Norma Organizacional

Tabla 54 - HIPAA / NIST Sección Organizacional Parte 1 Fuente: Hash, Bowen, Johnson, Dancy & Steinberg, 2005

Anexos

152

Tabla 55 - HIPAA / NIST Sección Organizacional Parte 2 Fuente: Hash, Bowen, Johnson, Dancy & Steinberg, 2005

Tabla 56 - HIPAA / NIST Sección Organizacional Parte 3 Fuente: Hash, Bowen, Johnson, Dancy & Steinberg, 2005

Anexos

154

Anexo F – HIPAA e ITIL

ITIL es el estándar enfocado a las mejores prácticas necesarias para ofrecer servicios de TIC’s de alta calidad, y al igual que otros estándares, los procedimientos establecidos por ITIL son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI.

El estándar ITIL se enfoca principalmente en la entrega de Servicios de Tecnologías de Información de alta calidad, cuidando las mejores prácticas y la eficiencia de las operaciones de TI.

ITIL, al igual que HIPAA, se enfoca en la entrega de servicios de calidad, por lo cual el contenido de algunos de los libros en los que se divide ITIL puede servir de apoyo para la implementación de HIPAA dentro de la Industria de la Salud.

ITIL está compuesto por 8 libros, los cuales se enfocan a la Gestión de Servicios de TI, guías operativas, y a la implementación de prácticas de ITIL.

De los libros incluidos en ITIL, HIPAA se puede apoyar principalmente en aquellos que se encuentran en el grupo de guías operativas.

Al igual que las publicaciones de NIST, ITIL servirá de apoyo para la implementación de las normas que HIPAA recomienda con la finalidad de ofrecer servicios de salud, cuidando la privacidad y confidencialidad de la información durante su transmisión con entidades externas.

Para el área de Normas Administrativas, los libros de Perspectiva de Negocio y Gestión de la Seguridad servirán de apoyo para la implementación de las actividades necesarias. Así mismo, estos dos libros servirán como complemento para la Sección de Políticas de HIPAA, y a su vez, el libro de Gestión de la Seguridad servirá como complemento para el establecimiento de las Normas Físicas requeridas por HIPAA

En lo que se refiere a Normas Organizacionales, los libros relacionados de ITIL son el de Perspectiva del Negocio y Gestión de Aplicaciones. El libro de Gestión de Aplicaciones servirá a su vez como apoyo para el establecimiento de las Normas Técnicas, en conjunto con los libros de Gestión de Infraestructura de TI y Gestión de Activos de SW.

En la figura 30 se muestra la relación existente entre los libros de ITIL y las normas establecidas por HIPAA.

Anexos

156

Anexo G – Comunicación con Institución 3

A continuación se presentan los correos electrónicos enviados a la institución 3 durante el proceso de evaluación. Con la finalidad de mantener la confidencialidad de las personas a las que se contacto, así como de la institución a evaluar, en los correos que se presentan a continuación se omiten los nombres tanto del contacto como de la institución.

G.1 – Contacto Inicial

From: Vissalia Miramontes [mailto:[email protected]] Sent: Wednesday, June 24, 2008 12:29 PM

To:[email protected]

Subject: Solicitud de Información - Tesista ITESM Buen Día Ing.

Mi nombre es Vissalia Miramontes, y soy Alumna del ITESM, de la Maestría de Administración de Tecnologías de Información (MTI). Mi asesor es el Maestro Alejandro Parra Briones, y estoy realizando un tema de tesis enfocado a evaluar la Seguridad de la Información en los Servicios de Salud titulada " Método Evaluación exploratoria del uso de HIPPA en México"

Como parte de la Investigación, esta la realización de una encuesta que nos permita conocer como se encuentra la organización en el tema referente a la Seguridad de la Información, evaluando aspectos administrativos, técnicos, físicos, organizacionales y políticas de acceso a la Información de los pacientes.

Con la realización de esta encuesta se busca identificar si la organización se encuentra preparada para asegurar la confidencialidad y privacidad de la información, y su transmisión con terceros (aseguradoras, laboratorios, etc.). La encuesta está basada en la Ley HIPAA, la cual es una ley que en Estados Unidos permite asegurar la confidencialidad de la información clínica, además de establecer estándares y lineamientos para la transmisión de la Información.

El uso que se le dará a la información es solamente para servir de base en la investigación que se está realizando, y de requerirlo la organización, se le podrá dar una copia de los resultados obtenidos donde se indica en que aspectos se debe de poner mayor énfasis como parte de los Programas de Seguridad, así

Anexos

158

como las secciones de la Ley HIPAA que servirán de apoyo para la implementación de nuevas políticas.

En caso de no querer que se divulgue el nombre de la institución dentro de la Investigación, por nuestra parte podemos proporcionarles una carta de NO divulgación.

Espero poder contar con su apoyo para la realización de esta Encuesta, y de requerir cualquier otro tipo de información, por favor hágamelo saber.

Sin más por el momento, me pongo a sus órdenes y quedo en espera de sus comentarios.

Saludos,

Ing. Vissalia Gpe. Miramontes Martínez

G.2 – Compromiso para continuidad de estudio y evaluación de la Institución

From: Ing. Vissalia Miramontes [mailto:[email protected]] Sent: Friday, July 11, 2008 9:08 AM

To: [email protected] Subject: Estudio Institution Buen día Ing.

Por este medio, me gustaría agradecerle a usted, y a todas las personas involucradas durante el proceso de evaluación de la institución que usted representa.

Lamentablemente, por los tiempos no se pudo concluir la evaluación, permitiendo de esta forma que los resultados a obtener no formaran parte del documento final del estudio. Sin embargo, gracias al interés mostrado por ambas partes, se espera, como se comento en nuestra reunión del día 10 de Julio, retomar con la evaluación en un futuro no lejano. De esta manera, ustedes como institución, mediante el análisis de los resultados que se obtengan, podrán conocer como sus procesos para el manejo de la información se encuentran alineados con los estándares solicitados por HIPAA, así como sobre qué aspectos habrá que trabajar para la implementación de un programa de seguridad exitoso. Dando seguimiento al compromiso establecido, me pongo a su disposición para continuar con el proceso de evaluación en las fechas que ustedes

consideren necesario. El paso a seguir seria el llenado de la hoja de Excel donde se incluyen las 5 secciones a evaluar que propone HIPAA. Es importante que para esta etapa se involucre a todas aquellas unidades organizacionales que de alguna manera interactúan o hacen uso de la información clínica de los pacientes, de este modo se obtendrá un resultado alineado a los procesos de la organización.

Sin más por el momento, y agradeciendo una vez más el interés existente por parte de la institución en este estudio, me reitero a sus órdenes y quedo en espera de sus comentarios.

Saludos,

Anexos

160

Anexo H – Carta de No Divulgación

A quien corresponda,

Por medio de la presenta, el investigador se compromete a que la información obtenida por medio de la evaluación de la institución de salud, así como de todos los datos proporcionados por el o los entrevistados será solamente utilizada como parte del estudio realizado, el cual se presenta como requisito de graduación para la Maestría en Administración de Información del ITESM Campus Monterrey.

Así mismo, se establece el compromiso de mantener la confidencialidad de la institución evaluada y de las personas entrevistas. El investigador además se compromete a entregar a la institución una copia de la evaluación contestada, y el análisis de los resultados obtenidos.

___________________________ Firma Investigador

___________________________ Firma Entrevistado