Método para la Evaluación Exploratoria del Uso de HIPPA en México Edición Única

Texto completo

(1)INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY CAMPUS MONTERREY PROGRAMA DE GRADUADOS EN MECATRÓNICA Y TECNOLOGÍAS DE INFORMACIÓN. MÉTODO PARA LA EVALUACIÓN EXPLORATORIA DEL USO DE HIPAA EN MÉXICO. TESIS PRESENTADA COMO REQUISITO PARCIAL PARA OBTENER EL GRADO ACADEMICO DE: MAESTRO EN ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN. POR: VISSALIA GUADALUPE MIRAMONTES MARTÍNEZ. MONTERREY, N.L.. JULIO 2008.

(2) INSTITUTO TECNOLÓGICO DE ESTUDIOS SUPERIORES DE MONTERREY DIVISIÓN DE MECATRÓNICA TECNOLOGÍAS DE INFORMACIÓN PROGRAMA DE GRADUADOS EN MECATRÓNICA Y TECNOLOGÍAS DE INFORMACIÓN Los miembros del comité de tesis recomendamos que la presente tesis de la Ing. Vissalia Guadalupe Miramontes Martínez sea aceptada como requisito parcial para obtener el grado académico de Maestro en Administración de Tecnologías de Información. Comité de tesis:. ______________________________. Maestro Alejandro Parra Briones Asesor. ______________________________ Dr. Juan Arturo Nolazco Flores Sinodal. ______________________________ Maestro Luis Eugenio Torres Ramírez Sinodal. _________________________________________ Dr. Joaquín Acevedo Mascarúa Director de Investigación y Postgrado Julio 2008.

(3) MÉTODO PARA LA EVALUACIÓN EXPLORATORIA DEL USO DE HIPAA EN MÉXICO. POR:. VISSALIA GUADALUPE MIRAMONTES MARTÍNEZ. TESIS. Presentada al Programa de Graduados en Mecatrónica y Tecnologías de Información Este trabajo es requisito parcial para obtener el grado de Maestro en Administración de Tecnologías de Información. INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY. Julio 2008.

(4) Dedicatoria. Dedicatoria. A mi mamá, Blanca Esthela Martínez López, por ser el pilar de mi familia, por ser madre y padre, por todo el cuidado y apoyo incondicional, y por enseñarme que se puede salir adelante ante cualquier adversidad que se presente en el camino. A mi papá, Jesús Alberto Miramontes Medina, que a pesar de no estar a mi lado, se que desde el cielo nunca me ha dejado de cuidar, por ser mi luz y la estrella que me guía. A mis hermanos, Bianca Janet Miramontes Martínez y Jesús Alberto Miramontes Martínez, por ser mis compañeros incondicionales, por que juntos hemos salido adelante, y por toda la confianza y apoyo brindado. A mis abuelos, María del Carmen López y Roberto Martínez, por ser los angelitos de la guarda que siempre me cuidan.. iv.

(5) Agradecimientos. Agradecimientos. A mi asesor, Maestro Alejandro Parra, por todas sus enseñanzas y consejos que me permitieron llevar a cabo este proyecto. A mis sinodales, Dr. Arturo Nolazco y Maestro Luis Torres, por sus contribuciones, que fueron parte importante para el enriquecimiento del proyecto. A mis profesores de la Maestría, por todas las enseñanzas que me llevo de ellos, y que serán de suma importancia en mi camino como profesional y como persona. A mi Familia, por todo el apoyo brindado durante esta etapa de mi desarrollo profesional. A Antonio Rodríguez, por ser un gran apoyo, mi mejor amigo y mi confidente. A mis amigos de Sinaloa, que a pesar de la distancia, siempre estuvieron presentes con sus muestras de cariño y apoyo cuando más lo necesite. A mis amigos y compañeros de la Maestría, por cada una de las desveladas que compartimos, por su amistad, y por los aprendizajes que me llevo de cada uno de ellos. A Susana González y Enoc Delgado, por ser dos grandes amigos, por todo el apoyo, por estar cuando más los necesite, y por convertirse en mis Angelitos de la Guarda aquí en Monterrey. A mis amigos y compañeros de la DOET, por todos los momentos convividos, por el apoyo incondicional y por permitirme aprender tantas cosas de ellos. A Dios, por permitirme alcanzar una meta más en mi vida. A todos los que de alguna manera hicieron que esto fuera posible. A todos ellos ¡Gracias!. v.

(6) Resumen. Resumen. La información es uno de los activos más importantes y valiosos con los que cuenta cualquier organización. El principal objetivo de la información es apoyar en la toma de decisiones. Con el fin de resguardar y proteger esta información, las empresas deben implementar sistemas de Seguridad que permitan mantener la información segura y disponible a todo momento. Durante la historia de las sociedades, el concepto de seguridad ha incrementado su importancia. Sin embargo, encuestas realizadas demuestran que aunque se está reconociendo la importancia de integrar la Seguridad de la Información a las estrategias del Negocio, el enfoque sigue siendo en su mayoría práctico y técnico, dejando de lado el área de los servicios. En México, aun existe un gran camino por recorrer en lo referente a Seguridad de la Información, y uno de los sectores más olvidados es el área de Servicios de Salud, pues las instituciones aun no reconocen la importancia de asegurar la confidencialidad y privacidad de la información clínica. La investigación realizada tiene como objetivo estudiar al sector de Servicios de Salud, y la falta de estándares y Programas de Seguridad de la Información en México, que permitan asegurar la confidencialidad y privacidad de la información clínica del paciente. En conjunto con la Investigación del tema de Seguridad, se estudia la presencia de un fenómeno de migración que se está iniciando y que durara por varios años. Esta migración es la de los Baby Boomers, quienes como parte de su plan de retiro, están viajando a países como México, incrementando principalmente la demanda de servicios de Salud. Para aprovechar esta demanda, México deberá ser capaz de cubrir las necesidades de este nuevo mercado. Para cubrir esta demanda de servicios de salud de los Baby Boomers, como parte de esta Investigación, se estudia la Ley HIPAA, que en Estados Unidos ha permitido asegurar la seguridad y privacidad de la información clínica, al mismo tiempo que ha establecido estándares y lineamientos para la transmisión de la información clínica entre entidades y proveedores de servicios. Como parte central de esta investigación, se propone un método que permitirá evaluar cómo se encuentran las instituciones de salud de México en diferentes aspectos de la Seguridad de la Información, identificando aquellos aspectos en los que se debe de poner mayor énfasis para la implementación de un programa de Seguridad. El método desarrollado está basado en el estudio de la Ley HIPAA, enfocándose principalmente a la Regla de Seguridad de la Sección de Simplificación Administrativa.. vi.

(7) Tabla de Contenidos. Tabla de Contenidos. Dedicatoria .............................................................................................................. iv Agradecimientos ...................................................................................................... v Resumen ................................................................................................................. vi Tabla de Contenidos .............................................................................................. vii Lista de Figuras........................................................................................................ x Lista de Tablas ....................................................................................................... xii Capítulo 1. Introducción .......................................................................................... 1 1.1 Introducción ................................................................................................... 1 1.2 Identificación del Problema............................................................................ 5 1.3 Objetivos...................................................................................................... 11 1.4 Metodología ................................................................................................. 11 1.5 Organización de la Tesis ............................................................................. 12 Capítulo 2. Seguridad de la Información ............................................................... 13 2.1 Introducción al Capítulo ............................................................................... 13 2.2 Importancia de la Información ..................................................................... 14 2.3 Fundamentos de la Seguridad de la Información ........................................ 15 2.3.1 Seguridad de la Información ................................................................. 16 2.3.2 Situación Global .................................................................................... 19 2.3.3 Situación en México .............................................................................. 23 2.4 Políticas y Procedimientos........................................................................... 27 2.5 Estándares .................................................................................................. 28 2.5.1 BS / ISO 17799 ..................................................................................... 31 2.5.2 ITIL ........................................................................................................ 35 2.5.3 COBIT ................................................................................................... 36 2.5.4 HIPAA ................................................................................................... 38 2.5.4 Similitudes entre Estándares ................................................................ 39 2.6 Pasos para la implementación de un Programa de Seguridad de la Información ........................................................................................................ 42 2.7 Conclusiones del Capítulo ........................................................................... 45 Capítulo 3. Seguridad en Servicios de Salud ........................................................ 46 3.1 Introducción al Capítulo ............................................................................... 46 3.2 Baby Boomers: Una oportunidad para México en el área de Salud e Inmobiliaria ........................................................................................................ 46 3.3 Baby Boomers: El potencial Médico de México ....................................... 48 3.4 Servicios de Salud ....................................................................................... 49 3.5 Privacidad de la Información ....................................................................... 51 3.5.1 Confidencialidad de la Historia Clínica .................................................. 53 3.6 Healthcare Information Systems (HIS) y la Informatización de la Historia Clínica ............................................................................................................... 55 3.6.1 Tendencias en el Cuidado de la Salud y Sistemas de Información. .... 56 3.6.2 La Informatización de la Historia Clínica ............................................... 58. vii.

(8) Tabla de Contenidos. 3.6.3 Ventajas de la Informatización de la Historia Clínica ............................ 60 3.7 Conclusiones del Capítulo ........................................................................... 61 Capítulo 4. HIPAA: Un estándar con enfoque a los Servicios de Salud ................ 63 4.1 Introducción al Capítulo ............................................................................... 63 4.2 HIPAA .......................................................................................................... 64 4.3 Simplificación Administrativa ....................................................................... 67 4.3.1 Regla de Privacidad .............................................................................. 68 4.3.2 Regla de Seguridad .............................................................................. 71 4.3.3 Transacciones y EDI ............................................................................. 77 4.4 Conclusiones del Capítulo ........................................................................... 80 Capítulo 5.- Metodología ....................................................................................... 82 5.1 Introducción al Capítulo ............................................................................... 82 5.2 Tipo de Investigación ................................................................................... 82 5.3 Modelo Propuesto ....................................................................................... 83 5.4 Población ..................................................................................................... 84 5.5 Muestra........................................................................................................ 84 5.6 Variables...................................................................................................... 85 5.7 Recolección de Datos .................................................................................. 86 5.7.1 Diseño del Instrumento de Recolección de Datos ................................ 87 5.7.2 Metodología de Recolección de Datos.................................................. 94 5.8 Conclusiones ............................................................................................... 95 Capítulo 6.- Análisis de los Resultados ................................................................. 96 6.1 Introducción del Capítulo ............................................................................. 96 6.2 Análisis de Resultados: Institución 1 ........................................................... 97 6.3 Análisis de Resultados: Institución 2 ......................................................... 102 6.4 Análisis de Resultados: Institución 3 ......................................................... 104 6.5 Conclusiones del Capítulo ......................................................................... 111 Capítulo 7.- Conclusiones ................................................................................... 112 7.1.- Conclusiones Generales ......................................................................... 112 7.2.- Áreas de Oportunidad ............................................................................. 116 7.3.- Trabajos Futuros ..................................................................................... 116 Referencias Bibliográficas ................................................................................... 118 Anexos ................................................................................................................ 125 Anexo A – Preguntas Cuestionario.................................................................. 125 A.1 Sección Administrativa .......................................................................... 125 A.1.1 Procesos de Administración de la Seguridad .................................. 125 A.1.2 Asignación de Responsabilidades de Seguridad ............................ 126 A.1.3 Administración del Acceso a la Información .................................... 126 A.1.4 Conciencia y entrenamiento en Seguridad ..................................... 127 A.1.5 Procedimientos de Incidentes de Seguridad ................................... 128 A.1.6 Plan de Contingencias .................................................................... 128 A.1.7 Contratos de Asociados de Negocios y Otros Arreglos .................. 129 A.2 Sección Física ....................................................................................... 130 A.2.1 Controles de Acceso ....................................................................... 130 A.2.2 Uso y Seguridad de las Estaciones de Trabajo .............................. 130 A.2.3 Dispositivos y Medios de Almacenamiento ..................................... 131. viii.

(9) Tabla de Contenidos. A.3 Sección Técnica .................................................................................... 131 A.3.1 Controles de Acceso ....................................................................... 131 A.3.2 Auditoria .......................................................................................... 132 A.3.3 Integridad ........................................................................................ 133 A.3.4 Transmisión de Información ............................................................ 133 A.4 Sección Organizacional ......................................................................... 134 A.4.1 Contratos de Negocios y Otros Arreglos ......................................... 134 A.4.2 Organización ................................................................................... 134 A.5 Políticas ................................................................................................. 136 A.5.1 Políticas y Procedimientos .............................................................. 136 A.5.2 Documentación ............................................................................... 136 Anexo B – Glosario .......................................................................................... 138 Anexo C - Acrónimos ....................................................................................... 141 Anexo D – Listado de Publicaciones de NIST ................................................. 142 Anexo E – Matriz Regla de Seguridad de HIPAA / Publicaciones de NIST ..... 143 E.1 Norma Administrativa ............................................................................ 143 E.2 Norma Física ......................................................................................... 147 E.3 Norma Técnica ...................................................................................... 149 E.4 Norma Organizacional ........................................................................... 151 Anexo F – HIPAA e ITIL .................................................................................. 154 Anexo G – Comunicación con Institución 3 ..................................................... 157 G.1 – Contacto Inicial ................................................................................... 157 G.2 – Compromiso para continuidad de estudio y evaluación de la Institución ..................................................................................................................... 158 Anexo H – Carta de No Divulgación ................................................................ 160 VITA .................................................................................................................... 161. ix.

(10) Lista de Figuras. Lista de Figuras. Figura 1 - Brecha de Seguridad .............................................................................. 3 Figura 2 - Oferta mexicana de TI por sector ........................................................... 6 Figura 3 - Participación en Seguridad de la Información por Sectores Industriales 7 Figura 4 - Administración de Riesgos de compartir información con terceros......... 8 Figura 5 - Enfoque de la Tecnología de Seguridad ............................................... 17 Figura 6 - Seguridad de la Información: Componente Organizacional, Recursos, Procesos y Tecnología .......................................................................................... 18 Figura 7 - Controles mas usados en términos de calidad de implementación ..... 21 Figura 8 - Controles menos usados en términos de calidad de implementación .. 22 Figura 9 - Establecimiento de la Función de Seguridad de la Información dentro de las organizaciones ................................................................................................ 23 Figura 10 - Seguridad de la Información como parte de los procesos corporativos .............................................................................................................................. 24 Figura 11 - Adopción de Estándares de Seguridad de la Información .................. 26 Figura 12 - Seguridad de la Información .............................................................. 30 Figura 13 - Dominios Estándar ISO 17799 ........................................................... 34 Figura 14 - ITIL...................................................................................................... 36 Figura 15 - Dominios de COBIT ............................................................................ 37 Figura 16 - Aspectos coincidentes entre ISO 17799, ITIL, HIPAA y COBIT ......... 41 Figura 17 - Pasos para la Implementación de un Programa de Seguridad de la Información ........................................................................................................... 44 Figura 18 – Red de la Industria del Cuidado de la Salud ...................................... 50 Figura 19 - OECD-Protección de la Privacidad ..................................................... 53 Figura 20 - Tendencias ......................................................................................... 57 Figura 21 – Elementos de la Historia Clínica ........................................................ 59 Figura 22 – Componentes de HIPAA .................................................................... 65 Figura 23 – Uso y Revelación de PHI ................................................................... 70 Figura 24 – Principios de la Regla de Privacidad .................................................. 71 Figura 25 – Regla de Seguridad ........................................................................... 75 Figura 26 – Transmisión de Datos por medio de EDI ........................................... 79 Figura 27 - Modelo Propuesto ............................................................................... 84 Figura 28 - Variables de la Investigación ............................................................. 86 Figura 29- Institución 1. Sección Administrativa.................................................... 98 Figura 30- Institución 1. Sección Física. ............................................................... 99 Figura 31- Institución 1. Sección Organizacional. ............................................... 100 Figura 32- Institución 1. Sección de Políticas...................................................... 101 Figura 33- Institución 1. Totales Generales. ....................................................... 102 Figura 34 - Institución 3. Sección Administrativa................................................. 105 Figura 35- Institución 3. Sección Física. ............................................................. 106 Figura 36- Institución 3. Sección Técnica. .......................................................... 107 Figura 37- Institución 3. Sección Organizacional. .............................................. 108. x.

(11) Lista de Figuras. Figura 38- Institucion 3. Seccion de Politicas. ..................................................... 109 Figura 39- Institución 3. Totales Generales. ....................................................... 110 Figura 40-Libros ITIL ........................................................................................... 154 Figura 41 - Relación ITIL - HIPAA ....................................................................... 156. xi.

(12) Lista de Tablas. Lista de Tablas. Tabla 1 - Elementos que impactan en la función de Seguridad .............................. 6 Tabla 2 - Principales dominios de seguridad y numero de controles que incluyen 20 Tabla 3 - HIS vs MIS ............................................................................................. 56 Tabla 4 - Especificaciones de Implementación de HIPAA – Normas Administrativas .............................................................................................................................. 76 Tabla 5 - Especificación de Implementación HIPAA - Sección Técnica y Física... 77 Tabla 6 - Sección Administrativa ........................................................................... 88 Tabla 7 - Sección Física ........................................................................................ 88 Tabla 8 - Sección Técnica ..................................................................................... 89 Tabla 9 - Sección Organizacional ......................................................................... 89 Tabla 10 – Políticas............................................................................................... 89 Tabla 11- Totales por Sección .............................................................................. 90 Tabla 12 - Ejemplo Tabla de Resultados por Sección .......................................... 92 Tabla 13 - Ejemplo de Grafica de Totales por Sección ......................................... 93 Tabla 14 - Ejemplo de Grafica de Totales Generales ........................................... 93 Tabla 15- Institución 1. Sección Administrativa. .................................................... 97 Tabla 16- Institución 1. Sección Fisca................................................................... 99 Tabla 17- Institución 1. Sección Organizacional. ................................................ 100 Tabla 18- Institución 1. Sección de Políticas. ...................................................... 101 Tabla 19- Institución 1. Totales Generales. ......................................................... 101 Tabla 20 - Institución 3. Sección Administrativa. ................................................. 104 Tabla 21- Institución 3. Sección Física. ............................................................... 106 Tabla 22- Institución 3. Sección Técnica. ............................................................ 107 Tabla 23- Institución 3. Sección Organizacional. ................................................ 108 Tabla 24- Institución 3. Sección de Políticas. ...................................................... 109 Tabla 25- Institución 3. Totales Generales. ......................................................... 110 Tabla 26 – Preguntas Procesos de Administración de la Seguridad................... 126 Tabla 27 – Preguntas Asignación de Responsabilidades de Seguridad ............. 126 Tabla 28 – Preguntas Administración del Acceso a la Información..................... 127 Tabla 29 – Preguntas Conciencia y entrenamiento en Seguridad ...................... 127 Tabla 30 – Preguntas Procedimientos de Incidentes de Seguridad .................... 128 Tabla 31 – Preguntas Plan de Contingencias ..................................................... 129 Tabla 32 – Preguntas Contratos de Asociados de Negocios y Otros Arreglos ... 129 Tabla 33 – Preguntas Controles de Acceso ........................................................ 130 Tabla 34 – Preguntas Uso y Seguridad de las Estaciones de Trabajo ............... 130 Tabla 35 – Preguntas Dispositivos y Medios de Almacenamiento ...................... 131 Tabla 36 – Preguntas Controles de Acceso ........................................................ 132 Tabla 37 – Preguntas Auditoria ........................................................................... 133 Tabla 38 – Preguntas Integridad ......................................................................... 133 Tabla 39 – Preguntas Transmisión de la Información ......................................... 133 Tabla 40 – Preguntas Contratos de Negocios y Otros Arreglos .......................... 134. xii.

(13) Lista de Tablas. Tabla 41 – Preguntas Organización .................................................................... 135 Tabla 42 – Preguntas Políticas y Procedimientos ............................................... 136 Tabla 43 - Preguntas Documentación ................................................................. 137 Tabla 44 – Acrónimos ......................................................................................... 141 Tabla 45 - Publicaciones de NIST ....................................................................... 142 Tabla 46 - HIPAA / NIST Sección Administrativa Parte 1 ................................... 143 Tabla 47 - HIPAA / NIST Sección Administrativa Parte 2 ................................... 144 Tabla 48 - HIPAA / NIST Sección Administrativa Parte 3 ................................... 145 Tabla 49 - HIPAA / NIST Sección Administrativa Parte 4 ................................... 146 Tabla 50 -HIPAA / NIST Sección Física Parte 1 ................................................. 147 Tabla 51 - HIPAA / NIST Sección Física Parte 2 ................................................ 148 Tabla 52 -HIPAA / NIST Sección Técnica Parte 1 .............................................. 149 Tabla 53 - HIPAA / NIST Sección Técnica Parte 2 ............................................. 150 Tabla 54 - HIPAA / NIST Sección Organizacional Parte 1 .................................. 151 Tabla 55 - HIPAA / NIST Sección Organizacional Parte 2 .................................. 152 Tabla 56 - HIPAA / NIST Sección Organizacional Parte 3 .................................. 153. xiii.

(14) Capítulo 1. Introducción. Capítulo 1. Introducción. 1.1 Introducción. Durante la historia de las sociedades, el concepto de seguridad ha incrementado su importancia. Día con día, el tema de seguridad abarca diferentes aspectos de las actividades cotidianas. Sin duda alguna, la influencia que la seguridad juega dentro de las instituciones es de suma importancia. La falta en el tema de una cultura de seguridad se ve reflejada en los niveles de riesgo a los que la organización se encuentra expuesta. Se puede destacar que la seguridad impacta como problemática en aspectos organizacionales, de diseño y tecnológicos, entre otros. La información es uno de los activos más importantes y valiosos con los que cuenta cualquier organización. Del uso que cada organización le de a su información dependerá el éxito y continuidad del negocio. Así mismo, el uso que se le de a la información se verá reflejado en el cumplimiento de los objetivos estratégicos de la empresa. Las estrategias que se utilicen en la distribución y el manejo de la información determinaran en qué grado se verá beneficiada la empresa. (Castañeda Campos, 2006) El principal objetivo de la información es apoyar en la toma de decisiones. Con el fin de resguardar y proteger esta información, las empresas deben implementar sistemas de seguridad. Estos sistemas deberán permitir el mantener la información segura y disponible en el momento que se necesita. Deben existir técnicas que aseguren la información. Estas técnicas deben ir más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. (Wade, 2007) Cualquier organización puede ser blanco de ataques por agentes internos y/o externos que busquen sustraer, alterar o lucrar con su información. Bastaría un solo ataque exitoso que involucre la obtención de información confidencial para tener consecuencias incalculables en la continuidad de las operaciones de la empresa, finanzas, imagen y prestigio. Así mismo, es necesario un solo ataque para dañar la confianza de clientes e inversionistas de su organización. (Castañeda Campos, 2006) Un conjunto bien definido de políticas y procedimientos de seguridad puede prevenir perdidas de reputación y financieras. De igual forma, este conjunto de políticas y procedimientos ayudara a ahorrar dinero, al proteger el capital de. 1.

(15) Capítulo 1. Introducción. información contra todos los tipos de riesgos, accidentales o intencionales. (Castañeda Campos, 2006) En el ámbito organizacional, las instituciones con frecuencia olvidan considerar la función de la seguridad de manera formal. Se ha identificado que los esquemas de seguridad carecen de consistencia, ya que no se encuentran alineados a los objetivos de la organización. (Zamora Herrera, 2006) Estudios previos del uso de controles de Seguridad de la Información en las organizaciones se ha enfocado en la presencia o ausencia de los controles, dejando de lado el aspecto de calidad. (Baker, 2007) Las empresas están empezando a enfocarse en la Seguridad de la Información. La Seguridad de la Información está siendo reconocida como factor crítico para el éxito y la supervivencia de las organizaciones (Johnson & Goetz, 2007). A lo largo de la última década, las organizaciones han intentado ser más eficientes y productivas adoptando Tecnologías de Información y Comunicaciones (TIC’s) , y buscan que esta Tecnología de Información sea eficientemente administrada. (Baker, 2007) Sin embargo, la Seguridad de la Información no es una materia cien por ciento tecnológica, es de personas. La Seguridad de la Información es un problema organizacional de amplio espectro, y que se encuentra en constantes movimiento (dinámico). A pesar de los esfuerzos y avances realizados en materia de Seguridad de la Información, es factible encontrar hoy en día ejecutivos y tecnólogos que continúan percibiendo la Seguridad de la Información como un aspecto completamente técnico que debe ser resuelto mediante la implementación de un componente tecnológico. (Espiñeira, 2006) La existencia de este tipo de percepciones o creencias nos deja en claro que la mayoría de las organizaciones aun no tienen presente como las actividades de seguridad añaden valor al negocio. Se necesita entender, internalizar y afianzar la relación estratégica que existe entre los objetivos de negocio y su postura de Seguridad de la Información. Los resultados de la 9na. Encuesta Global de Seguridad de la Información de Mancerna Ernest & Young (2007) revelan, que aunque se reconoce la importancia de integrar la Seguridad de la Información a la estrategia del negocio, en la práctica, aun se dedica gran parte de los esfuerzos a temas operativos que son enfrentados de forma reactiva. En la actualidad, las empresas confían más en la suerte que en un sistema de control diseñado para mitigar, de forma continua, riesgos relacionados con la Seguridad de la Información. (9na. Encuesta Global de Seguridad de la Informacion, 2007). 2.

(16) Capítulo 1. Introducción. En el panorama mundial, las iniciativas de Seguridad de la Información presentan un enfoque más táctico que estratégico. Al parecer, la brecha que existe entre los riesgos relacionados con el manejo de la información y las acciones que emprenden las organizaciones para mitigarlos es cada vez mayor. Por tanto, la brecha entre los riesgos crecientes y lo que la Seguridad de la Información está haciendo realmente para abordarlos continua ampliándose. (Véase Fig. 1) En nuestro país, solo el 22% del tiempo y el 14% del presupuesto de Seguridad de la Información se destinan a asuntos estratégicos. (9na. Encuesta Global de Seguridad de la Informacion, 2007). Figura 1 - Brecha de Seguridad Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007. En tanto a Nivel Global, el cumplimiento de regulaciones como SarbanesOxley se ha visto como un vehículo de desarrollo para las iniciativas de Seguridad de la Información. En nuestro país, este tema no constituye una prioridad vigente. (9na. Encuesta Global de Seguridad de la Informacion, 2007) En México, las preocupaciones actuales se centran en los virus, phishing, spyware, y nuevas tecnologías que han llevado al despliegue de tácticas aisladas, en lugar de formar esfuerzos estratégicos corporativos. Sin embargo, con estos esfuerzos solo se corrigen los problemas más comunes pero NO los más costosos. (9na. Encuesta Global de Seguridad de la Informacion, 2007) Como respuesta a las crecientes pérdidas sufridas por las organizaciones que no tienen conciencia del valor de la información, se han desarrollado normas y estándares. Estos estándares buscan ofrecer mejores prácticas para la Administración de la Seguridad de la Información. Dentro de los principales estándares podemos encontrar el BS (British Standard) 7799, ISO (International. 3.

(17) Capítulo 1. Introducción. Standards Organization) 17799 e HIPAA (Health Insurance Portability and Accountability). El proyecto HIPAA se enfoca al área de salud. El objetivo de estos estándares es facilitar la comprensión de los aspectos relacionados con la seguridad de las Tecnologías de Información. Los estándares buscan orientar a las organizaciones en una correcta administración de la información. Así mismo, los estándares sirven de apoyo para que los responsables de seguridad de las TI puedan adaptar las medidas que en el estándar se indican a sus sistemas y a sus organizaciones. (Girona, 2006) Estos estándares son aplicables para todas las organizaciones, sin importar su tamaño, su volumen de negocio, su actividad, etc. El proceso de instauración de las medidas de seguridad será diferente en cada una de las organizaciones. El proceso de instauración dependerá de las actividades del negocio así como de las posibilidades de dedicar más o menos recursos a los aspectos referentes a la seguridad. (Girona, 2006) Estos estándares sirven como guía para tener en consideración qué aspectos deben de tener controlados las organizaciones. Una de las limitantes de estos estándares es que no especifican cuáles tienen que ser las medidas a implementar. Estas medidas serán dependientes de las características de la organización. (Siponen, 2006) El hecho de poder demostrar que una organización está tratando su información de forma suficientemente segura y que esto lo dictamina una tercera entidad totalmente independiente puede hacer ganar la confianza de clientes potenciales. El contar con una certificación, permite a la empresa ganar cuota de mercado a las organizaciones de su competencia. (Girona, 2006) Gracias a los estándares y normas de Seguridad de la Información, las empresas adoptan las mejores prácticas dentro de sus procesos. La existencia de procesos o actividades de seguridad no garantizan ni dicen nada sobre la calidad de los procesos. (Siponen, 2006) El hecho de que la organización cuente con actividades o procesos de seguridad sugeridos por los estándares de Seguridad de la Información no significa que la meta final de estos procesos sea alcanzada. No significa que los sistemas de las organizaciones sean seguros con respecto a sus objetivos. (Siponen, 2006). 4.

(18) Capítulo 1. Introducción. 1.2 Identificación del Problema. La privacidad y protección de la información personal se ha convertido en una de las mayores preocupaciones de las organizaciones en el mundo, debido a los riesgos que conlleva. Uno de los sectores del mercado y del área de servicios que genera mayor cantidad de información, es la práctica médica y su carácter sensible determina que debe ser particularmente protegida. (Conde Olasagasti, 2003) Estudios realizados por diferentes organizaciones muestran la futura migración de una de las generaciones más grandes de la historia de EE.UU.: los Baby Boomers, dando como resultado un incremento en la demanda de servicios de salud e inmobiliaria en los destinos a los que se están dirigiendo. Uno de estos destinos es nuestro país, México. En México no existe un estándar o Ley que permita asegurar la confidencialidad de la información clínica, y esta falta de estándares enfocados al sector salud se vuelve una desventaja para nuestro país si se desea ser una competencia fuerte y aprovechar la migración de esta generación a las diferentes partes del mundo. Actualmente, y dados los avances tecnológicos que han venido surgiendo, se constata que cada vez es más prioritario para las organizaciones el contar con elementos que permitan controlar y evaluar los diferentes aspectos de la Tecnología de la Información. Muchas empresas mexicanas han comenzado a implementar, dentro de su organización, programas formales de administración de Seguridad de la Información. La implementación de estos programas es el resultado de un intento por protegerse y proteger a sus clientes e inversionistas. Sin embargo, estos intentos aun se ven alejados de los objetivos. (9na. Encuesta Global de Seguridad de la Informacion, 2007) Por primera vez, desde que Ernst & Young inicio su serie de encuestas enfocadas al tema de Seguridad de la Información, el cumplimiento con las regulaciones se convirtió en el principal impulsor de Seguridad de la Información a nivel global entre casi dos tercios de los encuestados. (9na. Encuesta Global de Seguridad de la Informacion, 2007) En esta ocasión, el cumplimiento de las regulaciones sobrepasa el enfoque en los gusanos y virus informáticos. Desafortunadamente, en México, esta tendencia pareciera que apenas va a comenzar.(Véase Tabla 1). 5.

(19) Capítulo 1. Introducción. Tabla 1 - Elementos que impactan en la función de Seguridad Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007. A pesar de la implementación de programas de seguridad, aun existen sectores de mercado que no están siendo favorecidos. Uno de los principales sectores mexicanos que aun no se ha visto favorecido en aspectos de Seguridad de la Información, es el sector Salud. Estudios realizados por la Secretaria de Economía y por ESANE Consultores muestran que en México, las empresas de TI enfocan sus productos y/o servicios a 4 sectores fundamentales. Estos sectores son: Manufactura, Servicios Financieros, Gobierno y Comunicaciones. (Csheel Mayenberger, 2005) La menor abundancia de la oferta se observa en los sectores de Servicios de Salud y Educación(Véase Fig. 2).. Figura 2 - Oferta mexicana de TI por sector Fuente: Csheel Mayenberger, 2005. 6.

(20) Capítulo 1. Introducción. Otra serie de encuestas enfocadas al tema de Seguridad de la Información son las realizadas por Ernst & Young (Ernst & Young, 2007). La 9na Encuesta de Ernst & Young, al igual que las encuestas realizadas por la Secretaria de Economía, muestran que en México el Sector Salud es uno de los que menor participación se tiene en cuanto a Seguridad de la Información se refiere (Véase Fig.3). Figura 3 - Participación en Seguridad de la Información por Sectores Industriales Fuente: Ernst & Young, 2007. Existen organizaciones que están aplicando procedimientos formales de Seguridad de la Información. Desafortunadamente, no todas las empresas están aplicando procedimientos de Seguridad de la Información. Como se puede apreciar, el Sector Salud es uno de los más olvidados en este tema. La globalización de los negocios ha hecho inevitable la aparición de riesgos relacionados con la privacidad y protección de información personal. Por ello, las organizaciones se han visto obligadas a implementar prácticas de Seguridad de la Información cada vez más complejas para mitigar estos riesgos. (9na. Encuesta Global de Seguridad de la Informacion, 2007) Como lo revela la 9na. Encuesta Global de Seguridad de la Información (2007), el robo de información en medios removibles, la extorsión y la divulgación de información personal, son solo algunos de los riesgos a los que las organizaciones se han enfrentado en los últimos años, debido a la falta de. 7.

(21) Capítulo 1. Introducción. prácticas de Seguridad de la Información relacionados con privacidad y protección de los datos. Esta inexistencia de prácticas de Seguridad afecta en gran medida la confidencialidad y Seguridad de la Información del Sector Salud. El tema de la confidencialidad de la información clínica ha sido desde siempre un aspecto fundamental de la relación médico – paciente. Con la llegada de la era tecnológica, el tener la historia clínica en formato electrónico se ha visto reflejada en un riesgo de acceso remoto a la información del paciente. (Margolis, s.f) Los Hospitales en México aun no están preparados para mantener la historia clínica de los pacientes en formato electrónico, pues como organización deberán administrar los riesgos que implica el compartir información con terceros. En el actual entorno de los negocios y en el sector salud, este enfoque para relacionarse con terceros expone a las organizaciones y a los pacientes a riesgos significativos que no deben ser ignorados. (9na. Encuesta Global de Seguridad de la Informacion, 2007). Figura 4 - Administración de Riesgos de compartir información con terceros Fuente: 9na. Encuesta Global de Seguridad de la Información, 2007. Para reducir los riesgos de las organizaciones en su intercambio de información con terceros, cualquier relación contractual que celebren con ellos debería estar precedida por una estricta revisión. Esta revisión busca conocer la manera en que las organizaciones protegen la información de aquellos con los que interactúan. (9na. Encuesta Global de Seguridad de la Informacion, 2007) En el área de Salud, existe el Proyecto HIPAA, el cual incluye estándares y esta reforzado por proyectos de ley de EE.UU. Este proyecto tiene como objetivo la intención de alentar a la industria del cuidado médico a mover el manejo y. 8.

(22) Capítulo 1. Introducción. transmisión de la información del paciente de sistemas manuales a sistemas electrónicos. Con el uso de sistemas electrónicos se busca mejorar la seguridad, bajar los costos y bajar las tasas de error. (¿Qué es HIPAA?) Así mismo, mediante el uso de HIPAA se busca ofrecer a los usuarios un mejor acceso a los servicios de salud, proteger la información de los pacientes y promover una estandarización y eficiencia en la industria de la salud. (Centers for Medicare & Medical Services, 2007) En Estados Unidos, HIPAA permite asegurar a los pacientes que su información se encuentra protegida. La información de los pacientes solamente será transmitida o compartida con terceros bajo los estándares establecidos por HIPAA. (Centers for Medicare & Medical Services, 2007) Como se menciono anteriormente, en México, no existe un estándar o Ley que permita asegurar la confidencialidad de la información e historial clínica de los pacientes. Esta falta de estándares en el sector Salud se vuelve una desventaja para México si se desea ser una competencia fuerte en el área de servicios de salud y si se desea aprovechar la futura migración de los “Baby Boomers” provenientes de EUA. Los Baby Bommer es la generación de norteamericanos que nacieron después de la Segunda Guerra Mundial y hasta principios de la década de 1960. Es una de las generaciones más numerosas en la historia de este país. (Rosenberg, 2006) En los próximos 30 años, más de 100 millones de ciudadanos estadounidenses, nacidos entre 1946 y 1964, conocidos como los baby boomers alcanzaran su edad de retiro. El retiro de los baby boomers resultara en una creciente demanda de servicios. Uno de los principales servicios será el del área de salud, seguido por la Industria Inmobiliaria (Oppenheimer, 2006) El impacto que la generación “Baby Boom” tendrá en el sistema de Seguro Social no parece ser tomado con demasiada preocupación. En el año 2013, la primera parte de esta generación tendrá 67 años, y estará recibiendo los beneficios del Seguro Social, en vez de contribuir a este. (Duran, s.f) Gran parte de esta generación está empezando a jubilarse y a migrar hacia ciudades como Florida, Texas, Arizona y México, buscando lugares cálidos donde pasar sus últimos años. (Zapata, 2006) No hay números exactos de cuántos “inmigrantes” americanos viven en México. El Instituto Federal de Inmigración tenía hace dos años un censo de alrededor de 200 mil personas viviendo de manera permanente, La Embajada de Estados Unidos en México estimó que eran unas 500 mil americanos.. 9.

(23) Capítulo 1. Introducción. Sin embargo, investigaciones independientes y grupos de migrantes americanos consideran esos números bastante bajos. Según “The People’s Guide to México”, una cantidad más factible sería alrededor de 1 millón de personas. Como personas mayores, a estos “inmigrantes” les interesan mucho los servicios de salud, siendo estos una gran área de oportunidad para nuestro país. (Zapata, 2006) En otros países como la India y China, ya se dieron cuenta de este fenómeno de la migración de USA. Estos países están empezando a trabajar en crear la infraestructura para ofrecer servicios de Salud de calidad para estos nuevos clientes. (Zapata, 2006) El mercado se encuentra en plena expansión y conforme se vayan jubilando más “baby boomers” habrá una gran demanda de servicios médicos y de atención para personas mayores. México tiene grandes ventajas, por sobre China y la India, incluyendo entre estas la cercanía con Estados Unidos y la familiaridad de los americanos con la cultura Mexicana. (Zapata, 2006) Rusell Mead (2005), en su libro “Poder, Terror, Paz y Guerra” menciona que Estados Unidos se encuentra en la posibilidad de negociar acuerdos preferenciales con los países latinoamericanos que así lo quieran, para permitir que los ciudadanos norteamericanos que están dispuestos a retirarse al sur de la frontera puedan usar su Seguro de Salud de Estados Unidos en esos países. Los países de Latinoamérica que deseen aprovechar esta oportunidad, deberán regirse bajo las normas del Estándar HIPAA. Los resultados de la 9na. Encuesta de Ernst & Young nos muestran, que en México existe todavía un gran camino por andar en lo que se refiere a Seguridad de la Información. Si bien ya se han iniciado a dar algunos pasos, las organizaciones no están dando un enfoque proactivo en el tema de Seguridad de la Información. Pocas empresas han hecho esfuerzos integrados y efectivos para analizar sus riesgos referentes al tema de Seguridad de la Información, lo cual hace imposible tomar las acciones requeridas. Así mismo, las empresas mexicanas, si se quiere aprovechar la migración de los “Baby Boomers” deben de trabajar en hacer de la Seguridad de la Información un proceso continuo e intrínseco a los procesos del negocio. La formalización de los procesos enfocados a la Seguridad de la Información, ayudara a las empresas a ser mas reactivas confiando menos en la suerte y mas en un sistema de control diseñado para mitigar riesgos relacionados con la Seguridad de la Información en forma continua. (9na. Encuesta Global de Seguridad de la Informacion, 2007). 10.

(24) Capítulo 1. Introducción. 1.3 Objetivos. El presente trabajo de investigación tiene como objetivos: •. • •. •. •. Establece un marco teórico donde se presente la importancia del tema de Seguridad de la Información, así como la Situación actual en México con respecto al tema. Definir la importancia de la información dentro del área de Servicios de Salud. Establecer un marco teórico de la Ley HIPAA que nos permita conocer como esta ley ayuda a mantener la seguridad y privacidad de la Información Clínica. Proponer una serie de preguntas (evaluación) basadas en la Ley HIPAA que permitan evaluar y cuantificar como se encuentra la organización (hospital, clínica, proveedor de servicios de salud) en cuanto a cumplimientos de requerimientos de Seguridad de la Información, esto basado en las normas administrativas, técnicas, físicas, organizacionales y políticas establecidas por la regla de seguridad de HIPAA. Así mismo, se busca que el resultado obtenido de la evaluación sirva para establecer una base sobre la cual cada organización debe de trabajar si desea aprovechar las ventajas de tener su organización bajo el estándar de HIPAA. Para cumplir con este objetivo, en la evaluación se establece una serie de referencias a NIST y a HIPAA que servirán a la organización como apoyo para cubrir las entidades faltantes.. 1.4 Metodología. El tipo de Investigación realizada en esta tesis es exploratoria cualitativa, y según Hernández, Fernández y Baptista (2003) este tipo de investigación se efectúa cuando el tema a tratar a sido poco estudiado, se tienen muchas dudas o no se ha abordado antes. En el caso de México, el tema de Seguridad de la Información ha sido poco explorado por las empresas, y en lo que se refiere a servicios de salud, no se tiene una medida del impacto que la falta de confidencialidad y privacidad de la información del paciente puede tener sobre la industria del cuidado de la salud. Se utilizaron encuestas como instrumento de recolección de datos. Para la aplicación de las entrevistas, se definió en primera instancia la población, que la constituyen los hospitales, clínicas y proveedores de servicios de salud. Una vez definida la población, la muestra fue seleccionada a conveniencia del investigador.. 11.

(25) Capítulo 1. Introducción. 1.5 Organización de la Tesis. El presente trabajo de Investigación está conformado por siete capítulos, cuyo contenido especifico de cada uno de ellos es descrito a continuación: El Capítulo 1 presenta un panorama general que sirve de introducción tema de investigación. Este Capítulo tiene como objetivo mostrar al lector importancia del tema de investigación y descripción del problema, así como objetivo, metodología utilizada y la forma en cómo se encuentra estructurada tesis.. al la el la. La literatura previa o marco teórico está identificada en los capítulos 2, 3 y 4, donde se definen los conceptos y teorías que ayudaran a comprender mejor el trabajo de investigación. El Capítulo 2 presenta un marco teórico del tema de Seguridad de la Información que servirá como base para comprender los conceptos presentados en el Capítulo 3, el cual se enfoca en el marco teórico de uno de los temas principales de esta investigación: Servicios de Salud. El Capítulo 4 se enfoca a la Ley HIPAA, la cual busca establecer un estándar que asegure la confidencialidad y privacidad de la información clínica, así como la forma en que la información debe ser transmitida entre las entidades cubiertas. La explicación de la metodología de investigación y los detalles de los elementos propuestos en el modelo particular, así como sus relaciones, son descritos en el Capítulo 5. En este Capítulo también se definen los instrumentos, la población y la muestra que se utilizan para recolectar los datos que son objeto de análisis. El Capítulo 6 tiene por objetivo mostrar a detalle los resultados obtenidos después de aplicar los instrumentos en la investigación de campo. En el Capítulo 7 expone las conclusiones a las que se han llegado después de haber realizado la investigación. También se describen los trabajos propuestos que pueden desarrollarse en el futuro, esto con la finalidad de dar un seguimiento a este tema de investigación. Por último, se podrán encontrar la sección de anexos, así como las referencias bibliográficas que se utilizaron como apoyo para el desarrollo de este trabajo de investigación.. 12.

(26) Capítulo 2. Seguridad de la Información. Capítulo 2. Seguridad de la Información. 2.1 Introducción al Capítulo. Este Capítulo tiene como objetivo presentar un marco teórico del tema de Seguridad de la Información, necesario para tener una base de los conceptos y definiciones básicas que son requeridos para la mejor compresión de la investigación desarrollada en esta tesis. Así mismo, este Capítulo servirá de base para comprender los conceptos presentados en el siguiente Capítulo, el cual se enfoca en el marco teórico de los temas principales de estudio de esta investigación: Servicios de Salud y Ley HIPAA. Primeramente se define la importancia de la información, para entender la criticidad y el papel que esta juega dentro de las organizaciones, y como el mal manejo y cuidado de la información puede afectar la operación de la empresa. Después, se define el concepto de Seguridad de la Información y el rol que este tema juega dentro de las organizaciones. Dentro de este tema también se presenta la Situación Global de la Seguridad de la Información, seguida de la situación que se presenta en nuestro país, México. Como tercera parte de este Capítulo, se tratan los conceptos de políticas y procedimientos, así como las funciones que estos dos conceptos juegan dentro de la organización, y como deben ir adaptándose a los cambios que se presenten en esta. Para continuar con el desarrollo de este Capítulo, se profundiza en el tema de estándares, los cuales han surgido como respuesta a las crecientes pérdidas sufridas por las organizaciones que no tienen conciencia del valor y de la importancia de la información. Dentro de estos estándares, se estudian: ISO 17799, ITIL, COBIT, SSE – CMM e HIPAA. Para terminar con este Capítulo, se presenta una serie de 9 pasos recomendada por el Estándar ISO 17799 para la implementación de un Programa de Seguridad de la Información dentro de las organizaciones.. 13.

(27) Capítulo 2. Seguridad de la Información. 2.2 Importancia de la Información. Recordemos que la información es uno de los principales activos de la organización, y para asegurar el buen uso de esta, la empresa debe definir una estrategia de Seguridad de la Información, alineada a la del negocio que considere: • • • •. Ampliar el enfoque tecnológico, hacia a gente y los procesos. Desarrollar una conciencia de Seguridad de la Información en todo el personal de la organización como base. Entrenar, capacitar y educar al personal que lo requiere. Exigir niveles de seguridad a terceros y hacer que se cumplan.. La información es un recurso vital para toda organización, y el buen manejo de esta puede significar la diferencia entre el éxito o el fracaso para todos los proyectos que se emprendan dentro de un organismo que busca el crecimiento y el éxito. (Cohen Karen, 2004) La Información es un recurso significativo, producido por los sistemas de información. Con los adelantos tecnológicos actuales, sobre todo en las tecnologías de información, es casi imposible que una empresa no haga uso de la información para el desarrollo de sus actividades cotidianas. La información es la parte fundamental de toda empresa para tener un alto nivel de competitividad y posibilidades de desarrollo. (Zamora Herrera, 2006) La información se ha colocado en un buen lugar como uno de los principales recursos que poseen las empresas actualmente. Si deseamos maximizar la utilidad que posee nuestra información, el negocio la debe manejar de forma correcta y eficiente, tal y cómo se manejan los demás recursos existentes. Los administradores deben comprender de manera general que hay costos asociados con la producción, distribución, seguridad, almacenamiento y recuperación de toda la información que es manejada en la organización. Aunque la información se encuentra a nuestro alrededor, debemos saber que ésta no es gratis, y su uso es estrictamente estratégico para posicionar de forma ventajosa la empresa dentro de un negocio (Cohen Karen, 2004) Dentro de cualquier organización la información fluye día con día, y cada actividad genera más información que puede apoyar las distintas tareas que se llevan a cabo para su buen funcionamiento. El manejo de la información es fundamental para cualquier empresa, con ello puede lograr un alto nivel. 14.

(28) Capítulo 2. Seguridad de la Información. competitivo dentro del mercado y obtener mayores niveles de capacidad de desarrollo. (Castañeda Campos, 2006) El manejo de información nos permite identificar cuáles son nuestras fortalezas con las que contamos y cuáles son nuestras debilidades y sectores vulnerables como organización. Teniendo en cuenta que se sabe con certeza cuáles son nuestras debilidades y fortalezas se puede tener una planeación más alcanzable y factible, podemos identificar donde se tiene que trabajar más y que parte de nuestra empresa necesita mayor atención. Esto nos ayudara a tener un control más amplio sobre el funcionamiento de todas las actividades de la organización. (Hostalot Sanz, 2007) El objetivo básico de la información es la de apoyar a la toma de decisiones de todo gerente. Por medio del uso de la información, el gerente tendrá más bases sustentables para poder decidir que es lo que se va a hacer y que rumbo tomar para lograr los objetivos que se planearon; contara con un mayor número de armas para afrontar el camino que decidirá el futuro de la organización. (Espiñeira, 2006). 2.3 Fundamentos de la Seguridad de la Información. Al considerarse la información como un activo de suma importancia dentro de la organización, la Seguridad de la Información asume que es necesario protegerla, teniendo como objetivo los siguientes (Rodriguez Valenzuela, 2006): • • • •. Disponibilidad.- Acceso y uso de los sistemas de información cuando se les requiera, capaces de resistir intrusiones y recuperarse de fallas. Confidencialidad.- Utilización y difusión solo entre y por aquellos que tienen derecho de hacerlo. Integridad.-Protección contra modificaciones no autorizadas, errores e inexactitudes. Autenticidad.-Intercambio de información y transacciones entre organizaciones e individuos es confiable.. Con el fin de resguardar y proteger la información, las empresas deben implementar sistemas de administración de Seguridad de la Información que permitan mantener segura y resguardada la información de la empresa. Como se menciono anteriormente, la información es hoy en día uno de los activos más importantes de las organizaciones y como tal requiere de una protección adecuada. Deben existir técnicas que aseguren la información, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena.. 15.

(29) Capítulo 2. Seguridad de la Información. 2.3.1 Seguridad de la Información. De acuerdo con el diccionario en línea Merriam-Webster (http://www.mw.com/, Feb 2007), la información se define como: Conocimiento obtenido a partir de la investigación, el estudio o instrucción, inteligencia, noticias, hechos, datos, una señal o carácter representando datos, algo que justifique el cambio en una construcción que representa la experiencia física o mental u otra construcción. como:. En este mismo diccionario, podemos encontrar definida a la seguridad Estar libre de peligro, a salvo; libre del miedo o de la ansiedad.. Si unimos ambas definiciones, podemos decir que la Seguridad de la Información es: Medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o la denegación del uso del conocimiento, hechos, datos o capacidades. (Maiwald, 2005) La Seguridad de la Información es la evolución natural de la seguridad informática, en el entendido de que la misma se ocupa, no solo de establecer los elementos computacionales de seguridad para proveer la Confidencialidad, la Integridad y la Disponibilidad; sino también el establecimiento de los elementos de control que regulen los aspectos físicos, lógicos y legales, es decir, una visión de 360 grados de la protección y uso de los activos de información. (Castañeda Campos, 2006) El área de Seguridad de la Información inicialmente se enfoco en el tema de Firewalls y tecnologías de antivirus, tratando de proteger la infraestructura, la red, y por consiguiente las aplicaciones. Sin embargo, la seguridad es integridad de la red y los datos – la protección y acceso a los datos. La tecnología de Seguridad debe enfocarse a 4 áreas importantes: Perímetro, Red, Aplicaciones y datos. (Kuper, 2005). 16.

(30) Capítulo 2. Seguridad de la Información. Figura 5 - Enfoque de la Tecnología de Seguridad Fuente: Kuper, 2005. El nivel de los crímenes computacionales continúa creciendo tan rápido como lo hace la infraestructura digital. Cada vez son más los fracasos en el área de Seguridad, los consumidores y usuarios se están percatando de esto, y están demandando a las empresas el hacer algo que los haga sentir más seguros y que proteja la privacidad de sus datos. (Heiser, 2004) El proteger toda la información con la que una organización cuenta no es posible, y se volvería altamente costoso si se pudiera. Los expertos en seguridad recomiendan que el primer paso es determinar qué información debe ser protegida. (Kulczycky, 1997) Al enfocarnos no solo en tratar de entender cómo crear y usar modelos para resolver problemas, sino también en el porqué estas soluciones a veces fallan, se logra desarrollar formas de pensar acerca de los problemas de seguridad que dan como resultado soluciones más robustas. (Campbell, 2006) En las organizaciones, la Seguridad de la Información ha empezado a tomar un lugar determinante dentro de la gestión de las Tecnologías de Información, y se ha convertido en un elemento fundamental a ser considerado en toda estrategia de negocio con miras a lograr metas importantes a corto, mediano y largo plazo (Espiñeira, 2006) En consecuencia, las organizaciones experimentan la necesidad de definir estrategias efectivas que garanticen una gestión segura de los procesos del negocio a fin de darle mayor resguardo a la información, y al mismo tiempo mitigar los obstáculos para adaptarse a los continuos cambios de la organización como consecuencia de las exigencias del mercado. (Kulczycky, 1997) Como un proceso estratégico, la Seguridad de la Información pudiera estar enfocada en proteger los activos de información de una organización contra. 17.

(31) Capítulo 2. Seguridad de la Información. pérdidas o uso indebido, o focalizada a brindar acceso a los activos de información apoyando los objetivos de negocio. Uniendo estos dos conceptos – seguridad como “Protección” y seguridad como “Habilitador de Accesos” – se define de manera integral un nuevo enfoque de Seguridad de la Información en las organizaciones (Espiñeira, 2006) La Seguridad de la Información hoy día no es sólo un aspecto tecnológico, por el contrario, es una solución integrada de negocio que combina recursos organizacionales, procesos y tecnología. (Ver Figura 6). Si no se cuenta con reglas, lineamientos, responsabilidades y procedimientos predefinidos, y ante la ausencia de personal que es capacitado para la gestión del proceso, la inversión en tecnología solamente no es más que una pérdida de dinero. Este concepto de Seguridad de la Información como una solución integral es esencial para la transformación de este nuevo enfoque, en una plataforma tangible, pragmática y operativa de seguridad, que brinde resultados cuantificables para el negocio. (Espiñeira, 2006). Figura 6 - Seguridad de la Información: Componente Organizacional, Recursos, Procesos y Tecnología Fuente: Espiñeira, 2006. A medida que el rol de Seguridad de la Información evoluciona, los directivos y ejecutivos de negocio reconocen que éste es sin duda el primer paso en la relación entre la organización, sus clientes, socios de negocio, proveedores y. 18.

(32) Capítulo 2. Seguridad de la Información. empleados. En este sentido, la Seguridad de la Información acarrea enormes implicaciones para las organizaciones debido a que la confianza es la base para el intercambio, y su ausencia es una buena razón para hacer negocios con la competencia. (Johnson & Goetz, 2007). 2.3.2 Situación Global. La industria de la Seguridad de la Información ha mostrado grandes avances en lo que se refiere a entender y conocer las amenazas percibidas en la Seguridad de la Información Organizacional (Fung, Kwok, & Dennis, 2003) Las organizaciones se han vuelto altamente dependientes de la operación efectiva de sus Sistemas de Información, y estos sistemas se han vuelto complejos y altamente vulnerables a las influencias externas. Por lo tanto, la administración efectiva de los riesgos de la Seguridad de la Información se ha vuelto un componente vital de la viabilidad de una organización. (Fung, Kwok, & Dennis, 2003) Las organizaciones se han vuelto más conscientes de los riesgos de la Seguridad de la Información y de la necesidad de tomar acciones correctivas. Muchas organizaciones han empezado a implementar programas formales para la Administración de la Seguridad de la Información, en un esfuerzo por proteger a la empresa, accionistas y clientes. (Baker, 2007) Estudios previos del uso de controles de Seguridad de la Información dentro de las organizaciones se han enfocado en la presencia o ausencia de controles, en lugar de enfocarse en la calidad de estos. A lo largo de la década pasada, las organizaciones han buscado ser más eficientes y productivas por medio de la adopción de Tecnologías de Información y Comunicaciones. (Baker, 2007) En la búsqueda por entender como las organizaciones utilizan los controles para la administración de riesgos de la Seguridad de la Información, la IEEE creó un estudio basado en WEB en donde se evalúan 80 practicas especificas de seguridad, divididos en 16 áreas. En la tabla 2 se observan las 16 áreas es las que se dividió este estudio. (Baker, 2007). 19.

(33) Capítulo 2. Seguridad de la Información. Tabla 2 - Principales dominios de seguridad y numero de controles que incluyen Fuente: Baker, 2007. El principal objetivo del estudio realizado por la IEEE fue identificar los controles que las organizaciones, en promedio, implementan de manera exhaustiva contra aquellos controles que son implementados de manera reducida. (Baker, 2007) En la figura 7 se muestran los controles más usados en términos de calidad de implementación.. 20.

(34) Capítulo 2. Seguridad de la Información. Figura 7 - Controles más usados en términos de calidad de implementación Fuente: Baker, 2007. Por otro lado, la figura 8 presenta los controles menos usados en términos de calidad de implementación. Como podemos ver, dentro de estos controles se encuentran la definición de procedimientos que permitan la evaluación y el aseguramiento de la Seguridad de la Información.. 21.

(35) Capítulo 2. Seguridad de la Información. Figura 8 - Controles menos usados en términos de calidad de implementación Fuente: Baker, 2007. Uno de los retos principales a los que se enfrentan las organizaciones es, cada vez más, la integración de la Seguridad de la Información en el proceso corporativo de administración de riesgos y en el aprovechamiento de los requerimientos regulatorios para el fortalecimiento de los procesos de control interno y de administración de riesgos. (9na. Encuesta Global de Seguridad de la Informacion, 2007). 22.