Diseño del Instrumento de Recolección de Datos

De acuerdo a los objetivos de la Investigación y de las variables consideradas para la metodología, se desarrollo un método que permita la recolección de los datos.

Este método está conformado por una serie de preguntas diseñadas para obtener información sobre cómo se encuentran las instituciones de salud en lo referente al tema de Seguridad de la Información, la confidencialidad y privacidad de la información clínica de los pacientes, el uso que se le da a esta información, y de la conciencia y entrenamiento en el área de Seguridad de la fuerza de trabajo de las Instituciones de Salud.

Así mismo, el método tiene como finalidad determinar cómo se encuentra la institución en cada una de las secciones evaluadas, y sobre qué actividades se debe poner mayor énfasis, en lo que se refiere a la implementación de un programa de Seguridad de la Información.

Para mayor especialización en las áreas en las que se debe enfocar la institución al momento de querer implementar un programa de Seguridad, el método desarrollado está dividido en cinco secciones. Cada sección corresponde a la evaluación de cada una de las variables globales definidas para la Investigación.

Así mismo, cada sección está compuesta por una serie de preguntas que ayudaran a definir como se encuentra la institución en la sección evaluada. La evaluación de cada una de las secciones permitirá definir en qué sección se debe de poner mayor énfasis para asegurar la Seguridad de la Información, así como de los sistemas con los que se cuentan. Los temas y preguntas tratados en el método pueden consultarse en el Anexo A.

La primera sección del método tiene como objetivo la obtención de información del tipo administrativa. A pesar de cuanta tecnología se utilice para bloquear y mantener segura la información, la forma en cómo las personas trabajan entre si y como trabajan con la información, son los factores que tienen el mayor impacto en la seguridad. En la sección administrativa se evalúan todas aquellas funciones que deben de estar implementadas para resolver los

Capítulo 5. Metodología

88

Tabla 6 - Sección Administrativa Fuente: Construcción Propia

La segunda sección está basada en los aspectos físicos de Seguridad de las Instituciones de Salud. Los aspectos físicos se refieren a los mecanismos requeridos, medidas físicas, políticas y requerimientos para proteger los sistemas de Información de las Instituciones de Salud de los peligros del medio ambiente y la intrusión no autorizada. Los aspectos que se evalúan en esta sección son:

Tabla 7 - Sección Física Fuente: Construcción Propia

La tercera sección de preguntas se refiere a los aspectos técnicos y procesos automatizados que las instituciones de salud utilizan para proteger los datos y llevar un control de los accesos y de la transmisión de la información. Los aspectos que se evalúan en esta sección son:

Tabla 8 - Sección Técnica Fuente: Construcción Propia

La cuarta sección de la encuesta se refiere al aspecto organizacional y tiene como finalidad evaluar las relaciones de la Institución de Salud con sus asociados de negocios y proveedores de salud, así como la definición de los roles y responsabilidades de cada una de las entidades participantes. Los aspectos evaluados en esta sección son:

Tabla 9 - Sección Organizacional Fuente: Construcción Propia

La quinta sección del método tiene como finalidad la evaluación de las políticas y procedimientos existentes, y al mismo tiempo verificar que dichas políticas y procedimientos se encuentren documentados y disponibles para los miembros de la institución de salud. Los aspectos evaluados en esta sección son:

Capítulo 5. Metodología

90

Como se comento anteriormente, cada sección está compuesta por una serie de preguntas que ayudaran a definir como se encuentra la institución de salud en la sección evaluada.

La finalidad de cada sección es mostrar cómo se encuentra la institución a ser evaluada en cada una de las diferentes secciones, y de esta manera identificar en que aspectos se debe poner mayor énfasis para asegurar la Seguridad de la Información.

Las preguntas de cada sección son de opción múltiple, y cada respuesta tiene un valor que ayudara a definir el valor total de la sección evaluada obtenido por la institución de salud. Para todas las preguntas se definió un valor máximo estándar, el valor máximo a obtener para cada pregunta es de 4 puntos, y de acuerdo al tipo de pregunta, es el valor en puntos que tiene cada respuesta.

El cuestionario está compuesto por un total de 108 preguntas divididas en las 5 secciones, y el valor máximo que se puede obtener es de 432 puntos. En la tabla que se presenta a continuación, se muestra el total de preguntas por sección, así como el valor total en puntos que se puede obtener en cada una de las secciones.

Tabla 11- Totales por Sección Fuente: Construcción Propia

El cuestionario realizado se elaboro por medio de un libro de Excel, el cual está compuesto por seis hojas. En las primeras cinco hojas se incluyen cada una de las secciones en las que se dividió el método. En la última hoja se incluyen las tablas y graficas resultantes de la aplicación del método dentro de la institución a evaluar.

Cada hoja del libro de Excel se encuentra protegida para evitar la modificación de aquellos campos que contengan las preguntas, explicación o normas que se están evaluando, así como de aquellos que contienen las formulas para el cálculo de los resultados. El usuario, al recibir el libro de Excel para la evaluación de la institución de Salud, solamente podrá modificar aquellos campos donde se requiere la introducción de un valor como respuesta.

Como se comento anteriormente, en cada sección del método se evalúan diferentes aspectos. Para cada aspecto a evaluar se definieron una serie de preguntas que permitirán obtener información de cómo se encuentra la institución en determinado aspecto. La suma de los puntos obtenidos en cada uno de los aspectos evaluados en una sección, ayudaran a determinar el puntaje total de la sección evaluada, y por consiguiente a determinar cómo se encuentra la institución en dicha sección.

Para cada conjunto de preguntas, utilizadas para evaluar un aspecto dentro de una sección, se define el tipo de respuesta a utilizar, el valor en puntos de la respuesta, y la descripción de la actividad que se está evaluando.

Así mismo, como apoyo para la institución, para cada conjunto de preguntas se establece la norma en HIPAA de la Regla de Seguridad que se está evaluando, así como una referencia al Capítulo de NIST(National Institute of Standards and Technology) en la que también se trata la actividad evaluada. En el Anexo D, se presenta un listado de las Publicaciones de NIST enfocadas al tema de Seguridad del Información; y en el anexo E se presenta una tabla de equivalencias de las normas de HIPAA de la Regla de Seguridad con las publicaciones correspondientes de NIST que la institución de salud deberá de tomar en consideración al momento de implementar la Regla de Seguridad de HIPAA.

Al final de cada hoja de Excel, se presenta una tabla de totales, donde se indica el valor máximo en puntos que se puede obtener para cada aspecto evaluado, el valor máximo en puntos de la sección, los puntos obtenidos por la institución, así como el total obtenido en la sección, y su correspondencia en porcentajes. (Véase Tabla 12)

Capítulo 5. Metodología

92

Sección Valor Máximo

Posible Total Obtenido en Puntos Total Obtenido en Porcentaje

Procesos de Administración de la Seguridad 40 27 67,50%

Asignación de Responsabilidades de

Seguridad 12 8 66,67%

Administración del acceso a la Información 28 15 53,57%

Conciencia y entrenamiento en Seguridad 16 8 50,00%

Procedimientos de Incidentes de Seguridad 20 14 70,00%

Plan de Contingencias 40 30 75,00%

Contratos de Asociados de Negocios y Otros

Arreglos 12 8 66,67%

Total Sección Administrativa 168 110 65,48%

Tabla 12 - Ejemplo Tabla de Resultados por Sección Fuente: Construcción Propia

En la hoja de Tablas y Graficas se presenta un concentrado de los totales obtenidos en cada sección, así como una tabla de totales generales obtenidos de la aplicación del método. Por medio de las graficas se busca mostrar de manera representativa los resultados obtenidos por la institución. Dentro de esta hoja de Excel, se presenta una grafica por sección, donde se representa como se encuentra la institución en cada uno de los aspectos de la sección evaluada. Además, se presenta una grafica de totales generales, donde se representan de manera global como se encuentra la institución en cada una de las cinco secciones evaluadas. En la tablas 13 y 14 se muestran ejemplos de las graficas de totales obtenidos por sección, y de totales generales.

Tabla

Tabla

Una vez completado el método, habiendo definido las secciones a evaluar y las preguntas incluidas en cada

muestra definida con anterioridad. En la

metodología que se siguió para la aplicación del método, permitiendo de esta manera la recolección de los datos necesarios para llevar a cabo el objeto de estudio. 0% 10% 20% 30% 40% 50% 60% 70% 80% 68%

% Obtenido Seccion Administrativa

0% 10% 20% 30% 40% 50% 60% 70% 65%

Tabla 13 - Ejemplo de Grafica de Totales por Sección Fuente: Construcción Propia

Tabla 14 - Ejemplo de Grafica de Totales Generales Fuente: Construcción Propia

Una vez completado el método, habiendo definido las secciones a evaluar y las preguntas incluidas en cada sección, se procedió a la aplicación de este a la muestra definida con anterioridad. En la sección siguiente se explica la metodología que se siguió para la aplicación del método, permitiendo de esta de los datos necesarios para llevar a cabo el objeto de

67%

54% _50%

70% 75% _{67% 65%}

% Obtenido Seccion Administrativa

65%

52%

69%

55% 61% 60%

Totales Generales (%)

Una vez completado el método, habiendo definido las secciones a evaluar y , se procedió a la aplicación de este a la siguiente se explica la metodología que se siguió para la aplicación del método, permitiendo de esta de los datos necesarios para llevar a cabo el objeto de

Capítulo 5. Metodología

94