Método para la Evaluación Exploratoria del Uso de HIPPA en México-Edición Única

(1)

Monterrey, Nuevo León a

INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY

PRESENTE.-Por medio de la presente hago constar que soy autor y titular de la obra denominada

.", en los sucesivo LA OBRA, en virtud de lo cual autorizo a el Instituto Tecnológico y de Estudios Superiores de Monterrey (EL INSTITUTO) para que efectúe la divulgación, publicación, comunicación pública, distribución, distribución pública y reproducción, así como la digitalización de la misma, con fines académicos o propios al objeto de EL INSTITUTO, dentro del círculo de la comunidad del Tecnológico de Monterrey.

El Instituto se compromete a respetar en todo momento mi autoría y a otorgarme el crédito correspondiente en todas las actividades mencionadas anteriormente de la obra.

De la misma manera, manifiesto que el contenido académico, literario, la edición y en general cualquier parte de LA OBRA son de mi entera responsabilidad, por lo que deslindo a EL INSTITUTO por cualquier violación a los derechos de autor y/o propiedad intelectual y/o cualquier responsabilidad relacionada con la OBRA que cometa el suscrito frente a terceros.

(2)

Método para la Evaluación Exploratoria del Uso de HIPPA en

México-Edición Única

Title Método para la Evaluación Exploratoria del Uso de HIPPA en México-Edición Única

Authors Vissalia Guadalupe Miramontes Martínez

Affiliation ITESM-Campus Monterrey

Issue Date 2008-07-01

Item type Tesis

Rights Open Access

Downloaded 19-Jan-2017 04:55:02

(3)

INSTITUTO TECNOLÓGICO Y DE ESTUDIOS

SUPERIORES DE MONTERREY

CAMPUS MONTERREY

PROGRAMA DE GRADUADOS EN MECATRÓNICA Y

TECNOLOGÍAS DE INFORMACIÓN

MÉTODO PARA LA EVALUACIÓN EXPLORATORIA DEL USO DE

HIPAA EN MÉXICO

TESIS

PRESENTADA COMO REQUISITO PARCIAL PARA OBTENER EL GRADO ACADEMICO DE:

MAESTRO EN ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN

POR:

VISSALIA GUADALUPE MIRAMONTES MARTÍNEZ

(4)

PROGRAMA DE GRADUADOS EN MECATRÓNICA Y TECNOLOGÍAS DE INFORMACIÓN

Los miembros del comité de tesis recomendamos que la presente tesis de la Ing. Vissalia Guadalupe Miramontes Martínez sea aceptada como requisito parcial para obtener el grado académico de Maestro en Administración de Tecnologías de Información.

Comité de tesis:

______________________________

Maestro Alejandro Parra Briones Asesor

______________________________

Dr. Juan Arturo Nolazco Flores

Sinodal

______________________________

Maestro Luis Eugenio Torres Ramírez Sinodal

_________________________________________

Dr. Joaquín Acevedo Mascarúa

(5)

MÉTODO PARA LA EVALUACIÓN EXPLORATORIA DEL USO DE

HIPAA EN MÉXICO

POR:

VISSALIA GUADALUPE MIRAMONTES MARTÍNEZ

TESIS

Presentada al Programa de Graduados en Mecatrónica y Tecnologías

de Información

Este trabajo es requisito parcial para obtener el grado de Maestro

en Administración de Tecnologías de Información

INSTITUTO TECNOLÓGICO Y DE ESTUDIOS

SUPERIORES DE MONTERREY

(6)

Dedicatoria

A mi mamá, Blanca Esthela Martínez López, por ser el pilar de mi familia,

por ser madre y padre, por todo el cuidado y apoyo incondicional, y por enseñarme que se puede salir adelante ante cualquier adversidad que se presente en el camino.

A mi papá, Jesús Alberto Miramontes Medina, que a pesar de no estar a

mi lado, se que desde el cielo nunca me ha dejado de cuidar, por ser mi luz y la estrella que me guía.

A mis hermanos, Bianca Janet Miramontes Martínez y Jesús Alberto

Miramontes Martínez, por ser mis compañeros incondicionales, por que juntos hemos salido adelante, y por toda la confianza y apoyo brindado.

A mis abuelos, María del Carmen López y Roberto Martínez, por ser los

(7)

Agradecimientos

v

Agradecimientos

A mi asesor, Maestro Alejandro Parra, por todas sus enseñanzas y

consejos que me permitieron llevar a cabo este proyecto.

A mis sinodales, Dr. Arturo Nolazco y Maestro Luis Torres, por sus

contribuciones, que fueron parte importante para el enriquecimiento del proyecto.

A mis profesores de la Maestría, por todas las enseñanzas que me llevo de ellos, y que serán de suma importancia en mi camino como profesional y como persona.

A mi Familia, por todo el apoyo brindado durante esta etapa de mi

desarrollo profesional.

A Antonio Rodríguez, por ser un gran apoyo, mi mejor amigo y mi confidente.

A mis amigos de Sinaloa, que a pesar de la distancia, siempre estuvieron presentes con sus muestras de cariño y apoyo cuando más lo necesite.

A mis amigos y compañeros de la Maestría, por cada una de las desveladas que compartimos, por su amistad, y por los aprendizajes que me llevo de cada uno de ellos.

A Susana González y Enoc Delgado, por ser dos grandes amigos, por todo el apoyo, por estar cuando más los necesite, y por convertirse en mis Angelitos de la Guarda aquí en Monterrey.

A mis amigos y compañeros de la DOET, por todos los momentos convividos, por el apoyo incondicional y por permitirme aprender tantas cosas de ellos.

A Dios, por permitirme alcanzar una meta más en mi vida.

A todos los que de alguna manera hicieron que esto fuera posible.

(8)

Resumen

La información es uno de los activos más importantes y valiosos con los que cuenta cualquier organización. El principal objetivo de la información es apoyar en la toma de decisiones. Con el fin de resguardar y proteger esta información, las empresas deben implementar sistemas de Seguridad que permitan mantener la información segura y disponible a todo momento.

Durante la historia de las sociedades, el concepto de seguridad ha incrementado su importancia. Sin embargo, encuestas realizadas demuestran que aunque se está reconociendo la importancia de integrar la Seguridad de la Información a las estrategias del Negocio, el enfoque sigue siendo en su mayoría práctico y técnico, dejando de lado el área de los servicios. En México, aun existe un gran camino por recorrer en lo referente a Seguridad de la Información, y uno de los sectores más olvidados es el área de Servicios de Salud, pues las instituciones aun no reconocen la importancia de asegurar la confidencialidad y privacidad de la información clínica.

La investigación realizada tiene como objetivo estudiar al sector de Servicios de Salud, y la falta de estándares y Programas de Seguridad de la Información en México, que permitan asegurar la confidencialidad y privacidad de la información clínica del paciente.

En conjunto con la Investigación del tema de Seguridad, se estudia la presencia de un fenómeno de migración que se está iniciando y que durara por varios años. Esta migración es la de los Baby Boomers, quienes como parte de su plan de retiro, están viajando a países como México, incrementando principalmente la demanda de servicios de Salud. Para aprovechar esta demanda, México deberá ser capaz de cubrir las necesidades de este nuevo mercado.

Para cubrir esta demanda de servicios de salud de los Baby Boomers, como parte de esta Investigación, se estudia la Ley HIPAA, que en Estados Unidos ha permitido asegurar la seguridad y privacidad de la información clínica, al mismo tiempo que ha establecido estándares y lineamientos para la transmisión de la información clínica entre entidades y proveedores de servicios.

(9)

Tabla de Contenidos

vii

Tabla de Contenidos

Dedicatoria ... iv

Agradecimientos ... v

Resumen ... vi

Tabla de Contenidos ... vii

Lista de Figuras ... x

Lista de Tablas ... xii

Capítulo 1. Introducción ... 1

1.1 Introducción ... 1

1.2 Identificación del Problema ... 5

1.3 Objetivos ... 11

1.4 Metodología ... 11

1.5 Organización de la Tesis ... 12

Capítulo 2. Seguridad de la Información ... 13

2.1 Introducción al Capítulo ... 13

2.2 Importancia de la Información ... 14

2.3 Fundamentos de la Seguridad de la Información ... 15

2.3.1 Seguridad de la Información ... 16

2.3.2 Situación Global ... 19

2.3.3 Situación en México ... 23

2.4 Políticas y Procedimientos ... 27

2.5 Estándares ... 28

2.5.1 BS / ISO 17799 ... 31

2.5.2 ITIL ... 35

2.5.3 COBIT ... 36

2.5.4 HIPAA ... 38

2.5.4 Similitudes entre Estándares ... 39

2.6 Pasos para la implementación de un Programa de Seguridad de la Información ... 42

2.7 Conclusiones del Capítulo ... 45

Capítulo 3. Seguridad en Servicios de Salud ... 46

3.2 Baby Boomers: Una oportunidad para México en el área de Salud e Inmobiliaria ... 46

3.3 Baby Boomers: El potencial Médico de México ... 48

3.4 Servicios de Salud ... 49

3.5 Privacidad de la Información ... 51

3.5.1 Confidencialidad de la Historia Clínica ... 53

3.6 Healthcare Information Systems (HIS) y la Informatización de la Historia Clínica ... 55

3.6.1 Tendencias en el Cuidado de la Salud y Sistemas de Información. .... 56

(10)

3.6.3 Ventajas de la Informatización de la Historia Clínica ... 60

Capítulo 4. HIPAA: Un estándar con enfoque a los Servicios de Salud ... 63

4.2 HIPAA ... 64

4.3 Simplificación Administrativa ... 67

4.3.1 Regla de Privacidad ... 68

4.3.2 Regla de Seguridad ... 71

4.3.3 Transacciones y EDI ... 77

Capítulo 5.- Metodología ... 82

5.2 Tipo de Investigación ... 82

5.3 Modelo Propuesto ... 83

5.4 Población ... 84

5.5 Muestra ... 84

5.6 Variables ... 85

5.7 Recolección de Datos ... 86

5.7.1 Diseño del Instrumento de Recolección de Datos ... 87

5.7.2 Metodología de Recolección de Datos ... 94

5.8 Conclusiones ... 95

Capítulo 6.- Análisis de los Resultados ... 96

6.1 Introducción del Capítulo ... 96

6.2 Análisis de Resultados: Institución 1 ... 97

Capítulo 7.- Conclusiones ... 112

7.1.- Conclusiones Generales ... 112

7.2.- Áreas de Oportunidad ... 116

7.3.- Trabajos Futuros ... 116

Referencias Bibliográficas ... 118

Anexos ... 125

Anexo A – Preguntas Cuestionario ... 125

A.1 Sección Administrativa ... 125

A.1.1 Procesos de Administración de la Seguridad ... 125

A.1.2 Asignación de Responsabilidades de Seguridad ... 126

A.1.3 Administración del Acceso a la Información ... 126

A.1.4 Conciencia y entrenamiento en Seguridad ... 127

A.1.5 Procedimientos de Incidentes de Seguridad ... 128

A.1.6 Plan de Contingencias ... 128

A.1.7 Contratos de Asociados de Negocios y Otros Arreglos ... 129

A.2 Sección Física ... 130

A.2.1 Controles de Acceso ... 130

A.2.2 Uso y Seguridad de las Estaciones de Trabajo ... 130

(11)

[image:11.612.110.540.80.439.2]

Tabla de Contenidos

ix

A.3 Sección Técnica ... 131

A.3.1 Controles de Acceso ... 131

A.3.2 Auditoria ... 132

A.3.3 Integridad ... 133

A.3.4 Transmisión de Información ... 133

A.4 Sección Organizacional ... 134

A.4.1 Contratos de Negocios y Otros Arreglos ... 134

A.4.2 Organización ... 134

A.5 Políticas ... 136

A.5.1 Políticas y Procedimientos ... 136

A.5.2 Documentación ... 136

Anexo B – Glosario ... 138

Anexo C - Acrónimos ... 141

Anexo D – Listado de Publicaciones de NIST ... 142

Anexo E – Matriz Regla de Seguridad de HIPAA / Publicaciones de NIST ... 143

E.1 Norma Administrativa ... 143

E.2 Norma Física ... 147

E.3 Norma Técnica ... 149

E.4 Norma Organizacional ... 151

Anexo F – HIPAA e ITIL ... 154

Anexo G – Comunicación con Institución 3 ... 157

G.1 – Contacto Inicial ... 157

G.2 – Compromiso para continuidad de estudio y evaluación de la Institución ... 158

Anexo H – Carta de No Divulgación ... 160

(12)

Lista de Figuras

Figura 1 - Brecha de Seguridad ... 3

Figura 2 - Oferta mexicana de TI por sector ... 6

Figura 3 - Participación en Seguridad de la Información por Sectores Industriales 7 Figura 4 - Administración de Riesgos de compartir información con terceros... 8

Figura 5 - Enfoque de la Tecnología de Seguridad ... 17

Figura 6 - Seguridad de la Información: Componente Organizacional, Recursos, Procesos y Tecnología ... 18

Figura 7 - Controles mas usados en términos de calidad de implementación ... 21

Figura 8 - Controles menos usados en términos de calidad de implementación .. 22

Figura 9 - Establecimiento de la Función de Seguridad de la Información dentro de las organizaciones ... 23

Figura 10 - Seguridad de la Información como parte de los procesos corporativos ... 24

Figura 11 - Adopción de Estándares de Seguridad de la Información ... 26

Figura 12 - Seguridad de la Información ... 30

Figura 13 - Dominios Estándar ISO 17799 ... 34

Figura 14 - ITIL ... 36

Figura 15 - Dominios de COBIT ... 37

Figura 16 - Aspectos coincidentes entre ISO 17799, ITIL, HIPAA y COBIT ... 41

Figura 17 - Pasos para la Implementación de un Programa de Seguridad de la Información ... 44

Figura 18 – Red de la Industria del Cuidado de la Salud ... 50

Figura 19 - OECD-Protección de la Privacidad ... 53

Figura 20 - Tendencias ... 57

Figura 21 – Elementos de la Historia Clínica ... 59

Figura 22 – Componentes de HIPAA ... 65

Figura 23 – Uso y Revelación de PHI ... 70

Figura 24 – Principios de la Regla de Privacidad ... 71

Figura 25 – Regla de Seguridad ... 75

Figura 26 – Transmisión de Datos por medio de EDI ... 79

Figura 27 - Modelo Propuesto ... 84

Figura 28 - Variables de la Investigación ... 86

Figura 29- Institución 1. Sección Administrativa. ... 98

Figura 30- Institución 1. Sección Física. ... 99

Figura 31- Institución 1. Sección Organizacional. ... 100

Figura 32- Institución 1. Sección de Políticas... 101

Figura 33- Institución 1. Totales Generales. ... 102

Figura 34 - Institución 3. Sección Administrativa. ... 105

Figura 35- Institución 3. Sección Física. ... 106

Figura 36- Institución 3. Sección Técnica. ... 107

(13)

Lista de Figuras

xi

Figura 38- Institucion 3. Seccion de Politicas. ... 109

Figura 39- Institución 3. Totales Generales. ... 110

Figura 40-Libros ITIL ... 154

(14)

Lista de Tablas

Tabla 1 - Elementos que impactan en la función de Seguridad ... 6

Tabla 2 - Principales dominios de seguridad y numero de controles que incluyen 20 Tabla 3 - HIS vs MIS ... 56

Tabla 4 - Especificaciones de Implementación de HIPAA – Normas Administrativas ... 76

Tabla 5 - Especificación de Implementación HIPAA - Sección Técnica y Física... 77

Tabla 6 - Sección Administrativa ... 88

Tabla 7 - Sección Física ... 88

Tabla 8 - Sección Técnica ... 89

Tabla 9 - Sección Organizacional ... 89

Tabla 10 – Políticas ... 89

Tabla 11- Totales por Sección ... 90

Tabla 12 - Ejemplo Tabla de Resultados por Sección ... 92

Tabla 13 - Ejemplo de Grafica de Totales por Sección ... 93

Tabla 14 - Ejemplo de Grafica de Totales Generales ... 93

Tabla 15- Institución 1. Sección Administrativa. ... 97

Tabla 16- Institución 1. Sección Fisca. ... 99

Tabla 17- Institución 1. Sección Organizacional. ... 100

Tabla 18- Institución 1. Sección de Políticas. ... 101

Tabla 19- Institución 1. Totales Generales. ... 101

Tabla 20 - Institución 3. Sección Administrativa. ... 104

Tabla 21- Institución 3. Sección Física. ... 106

Tabla 22- Institución 3. Sección Técnica. ... 107

Tabla 23- Institución 3. Sección Organizacional. ... 108

Tabla 24- Institución 3. Sección de Políticas. ... 109

Tabla 25- Institución 3. Totales Generales. ... 110

Tabla 26 – Preguntas Procesos de Administración de la Seguridad ... 126

Tabla 27 – Preguntas Asignación de Responsabilidades de Seguridad ... 126

Tabla 28 – Preguntas Administración del Acceso a la Información... 127

Tabla 29 – Preguntas Conciencia y entrenamiento en Seguridad ... 127

Tabla 30 – Preguntas Procedimientos de Incidentes de Seguridad ... 128

Tabla 31 – Preguntas Plan de Contingencias ... 129

Tabla 32 – Preguntas Contratos de Asociados de Negocios y Otros Arreglos ... 129

Tabla 33 – Preguntas Controles de Acceso ... 130

Tabla 34 – Preguntas Uso y Seguridad de las Estaciones de Trabajo ... 130

Tabla 35 – Preguntas Dispositivos y Medios de Almacenamiento ... 131

Tabla 36 – Preguntas Controles de Acceso ... 132

Tabla 37 – Preguntas Auditoria ... 133

Tabla 38 – Preguntas Integridad ... 133

Tabla 39 – Preguntas Transmisión de la Información ... 133

(15)

Lista de Tablas

xiii

Tabla 41 – Preguntas Organización ... 135

Tabla 42 – Preguntas Políticas y Procedimientos ... 136

Tabla 43 - Preguntas Documentación ... 137

Tabla 44 – Acrónimos ... 141

Tabla 45 - Publicaciones de NIST ... 142

Tabla 46 - HIPAA / NIST Sección Administrativa Parte 1 ... 143

Tabla 50 -HIPAA / NIST Sección Física Parte 1 ... 147

Tabla 51 - HIPAA / NIST Sección Física Parte 2 ... 148

Tabla 52 -HIPAA / NIST Sección Técnica Parte 1 ... 149

Tabla 53 - HIPAA / NIST Sección Técnica Parte 2 ... 150

Tabla 54 - HIPAA / NIST Sección Organizacional Parte 1 ... 151

Tabla 55 - HIPAA / NIST Sección Organizacional Parte 2 ... 152

(16)

Capítulo 1. Introducción

1.1 Introducción

Durante la historia de las sociedades, el concepto de seguridad ha incrementado su importancia. Día con día, el tema de seguridad abarca diferentes aspectos de las actividades cotidianas. Sin duda alguna, la influencia que la seguridad juega dentro de las instituciones es de suma importancia. La falta en el tema de una cultura de seguridad se ve reflejada en los niveles de riesgo a los que la organización se encuentra expuesta. Se puede destacar que la seguridad impacta como problemática en aspectos organizacionales, de diseño y tecnológicos, entre otros.

La información es uno de los activos más importantes y valiosos con los que cuenta cualquier organización. Del uso que cada organización le de a su información dependerá el éxito y continuidad del negocio. Así mismo, el uso que se le de a la información se verá reflejado en el cumplimiento de los objetivos estratégicos de la empresa. Las estrategias que se utilicen en la distribución y el manejo de la información determinaran en qué grado se verá beneficiada la empresa. (Castañeda Campos, 2006)

El principal objetivo de la información es apoyar en la toma de decisiones. Con el fin de resguardar y proteger esta información, las empresas deben implementar sistemas de seguridad. Estos sistemas deberán permitir el mantener la información segura y disponible en el momento que se necesita. Deben existir técnicas que aseguren la información. Estas técnicas deben ir más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. (Wade, 2007)

Cualquier organización puede ser blanco de ataques por agentes internos y/o externos que busquen sustraer, alterar o lucrar con su información. Bastaría un solo ataque exitoso que involucre la obtención de información confidencial para tener consecuencias incalculables en la continuidad de las operaciones de la empresa, finanzas, imagen y prestigio. Así mismo, es necesario un solo ataque para dañar la confianza de clientes e inversionistas de su organización. (Castañeda Campos, 2006)

(17)

Capítulo 1. Introducción

2

información contra todos los tipos de riesgos, accidentales o intencionales. (Castañeda Campos, 2006)

En el ámbito organizacional, las instituciones con frecuencia olvidan considerar la función de la seguridad de manera formal. Se ha identificado que los esquemas de seguridad carecen de consistencia, ya que no se encuentran alineados a los objetivos de la organización. (Zamora Herrera, 2006)

Estudios previos del uso de controles de Seguridad de la Información en las organizaciones se ha enfocado en la presencia o ausencia de los controles, dejando de lado el aspecto de calidad. (Baker, 2007)

Las empresas están empezando a enfocarse en la Seguridad de la Información. La Seguridad de la Información está siendo reconocida como factor crítico para el éxito y la supervivencia de las organizaciones (Johnson & Goetz, 2007). A lo largo de la última década, las organizaciones han intentado ser más eficientes y productivas adoptando Tecnologías de Información y Comunicaciones (TIC’s) , y buscan que esta Tecnología de Información sea eficientemente administrada. (Baker, 2007)

Sin embargo, la Seguridad de la Información no es una materia cien por ciento tecnológica, es de personas. La Seguridad de la Información es un problema organizacional de amplio espectro, y que se encuentra en constantes movimiento (dinámico). A pesar de los esfuerzos y avances realizados en materia de Seguridad de la Información, es factible encontrar hoy en día ejecutivos y tecnólogos que continúan percibiendo la Seguridad de la Información como un aspecto completamente técnico que debe ser resuelto mediante la implementación de un componente tecnológico. (Espiñeira, 2006)

La existencia de este tipo de percepciones o creencias nos deja en claro que la mayoría de las organizaciones aun no tienen presente como las actividades de seguridad añaden valor al negocio. Se necesita entender, internalizar y afianzar la relación estratégica que existe entre los objetivos de negocio y su postura de Seguridad de la Información.

Los resultados de la 9na. Encuesta Global de Seguridad de la Información de Mancerna Ernest & Young (2007) revelan, que aunque se reconoce la importancia de integrar la Seguridad de la Información a la estrategia del negocio, en la práctica, aun se dedica gran parte de los esfuerzos a temas operativos que son enfrentados de forma reactiva.

(18)

En el panorama mundial, las iniciativas de Seguridad de la Información presentan un enfoque más táctico que estratégico. Al parecer, la brecha que existe entre los riesgos relacionados con el manejo de la información y las acciones que emprenden las organizaciones para mitigarlos es cada vez mayor. Por tanto, la brecha entre los riesgos crecientes y lo que la Seguridad de la Información está haciendo realmente para abordarlos continua ampliándose. (Véase Fig. 1)

En nuestro país, solo el 22% del tiempo y el 14% del presupuesto de Seguridad de la Información se destinan a asuntos estratégicos. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

Figura 1 - Brecha de Seguridad

Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007

En tanto a Nivel Global, el cumplimiento de regulaciones como Sarbanes-Oxley se ha visto como un vehículo de desarrollo para las iniciativas de Seguridad de la Información. En nuestro país, este tema no constituye una prioridad vigente. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

En México, las preocupaciones actuales se centran en los virus, phishing, spyware, y nuevas tecnologías que han llevado al despliegue de tácticas aisladas, en lugar de formar esfuerzos estratégicos corporativos. Sin embargo, con estos esfuerzos solo se corrigen los problemas más comunes pero NO los más costosos. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

(19)

4

Standards Organization) 17799 e HIPAA (Health Insurance Portability and Accountability). El proyecto HIPAA se enfoca al área de salud.

El objetivo de estos estándares es facilitar la comprensión de los aspectos relacionados con la seguridad de las Tecnologías de Información. Los estándares buscan orientar a las organizaciones en una correcta administración de la información. Así mismo, los estándares sirven de apoyo para que los responsables de seguridad de las TI puedan adaptar las medidas que en el estándar se indican a sus sistemas y a sus organizaciones. (Girona, 2006)

Estos estándares son aplicables para todas las organizaciones, sin importar su tamaño, su volumen de negocio, su actividad, etc. El proceso de instauración de las medidas de seguridad será diferente en cada una de las organizaciones. El proceso de instauración dependerá de las actividades del negocio así como de las posibilidades de dedicar más o menos recursos a los aspectos referentes a la seguridad. (Girona, 2006)

Estos estándares sirven como guía para tener en consideración qué aspectos deben de tener controlados las organizaciones. Una de las limitantes de estos estándares es que no especifican cuáles tienen que ser las medidas a implementar. Estas medidas serán dependientes de las características de la organización. (Siponen, 2006)

El hecho de poder demostrar que una organización está tratando su información de forma suficientemente segura y que esto lo dictamina una tercera entidad totalmente independiente puede hacer ganar la confianza de clientes potenciales. El contar con una certificación, permite a la empresa ganar cuota de mercado a las organizaciones de su competencia. (Girona, 2006)

Gracias a los estándares y normas de Seguridad de la Información, las empresas adoptan las mejores prácticas dentro de sus procesos. La existencia de procesos o actividades de seguridad no garantizan ni dicen nada sobre la calidad de los procesos. (Siponen, 2006)

(20)

1.2 Identificación del Problema

La privacidad y protección de la información personal se ha convertido en una de las mayores preocupaciones de las organizaciones en el mundo, debido a los riesgos que conlleva. Uno de los sectores del mercado y del área de servicios que genera mayor cantidad de información, es la práctica médica y su carácter sensible determina que debe ser particularmente protegida. (Conde Olasagasti, 2003)

Estudios realizados por diferentes organizaciones muestran la futura migración de una de las generaciones más grandes de la historia de EE.UU.: los Baby Boomers, dando como resultado un incremento en la demanda de servicios de salud e inmobiliaria en los destinos a los que se están dirigiendo. Uno de estos destinos es nuestro país, México. En México no existe un estándar o Ley que permita asegurar la confidencialidad de la información clínica, y esta falta de estándares enfocados al sector salud se vuelve una desventaja para nuestro país si se desea ser una competencia fuerte y aprovechar la migración de esta generación a las diferentes partes del mundo.

Actualmente, y dados los avances tecnológicos que han venido surgiendo, se constata que cada vez es más prioritario para las organizaciones el contar con elementos que permitan controlar y evaluar los diferentes aspectos de la Tecnología de la Información.

Muchas empresas mexicanas han comenzado a implementar, dentro de su organización, programas formales de administración de Seguridad de la Información. La implementación de estos programas es el resultado de un intento por protegerse y proteger a sus clientes e inversionistas. Sin embargo, estos intentos aun se ven alejados de los objetivos. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

Por primera vez, desde que Ernst & Young inicio su serie de encuestas enfocadas al tema de Seguridad de la Información, el cumplimiento con las regulaciones se convirtió en el principal impulsor de Seguridad de la Información a nivel global entre casi dos tercios de los encuestados. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

(21)

6

Tabla 1 - Elementos que impactan en la función de Seguridad Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007

A pesar de la implementación de programas de seguridad, aun existen sectores de mercado que no están siendo favorecidos. Uno de los principales sectores mexicanos que aun no se ha visto favorecido en aspectos de Seguridad de la Información, es el sector Salud.

Estudios realizados por la Secretaria de Economía y por ESANE Consultores muestran que en México, las empresas de TI enfocan sus productos y/o servicios a 4 sectores fundamentales. Estos sectores son: Manufactura, Servicios Financieros, Gobierno y Comunicaciones. (Csheel Mayenberger, 2005) La menor abundancia de la oferta se observa en los sectores de Servicios de Salud y Educación(Véase Fig. 2).

(22)

Otra serie de encuestas enfocadas al tema de Seguridad de la Información son las realizadas por Ernst & Young (Ernst & Young, 2007). La 9na Encuesta de Ernst & Young, al igual que las encuestas realizadas por la Secretaria de Economía, muestran que en México el Sector Salud es uno de los que menor participación se tiene en cuanto a Seguridad de la Información se refiere (Véase Fig.3)

Figura 3 - Participación en Seguridad de la Información por Sectores Industriales Fuente: Ernst & Young, 2007

Existen organizaciones que están aplicando procedimientos formales de Seguridad de la Información. Desafortunadamente, no todas las empresas están aplicando procedimientos de Seguridad de la Información. Como se puede apreciar, el Sector Salud es uno de los más olvidados en este tema.

La globalización de los negocios ha hecho inevitable la aparición de riesgos relacionados con la privacidad y protección de información personal. Por ello, las organizaciones se han visto obligadas a implementar prácticas de Seguridad de la Información cada vez más complejas para mitigar estos riesgos. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

(23)

8

prácticas de Seguridad de la Información relacionados con privacidad y protección de los datos. Esta inexistencia de prácticas de Seguridad afecta en gran medida la confidencialidad y Seguridad de la Información del Sector Salud.

El tema de la confidencialidad de la información clínica ha sido desde siempre un aspecto fundamental de la relación médico – paciente. Con la llegada de la era tecnológica, el tener la historia clínica en formato electrónico se ha visto reflejada en un riesgo de acceso remoto a la información del paciente. (Margolis, s.f) Los Hospitales en México aun no están preparados para mantener la historia clínica de los pacientes en formato electrónico, pues como organización deberán administrar los riesgos que implica el compartir información con terceros.

En el actual entorno de los negocios y en el sector salud, este enfoque para relacionarse con terceros expone a las organizaciones y a los pacientes a riesgos significativos que no deben ser ignorados. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

Figura 4 - Administración de Riesgos de compartir información con terceros Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007

Para reducir los riesgos de las organizaciones en su intercambio de información con terceros, cualquier relación contractual que celebren con ellos debería estar precedida por una estricta revisión. Esta revisión busca conocer la manera en que las organizaciones protegen la información de aquellos con los que interactúan. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

(24)

transmisión de la información del paciente de sistemas manuales a sistemas electrónicos. Con el uso de sistemas electrónicos se busca mejorar la seguridad, bajar los costos y bajar las tasas de error. (¿Qué es HIPAA?)

Así mismo, mediante el uso de HIPAA se busca ofrecer a los usuarios un mejor acceso a los servicios de salud, proteger la información de los pacientes y promover una estandarización y eficiencia en la industria de la salud. (Centers for Medicare & Medical Services, 2007)

En Estados Unidos, HIPAA permite asegurar a los pacientes que su información se encuentra protegida. La información de los pacientes solamente será transmitida o compartida con terceros bajo los estándares establecidos por HIPAA. (Centers for Medicare & Medical Services, 2007)

Como se menciono anteriormente, en México, no existe un estándar o Ley que permita asegurar la confidencialidad de la información e historial clínica de los pacientes. Esta falta de estándares en el sector Salud se vuelve una desventaja para México si se desea ser una competencia fuerte en el área de servicios de salud y si se desea aprovechar la futura migración de los “Baby Boomers” provenientes de EUA.

Los Baby Bommer es la generación de norteamericanos que nacieron después de la Segunda Guerra Mundial y hasta principios de la década de 1960. Es una de las generaciones más numerosas en la historia de este país. (Rosenberg, 2006)

En los próximos 30 años, más de 100 millones de ciudadanos estadounidenses, nacidos entre 1946 y 1964, conocidos como los baby boomers alcanzaran su edad de retiro. El retiro de los baby boomers resultara en una creciente demanda de servicios. Uno de los principales servicios será el del área de salud, seguido por la Industria Inmobiliaria (Oppenheimer, 2006)

El impacto que la generación “Baby Boom” tendrá en el sistema de Seguro Social no parece ser tomado con demasiada preocupación. En el año 2013, la primera parte de esta generación tendrá 67 años, y estará recibiendo los beneficios del Seguro Social, en vez de contribuir a este. (Duran, s.f)

Gran parte de esta generación está empezando a jubilarse y a migrar hacia ciudades como Florida, Texas, Arizona y México, buscando lugares cálidos donde pasar sus últimos años. (Zapata, 2006)

(25)

10

Sin embargo, investigaciones independientes y grupos de migrantes americanos consideran esos números bastante bajos. Según “The People’s Guide to México”, una cantidad más factible sería alrededor de 1 millón de personas.

Como personas mayores, a estos “inmigrantes” les interesan mucho los servicios de salud, siendo estos una gran área de oportunidad para nuestro país. (Zapata, 2006)

En otros países como la India y China, ya se dieron cuenta de este fenómeno de la migración de USA. Estos países están empezando a trabajar en crear la infraestructura para ofrecer servicios de Salud de calidad para estos nuevos clientes. (Zapata, 2006)

El mercado se encuentra en plena expansión y conforme se vayan jubilando

más “baby boomers” habrá una gran demanda de servicios médicos y de atención para personas mayores. México tiene grandes ventajas, por sobre China y la India, incluyendo entre estas la cercanía con Estados Unidos y la familiaridad de los americanos con la cultura Mexicana. (Zapata, 2006)

Rusell Mead (2005), en su libro “Poder, Terror, Paz y Guerra” menciona que Estados Unidos se encuentra en la posibilidad de negociar acuerdos preferenciales con los países latinoamericanos que así lo quieran, para permitir que los ciudadanos norteamericanos que están dispuestos a retirarse al sur de la frontera puedan usar su Seguro de Salud de Estados Unidos en esos países. Los países de Latinoamérica que deseen aprovechar esta oportunidad, deberán regirse bajo las normas del Estándar HIPAA.

Los resultados de la 9na. Encuesta de Ernst & Young nos muestran, que en México existe todavía un gran camino por andar en lo que se refiere a Seguridad de la Información. Si bien ya se han iniciado a dar algunos pasos, las organizaciones no están dando un enfoque proactivo en el tema de Seguridad de la Información. Pocas empresas han hecho esfuerzos integrados y efectivos para analizar sus riesgos referentes al tema de Seguridad de la Información, lo cual hace imposible tomar las acciones requeridas.

Así mismo, las empresas mexicanas, si se quiere aprovechar la migración de los “Baby Boomers” deben de trabajar en hacer de la Seguridad de la Información un proceso continuo e intrínseco a los procesos del negocio.

(26)

1.3 Objetivos

El presente trabajo de investigación tiene como objetivos:

• Establece un marco teórico donde se presente la importancia del tema de

Seguridad de la Información, así como la Situación actual en México con respecto al tema.

• Definir la importancia de la información dentro del área de Servicios de

Salud.

• Establecer un marco teórico de la Ley HIPAA que nos permita conocer

como esta ley ayuda a mantener la seguridad y privacidad de la Información Clínica.

• Proponer una serie de preguntas (evaluación) basadas en la Ley HIPAA

que permitan evaluar y cuantificar como se encuentra la organización (hospital, clínica, proveedor de servicios de salud) en cuanto a cumplimientos de requerimientos de Seguridad de la Información, esto basado en las normas administrativas, técnicas, físicas, organizacionales y políticas establecidas por la regla de seguridad de HIPAA.

• Así mismo, se busca que el resultado obtenido de la evaluación sirva para

establecer una base sobre la cual cada organización debe de trabajar si desea aprovechar las ventajas de tener su organización bajo el estándar de HIPAA. Para cumplir con este objetivo, en la evaluación se establece una serie de referencias a NIST y a HIPAA que servirán a la organización como apoyo para cubrir las entidades faltantes.

1.4 Metodología

El tipo de Investigación realizada en esta tesis es exploratoria cualitativa, y según Hernández, Fernández y Baptista (2003) este tipo de investigación se efectúa cuando el tema a tratar a sido poco estudiado, se tienen muchas dudas o no se ha abordado antes. En el caso de México, el tema de Seguridad de la Información ha sido poco explorado por las empresas, y en lo que se refiere a servicios de salud, no se tiene una medida del impacto que la falta de confidencialidad y privacidad de la información del paciente puede tener sobre la industria del cuidado de la salud.

(27)

12

1.5 Organización de la Tesis

El presente trabajo de Investigación está conformado por siete capítulos, cuyo contenido especifico de cada uno de ellos es descrito a continuación:

El Capítulo 1 presenta un panorama general que sirve de introducción al tema de investigación. Este Capítulo tiene como objetivo mostrar al lector la importancia del tema de investigación y descripción del problema, así como el objetivo, metodología utilizada y la forma en cómo se encuentra estructurada la tesis.

La literatura previa o marco teórico está identificada en los capítulos 2, 3 y 4, donde se definen los conceptos y teorías que ayudaran a comprender mejor el trabajo de investigación.

El Capítulo 2 presenta un marco teórico del tema de Seguridad de la Información que servirá como base para comprender los conceptos presentados en el Capítulo 3, el cual se enfoca en el marco teórico de uno de los temas principales de esta investigación: Servicios de Salud.

El Capítulo 4 se enfoca a la Ley HIPAA, la cual busca establecer un estándar que asegure la confidencialidad y privacidad de la información clínica, así como la forma en que la información debe ser transmitida entre las entidades cubiertas.

La explicación de la metodología de investigación y los detalles de los elementos propuestos en el modelo particular, así como sus relaciones, son descritos en el Capítulo 5. En este Capítulo también se definen los instrumentos, la población y la muestra que se utilizan para recolectar los datos que son objeto de análisis.

El Capítulo 6 tiene por objetivo mostrar a detalle los resultados obtenidos después de aplicar los instrumentos en la investigación de campo.

En el Capítulo 7 expone las conclusiones a las que se han llegado después de haber realizado la investigación. También se describen los trabajos propuestos que pueden desarrollarse en el futuro, esto con la finalidad de dar un seguimiento a este tema de investigación.

(28)

Capítulo 2. Seguridad de la Información

2.1 Introducción al Capítulo

Este Capítulo tiene como objetivo presentar un marco teórico del tema de Seguridad de la Información, necesario para tener una base de los conceptos y definiciones básicas que son requeridos para la mejor compresión de la investigación desarrollada en esta tesis. Así mismo, este Capítulo servirá de base para comprender los conceptos presentados en el siguiente Capítulo, el cual se enfoca en el marco teórico de los temas principales de estudio de esta investigación: Servicios de Salud y Ley HIPAA.

Primeramente se define la importancia de la información, para entender la criticidad y el papel que esta juega dentro de las organizaciones, y como el mal manejo y cuidado de la información puede afectar la operación de la empresa. Después, se define el concepto de Seguridad de la Información y el rol que este tema juega dentro de las organizaciones. Dentro de este tema también se presenta la Situación Global de la Seguridad de la Información, seguida de la situación que se presenta en nuestro país, México.

Como tercera parte de este Capítulo, se tratan los conceptos de políticas y procedimientos, así como las funciones que estos dos conceptos juegan dentro de la organización, y como deben ir adaptándose a los cambios que se presenten en esta.

Para continuar con el desarrollo de este Capítulo, se profundiza en el tema de estándares, los cuales han surgido como respuesta a las crecientes pérdidas sufridas por las organizaciones que no tienen conciencia del valor y de la importancia de la información. Dentro de estos estándares, se estudian: ISO 17799, ITIL, COBIT, SSE – CMM e HIPAA.

(29)

Capítulo 2. Seguridad de la Información

14

2.2 Importancia de la Información

Recordemos que la información es uno de los principales activos de la organización, y para asegurar el buen uso de esta, la empresa debe definir una estrategia de Seguridad de la Información, alineada a la del negocio que considere:

• Ampliar el enfoque tecnológico, hacia a gente y los procesos.

• Desarrollar una conciencia de Seguridad de la Información en todo el

personal de la organización como base.

• Entrenar, capacitar y educar al personal que lo requiere.

• Exigir niveles de seguridad a terceros y hacer que se cumplan.

La información es un recurso vital para toda organización, y el buen manejo de esta puede significar la diferencia entre el éxito o el fracaso para todos los proyectos que se emprendan dentro de un organismo que busca el crecimiento y el éxito. (Cohen Karen, 2004)

La Información es un recurso significativo, producido por los sistemas de información. Con los adelantos tecnológicos actuales, sobre todo en las tecnologías de información, es casi imposible que una empresa no haga uso de la información para el desarrollo de sus actividades cotidianas. La información es la parte fundamental de toda empresa para tener un alto nivel de competitividad y posibilidades de desarrollo. (Zamora Herrera, 2006)

La información se ha colocado en un buen lugar como uno de los principales recursos que poseen las empresas actualmente. Si deseamos maximizar la utilidad que posee nuestra información, el negocio la debe manejar de forma correcta y eficiente, tal y cómo se manejan los demás recursos existentes.

Los administradores deben comprender de manera general que hay costos asociados con la producción, distribución, seguridad, almacenamiento y recuperación de toda la información que es manejada en la organización. Aunque la información se encuentra a nuestro alrededor, debemos saber que ésta no es gratis, y su uso es estrictamente estratégico para posicionar de forma ventajosa la empresa dentro de un negocio (Cohen Karen, 2004)

(30)

competitivo dentro del mercado y obtener mayores niveles de capacidad de desarrollo. (Castañeda Campos, 2006)

El manejo de información nos permite identificar cuáles son nuestras fortalezas con las que contamos y cuáles son nuestras debilidades y sectores vulnerables como organización. Teniendo en cuenta que se sabe con certeza cuáles son nuestras debilidades y fortalezas se puede tener una planeación más alcanzable y factible, podemos identificar donde se tiene que trabajar más y que parte de nuestra empresa necesita mayor atención. Esto nos ayudara a tener un control más amplio sobre el funcionamiento de todas las actividades de la organización. (Hostalot Sanz, 2007)

El objetivo básico de la información es la de apoyar a la toma de decisiones de todo gerente. Por medio del uso de la información, el gerente tendrá más bases sustentables para poder decidir que es lo que se va a hacer y que rumbo tomar para lograr los objetivos que se planearon; contara con un mayor número de armas para afrontar el camino que decidirá el futuro de la organización. (Espiñeira, 2006)

2.3 Fundamentos de la Seguridad de la Información

Al considerarse la información como un activo de suma importancia dentro de la organización, la Seguridad de la Información asume que es necesario protegerla, teniendo como objetivo los siguientes (Rodriguez Valenzuela, 2006):

• Disponibilidad.- Acceso y uso de los sistemas de información cuando se les

requiera, capaces de resistir intrusiones y recuperarse de fallas.

• Confidencialidad.- Utilización y difusión solo entre y por aquellos que tienen

derecho de hacerlo.

• Integridad.-Protección contra modificaciones no autorizadas, errores e

inexactitudes.

• Autenticidad.-Intercambio de información y transacciones entre

organizaciones e individuos es confiable.

(31)

16

2.3.1 Seguridad de la Información

De acuerdo con el diccionario en línea Merriam-Webster (

http://www.m-w.com/, Feb 2007), la información se define como:

Conocimiento obtenido a partir de la investigación, el estudio o instrucción, inteligencia, noticias, hechos, datos, una señal o carácter representando datos, algo que justifique el cambio en una construcción que representa la experiencia física o mental u otra construcción.

En este mismo diccionario, podemos encontrar definida a la seguridad como:

Estar libre de peligro, a salvo; libre del miedo o de la ansiedad.

Si unimos ambas definiciones, podemos decir que la Seguridad de la Información es:

Medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o la denegación del uso del conocimiento, hechos, datos o capacidades. (Maiwald, 2005)

La Seguridad de la Información es la evolución natural de la seguridad informática, en el entendido de que la misma se ocupa, no solo de establecer los elementos computacionales de seguridad para proveer la Confidencialidad, la Integridad y la Disponibilidad; sino también el establecimiento de los elementos de control que regulen los aspectos físicos, lógicos y legales, es decir, una visión de 360 grados de la protección y uso de los activos de información. (Castañeda Campos, 2006)

(32)

Figura 5 - Enfoque de la Tecnología de Seguridad Fuente: Kuper, 2005

El nivel de los crímenes computacionales continúa creciendo tan rápido como lo hace la infraestructura digital. Cada vez son más los fracasos en el área de Seguridad, los consumidores y usuarios se están percatando de esto, y están demandando a las empresas el hacer algo que los haga sentir más seguros y que proteja la privacidad de sus datos. (Heiser, 2004)

El proteger toda la información con la que una organización cuenta no es posible, y se volvería altamente costoso si se pudiera. Los expertos en seguridad recomiendan que el primer paso es determinar qué información debe ser protegida. (Kulczycky, 1997)

Al enfocarnos no solo en tratar de entender cómo crear y usar modelos para resolver problemas, sino también en el porqué estas soluciones a veces fallan, se logra desarrollar formas de pensar acerca de los problemas de seguridad que dan como resultado soluciones más robustas. (Campbell, 2006)

En las organizaciones, la Seguridad de la Información ha empezado a tomar un lugar determinante dentro de la gestión de las Tecnologías de Información, y se ha convertido en un elemento fundamental a ser considerado en toda estrategia de negocio con miras a lograr metas importantes a corto, mediano y largo plazo (Espiñeira, 2006)

En consecuencia, las organizaciones experimentan la necesidad de definir estrategias efectivas que garanticen una gestión segura de los procesos del negocio a fin de darle mayor resguardo a la información, y al mismo tiempo mitigar los obstáculos para adaptarse a los continuos cambios de la organización como consecuencia de las exigencias del mercado. (Kulczycky, 1997)

(33)

18

pérdidas o uso indebido, o focalizada a brindar acceso a los activos de información apoyando los objetivos de negocio. Uniendo estos dos conceptos – seguridad como “Protección” y seguridad como “Habilitador de Accesos” – se define de manera integral un nuevo enfoque de Seguridad de la Información en las organizaciones (Espiñeira, 2006)

La Seguridad de la Información hoy día no es sólo un aspecto tecnológico, por el contrario, es una solución integrada de negocio que combina recursos organizacionales, procesos y tecnología. (Ver Figura 6). Si no se cuenta con reglas, lineamientos, responsabilidades y procedimientos predefinidos, y ante la ausencia de personal que es capacitado para la gestión del proceso, la inversión en tecnología solamente no es más que una pérdida de dinero. Este concepto de Seguridad de la Información como una solución integral es esencial para la transformación de este nuevo enfoque, en una plataforma tangible, pragmática y operativa de seguridad, que brinde resultados cuantificables para el negocio. (Espiñeira, 2006)

Figura 6 - Seguridad de la Información: Componente Organizacional, Recursos, Procesos y Tecnología Fuente: Espiñeira, 2006

(34)

empleados. En este sentido, la Seguridad de la Información acarrea enormes implicaciones para las organizaciones debido a que la confianza es la base para el intercambio, y su ausencia es una buena razón para hacer negocios con la competencia. (Johnson & Goetz, 2007)

2.3.2 Situación Global

La industria de la Seguridad de la Información ha mostrado grandes avances en lo que se refiere a entender y conocer las amenazas percibidas en la Seguridad de la Información Organizacional (Fung, Kwok, & Dennis, 2003)

Las organizaciones se han vuelto altamente dependientes de la operación efectiva de sus Sistemas de Información, y estos sistemas se han vuelto complejos y altamente vulnerables a las influencias externas. Por lo tanto, la administración efectiva de los riesgos de la Seguridad de la Información se ha vuelto un componente vital de la viabilidad de una organización. (Fung, Kwok, & Dennis, 2003)

Las organizaciones se han vuelto más conscientes de los riesgos de la Seguridad de la Información y de la necesidad de tomar acciones correctivas. Muchas organizaciones han empezado a implementar programas formales para la Administración de la Seguridad de la Información, en un esfuerzo por proteger a la empresa, accionistas y clientes. (Baker, 2007)

Estudios previos del uso de controles de Seguridad de la Información dentro de las organizaciones se han enfocado en la presencia o ausencia de controles, en lugar de enfocarse en la calidad de estos. A lo largo de la década pasada, las organizaciones han buscado ser más eficientes y productivas por medio de la adopción de Tecnologías de Información y Comunicaciones. (Baker, 2007)

(35)

20

Tabla 2 - Principales dominios de seguridad y numero de controles que incluyen Fuente: Baker, 2007

(36)

Figura 7 - Controles más usados en términos de calidad de implementación Fuente: Baker, 2007

(37)

22

Figura 8 - Controles menos usados en términos de calidad de implementación Fuente: Baker, 2007

(38)

Hoy en día, las organizaciones están empezando a enfocarse en la implementación de controles de Seguridad de la Información. Sin embargo, cada organización está haciendo este proceso de manera diferente; algunas organizaciones aun siguen administrando el tema de seguridad de manera inconsistente y superficial. (Baker, 2007)

2.3.3 Situación en México

En nuestro país, las organizaciones han experimentado un crecimiento en el rubro de Seguridad de la Información. Actualmente, aunque se reconoce la importancia de integrar la Seguridad de la Información a la estrategia del negocio, en la práctica, aun se dedica gran parte de los esfuerzos a temas operativos que son enfrentados de forma reactiva. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

Estudios realizados por Ernst & Young México, muestran que actualmente un mayor porcentaje de las organizaciones participantes en los estudios realizados, aproximadamente 75% en México y a nivel global, han establecido ya la función de Seguridad de la Información (Véase Figura 9)

Figura 9 - Establecimiento de la Función de Seguridad de la Información dentro de las organizaciones Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007

(39)

24

están función integrada al proceso corporativo de administración de riesgos. Esta tendencia está siendo muy similar a nivel global.

Figura 10 - Seguridad de la Información como parte de los procesos corporativos Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007

El impacto del cumplimiento con los requerimientos regulatorios en las organizaciones continua creciendo. La 9na Encuesta Global de Seguridad de la Información de Ernst & Young (2007) muestra que la mayor parte de los participantes están de acuerdo en que el tema regulatorio ha sido el principal habilitador de la mejora de las practicas de Seguridad de la Información y su alineación a la administración corporativa de riesgos.

Aunque la percepción de que el cumplimiento regulatorio es uno de los principales habilitadores en las organizaciones para mejorar el tema de la Seguridad de la Información a nivel global y en México, se ha identificado que en nuestro país, la cuestión que más ha impactado las actividades de esta función es la administración de virus y gusanos en primer lugar, seguido de la protección y privacidad de la información. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

Es interesante observar el rezago que México está teniendo respecto a las tendencias globales en este ámbito, ya que mientras el rol de la función de Seguridad de la Información a nivel global está siendo orientada hacia un marco de administración de riesgos corporativo, a través del aprovechamiento de los eventos regulatorios, en nuestro país, aunque se reconoce lo anterior, el manejo de virus sigue siendo el tema principal que ocupa esta función. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

(40)

tercerización (outsourcing) para funciones relacionadas con el manejo de información confidencial.

Los resultados de la encuesta revelan que más del 60% de las organizaciones en México que han establecido relaciones con terceros, manifestaron carecer de procedimientos o tenerlos de manera informal para administrar los riesgos derivados de estas relaciones. A nivel global, también se tiene un alto porcentaje de organizaciones que se encuentran en esta misma condición. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

Los requerimientos de cumplimiento regulatorio y los incidentes de seguridad en las organizaciones han sido enfrentados en forma reactiva. Sin embargo, es importante aprovechar estos eventos para la asignación de inversión, a fin de fortalecer las capacidades y defensas de la Seguridad de la Información y lograr que ésta, tenga una participación más proactiva en el logro de los objetivos del negocio. (9na. Encuesta Global de Seguridad de la Informacion, 2007)

(41)

26

Figura 11 - Adopción de Estándares de Seguridad de la Información Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007

El proceso de mejora continua de Seguridad de la Información, inicia conociendo el estado actual de una organización, respecto a su posición en este tema. En la medida en que los negocios avanzan en un mundo globalizado, también los riesgos se incrementan; por lo que contar con herramientas de medición ayuda de manera importante a entender el estado actual y a definir las acciones de mejora necesarias. (Baker, 2007)

(42)

2.4 Políticas y Procedimientos

La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. (Proctor, y otros, 2007)

La política de seguridad es la primera y potencialmente la más importante capa en los programas de seguridad disponibles dentro de una organización. Las políticas de seguridad definen la filosofía de seguridad y postura que la organización toma, y son la base para todas las decisiones e implementación subsecuentes en el área de seguridad. (Whitman, 2003)

Las políticas proporcionan las reglas que gobiernan como deberían ser configurados los sistemas y como deberían actuar los empleados de una organización en circunstancias normales y como deberían reaccionar si se presentan si se presentan circunstancias inusuales. (Maiwald, 2005)

Si bien, las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. (Maiwald, 2005)

Las políticas realizan dos funciones principales (Whitman, 2003):

• Define lo que debería ser la seguridad dentro de una organización.

• Pone a todos en la misma situación, de modo que todo el mundo entienda

lo que se espera de ellos.

La política proporciona el marco teórico para que los empleados de la organización trabajen juntos. Los procedimientos y las políticas de la organización definen las metas y los objetivos del programa de seguridad. Cuando estas metas y objetivos se comunican apropiadamente a los empleados de la organización, proporcionan el fundamento para el trabajo conjunto referente a la seguridad. (Maiwald, 2005)

(43)

28

• Propósito: cada política y procedimiento debería tener un propósito bien

definido, que articule claramente por que fueron creados tal política o procedimiento, y que beneficio espera la organización derivar de los mismos.

• Ámbito: cada política y procedimiento debería tener una sección que defina

su aplicabilidad

• Responsabilidad: esta sección define quien se hará responsable por la

implementación apropiada del documento. Quien quiera que sea designado como el responsable de aplicar una política o procedimiento debe ser capacitado de manera adecuada y estar consciente de los requerimientos del documento.

El pensamiento orientado a riesgos se está convierto en parte de cómo las empresas administran sus tecnologías de información más importantes y sus procesos de negocios. La creación de programas maduros de seguridad y riesgos requieren de tres a cinco años de inversión estratégica. El éxito de de dichas inversiones a largo plazo dependen del establecimiento de una visión clara de lo que será el programa y de cómo se lograra alcanzar la madurez del mismo. (Proctor, y otros, 2007)

En general, las políticas definen las áreas sobre las cuales debe enfocarse la atención en lo que concierne a la seguridad. Los procedimientos deberían definir la manera en que se llevan a cabo las tareas. (Whitman, 2003)

Las políticas y procedimientos debieran cubrir todos los aspectos de las operaciones de la organización. Con frecuencia, los cambios en la tecnología dan origen a cambios en las políticas y en los procedimientos. (Fung, Kwok, & Dennis, 2003)

Las políticas y procedimientos pueden convertirse en anticuados y obsoletos si se descuidan. Las organizaciones se mueven hacia delante y los sistemas cambian a la par. Si un documento no se modifica para adaptarse a nuevos sistemas con nuevos negocios, el documento se hará irrelevante y será ignorado. Las políticas y los procedimientos deben ser actualizados de manera regular. (Kulczycky, 1997)

2.5 Estándares

(44)

la información, por lo que los gobiernos y muchas organizaciones reguladoras externas se han visto en la necesidad de crear una gran variedad de normas y regulaciones. (Heiser, 2004)

Como respuesta a las crecientes pérdidas sufridas por las organizaciones que no tienen conciencia del valor de la información, se han desarrollado normas y estándares. Estos estándares buscan ofrecer mejores prácticas para la Administración de la Seguridad de la Información. (Gentile, Giuri, Guida, Montolivo, & Volpe, 1994) Dentro de los principales estándares podemos encontrar el BS 7799, ISO 17799, COBIT, ITIL e HIPAA. El estándar HIPAA se enfoca al área de salud.

El instituto Nacional de Estándares y Tecnología de Estados Unidos clasifica los controles de Seguridad de la Información en tres categorías (Baker, 2007):

• Controles Técnicos, que incluyen productos y procesos que se enfocan

principalmente en proteger las TIC’s, y el flujo de la información y su almacenamiento

• Controles Operacionales, que incluyen la aplicación de mecanismos y

métodos para corregir las deficiencias operacionales que pueden ser explotadas como amenazas, controles de acceso físico, habilidades de respaldo, y protección de los riesgos existentes en el ambiente.

• Controles Administrativos, como el uso de políticas, entrenamiento de

empleados, continuidad de la planeación del negocio, información critica de las áreas no técnicas.

Los estándares enfocados a la administración de la Seguridad de la Información proveen de una infraestructura para la administración de la Seguridad de la Información, y por lo tanto de una guía de la estructura que se debe seguir para la documentación de Seguridad. (Fung, Kwok, & Dennis, 2003)

El objetivo de estos estándares es facilitar la comprensión de los aspectos relacionados con la seguridad de las Tecnologías de Información. Los estándares buscan orientar a las organizaciones en una correcta administración de la información. Así mismo, los estándares sirven de apoyo para que los responsables de seguridad de las TI puedan adaptar las medidas que en el estándar se indican a sus sistemas y a sus organizaciones. (Siponen, 2006)

(45)

A pesar de las consigo grandes benefi personas de la organiza 2007)

Los clientes y soc

• Contar con una o

evaluación realiza donde la informac

• La existencia de

seguridad que ase

• Gestionar sus ries • La protección de l

Las personas de l

• Poder hacerse du • La oportunidad de • La reducción de in • Jerarquizar la pro

el valor del activo

El hecho de pod información de forma su entidad totalmente inde potenciales. El contar co mercado a las organizac

Debemos de rec seguridad no garantizan de que la organización c

Capítulo 2. Seguridad

30

Figura 12 - Seguridad de la Información Fuente: Siponen, 2006

s limitaciones de estos estándares, su im eficios tanto para los clientes y socios de zación y para la sociedad. (Datasec IT Sec

ocios de negocio se benefician de:

organización que se ha sometido a un rigur izado en forma competente, imparcial e in ación es segura gracias a un cuidado constan de una revisión y mejora continua sobre

segura la eficiencia y robustez del mismo. iesgos más eficazmente.

e la imagen de la empresa y la marca comerc

e la organización se benefician de:

dueños de la información y su consecuente s de identificar y corregir las vulnerabilidades d incidentes de Seguridad de la Información. rotección de la Seguridad de la Información,

o información para el negocio y su continuida

oder demostrar que una organización es suficientemente segura y que esto lo dictam dependiente puede hacer ganar la confian con una certificación, permite a la empresa aciones de su competencia. (Girona, 2006)

ecordar que la existencia de procesos o n ni dicen nada sobre la calidad de los proc cuente con actividades o procesos de segu

ad de la Información

implantación trae del negocio, las ecurity & Control,

uroso proceso de independiente, y tante.

e el sistema de

rcial

seguridad. detectadas.

, al comprender idad.

está tratando su mina una tercera anza de clientes a ganar cuota de