además explica que la seguridad en el ámbito hospitalario ha evolucionado y ha pasado de ser una seguridad centrada en la protección de bienes e instalaciones a una seguridad integral volcada en las personas.
—¿Cómo ha variado la seguridad, en cuanto a estrategia y logística, de los centros hospitalarios en nuestro país en los últimos años?
—La seguridad en el ámbito hospitalario ha evolucionado pasando de ser una seguridad centrada en la protección de bienes e instalaciones, a una seguridad integral volcada en las personas.
Esta estrategia se basa en la implantación de la dirección por procesos, donde hemos convertido a nuestros usuarios, tanto internos como externos, en el centro de nuestra actividad, alineando sus necesidades con nuestros objetivos y poniendo todos nuestros esfuerzos en conseguir que nuestras instituciones consigan disminuir su vulnerabilidad, pudiendo hacer frente a cualquier incidencia de seguridad o situación de emergencia que se produzca y que impida que se desarrollen los procesos asistenciales, generadores de valor para nuestros usuarios.
—Tal y como nos explicó en entrevistas anteriores, el Instituto Psiquiátrico José Germain de Leganés cuenta con una Unidad Específica de Seguridad de la Información, ¿qué logros y acciones se han llevado a cabo en este último año desde la Unidad? ¿Ha habido un incremento en cuanto a medios y medidas de Seguridad?
—La evolución e implantación de las TICs está haciendo que la protección de la información evolucione muy rápidamente. El desarrollo de las historias clínicas electrónicas, la digitalización de las historias tradicionales, y el uso de dispositivos electrónicos como smartphones y tablets en múltiples aplicaciones, ha convertido la información digital en uno de nuestros principales activos y al que dedicamos una cada vez mayor parte no solo de nuestro trabajo sino de nuestros medios.
En el último año nuestra evolución ha sido completada por una evaluación por parte de la OSSI (Oficina de Seguridad de la Información de la Consejería de Sanidad de la Comunidad de Madrid) del 100%, tanto en prevención como en protección de los activos y consecución de los objetivos de seguridad propuestos, siendo uno de los pocos hospitales de toda la Comunidad de Madrid en conseguirlo.
El compromiso del Instituto con la seguridad en cualquiera de sus vertientes es sobresaliente y esto se ha conseguido no solo por la implicación de las personas que formamos tanto la Unidad de Seguridad de la información como el Servicio de Seguridad, sino por la implicación de nuestro equipo directivo, que a través del Comité de Seguridad de la Información, vehiculiza las políticas de seguridad y su implantación en el Instituto.
Este año hemos conseguido la incorporación de una persona más a tiempo completo a la Unidad, lo que nos ha permitido aumentar los controles y sistemas de protección de la información.
—También nos anunció la puesta en marcha de un Plan de Continuidad de Negocio (BCP), ¿podría explicarnos los aspectos y protocolos más relevantes del mismo?
—El desarrollo de un BCP nos parecía el paso mas natural, una vez que nuestros planes de autoprotección y contingencia ya han tenido una madurez adecuada y han sido suficientemente probados e implantados. Nuestro BCP es el primer plan de este tipo en el sector sanitario en España, que se encarga de prever las posibles repercusiones de una emergencia en los procesos asistenciales, y de desarrollar planes de actuación para cada uno de los riesgos identificados y evaluados.
Este desarrollo ha supuesto la colaboración de toda la organización, ya que afecta tanto a procesos estratégicos como de soporte. En nuestro caso el desafío mas importante ha sido conseguir que todos los departamentos hayan trabajado de forma conjunta en este documento, ya que cada uno de ellos cuenta con su propia visión de la prestación sanitaria.
El objetivo que nos planteábamos y consideramos cumplido, era crear un documento que pudiese gestionar la interrupción de la prestación sanitaria por el desarrollo de una situación de crisis dentro de la organización, evaluando y planificando riesgos de todo tipo, como una emergencia, un brote de enfermedad infectocontagiosa o la interrupción de un suministro básico como la electricidad o el agua. Este documento prevee estas situaciones y planifica la vuelta a la normalidad, estructurando los recursos y medios que pueden ser activados en función de la evolución del incidente.
—¿Cómo es el día a día, en cuanto a planificación y organización para el responsable de Seguridad de una instalación como la del Instituto Psiquiátrico José Germain de Leganés?
—Hay cuatro pilares de nuestra actividad que están haciendo más eficiente nuestro proceso y que nos han permitido ponernos al mismo nivel de gestión y consecución de objetivos que otros servicios con mucho más presupuesto y medios:
• La implantación de la gestión técnica del departamento, basada en el registro de incidencias y la elaboración de informes y cuadros de mandos, que nos permiten poder tomar decisiones basándonos en hechos y no en intuiciones como se realizaba hace no tantos años.
• Las alianzas estratégicas que hemos establecido con nuestros proveedores. Hemos conseguido tener un único proveedor de servicios tanto de PCI como de Sistemas, que nos permite tener la plena confianza en la realización de los trabajos, ajustando los márgenes económicos, e implicándoles en la consecución de los objetivos del departamento, como conseguir la planimetría de todos los elementos de seguridad del hospital y el inventario actualizado con cada una de las intervenciones realizadas.
• La certificación del departamento en la norma ISO 9001:2008 desde hace 5 años, que genera valor para nuestra organización y que permite a nuestros usuarios tener una garantía sobre nuestra actividad.
• La formación continuada de todo nuestro personal, que nos permite aplicar nuevas técnicas y conocimientos, y potencia su participación en el desarrollo de la mejora continuada de las acciones del proceso.
—Entrando en aspectos normativos y de legislación, ¿qué aspectos le gustaría que recogiese el Reglamento de Seguridad Privada?
—Creo que el reglamento debe profundizar en todas las novedades que nos mostró la nueva Ley de Seguridad Privada 5/2014. En concreto mis expectativas se dirigen a la figura del director de Seguridad y a la creación de nuevos departamentos de seguridad en el ámbito sanitario.
Ha llegado el momento de que los departamentos de seguridad en hospitales y organizaciones sanitarias sean una herramienta de uso mayoritario, y que pasen de ser una excepción a una realidad consolidada. Durante estos años se ha demostrado que las organizaciones que los poseen han conseguido reducir sus vulnerabilidades de forma más eficiente.
Soy consciente de que es un momento complejo para que en las estructuras organizativas sanitarias se haga hueco a una figura como el director de Seguridad, pero precisamente por esto, se debería de apostar, desde las propias Consejerías de Sanidad de las comunidades autónomas, por estructuras flexibles y eficientes como las nuestras, que al gestionar riesgos que están actualmente siendo deficitariamente tratados, van a generar una generación de valor inmediata para la organización.
Si desde las Consejerías no se apoya la creación de estos departamentos, como los departamentos de Prevención de Riesgos Laborales, únicamente se crearán donde exista una sensibilidad excepcional del equipo directivo hacia la seguridad, y seguiremos con respuestas y medios heterogéneos y con hospitales donde nadie sepa o pueda gestionar los riesgos de forma adecuada.
En este sentido me gustaría resaltar las propuestas sobre sujetos obligados que hemos realizado desde el Observatorio de Seguridad Integral en Centros Hospitalarios, tanto a través de los grupos de trabajo de APROSER como en reuniones con la Unidad Central de Seguridad Privada del CNP o con el SEPROSE de la Guardia Civil, y que esperamos que den su fruto en el próximo reglamento.
Texto: Gemma G. Juanes.
Fotos: Instituto Psiquiátrico José Germain