0

REPORTE DE PROYECTO TERMINAL

DE INGENIERÍA BIOMÉDICA

TÍTULO: “EVALUACIÓN Y ADMINISTRACIÓN DE RIESGOS

EN SISTEMAS DE INFORMACIÓN MÉDICA; INTEGRACIÓN

CON LAS PRÁCTICAS Y FUNCIONES DEL DEPTO DE

INGENIERÍA BIOMÉDICA DE UN HOSPITAL”

ASESORAS:

DRA. MARÍA DEL ROCÍO ORTIZ PEDROZA

M en I. CLAUDIA CÁRDENAS ALANIS

PRESENTA: FERNANDO ZÚÑIGA ORTA

MATRÍCULA: 202318655

MÉXICO D.F., OCTUBRE 2008

1

INDICE 1

INTRODUCCIÓN 3

JUSTIFICACIÓN 5

OBJETIVO 5

I. PRIMERA PARTE

“MANUAL DE PRÁCTICAS Y PROCEDIMIENTOS” 7

1.- Estado del DIB en el anterior Hospital

Naval Militar y sus Manuales de Procedimientos 7

2.- Modelo propuesto del Manual de Prácticas y

Procedimientos de un DIB 11

3.- Comparación y observaciones. 21

II. SEGUNDA PARTE

“EVALUACIÓN Y ADMINISTRACIÓN DE RIESGOS EN

SISTEMAS DE INFORMACIÓN MÉDICA” 23

1.- Introducción 23

2.- Definiciones 24

3.- Procedimientos 26

4.- Metodología para la Evaluación y Control de Riesgos en

Equipo Biomédico y Sistemas de Información Médica 28

4.1) Etapa 1 ORGANIZACIÓN 29

4.2) Etapa 2 EVALUACIÓN 31

4.3) Etapa 3 ANÁLISIS Y PLANEACIÓN 32

4.4) Etapa 4 IMPLEMENTACIÓN Y CONTROL 34

III. TERCERA PARTE

1.- RESULTADOS 35

2.- CONCLUSIONES 35

GLOSARIO 37

2

BIBLIOGRAFIA 38

ANEXOS

Anexo A.- Formato de evaluación de riesgo informático en equipo médico 40

Anexo B.- Tablas para determinación de nivel de riesgo en la información 42

Anexo C.- Cuestionario de evaluación de prácticas y procedimientos de

seguridad informática 43

Anexo D.- Tabla de estándares de la regla de seguridad de HIPPA 56

Anexo E.- Formato de reporte de incidentes de seguridad informática 67

3

INTRODUCCIÓN

El Colegio Americano de Ingeniería Clínica (ACCE) define al ingeniero clínico como: un

profesional que da soporte y mejora la atención médica aplicando sus habilidades y

conocimientos en ingeniería y administración de tecnología médica. [1]

La integración de ingenieros biomédicos (clínicos) en los hospitales y consecuentemente la

creación de Departamentos de Ingeniería Biomédica (DIB), surgieron como respuesta al

incremento de tecnologías complejas; para resolver problemas asociados a la seguridad

eléctrica en equipos médicos, y garantizar la funcionalidad del equipo la mayor parte del

tiempo para su aprovechamiento óptimo, así como implementar y supervisar que la

regulación y normatividad relacionada con el equipo se cumpla. [9]

De manera específica el modelo de funciones de un departamento de ingeniería biomédica

se centraba en la administración y consultoría que incluía el manejo del inventario, la

seguridad y el cumplimiento de normatividad; además de servicios de soporte como

inspecciones y mantenimientos preventivos y correctivos. A través de los años este modelo

se ha mantenido en esencia pero ha aumentado sus funciones en ambos rubros; en la

administración y consultoría se encuentra ahora el aseguramiento de la calidad y la

planeación estratégica, y en los servicios de soporte la capacitación, instalación e

integración de sistemas biomédicos e informática médica, la actualización de los mismos;

como el Picture Archiving and Communications System (PACS) en los departamentos de

radiodiagnóstico, los usados en la automatización de laboratorio clínico y banco de sangre,

monitoreo de pacientes en áreas críticas, entre otros. [9]

Las nuevas tendencias dan forma y rumbo a las actividades de la ingeniería clínica. Y en

este caso la creciente proliferación en el uso de sistemas de información resulta en una

sinergia con los equipos médicos, trayendo consigo múltiples y mayores beneficios al

trabajar de manera integrada, en comparación a su funcionamiento independiente. Los

recursos de redes e Internet traen consigo facilidades como acceso a información,

almacenaje y comunicación a distancia.

Como claro ejemplo se tiene la creciente implementación en los establecimientos de salud

de sistemas como: PACS, Radiological Information System (RIS) y Hospital Information

System (HIS).

Este tipo de aplicaciones forman parte de las llamadas Tecnologías de la Información

(TI’s); que son definidas como el estudio, diseño, desarrollo, soporte y administración de

sistemas de información computarizados, particularmente en los usos de software y

hardware que se encargan del uso de computadoras y software para procesar, guardar,

proteger, transmitir y recuperar información de forma segura. [10]

4

Esta convergencia con las TI’s, ha ganado la atención de ingenieros clínicos, hospitales y

autoridades de salud. Un ejemplo de esto es la “Health Insurance Portability and

Accountability Act (HIPPA)”, aprobada en 1996 por el congreso estadounidense. Este

documento incluyó una sección denominada “Security Rule”, que exige el uso de

estándares y normas en respuesta al reconocimiento de los riesgos potenciales en el manejo

de información electrónica en tecnologías médicas y aplicaciones hospitalarias. La regla

final de seguridad de HIPPA fue publicada en febrero de 2003. [7,8]

En resumen, esta regla de seguridad establece estándares y recomendaciones para

desarrollar, implementar y mantener medidas apropiadas de seguridad para la información

electrónica en tecnologías médicas y aplicaciones hospitalarias, que incluyan:

procedimientos administrativos, sistemas de seguridad físicos y mecanismos técnicos de

seguridad. Todo esto bajo una debida documentación de cada proceso y medida

implementada.

En este marco de referencia, en el año 2003 la Secretaria de Marina (SEMAR) inició el ante

proyecto de la construcción de un hospital de alta especialidad en la ciudad de México. Para

el año 2005 la Dirección General Adjunta de Sanidad Naval, con base en la demanda de

atención especializada en el Centro Médico Naval (CEMAV), presentó a la Dirección

General de Obras y Dragado (DIAGAOD) de la SEMAR una propuesta de proyecto de

hospital. Ya en julio de 2006 se inician las labores de construcción para lo cual se contrata

a la empresa Ingenieros Civiles Asociados, S.A. DE C.V. (ICA) que a su vez,

subcontrató para la parte del equipamiento médico a la empresa DEWIMED S.A. El

contrato consta de la construcción y equipamiento de un hospital de alta especialidad con

tecnologías de vanguardia, que tenga 150 camas censables, con una capacidad de

despliegue del 30% en caso de contingencias físicas que pudieran enfrentar las tropas

navales operativas y de élite con riesgos asociados a lesiones por explosivos, quemaduras,

bioterrorismo o accidentes nucleares.

Dado que es un hospital de tercer nivel contará con servicios de: atención de

especialidades, hospitalización pediátrica y de adultos, unidad de trasplantes, radiología e

imagen, medicina nuclear, laboratorio clínico, medicina física y rehabilitación, patología,

quirófanos, sala de urgencias, terapia intensiva neonatal, pediátrica y de adultos como

servicios principales, entre otros.

El trabajo aquí presentado se realizó dentro de este proyecto de hospital de la SEMAR,

tomándolo como modelo y con la intención de que la aportación hecha aquí sirva a este

nuevo centro de salud.

5

JUSTIFICACIÓN

Debido a que la labor del ingeniero biomédico en un hospital impacta directamente en la

calidad del servicio otorgado al paciente es necesario establecer un marco operativo para

las funciones del DIB a través de un manual de políticas y procedimientos que describa la

organización interna, las funciones y responsabilidades de cada miembro del staff, las

relaciones que se tienen con las diferentes áreas del hospital, las funciones del

departamento y como se llevan a cabo cada una de éstas.

Por otra parte, ante el creciente uso de sistemas de información médica en los hospitales, y

su estrecha relación con los equipos médicos, junto con las nuevas tendencias en la labor

del ingeniero biomédico; se identifica la necesidad de tener un control y manejo apropiado

de tales sistemas y equipos, y de la información que éstos manejan. Además de proponer y

determinar mecanismos que aseguren la correcta operatividad de los mismos prestando

atención a las vulnerabilidades y oportunidades de desarrollo en la integración de equipos

médicos y sistemas de información.

Esto último es precisamente el tema de la segunda parte de este trabajo; donde se propone

una metodología para realizar una evaluación y administración de riesgos en los equipos

médicos y sistemas de información médica en hospitales del sistema de salud mexicano.

Esta actividad estará bajo el marco operativo de los manuales de prácticas y procedimientos

del departamento de ingeniería biomédica.

La oportunidad que representa un nuevo hospital de tales características permiten poder

establecer y encaminar desde un principio los temas propuestos en este trabajo, así como

poder enfrentar nuevos horizontes de desarrollo en la ingeniería biomédica.

OBJETIVOS

El primer objetivo consiste en realizar un análisis de la situación actual del departamento

de ingeniería biomédica del anterior hospital Naval Militar y del manual de prácticas y

procedimientos que lo rige, presentando una propuesta de modelo contra la cual se harán

una serie de observaciones que puedan ser de ayuda para su adaptación en el nuevo

hospital. Dentro de este marco se introducirá una nueva función del DIB, relacionada con el

manejo y administración de riesgo para la información relacionada al paciente en equipos

biomédicos y sistemas de información médica.

El segundo objetivo busca desarrollar una guía metodológica para la evaluación y

administración de riesgos en sistemas de información médica, dentro del marco de

operaciones del Departamento de Ingeniería Biomédica (DIB) del hospital, que permita

garantizar que la información manejada en estos sistemas adquiera características de

disponibilidad, integridad y confidencialidad, cumpliendo con estándares y normatividad

6

apropiada, a través de un proceso de evaluación y manejo de riesgos de los procedimientos

involucrados en estos sistemas.

Cabe aclarar, que los alcances de este trabajo se limitan al análisis y a la presentación de

una propuesta tanto del modelo del DIB como de la guía para la evaluación y manejo de

riesgos para la información relacionada al paciente en equipos biomédicos y sistemas de

informática médica. La implementación de la guía y el uso del modelo propuesto para el

DIB dependerán de la administración del la organización, las propuestas aquí presentadas

son sujetas de adecuaciones en base a características y necesidades específicas de la

institución que las use.

7

I) PRIMERA PARTE

“MANUAL DE PRÁCTICAS Y PROCEDIMIENTOS”

En esta primera parte del trabajo se hace una descripción del estado que guarda la

organización y labores desempeñadas por el Departamento de Ingeniería Biomédica del

anterior Hospital Naval Militar; detallando la forma en cómo se realizan tales labores y la

documentación generada en cada proceso. Esto con el fin de tener un punto de referencia y

proponer un modelo de DIB que complemente y mejore el existente.

1) ESTADO DEL DIB EN EL ANTERIOR HOSPITAL NAVAL MILITAR Y

SUS MANUALES DE PROCEDIMIENTOS1.

1.1.- Antecedentes

El Departamento de Ingeniería Biomédica (DIB) es constituido en Enero de 2003

denominado como “Departamento de Mantenimiento de Equipo Médico”

1.2.- Estructura organizacional

El Departamento de Mantenimiento de Equipo Médico (DIB) depende de la

Subdirección de Ingeniería y Mantenimiento, quien a su vez depende de la Dirección de

Administración y Servicios. El personal del DIB consta de un jefe de departamento y un

ingeniero biomédico, aunque en realidad se cuenta con dos ingenieros biomédicos más. En

el esquema de la Figura 1 se muestra esta estructura. El DIB rinde cuentas a la

Subdirección de Ingeniería y Mantenimiento y también de manera directa a Sanidad Naval.

1.3.- Manual de Prácticas y Procedimiento del DIB

Se cuentan con los siguientes manuales del DIB

Manual de la organización del Departamento de Mantenimiento de

Equipo Médico.

Lineamientos Normativos de procesos del Departamento de

Mantenimiento de equipo Médico.

Manual de Prácticas y Procedimientos del Departamento de

Mantenimiento de equipo Médico.

1 La información aquí presentada corresponde al levantamiento hecho el día 20 de Junio de 2008 en las

oficinas del DIB del CEMANAV

8

Figura 1.- Organigrama del DIB del actual Hospital Naval

1.4.- Actividades del Departamento

1.4.1.- Control de Inventario de equipo médico

Se cuenta con un inventario electrónico de equipo médico con aproximadamente

850 equipos con la siguiente información:

Nombre del equipo

Marca

Modelo

No. de catálogo (Asignado por almacén general)

No. de tarjeta de control (Asignado por almacén general)

Existen diferencias entre el inventario manejado por el DIB y el departamento de

Almacén general del hospital, porque existe equipo que ha sido donado, equipo que es

subrogado y por la falta de un proceso eficiente en el control de inventarios entre el

departamento y almacén general

DIRECCION DE ADMINISTRACION

Y SERVICIOS

SUBDIRECCIÓN DE INGENIERÍA

Y MANTENIMIENTO

DEPARTAMENTO DE MANTENIMIENTO

DE EQUIPO MÉDICO DEPARTAMENTO DE INGENIERÍA

DE PLANTA

Jefe del Departamento

Ingeniero Biomédico

Ingeniero Biomédico

Ingeniero Biomédico

9

1.4.2.- Mantenimientos

1.4.2.1- Correctivos

El departamento realiza mantenimientos correctivos de los equipos

en el hospital, el procedimiento consiste en la atención a un reporte hecho por el área

usuaria del equipo, se genera un reporte en papel, que contiene datos como el nombre del

equipo, no. de serie, no. de tarjeta control, no. de inventario, departamento que solicita el

servicio, ubicación del equipo, firma de quien reporta y quien recibe por porte del DIB. En

el anverso del este reporte se encuentra el acuse de recibo del equipo una vez que es

reparado y entregado al servicio, conteniendo la descripción del servicio realizado y la

firma de conformidad del quien recibe el equipo en el área. Los formatos de solicitud de

servicio no cuentan con número de folio y no se lleva un registro electrónico de estos.

Para el equipo que está bajo contrato de mantenimientos el DIB es

sólo encargado de hacer los reportes de fallas a la compañía que hace el mantenimiento,

aunque también el reporte lo hacen las mismas áreas donde está el equipo. No se cuenta con

calendarios de mantenimiento para estos equipos, dado que en el proceso de contratación de

los servicios no participa el DIB, no existe una coordinación para planear las fechas en las

que los equipos recibirán mantenimiento y cada que se presenta un proveedor a realizar el

servicio debe ser programado con el área. El DIB recibe de conformidad junto con el área

cuando el mantenimiento haya sido realizado o la falla haya sido reparada, se conservan los

reportes de servicio.

Para este propósito se cuenta con un fondo revolvente de $15,000.00

pesos mensuales para compra de refacciones y pago de reparaciones externas que no

excedan los $5,000.00 pesos.

1.4.2.2- Preventivos

El departamento realiza un calendario de mantenimientos del equipo

médico a su cargo (algunos equipos cuentan con contratos de mantenimiento, garantía o

están en comodato), sin embargo éste no se cumple, por la carga de servicios asignados a

cada ingeniero, y los constantes llamados para servicios correctivos, entre otras cosas. Se

cuenta con la descripción del proceso de mantenimiento pero no existen cédulas que

especifiquen el proceso para cada mantenimiento en particular.

1.4.2.- Baja de equipo Médico

El proceso de baja de equipo médico comienza con la solicitud por parte del área, el

DIB genera un reporte de dictamen técnico que justifique la baja del equipo por los motivos

que así se determinen. Este reporte con la solicitud de baja es enviado a almacén general,

donde se hace la baja del inventario. El DIB por su parte hace lo mismo en su inventario.

1.4.3.- Salida y Entrada de equipo

Para este proceso el DIB genera una orden de salida y entrada de equipo con un

número de control dado por Almacén General. Este documento contiene información del la

persona que saca el equipo, la empresa proveedora, la descripción del equipo, con datos de

no. de serie, no. de tarjeta de control o no. de catálogo. Incluye las firmas de autorización

del Jefe del DIB, el jefe de Almacén General y el director de Administración y servicios.

10

También incluye las firmas de quien entrega y recibe el equipo de salida. Al retorno del

equipo se firma otra parte donde se recibe y entrega el equipo ya reparado.

1.4.4.- Adquisición de equipo

En el proceso de adquisición de equipo hay participación del DIB. Al final del año

se recibe de las áreas del hospital los requerimientos de equipo que cada una considera

pertinente, después se realiza una reunión con las direcciones de áreas para determinar la

prioridad de las adquisiciones con base en un presupuesto determinado. El DIB se encarga

entonces de hacer la evaluación técnica de las opciones en el mercado, elaborando cuadros

comparativos y solicitando cotizaciones. Esto es enviado a Sanidad Naval donde se

reevalúa y se decide la compra. En el proceso se genera una cotización, una requisición, un

pedido y una factura.

En los contratos de mantenimiento para ciertos equipos el DIB no participa, el

encargado es el Departamento de recursos financieros

1.4.5.- Capacitación

El DIB brinda cursos de capacitación para el personal del hospital, pero estos no han

tenido el aprovechamiento esperado, pues se han seguido presentando fallas relacionadas al

uso del equipo.

Dado que en gran parte del proceso de adquisición de equipo y contratación de

servicios el DIB no participa, se tienen muy pocos manuales de usuario y servicio, y no

existe una biblioteca de manuales de equipo.

1.4.6.- Seguridad y Normatividad

No hay una labor clara en este rubro, se busca cumplir las normas más básicas de

seguridad eléctrica, pero carecen de recursos (equipo) para garantizar dicha seguridad, y

tampoco existe una documentación de esto que avale el cumplimiento de tales estándares

de seguridad.

11

2) MODELO PROPUESTO DEL MANUAL DE PRÁCTICAS Y

PROCEDIMIENTOS DE UN DIB

Con base en modelos previos propuestos en trabajos y publicaciones encontrados en una

búsqueda bibliográfica, se propone el siguiente modelo para el manual del DIB.

[15][16][17]

2.1.- Introducción

La introducción hará referencia a la historia del departamento y su formación, los

cambios y formas en los que ha ido evolucionando y creciendo. Enfatizará el porqué del

departamento y a grandes rasgos la importancia del mismo dentro de la organización.

2.2.- Misión

Garantizar las óptimas condiciones de funcionamiento, seguridad, instalaciones y

uso del equipo médico del hospital, a través de la gestión y planeación estratégica que

coadyuve a una atención de calidad para el paciente.

2.3.- Visión

Ser una entidad de excelencia dentro de la organización del hospital, que brinde

servicios efectivos y de calidad, promoviendo el desarrollo de la ingeniería biomédica

dentro y fuera de la organización.

2.4.- Objetivos del DIB

Garantizar las óptimas condiciones de funcionamiento y seguridad de la tecnología

médica bajo especificaciones del fabricante original.

Garantizar la seguridad de pacientes y usuarios que estén o puedan estar en

contacto directo con el equipo médico, sus accesorios o bien con las instalaciones

correspondientes.

Promover la integración de las ciencias de la Ingeniería Biomédica al desarrollo de

la investigación médica.

Procurar las condiciones necesarias para la estandarización, uso y cuidados

correctos de los recursos tecnológicos, y que redunden en una atención segura y

eficiente de los pacientes.

Controlar y vigilar el estado y movimientos del equipo médico existente.

Brindar soporte técnico y apoyo de Ingeniería Clínica a la Administración del

Hospital, al personal médico y enfermería, así como a los servicios hospitalarios que

lo requieran con el enfoque de administración y gestión tecnológica que el hospital

requiera.

Optimización de los recursos tecnológicos y financieros al participar en los procesos

administrativos relacionados a la Tecnología Médica.

Colaborar en el mejoramiento del control de calidad de equipo médico,

instalaciones y Áreas de servicio.

Garantizar que el correcto funcionamiento de los equipos que manejan información

asociada al paciente mantengan dicha información integra, disponible y

confidencial.

12

2.5.- Funciones

Evaluación de equipo médico para su adquisición.

Supervisión, recepción, e instalación de equipo nuevo.

Realización de mantenimientos correctivos del equipo médico del hospital.

Programación e implementación de rutinas de mantenimiento preventivo y de

seguridad eléctrica del equipo médico del hospital que incluyan la evaluación de

funcionalidad del mismo

Mantener un programa de Control de Equipo Médico.

Desarrollo de un programa de educación continua sobre el manejo y la operación de

equipo médico.

Desarrollo de tecnologías médicas propias para la Institución.

Supervisión de seguridad hospitalaria

Evaluación y administración de tecnologías de la información asociadas al equipo

biomédico, así como del control de riesgo en la información de paciente en éstos.

2.6.- Organización del DIB

Organigrama

DIRECCION MÉDICA

DEPARTAMENTO DE

INGENIERÍA

BIOMÉDICA

Jefe del Departamento

de IB

Secretaria

Ingeniero Biomédico

Ingeniero Biomédico

Ingeniero Biomédico

Ingeniero Biomédico (Cuantos sean necesarios)

Técnico Biomédico

Técnico Biomédico

Técnico Biomédico

Técnico Biomédico

(Cuantos sean necesarios)

13

Figura 2.- Propuesta de organigrama para el DIB

Se debe tener una descripción detallada de los puestos y funciones de cada una de las

personas que integran el departamento. Esta incluirá: perfil académico, funciones y

actividades a desarrollar, responsabilidades, etcétera. Se pueden determinar campos

específicos de aplicación dentro del departamento, como: coordinaciones (mantenimiento y

conservación, normatividad y calidad, seguridad) de las que se puede asignar a un elemento

del departamento para su dirección.

2.7.- Generalidades

Es importante para el correcto desarrollo de las actividades del DIB contar con

ciertos requerimientos:

2.7.1.- Se debe contar con equipo necesario para la realización de mantenimientos

preventivos, correctivos y de seguridad eléctrica como:

Analizador de seguridad eléctrica

Analizador para pruebas de potencia

Simulador de paciente

Multímetros digitales

Termómetros digitales

Barómetro digital

Equipo de cómputo

Analizador de presión y flujos

Además de herramientas generales para reparación como:

Cautín

Desarmadores

Pinzas

Tornillo de mesa

Llaves (españolas, Allen, etc.)

2.7.2.- El departamento debe contar con un almacén o bodega para los suministros y

refacciones necesarios. Además se recomienda tener un control de inventario del almacén

debidamente documentado; esto permitirá tener previsión en el consumo de materiales, en

las cantidades necesarias y poder hacer balances eficientes de gastos del departamento.

2.7.3.- También se debe contar con un área designada para el resguardo de manuales

de usuario y de servicio de los equipos del hospital, como fuente de información para

capacitación y servicio técnico de los mismos.

2.7.4.- Una necesidad importante para la correcta administración del departamento y

desarrollo de sus funciones es el contar con un programa de control de equipos, es decir,

una base de datos del departamento en la que se tenga documentado el inventario, estado

funcional, entradas y salidas de equipo, el seguimiento de contratos y proveedores,

desarrollo del personal del departamento, formatos de mantenimientos, finanzas del

departamento, inventario de almacén y stock de refacciones, formato de reporte de falla de

equipo en contrato y/o garantía, etc. (Figura 3).

14

Figura 3.- Esquema de base de datos para el DIB

La generación de formatos impresos es necesaria para dar validez a los registros

electrónicos, dar seguimiento a las actividades realizadas, y para tener elementos para la

evaluación de la calidad del servicio prestado por el DIB a la institución hospitalaria. Se

debe contar con formatos de servicio de mantenimiento, pases de entrada y salida de

equipo, formatos de pruebas de seguridad eléctrica, de potencia y las definidas para ciertos

equipos. El diseño de cada formato dependerá de las necesidades y forma de organización

particulares del DIB y la organización de salud.

2.8.- Procedimientos del DIB

Cada uno de los procesos que aquí se describen debe ser planteado en forma de

diagramas de flujo o utilizando una herramienta que facilite su comprensión y determine de

forma clara el orden de los pasos a seguir, así como los actores encargados de realizar cada

etapa del procedimiento.

Los diagramas de flujo consisten en la representación de procesos, a través de símbolos y

líneas, para conseguir una visión general de los mismos. Se utilizan para tener una visión

general y esquemática de cómo funciona un proceso, y de las relaciones entre las tareas y

acciones de un proceso, así como las relaciones con otros procesos. Más adelante se

ejemplificará el uso de esta técnica en el procedimiento de mantenimiento correctivo.

2.8.1.- Control de inventario

Como se menciono anteriormente, el departamento debe contar con un inventario de

equipo médico actualizado, y de manera más completa un programa de control de equipo

INVENTARIO Marca, Modelo,

No serie, Estado

funcional

Ubicación, etc.

Ordenes de

servicio

(Mantenimiento

interno)

Seguimiento de

contratos

Ordenes de

servicio (manto.

externo)

Catálogo de

proveedores

Finazas del

DIB

Inventario de

refacciones y

consumibles

Control de

entrada y salida de

equipo

Base de datos

Del DIB

15

médico, que permita la planeación de mantenimientos, sustitución de equipos, y mantenga

al día la información pertinente de cada equipo.

El inventario debe contener como base la siguiente información:

Nombre del equipo

Marca

Modelo

No de serie

No. de catálogo (Asignado por almacén general)

No. de tarjeta de control (Asignado por almacén general)

Ubicación del equipo

Área a la que pertenece el equipo

Estatus del equipo (Propio, renta, comodato, etc.)

Accesorios

Consumibles

Manuales de operación

Manuales de servicio

Manuales de instalación

Fecha de adquisición

Vida útil

Proveedor

Garantía

Estado funcional

Observaciones

Este inventario deberá estar en la base de datos del departamento.

2.8.2.- Mantenimientos

2.8.2.1.- Preventivos

Se debe contar con un programa de mantenimientos

preventivos, con base en el inventario que se tiene de equipo médico. El programa deberá

de ser implementado gradualmente con base en las necesidades determinadas por el

departamento y las áreas. El programa debe contar con dos partes:

2.8.2.1.1.- Rutinas de mantenimiento

Las rutinas de mantenimiento se desarrollan a manera de fichas.

Describen el procedimiento para el mantenimiento de un equipo, incluyendo

las pruebas de seguridad eléctrica, potencia, y las que en su caso sean

pertinentes.

Este programa generará información relacionada a los suministros y

refacciones necesarias para los mantenimientos que ayudará a la planeación

de las compras y mantenimiento del stock de refacciones del DIB, así como

para mantener un control de sus finanzas.

16

2.8.2.1.2.- Calendario

El calendario de mantenimientos incluye a los equipos en

contrato y bajo servicio del DIB. Este deberá ser planeado de manera anual

y dividido en áreas (patología, quirófanos, CEYE, etc.). En el caso de los

equipos cuyo mantenimiento esté en contrato con un proveedor externo, se

debe solicitar la programación de mantenimientos con antelación, para

incluirlo en el calendario; o en el mejor de los casos programarlo de manera

conjunta. Una vez generado el calendario se le debe comunicar a cada área

de éste para que estén informados y en caso de algún conflicto hacer la

reprogramación de fechas.

La documentación de los mantenimientos preventivos se debe levar en un

registro en papel y en la base de datos. Se debe especificar la periodicidad

del mantenimiento de equipos a través de una metodología definida.

2.8.2.2.- Correctivos

El mantenimiento correctivo seguirá un proceso bien definido:

a. El área hace el reporte de la falla al DIB.

b. La secretaria recibe el reporte y lo turna al personal correspondiente.

c. Un ingeniero de servicio del DIB acude al área que reportó el equipo.

d. Se determina si existe una falla real en el equipo o es un problema de

operación. De ser esto último se brinda asistencia al usuario.

e. En caso contrario, se determina ahora si el equipo está bajo contrato de

mantenimiento y/o en garantía.

f. De estar en garantía o contrato, se levanta un reporte y se comunica con

la empresa para que se envíe personal a su reparación.

g. En caso contrario, si la reparación puede ser realizada en el área se lleva

a cabo o en otro caso se lleva el equipo al taller del DIB para su

reparación. En este proceso se deberá llenar el formato de servicio del

DIB.

h. En el caso de una falla mayor se define si la reparación se hará en el

departamento o se cotiza con un proveedor externo. En este último caso

se genera la requisición de presupuesto para su reparación. Se informa al

área usuaria.

i. Al término de la reparación se entrega el equipo y se firma de recibido en

el formato de servicio.

j. La orden de servicio deberá ser cargada a la base de datos del DIB.

Se detalla el procedimiento a través de un diagrama de flujo (Figura 4)

17

PROCEDIMIENTO: MANTENIMIENTO CORRECTIVO DE EQUIPO

Descripción: Se detallan los pasos a seguir en el proceso de mantenimiento correctivo de un equipo

médico

Proceso Documentación Responsable Observaciones

DIB

Proveedor

Área donde se

encuentra el equipo

Secretaría del DIB

Ingeniero/técnico

de servicio del DIB

Ingeniero/técnico

de servicio del DIB

Ingeniero/técnico

de servicio del DIB

Ingeniero/técnico

de servicio del DIB

Ingeniero/técnico

de servicio del DIB

DIB y área usuaria

del equipo

Ingeniero/técnico

de servicio del DIB

Toma el reporte y

lo entrega al

ingeniero

responsable

El incidente se

registra para

posibles efectos

de capacitación

Se carga la orden

en la base de

datos

Se carga el

reporte en la base

de datos

El DIB recibe y

libera junto con el

área usuaria la

orden de servicio

de la empresa

Se reporta la falla al

departamento de IB

Se recibe el

reporte en el DIB

Un ingeniero/técnico de

servicio del DIB acude al área

Falla menor o de

operación

Falla

mayor

Se resuelve la falla

y/o se brinda apoyo

y asesoría al

usuario

Garantía/

Contrato

Se llama a la

empresa

encargada

del servicio Atendido

por el DIB

Orden de

servicio

Reporte

de falla a

empresas

Determinación

de la falla

¿Equipo en

garantía/contrato

o atendido por el

DIB?

La empresa realiza

el mantenimiento

Orden de

servicio

de la

empresa ¿Se repara en el

DIB o con un

proveedor?

Solicitud de

cotización

Se realiza la

reparación y

se entrega al

área usuaria

Orden de

servicio

18

DIB

Proveedor

No

Si

Ingeniero/técnico

de servicio del DIB

Ingeniero/técnico

de servicio del DIB

Ingeniero/técnico

de servicio del DIB

En caso de que el

equipo salga a

reparación se

genera la orden de

salida

correspondiente

Se carga la orden

en la base de

datos

En caso de que el

equipo salga a

reparación se

genera la orden de

salida

correspondiente

Se carga la orden

en la base de

datos.

Figura 4.- Diagrama de flujo para el procedimiento de mantenimientos correctivos

2.8.3.- Adquisición de equipo

La evaluación de la tecnología clínica es una de las funciones más

importantes del DIB dentro del hospital. Esto radica en el conocimiento para poder

trasladar las necesidades de las áreas y usuarios a requerimientos específicos de

tecnologías, que además sean acordes con la misión que la organización persigue.

El proceso de manera específica deberá ser diseñado por el departamento con base en las

relaciones interdepartamentales, pero puede definirse bajo una línea básica de operación:

- El DIB recibe la lista de requerimientos por parte de las áreas.

- Con base en éstos, traduce las necesidades médicas en especificaciones técnicas y

recauda una serie de propuestas técnico/económicas de proveedores.

- Determina un método de comparación entre alternativas tomando como base las

necesidades específicas de los servicios, las características técnicas de los equipos, el

presupuesto, las condiciones de la compra, y algunos otros elementos que son

importantes en esta consideración (garantía, instalación, manuales, capacitación,

consumibles, tiempo de entrega, servicio, etc.)

- Con esta evaluación hecha se hace la recomendación de las mejores opciones a el

departamento de adquisiciones (o el que se encargue de la compra), acompañada y

justificada por toda la información recabada.

Partida

presupuestal

Se realiza la

reparación y

se entrega al

área usuaria

Orden de

servicio

Solicitud de

requisición

extraordinaria

Aprobación

Se realiza la

reparación y

se entrega al

área usuaria

Orden de

servicio

Justificación

presupuestal

Factura

19

- Una vez hecha la compra, el DIB deberá recibir el equipo y supervisar su instalación

capacitación, funcionamiento adecuado, entrega de manuales, y todo lo especificado

en la compra. Cumplido esto, podrá dar por recibido junto con el responsable del área

el equipo.

2.8.4.- Alta y Baja de equipo

2.8.4.1.- Baja de equipo

El hospital debe contar con un formato de baja de equipo médico.

Las causas de una baja son varias: falla irreparable, sustitución, obsolescencia, o falta

de uso por el área usuaria.

El departamento de DIB deberá recibir la solicitud de dictamen técnico por parte del

área responsable del equipo.

El personal responsable del DIB se encargará de obtener la información pertinente del

equipo en la base del departamento (antigüedad, historia de mantenimientos, vida útil,

proveedor, etc.), así como un dictamen físico y técnico del equipo.

Con esta información el DIB habrá de determinar la causa y justificar la baja del

equipo.

En algunos casos es conveniente solicitar al proveedor documentación que avale

situaciones como por ejemplo que las refacciones para este equipo ya no son

fabricadas o que la falla es irreparable.

En caso de que el equipo funcione se deberá buscar un área que pueda necesitar el

equipo

2.8.4.2.- Alta de equipo

Cuando se realiza la adquisición de un equipo, el departamento

deberá recibir el equipo primeramente en el almacén general, ahí se le dará de alta en

el inventario del activo fijo del hospital y se le asigna un número de control según los

procedimientos del almacén. Realizado esto, el equipo se instalará en el área

designada y el DIB deberá realizar o supervisar (según sea el caso de la compra) la

instalación y recibir junto con el área usuaria el equipo. El DIB deberá dar de alta el

equipo en su base de datos (programa de control de equipo) con todos los datos

requeridos en el inventario. De la misma forma toda la documentación y manuales del

equipo será identificada y archivada.

2.8.5.- Entrada y Salida de equipo

Se deberá de contar con un formato para la entrada y salida de equipo

médico. En él se deberá especificar si el equipo entra o sale, los datos del equipo (equipo,

marca modelo, no. serie, no. de inventario y control) la persona y empresa responsable de

llevarse el equipo, el motivo por el que entra o sale, la fecha en que regresará y las firmas

correspondientes de entrega y recepción del proveedor y el DIB. Este formato deberá tener

un número de control sucesivo que estará controlado por el almacén general. El formato

deberá quedar registrado en la base de datos del departamento.

2.8.6.- Capacitación

Una función muy importante del departamento de ingeniería biomédica es el

de mantener un programa o calendario de capacitación para personal clínico, así como para

personal del mismo DIB. El objetivo de esta función es garantizar el conocimiento pleno

del manejo y funcionalidad de los equipos, por parte del personal clínico para que dichos

20

equipos puedan ser explotados de manera eficiente, además de reducir el número de

reportes de fallas y asesorías por errores de usuario. Por otra parte el personal del

departamento debe mantenerse actualizado y en constante capacitación para brindar los

servicios, incluyendo el de capacitación al área clínica.

El programa deberá:

Identificar la necesidad del curso

Determinar el capacitador (interno/externo)

Determinar los objetivos

Determinar la metodología

Determinar el método de evaluación

Determinar el método de seguimiento

21

3) COMPARACIÓN Y OBSERVACIONES.

Analizando el Manual de la organización del Departamento de Mantenimiento de Equipo

Médico del Centro Médico Naval (CEMENAV), se observa que se describen la misión,

visión, objetivos y valores. Sin embargo la misión y visión son las del hospital, no se

particulariza para el departamento; de igual forma existe una descripción de valores que

va enfocada a la práctica médica y no a la del ingeniero biomédico en el hospital; es

importante que el departamento desarrolle una misión, visión, objetivos y valores propios,

acordes a los propósitos de la organización a la que sirve, para crear una identidad y

enfocar su labor. Se cita también que el manual deberá ser revisado y actualizado

anualmente, y esto no es llevado a cabo, por lo que habrá que considerar una manera de

hacerlo efectivo.

El manual en su introducción hace mucho énfasis en que la función principal del

departamento es la de realizar el mantenimiento del equipo electromédico. En las

atribuciones agrega la gestión y control de contratos de servicios de mantenimiento así

como el proceso de adquisición. Posteriormente en la parte de funciones del área da una

descripción más amplia de las funciones del departamento, incluyendo: capacitación,

control y resguardo de bibliografía técnica, verificación de inventarios de equipo médico.

Se plantea una estructura organizacional en la que el departamento es denominado como

“Subdirección de Mantenimiento de Equipo Médico” dentro de la dirección de Ingeniería y

Mantenimiento, contando con dos personas como lo marca el organigrama; en la práctica

se cuenta con 4 personas, se debe hacer la consideración necesaria para poder atender las

demandas del nuevo hospital en cuanto a cantidad de personal del DIB. Desde un punto de

vista más especifico, la función del departamento de ingeniería biomédica no es sólo en

mantenimientos de equipo, por tanto se propone que esté bajo la dirección médica porque

su actividad incluye planeación y gestión tecnológica del equipo médico que se utiliza en

los pacientes.

El correcto funcionamiento de un departamento se puede facilitar al tener un sistema de

administración y control; un buen punto de partida es una base de datos del departamento,

donde se tenga el inventario, órdenes de entrada y salida de equipo, manuales, órdenes de

servicio (internas y externas), finanzas del departamento, seguimiento de contratos y

proveedores. Se cuenta con formatos para varias de las actividades mencionadas como la

entrada o salida de equipo y ordenes de servicio de mantenimiento de equipo; sin embargo

se carece de muchos mecanismos de documentación para las demás actividades.

Se tiene un inventario que no coincide con el que el almacén general tiene; es necesario que

el departamento actualice éste inventario y haga que coincida con lo que se tiene en el

hospital.

22

En la parte de mantenimientos se identifica una deficiencia en el registro de los mismos, el

formato de mantenimiento no contiene un número de folio, no es capturado en la base de

datos y por tanto no proporciona ninguna utilidad adicional al no brindar información

importante para el departamento (productividad, índices de fallas, causas, refacciones

utilizadas con frecuencia, etc.). Por otro lado existe una marcada carencia de equipo y

herramientas necesarios para la realización de esta tarea.

En el caso de los mantenimientos preventivos es necesario contar con un calendario y que

éste sea llevado a cabo, las empresas proveedoras deberán entregar de manera puntual y en

tiempo la planeación de sus mantenimientos para que el DIB planee su calendario y pueda

informar a las áreas con antelación.

23

II) SEGUNDA PARTE

“EVALUACIÓN Y ADMINISTRACIÓN DE RIESGOS EN EQUIPOS

BIOMÉDICOS Y SISTEMAS DE INFORMACIÓN MÉDICA”

1.- INTRODUCCIÓN

En la segunda parte de este trabajo se propone una nueva función a desempeñar por el

departamento de ingeniería biomédica en el hospital; esta consiste en la administración de

riesgos asociados a los equipos biomédicos y sistemas que adquieren, almacenan y

transmiten de alguna forma cualquier tipo de información electrónica relacionada a los

datos personales, información diagnóstica o de tratamiento de un paciente. Esto para

asegurar las características de disponibilidad, integridad y confiabilidad ya antes

mencionadas en este trabajo.

Para esta labor se identifican tres procedimientos; los dos primeros relacionados al

mantenimiento físico de los equipos biomédicos y sistemas que manejan información

electrónica de paciente, definidos como: “Upgrade” o actualización y mantenimiento

preventivo y correctivo; y el tercero consiste en una guía para la evaluación y control de

riesgo para la información relacionada al paciente manejada en dichos equipos y sistemas.

El upgrade y el mantenimiento al ser procedimientos ya conocidos, habrán de seguir un

proceso específico definido en un diagrama de flujo como se propuso en la primera parte de

este trabajo. El tercer elemento es la parte central y la propuesta de este trabajo; la guía se

encargará de la evaluación de riesgo e implementación de medidas apropiadas para la

seguridad de la información electrónica de paciente.

Esta metodología propuesta contiene cuatro pasos que serán descritos a detalle más

adelante:

1. Organización

2. Evaluación

3. Análisis y Planeación

4. Implementación y Control

Dado lo novedoso de esta metodología de administración y control de riesgos en sistemas

de informática médica, y el poco desarrollo y atención prestada en el sector salud de

nuestro país, se busca dar fundamento a ésta metodología, a través del cumplimiento de la

24

norma americana HIPPA, en específico con su regla de seguridad que impacta directamente

en el equipo biomédico y sistemas de información médica, en la medida y función de lo

aplicable en el sector salud de nuestro país.

2.- DEFINICIONES

Antes de entrar en materia es necesario dejar claras ciertas definiciones que habrán de

orientar en la aplicación de la metodología, estas son:

2.1.- Sistemas de información

Un sistema de información (SI) es un conjunto organizado de elementos que incluyen

personas, datos, actividades o procedimientos y recursos materiales en general

(principalmente computacionales y de comunicación, aunque para este caso de estudio se

tiene también equipo médico como parte fundamental de la generación de información en

estos sistemas). Todo el conjunto de elementos interactúan entre sí para adquirir, procesar y

almacenar los datos y la información para distribuirla de la manera más adecuada posible

en una determinada organización en función de sus objetivos. [10]

2.2.- Informática médica

La Informática médica es la aplicación de la informática y las comunicaciones al área de la

salud, mediante el uso del software y hardware de aplicaciones médicas. Su objetivo

principal es prestar servicio a los profesionales de la salud para mejorar la calidad de la

atención sanitaria. Tiene aplicación en todas las áreas de la medicina, como en laboratorios

de análisis clínicos, dispositivos electrónicos para hacer mediciones de variables

fisiológicas, archivos de imágenes, software de gestión hospitalaria, captura y

almacenamiento de historias clínicas, bases de datos de pacientes, entre otros. [4]

Salud informática o informática médica es la intersección de las ciencias de la información,

ciencias de la computación y la atención de la salud. Se ocupa de los recursos, dispositivos

y métodos necesarios para optimizar la adquisición, almacenamiento, recuperación y

utilización de la información manejada en el campo de la atención a la salud. [4]

Por tal motivo, la Informática Médica es un campo multidisciplinario que reúne a

profesionales de áreas como la ingeniería Biomédica, la Informática y de Sistemas,

Telecomunicaciones, Electrónica, administración, etc.

Algunas de las aplicaciones más conocidas de este campo de la informática se encuentran

en sistemas de diagnóstico por imagen, la telemedicina y los sistemas de gestión

hospitalaria.

25

La informática médica comenzó a despegar en los EE.UU. en la década de 1950 con el

auge de las computadoras y el microchip.

Los primeros nombres referidos a la informática médica incluyeron computación médica,

la medicina de computadoras, procesamiento electrónico de datos médicos, procesamiento

automático de datos médicos, procesamiento de la información médica, ciencia de la

información médica, ingeniería de software médico, etc. [4]

Desde el decenio de 1970 el órgano de coordinación ha sido la Asociación Internacional de

Informática Médica (IMIA), con sede en Bethesda, Meryland en los Estados Unidos de

Norteamérica. [18]

2.3.- Administración (Administrador del sistema)

Un Administrador de sistemas, es aquella persona que se dedica a mantener y operar un

sistema informático, de cómputo o una red. Los administradores de sistemas generalmente

son parte del departamento de Informática.

Las responsabilidades de un administrador de sistemas son muy amplias, y varían

enormemente de una organización a otra. A los administradores por lo general se les

encomienda la instalación, soporte y mantenimiento de los servidores u otros sistemas de

cómputo, la planeación de respuesta a contingencias y otros problemas. Algunas otras

responsabilidades pudieran incluir la programación de scripts o programación (en distintos

niveles), manejo de proyectos relacionados con el sistema, supervisión o entrenamiento de

operadores de cómputo y ser el consultor para los problemas que se encuentran más allá del

conocimiento técnico del personal de soporte. Un administrador de sistemas debe mostrar

una mezcla de habilidades técnicas y responsabilidad que incluyen.

Realizar copias de seguridad.

Actualizar el sistema operativo, y configurar los cambios.

Instalar y configurar el nuevo hardware y software.

Agregar, borrar y modificar información de las cuentas de usuarios, restablecer

contraseñas, etc.

Responder consultas técnicas.

Responsable de la seguridad.

Responsable de documentar la configuración del sistema.

Resolución de problemas.

Configuración óptima del sistema.

Implementación de Planes de Recuperación ante Desastres.

26

3.- PROCEDIMIENTOS

Una vez hechas estas definiciones, se describen y especifican ahora los procedimientos

básicos relacionados a los equipos biomédicos y sistemas que manejan información

electrónica de paciente.

3.1.- Upgrade (actualización de sofware, hardware)

El termino en ingles Upgrade, definido también como: módulo, paquete, hotfix o parche

permite actualizar software computacional, una aplicación o un sistema operativo; también

puede ser una actualización que dada la tecnología del equipo requiera una actualización en

los componentes físicos del sistema (hardware).

Las actualizaciones se dan como respuesta para corregir algunos defectos, mejorar un

programa o sistema, o bien, un cambio en la versión del mismo.

Un ejemplo de estas actualizaciones ocurre en los antivirus que necesitan constantes

actualizaciones en sus bases de datos de virus para estar al día y ser más efectivos ante las

amenazas, otro ejemplo son los service packs de sistemas operativos como Windows.

El procedimiento a seguir para llevar a cabo este proceso se ilustra en el diagrama de flujo

de la Figura 5

3.2.- Mantenimiento

El mantenimiento de sistemas de información generalmente requiere de una combinación

de usuarios, ingenieros del DIB, ingenieros del departamento de Informática, así como

soporte de especialistas externos. Las tareas sencillas como carga de papel o toner en

impresoras corresponden a usuarios, la detección y corrección de fallas menores a cargo de

ingenieros o técnicos de los departamentos de IB o Informática y en el caso de fallas

mayores es conveniente contar con soporte, garantía o un contrato de mantenimiento con la

empresa proveedora del sistema.

A pesar de que los sistemas de información no requieren mantenimientos complejos,

encontramos actividades como la limpieza de los elementos principales de los sistemas, el

cambio de baterías en las UPS del equipo, el manejo y optimización de espacio para

almacenamiento en disco, así como la creación de respaldos (backups) que protejan la

información en caso de una falla mayor.

Esta clase de actividades seguirá el mismo procedimiento antes establecido para el

mantenimiento de equipo biomédico, siendo de carácter preventivo y/o correctivo; el único

detalle a mencionar es la necesidad de contar con respaldos de información y sistemas

redundantes o de respaldo de estos equipos, para tener continuidad en la información.

27

Estos dos procesos resultan de fácil asimilación a las funciones del departamento, dado que

se basan en el procedimiento de mantenimiento de equipo, y por lo tanto no requieren de

mayor especificidad.

PROCEDIMIENTO: UPGRADE O ACTUALIZACION DE EQUIPOS BIOMÉDICOS Y SISTEMAS

QUE MANEJAN INFORMACIÓN ELECTRÓNICA DE PACIENTE

Descripción: Se detallan los pasos a seguir en el proceso de actualización (Upgrade) de equipo

biomédico y sistemas que manejan información electrónica de paciente (Hardware y Software)

Proceso Documentación Responsable Observaciones

Si

No

FIN

***Este procedimiento supone que las actualizaciones serán realizadas por el

proveedor del equipo, lo que implica la existencia de un contrato de servicio

para el equipo, en el cual deberán contemplarse actualizaciones y los términos

específicos en que estas se realizarán

Proveedor del

equipo/tecnología

Oficina del DIB

Ingeniero/técnico

de servicio del DIB

Ingeniero/técnico

de servicio del DIB

o proveedor del

servicio de

actualización

Ingeniero/técnico

de servicio del DIB

DIB y área usuaria

del equipo

El proveedor del

equipo habrá de

hacer la

notificación de

actualización al

DIB para

programarla

Se carga el

reporte en la base

de datos

El DIB

coordinara la

capacitación

necesaria para

efectos de la

actualización del

sistema o equipo

Figura 5.- Diagrama de flujo para el procedimiento de actualización de equipos

biomédicos y sistemas que manejan información electrónica de paciente

Se emite alerta de

actualización

Se recibe la alerta

en el DIB

Se genera un respaldo

de la información

contenida en el equipo

Se realiza la actualización

Se programa

curso de

capacitación y

actualización para

usuarios

Se programa la

fecha para realizar la

actualización con el

área usuaria

Orden de

servicio

Carta de

justificación

/notificación de

la actualización

¿Se requiere

capacitación?

28

4.- METODOLOGÍA PARA LA EVALUACIÓN Y CONTROL DE RIESGOS DE

SEGURIDAD EN SISTEMAS Y EQUIPOS BIOMÉDICOS QUE MANEJAN

INFORMACIÓN ELECTRÓNICA DE PACIENTE

El tercer elemento descrito como una metodología para la evaluación y control de riesgos

de seguridad en sistemas y equipo biomédico que maneja información electrónica de

paciente, requiere una descripción detallada de los pasos a seguir. Su objetivo será brindar

una evaluación de la situación de la seguridad de la información en los equipos biomédicos

y sistemas que manejan información electrónica de paciente, para posteriormente

implementar medidas para la seguridad de la información manejada en estos equipos y

sistemas tomando como referencia la regla de seguridad de HIPPA, la HIPPA Security

Compliance Guide desarrollada por el Colegio Americano de Ingeniería Clínica (ACCE) y

el Emergency Care Research Institute (ECRI), para la elaboración de los formatos usados

en la metodología. [11]

A continuación se describe cada paso de la metodología para la evaluación y control de

riesgos de seguridad en sistemas y equipo biomédico que maneja información electrónica

de paciente. La Figura 4 muestra un esquema de la metodología.

Figura 4.- Esquema de la metodología para la evaluación y control de riesgos de seguridad

en sistemas y equipo biomédico que maneja información electrónica de paciente

29

4.1) Etapa 1 ORGANIZACIÓN

En esta primera etapa de la metodología se busca organizar un equipo de trabajo,

establecer metas y objetivos, así como considerar los elementos, recursos y materiales

necesarios para la implementación de esta metodología. En los siguientes puntos se detallan

estas consideraciones.

4.1.1.- Se asignará un Oficial de Seguridad Informática (OSI) y un grupo de trabajo

Para el aseguramiento de la regla de seguridad de HIPPA requiere que la organización

asigne un Oficial de seguridad informática, quien será el responsable de manejar la

Información electrónica de paciente de la organización. El OSI debe ser un Ingeniero

biomédico, o un ingeniero del departamento de Sistemas de información, otra persona

calificada o un consultor externo.

El OSI debe contar con pleno soporte de la administración de la organización, deberá

establecer relaciones efectivas de trabajo con aquellos involucrados con los sistemas de

información (usuarios, proveedores, etc.). Si no tiene experiencia previa con equipo

médico, debe desarrollar una relación cercana de trabajo con algún miembro del

departamento de Ingeniería Biomédica, que brinde tal experiencia y conocimiento.

4.1.1.1.- Descripción del puesto de Oficial de Seguridad Informática

Nombre del puesto Oficial de Seguridad Informática

Definición del puesto Es el encargado de desarrollar e implementar medidas

para la administración de la Seguridad de la

Información electrónica de paciente

Puesto al que reporta Jefe Departamento de Ingeniería Biomédica Jefe

Departamento de Informática

Instrucción Ingeniero Clínico Certificado, Ingeniero en sistemas o

informática

4.1.2.- Equipo de trabajo

Para llevar esta metodología de seguridad en el manejo de información, es necesario el

soporte de un equipo apropiado de trabajo, preferentemente elementos clave del mismo

hospital y del DIB. Esto incluye Ingenieros y técnicos biomédicos, así como elementos del

departamento de informática. Sus funciones estarán encaminadas a:

Analizar las tecnologías médicas en el hospital relacionadas a sistemas de

información médica, para determinar el riesgo de la información

Dar recomendaciones para la implementación de medidas de seguridad

Brindar soporte y capacitación al personal sobre equipos y sistemas

30

Identificar el equipo que maneja información electrónica de paciente

Preparar reportes de seguridad y análisis de riesgo

Conocimiento de las normas aplicables a los procesos de seguridad informática

4.1.3.- Se deberá establecer un comité de seguridad Informática

Junto con el OSI se deberá establecer un comité de seguridad informática, que debe ser

constituido para definir políticas de seguridad de la información en la organización, así

como supervisar el desarrollo e implementación de la metodología de seguridad

informática.

Los miembros del comité incluyen:

Oficial de seguridad informática (OSI)

Ingeniero clínico representante del DIB (en caso de no ser el OSI)

Representante del departamento de informática

Representante de dirección médica

Representante de enfermeras

Representante de área de radiología

Miembros ad hoc

4.1.4.- Definir metas y plan de trabajo

Una vez designado el OSI, el comité de seguridad y el equipo de trabajo; se organizarán las

actividades para llevar a cabo esta metodología, definiendo alcances, metas, tiempos,

presupuestos y todo lo necesario. Esto ayudará a saber cuando comienza o termina una

etapa del proceso, los resultados esperados en cada etapa, la dependencia entre éstas,

además, ayudará a tener un control claro de los recursos materiales y humanos necesarios.

4.1.5.- Obtención de información

La documentación previa es importante pues brinda información del estado actual y facilita

el diseño de una estrategia para alcanzar de manera eficiente los objetivos planteados. Entre

la información necesaria que deberá recolectarse se encuentra:

Inventario del equipo que maneja Información Electrónica de Paciente

Información técnica del equipo que maneja Información Electrónica de Paciente

como: protocolos de transmisión y forma de almacenaje de información, tipo de

sistema operativo; y los datos relacionados al manejo de la información electrónica

Organigrama de la organización con nombres, cargos y relaciones funcionales

Documentos de políticas y procedimientos relacionados

Información de proveedores de equipos y sistemas con nombres, contactos, etc.

Documentación adicional pertinente

31

4.2) Etapa 2 EVALUACIÓN

Este parte de la metodología involucra dos partes básicas: el equipo médico y los

procedimientos que manejan información electrónica de paciente. Ambas serán analizadas

para obtener información del estado que se guarda respecto al manejo de la información

electrónica de paciente, y de los resultados obtenidos podrán determinarse las medidas

correctivas y preventivas necesarias para la seguridad de la información. Dada su relación

estos procesos pueden llevarse a cabo de manera simultánea.

4.2.1- Equipo Médico

La evaluación de equipo médico se realiza mediante un cuestionario denominado “Formato

de evaluación de riesgo informático en equipo Biomédico” (Anexo A); para el cual se

debe tener el inventario de equipo médico que adquiere, mantiene y/o transmite

información electrónica de paciente. Habrá de llenarse un formato por cada uno de los

equipos incluidos en el inventario de equipo; empezando por los datos generales del equipo

como: modelo, marca, número de serie, inventario, contacto de la empresa proveedora,

entre otros. Cada formato llenado deberá llevar un folio consecutivo y deberán contestarse

todas las preguntas del formato. En caso de carecer de alguna información se deben

consultar los documentos del equipo como: manuales, y especificaciones técnicas. En caso

necesario, se solicitarán al proveedor la información que se desconozca.

El personal responsable de realizar esta tarea, debe estar familiarizado con el equipo y tener

acceso a los manuales de operación y servicio para resolver cualquier duda, así como el

contacto con las empresas proveedoras de equipos y los responsables y usuarios de los

mismos. Esta tarea supone la correcta documentación hecha en la etapa 1, de lo contrario

los resultados obtenidos serán parciales y de poca ayuda a la evaluación.

En esta parte se debe determinar el nivel de riesgo asociado para la información electrónica

de paciente en cada uno de estos equipos con ayuda de las tablas del Anexo B. En éstas

tablas se califica el riesgo asociado al tipo de equipo, es decir a la función que desempeña

(soporte de vida, diagnóstico, tratamiento, etc.) y al tipo de información que maneja (datos

demográficos, de tratamiento o de diagnóstico). El nivel de riesgo asociado se determina al

multiplicar el valor de riesgo obtenido para el tipo de equipo por el obtenido en el tipo de

información manejada. Entre más alta sea la calificación, el riesgo asociado a la

información electrónica de paciente será mayor.

Este formato evalúa sólo equipo médico, sin embargo se reconoce la vulnerabilidad y

riesgo existente de las estaciones de trabajo (computadoras de escritorio y portátiles)

conectadas a los sistemas de información donde diverso personal puede acceder a una

variedad de información electrónica relacionada con el paciente. Para este caso deberá

realizarse un reporte de la cantidad, ubicación, plataforma de sistema operativo, elementos

básicos de seguridad como antivirus y antispyware, función que desempeñan tales

32

estaciones y quien tiene acceso a ellas, para los diversos tipos de estaciones con los que se

cuente.

4.2.2- Prácticas y Procedimientos

La parte de prácticas y procedimientos se realizara con el “Cuestionario de Evaluación de

Prácticas y Procedimientos de Seguridad Informática” (Anexo C). Éste consiste en una

serie de las preguntas divididas en cuatro secciones:

Medidas de Seguridad Físicas

Medidas de Seguridad Administrativas

Medidas de Seguridad Técnicas

Requerimientos de políticas, procedimientos y documentación

Cada una de estas secciones tiene a su vez apartados numerados e identificados según lo

establece el acta de la HIPPA; estos apartados se refieren a las especificaciones de la regla

de seguridad. El objetivo de las preguntas de cada sección y apartado es determinar el

grado de cumplimiento o existencia de medidas acordes a la regla de seguridad HIPPA

que se describen a detalle en la tabla de estándares de la regla de seguridad de HIPPA

(Anexo D). Este formato se llena una sola vez y se marca la respuesta “si” o “no” en cada

pregunta, además de que si es afirmativa la respuesta se debe especificar si esa medida

existe como política o procedimiento definido.

Esta propuesta busca seguir los requerimientos de la regla de seguridad HIPPA, pero se

desarrolló para poder ser aplicable a cualquier equipamiento médico y sistema de

información médica en México, del sector público o privado, ya que ciertas partes de esta

regla no son aplicables para el caso de las instituciones de salud en México. Un ejemplo es

el uso de compañías denominadas Health Care Claearinghouses que se encargan de

proporcionar servicios de comunicación y conectividad entre los diversos actores del

proceso de atención de la salud; para lo cual se especifican requerimientos en los contratos

y arreglos realizados con esta clase de empresas, y en el caso de México esta clase de

compañías no son utilizadas.

4.3) Etapa 3 ANÁLISIS Y PLANEACIÓN

Esta tercera parte busca obtener datos estadísticos cuantitativos y cualitativos del estado

que guardan los equipos y sistemas que manejan información electrónica de paciente.

A través del la información obtenida en los cuestionarios de evaluación de equipo médico:

podemos obtener información estadística clara como:

33

Distribución del tipo de información manejada (demográfica, diagnóstica y de

tratamiento)

Identificación del nivel de riesgo en áreas y equipos específicos (alto, medio, bajo)

Distribución del tipo de almacenaje de información (servidores en red, medios

magnéticos, CD’s, DVD’s)

Distribución del tipo de medio para transmitir la información (Internet, Intranet, red

alámbrica/inalámbrica)

Cantidad de equipos que cuenta con medidas de seguridad relacionadas a su uso

Cantidad de equipos físicamente resguardados en áreas y con protección eléctrica

Distribución de plataformas de software del equipo (Windows, Linux, Mac OS)

Cantidad de equipos que cuentan con medidas técnicas de protección como antivirus

y antispyware

Cantidad de equipos protegidos con accesos de ID y Password

Otros

Por otra parte, el cuestionario de prácticas y procedimientos dejará en claro con qué

medidas requeridas por la regla de seguridad HIPPA se cuenta, y de cuales hay una

carencia de políticas y procedimientos asociados. El cuestionario muestra que medidas son

requeridas y cuales son opcionales de adoptarse. Cabe mencionarse que para el caso de

aplicación en las organizaciones de salud públicas y privadas en México, algunas de estas

medidas requeridas no son aplicables en un sentido estricto, como la mencionada

anteriormente de los contratos con Health Care ClearingHouses. Por esta razón las medidas

requeridas son susceptibles de modificaciones y ajustes según la organización requiera,

siempre que estas garanticen la seguridad de la información electrónica de paciente.

Con esta información de deberá elaborar un reporte de resultados en el que se detalle la

situación con base en la estadística obtenida de los formatos de evaluación de equipo

médico, así como los resultados obtenidos del cuestionario de prácticas y procedimientos,

donde se determinen los estándares que se cumplen, la medida en que son cumplidos y un

detalle de los que no se tienen, así como cualquier observación que se considere prudente.

Este reporte será el punto de partida para la elaboración un plan de mitigación de riesgo.

A continuación se elabora un programa de mitigación de riesgos, en él se deben especificar

las acciones correctivas y preventivas para todos los puntos de vulnerabilidad encontrados

en el reporte de resultados. Éste deberá describir las acciones y pasos a seguir para las

medidas administrativas, físicas, técnicas y de documentación a implementar.

34

4.4) Etapa 4 IMPLEMENTACIÓN Y CONTROL

La última etapa de esta metodología consiste en la puesta en marcha del plan de mitigación

de riesgos. Para esto es necesario, designar tareas a los miembros del grupo de trabajo,

calendarizar y priorizar objetivos y metas, asignar recursos y determinar métodos de

control para las medidas implementadas.

Una herramienta que será de utilidad una vez que el plan de mitigación de riesgo comience

a ser implementado, serán los reportes de incidentes de seguridad (formato del Anexo E).

Con este formato se llevará registro de los incidentes relacionados a la seguridad de la

información electrónica de paciente, y su análisis brindará información de los puntos de

vulnerabilidad aún existentes.

La etapa de implementación y control debe determinar los tiempos estimados de realización

de tareas y el alcance de objetivos; futuras medidas serán implementadas o modificadas con

base en el análisis de los reportes de incidentes.

35

III) TERCERA PARTE

1.- RESULTADOS

El resultado de este trabajo en su primera parte es la aportación hecha al actual modelo del

Departamento de Ingeniería Biomédica del anterior hospital Naval Militar, ya que se hizo

una descripción detallada de sus funciones y organización con base en sus manuales de

prácticas y procedimientos y al levantamiento de información realizado en sitio con el

personal del departamento.

Se encontraron una serie de puntos no cubiertos por el actual programa como la

calendarización de mantenimientos preventivos, la participación en el proceso de

adquisiciones, la supervisión de contratos, la falta de un programa de control de equipo

médico, entre otros. La propuesta de modelo y el análisis hecho sugiere una serie medidas a

tomar para corregir los huecos existentes en el programa. Tales medidas propuestas tienen

fundamento práctico y teórico de experiencia y trabajos previos, así como modelos

operativos usados en hospitales. [15][16][17]

La segunda parte dio como resultado una metodología de aplicación general para

administrar y manjar el riesgo existente para la información electrónica de pacientes en

sistemas de información médica y equipos biomédicos.

Los resultados de implementación de esta metodología al igual que la adaptación de

modelo de Departamento de ingeniería Biomédica no son parte del alcance de este trabajo

dada la extensión de tiempo y recursos necesarios. Para el caso del Nuevo Hospital Naval

Militar, dependerá de la organización la adopción de estas recomendaciones.

2.- CONCLUSIONES

Existe una gran oportunidad de desarrollo para el departamento de ingeniería biomédica en

el Nuevo Hospital Naval Militar, el modelo propuesto trata de brindar una visión de estas

oportunidades y una idea de cómo llegar a ellas. Es vital para el desarrollo de la profesión

el tomar estos espacios y afianzar las actividades que como ingenieros biomédicos podemos

realizar, es claro que sólo a través del trabajo y la obtención de resultados positivos para la

organización de salud y para el paciente se logra el reconocimiento de la labor de los

Departamento de ingeniería Biomédica en los hospitales.

La gran cantidad de recursos tecnológicos de alto nivel con los que contará el nuevo

Hospital Naval Militar requieren de atención y administración eficiente, para garantizar la

disponibilidad y seguridad en el uso de tales recursos. En un principio el departamento será

sólo responsable del seguimiento de contratos de mantenimiento y garantías, pero deberá

contemplar y planear la transición del equipo que tendrá por completo a su cargo. La

36

consolidación de un DIB en el hospital será la clave para asegurar el aprovechamiento de

los recursos tecnológicos.

Por otro lado, resulta clara la creciente adopción de sistemas de información médica y la

integración de equipos biomédicos a estos sistemas y a las redes; con esto la necesidad de

vigilar y garantizar la seguridad de la información electrónica que ahí se maneja, dado que

se trata de información cuyo impacto puede ser decisivo en el tratamiento y atención del

paciente en la organización de salud: dicha información debe cumplir características de

disponibilidad, integridad y confidencialidad.

Existen algunas propuestas para el análisis y control del riesgo en estos sistemas, el trabajo

se basó en guías desarrolladas para cumplir la regla de seguridad HIPPA de los Estados

Unidos, sin embargo muchas de las especificaciones y requerimientos no son aplicables a

los modelos de las organizaciones de salud públicas y privadas en México, esta

metodología presenta una pauta para atender estas clase de necesidad en respuesta a las

actuales tendencias, pero primero deberá pasar por la implementación en una organización

de salud y con base en ello las modificaciones y adaptaciones que resulten prudentes

podrán realizarse a fin de perfeccionar la técnica.

Desafortunadamente el alcance del proyecto no llegó a la etapa de aplicación práctica, pero

está bien fundamentada y sigue un orden de ideas lógico; lo que sugiere la viabilidad del

método.

El campo de desarrollo de la ingeniería biomédica está creciendo ampliamente; prestar

atención a esta clase de tendencias como las tecnologías de información médicas y la

construcción de hospitales es abrir nuevos horizontes a la profesión.

37

GLOSARIO

Información Se define como aquella información adquirida, almacenada o

electrónica transmitida en forma electrónica que contenga datos a cerca

de Paciente del paciente, ya sea información relacionada a su identificación

personal o datos médicos sobre su estado de salud.

OSI Oficial de Seguridad informática

HIPAA (Health Insurance Portability and Accountability Act) Acta de

Responsabilidad y Portabilidad del Seguro Médico.

ACCE American Collage of Clinical Engennering

ECRI

Clearinghouse Es una compañía pública o privada que provee servicios de

conectividad y comunicaciones y sirve como un intermediario entre

organizaciones de salud (hospitales) y otras organizaciones como

aseguradoras, hospitales y otros proveedores para la transmisión y

traslado de solicitudes de información (básicamente de forma

electrónica) en un formato específico requerido por el que contrata el

servicio.

Log in Es el registro que se hace con un nombre de usuario y/o contraseña

para ingresar a un sistema o iniciar una sesión en él.

Password Contraseña

Estación de trabajo Computadora donde se tiene acceso a información electrónica de

paciente ya sea para consulta, modificación o adquisición de datos de

dicha información

Virus Programa autocopiado, esto es que puede violara la seguridad de un

sistema, absorbiendo recursos de este e infectando otros programas,

sectores de arranque o documentos, insertándose o adjuntándose al

archivo o medio.

Antivirus Software computacional cuya función es detectar y eliminar virus

informáticos

Antispyware Software computacional cuya función consiste en detectar y eliminar

programas espías o spywares, que son aplicaciones que recopilan

información sobre una persona u organización sin su consentimiento.

38

BIBLIOGRAFÍA

[1] Stephen L. Grimes, Future of Clinical Engineering, FACCE SHIMSS, March 11,

2005

[2] Stephen L. Grimes, Convergence of Clinical Engineering and Information

Technology

[3] Portal de internet de la Secretaría de Salud. Dirección General de Información en

Salud. Criterios del capítulo de estructura para la certificación de establecimientos

de atención médica en: http://www.salud.gob.mx/csg/progr_cert2.htm Fecha de

consulta 01/Nov/2007

[4] Portal de internet de la Healthcare Information and Management Systems Society

http://www.himss.org/ASP/index.asp Fecha de consulta 16/Nov/2007

[5] Daniel P. Lorence and Richard Churchill. Clinical Knowledge Management Using

Computerized Patient Record Systems: Is the Current Infrastructure Adequate?

IEEE Transactions on Information Technology in Biomedicine, Vol. 9, no. 2, June

2005

[6] Daniel P. Lorence and Richard Churchill. Incremental Adoption of Information

Security in Health-Care Organizations: Implications for Document Management.

IEEE Transactions on Information Technology in Biomedicine, Vol. 9, no. 2, June

2005

[7] Stephen L. Grimes, Overview of Medical Devices and HIPAA Security Compliance

Technology in Medicine Conference on Medical Device Security. American

College of Clinical Engineering (ACCE). March, 2005

[8] Stephen L. Grimes, Is Your Security Back Door Open? HIPAA’s Implications for

Biomedical Devices & Systems. Healthcare Information and Management Systems

Society (HIMSS). February 2003

[9] Stephen L. Grimes, Convergence of Clinical Engineering and Information

Technology. FACCE SHIMSS, August 24, 2006

[10] Portal de internet de la Information Technology Association of America (ITAA)

http:// www.itaa.org Fecha de consulta 16/Nov/2007

[11] Information Security for Biomedical Technology, A HIPPA Compliance Guide,

American Collage of Clinical Engennering (ACCE) & ECRI Institute, Version 1.0,

2004

[12] Healthcare Information Security: The Threats and the Safeguards and How to

Manage Them, Health Devices, ECRI. 2001 Jan-Feb;30(1-2):31-48

[13] HIPAA Security Implementation, SANS Institute, Version 1.0, 2003

[14] Manual de Organización del Departamento de Mantenimiento de Equipo Médico,

Secretaria de Marina Dirección General Adjunta de Sanidad Naval Centro Médico

Naval, Mayo de 2005

[15] Programa de Control de Equipo Médico en el INCan, Marco Antonio González

Rivera, Sandra Rocha Nava, Fabiola Martínez Licona, México D.F.,

[16] Manual de Políticas y Procedimientos para un Departamento de Ingeniería

Biomédica, Beatriz Hernández Bermúdez, Claudia Cárdenas Alanis, Rocío Ortiz

Pedroza, México D.F., Junio 1998

[17] Restructuración de un Departamento de Ingeniería Biomédica, Susana Borja García,

Teófila Cadena Alfaro, México D.F. 2005

39

[18] Portal de internet de la International Medical Informatics Association (IMIA)

http:// www.imia.org Fecha de consulta 16/Dic/2007

40

ANEXO (A)

FORMATO DE EVALUACIÓN DE RIESGO INOFRMÁTICO EN EQUIPO BIOMÉDICO

Instrucciones.- Complete el siguiente formulario

Equipo : No serie: Folio:

Marca: Modelo: No inventario:

Ubicación:

Información del proveedor

Nombre: Puesto:

Compañía Depto.:

Teléfono: Ext. e-mail:

1.- ¿Es el equipo capaz de adquirir, mantener y transmitir

información electrónica de paciente?............................................... Si No

2.- Seleccione los tipos de elementos de información que maneja

Información demográfica, identificación de paciente (Nombre, edad, domicilio…)

Información diagnóstica de paciente (Imágenes, video, resultados de laboratorio clínico,

banco de sangre)

Información relacionada al tratamiento del paciente (Prescripciones médicas,

Procedimientos programados, Cirugías…)

Otros _________________________________________

3.- Seleccione la fuente o forma en la que la información es adquirida/generada

Teclado

Voz

El equipo genera la información

Otros__________________________________________

4.- ¿Es el equipo capaz de mantener información electrónica?................... Si No

Seleccione la forma o medio de almacenamiento

Disco duro

Servidor en Red Disco óptico (CD, DVD,…)

5.- ¿Es el equipo capaz de transmitir información electrónica?.................. Si No

Selecciona le forma o medio de transmisión

Disco óptico (CD, DVD,…) Memoria, disco portátil

Línea telefónica

Red alámbrica/inalámbrica (LAN, WAN, VPN, Intranet, Internet)

6.- ¿A dónde se envía la información?

Pantalla (display) Impresoras

Dispositivo/Medio de almacenamiento Estaciones de trabajo (PC)

Red alámbrica/inalámbrica (LAN, WAN, VPN, Intranet, Internet)

7.- ¿Quién tiene acceso a la información manejada en este equipo? (especifique el tipo)

Staff medico Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________

Enfermeras Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________

Staff administrativo Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________

Staff Depto. Informática Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________

Staff Depto. Biomédica Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________

41

9.- Medidas de seguridad administrativas

¿Existen políticas/procedimientos asociadas a este equipo que

cubran uso apropiado y autorización de uso?

¿Está el staff de usuarios y servicio consiente y capacitado sobre

los riesgos de seguridad de la información asociados a este

equipo?

Si No NA

10.- Medidas de seguridad físicas

¿Está el equipo y componentes seguros físicamente, o

guardados en una ubicación segura, accesible sólo a personal

autorizado?

¿Cuando se transmite o intercambia información con otros

dispositivos a través de la red (alámbrica/inalámbrica), ésta se

transmite por un cable o medios seguros (no hay acceso

intermedio posible)?

¿El equipo cuenta con protección de alimentación de energía en

caso de interrupción de suministro eléctrico (UPS, No-break,

conexión a planta de emergencia)?

Si No NA

11.- Medidas técnicas de seguridad

El equipo está basado en

Windows Mac Linux Otro______________

¿El equipo cuenta con algún sistema antivirus, de detección de

intrusos o protección de software malicioso?

¿Las definiciones de estos programas son actualizadas

regularmente?

¿Cuando se transmite información a la red

(alámbrica/inalámbrica), ésta se transmite de forma encriptada?

¿Se puede accesar a la información del equipo en forma remota?

Para accesar a la información del equipo se requiere

ID y password único

Medio biométrico ________________________________

Otro ___________________________________________

Si No NA

12.- Calificación de riesgo asociado al tipo de información (RI) que maneja

el equipo (sí es más de un tipo de información, poner el de valor mas alto)

Información Demográfica = 1 Diagnóstica = 2 Tratamiento = 3

13.- Calificación de riesgo asociado al tipo de equipo médico (RE)

Valoración y diagnóstico simple = 1

Diagnóstico especializado y monitoreo = 2

Tratamiento y soporte de vida = 3

14.- Nivel de riesgo asociado (NR)

NR = RI x RE

42

ANEXO (B)

TABLAS PARA DETERMINACIÓN DE NIVEL DE RIESGO EN LA INFORMACIÓN

Tipo de información comprometida

Riesgo asociado a la

información

Calificación del Riesgo

por el tipo de información

manejada (RI)

Tratamiento

Alto 3

Diagnóstico

Medio

2

Datos demográficos

Identificación de paciente

Bajo

1

Tabla 1.- Tabla de calificación del riesgo asociado al tipo de información

Tabla 2.- Tabla de calificación del riesgo asociado al tipo de equipo médico

Nivel de riesgo en la información (NR)

NR = RI x RE

Tipo de Equipo Médico Riesgo asociado al tipo

de equipo médico

Calificación de Riesgo por

el tipo de equipo médico

(RE)

Tratamiento y Soporte de Vida

(Ventiladores, Equipos de anestesia, …)

Alta

3

Equipos especializados

de diagnóstico y monitoreo

(Equipos de imagenología, monitoreo de

signos vitales…)

Media

2

Equipos de valoración y diagnóstico

(ECG, EEG,…)

Baja

1

43

ANEXO (C)

CUESTIONARIO DE EVALUACIÓN DE PRÁCTICAS Y PROCEDIMIENTOS DE SEGURIDAD INFORMÁTICA

I. MEDIDAS DE SEGURIDAD ADMINISTRATIVAS (Sección 164.308 de la regla de seguridad HIPPA)

Req

uer

ido (

R)

Opci

onal

(O

)

Si

No

Pro

cedim

iento

s

Polí

tica

s

A.- Proceso de gestión de seguridad 164.308(a)(1)(i) R

Análisis de riesgo 164.308(a)(1)(ii)(A) R

1.- ¿Se ha realizado el inventario del equipo biomédico, dispositivos y sistemas capaces de adquirir, mantener y

transmitir información electrónica de paciente?

2.- ¿Para cada uno de estos equipos se tiene la descripción del tipo de información que manejan?

3.- Para cada equipo se ha determinado el grado de riesgo asociado al tipo de información manejada

4.- Para cada equipo se ha determinado el grado de riesgo asociado al tipo de equipo médico

5.- Se cuenta con la documentación técnica de cada equipo del inventario para determinar las características del manejo

de la Información electrónica de paciente

6.- Se cuenta con la documentación de las medidas de seguridad técnicas, físicas y administrativas existentes para la

Información Electrónica de Paciente en el equipo biomédico

Observaciones:

Administración de riesgo 164.308(a)(1)(ii)(B) R

7.- ¿Existe un plan de manejo de riesgo que incluya la implementación de medidas de seguridad para dispositivos

médicos?

8.- ¿Se tomaron en cuenta la infraestructura técnica de hardware y software de seguridad en la planeación y adopción

de medidas de seguridad?

9.- ¿Se consideró el costo económico, humano y de recursos en la planeación y adopción de medidas de seguridad?

44

10.- ¿Se consideró el tamaño, objetivos, complejidad y capacidades de la organización para la planeación y adopción de

medidas de seguridad?

11.- ¿Se consideró el grado de riesgo asociado a la información electrónica de paciente en la planeación, adopción y

determinación de prioridades de medidas de seguridad?

12.-¿La funcionalidad y efectividad de las medidas de seguridad son revisadas con periodicidad con base en reportes de

incidentes u otro medio?

13.- ¿Existen revisiones de auditores externos?

Observaciones:

Política de sanciones 164.308(a)(1)(ii)(C) R

14.- ¿Existen sanciones definidas para los miembros de la organización por el incumplimiento o violación de las

medidas de seguridad?

15.- ¿Se cuenta con la documentación que verifique la aplicación de sanciones?

Observaciones:

Revisión de la actividad de los sistemas de información 164.308(a)(1)(ii)(D) R

16.- ¿Se cuenta con reportes y documentación de la actividad y operación de los sistemas y equipos biomédicos que

manejan información electrónica de paciente (reportes de incidentes, mantenimientos, accesos), y estos son revisados

periódicamente para determinar problemas de seguridad?

Observaciones:

B.- Asignación de responsabilidades de seguridad 164.308(a)(2)(i) R

17.- ¿Se ha nombrado un Oficial de Seguridad Informática, o un responsable del manejo y administración de riesgos en

la información electrónica de paciente?

18.- ¿El oficial de seguridad es el responsable de la administración y supervisión de riesgos asociados a la información

electrónica de paciente?

45

Observaciones:

C.- Equipo de trabajo de seguridad 164.308(a)(3)(i)

Autorización y/o supervisión 164.308(a)(3)(ii)(A) O

19.- ¿Existe un proceso para conceder acceso al personal de la organización a los sistemas que manejan Información

electrónica de Paciente, incluidos equipos biomédicos?

20.- ¿Existe un control y supervisión del personal que tiene acceso a la Información Electrónica de Paciente?

21.- ¿Existe una definición clara de los privilegios de acceso y manejo de la Información Electrónica de Paciente para

cada tipo de personal con base en su actividad?

Observaciones:

Procedimiento de autorización de acceso a miembros del grupo de trabajo 164.308(a)(3)(ii)(B) O

22.- ¿El acceso a la información, sistemas y equipos es concedido con base en la una necesidad demostrable?

23.- ¿Se cuentan con medidas preventivas que eviten el acceso inapropiado a la Información Electrónica de Paciente

por parte del personal?

Observaciones:

Procedimientos de terminación de acceso 164.308 (a)(3)(ii)(C) O

25.- ¿Cuando un empleado con acceso a Información Electrónica de Paciente termina su labor en la organización sus

privilegios de acceso son cancelados?

26.- ¿Existe un procedimiento para el cambio de atribuciones/derechos de acceso a la Información Electrónica de

Paciente cuando el roll de un empleado dentro de la organización cambia?

27.- ¿Existe un procedimiento para garantizar la cancelación del acceso físico a sistemas y equipos una vez que un

empleado termina su labor o cambia de roll en la organización?

Observaciones:

46

D.- Administración del acceso a la información 164.308(a)(4)(i)

Autorización de acceso 164.308(a)(4)(ii)(B) O

28.- ¿Existe un procedimiento para garantizar el acceso a la información por los miembros autorizados de la

organización en sistemas y equipos biomédicos?

Observaciones:

Establecimiento y Modificación de Acceso 164.308(a)(4)(ii)(C) O

29.- ¿Existe documentación que lleve cuenta de las modificaciones de privilegios y permisos de acceso de cada

usuario que tiene acceso a la Información Electrónica de Paciente?

Observaciones:

E.- Conciencia de Seguridad y Capacitación 164.308(a)(5)(i)

Recordatorios de seguridad 164.308(a)(5)(ii)(A) O

30.- ¿Los miembros del grupo de trabajo de la organización reciben capacitación inicial y periódica sobre las políticas y

procedimientos de seguridad concernientes a la Información Electrónica de Paciente, así como de las responsabilidades

de seguridad a su cargo?

Observaciones:

Protección de software malicioso 164.308(a)(5)(ii)(B) O

31.- ¿Están identificados los equipos biomédicos susceptibles a software malicioso (basado en plataformas de sistemas

operativos como Windows, etc.)?

32.- ¿Existen medidas de seguridad que protejan el equipo biomédico vulnerable de esta amenaza (antispyware)?

33.- ¿Los medios y medidas de seguridad aplicados para proteger los equipos de software malicioso son revisados y

probados con regularidad?

Observaciones:

47

Monitoreo de inicio de sesión 164.308(a)(5)(ii)(C) O

33.- ¿Los sistemas y equipos tiene la capacidad de monitorear y registrar el acceso de los usuarios?

34.- ¿Se cuenta con software para monitorear el acceso de usuarios a los sistemas de información médica (HIS, RIS,

PACS) en computadoras o estaciones de trabajo?

Observaciones:

Administración de contraseñas 164.308(a)(5)(ii)(D) O

35. ¿Han sido identificados los sistemas y equipos biomédicos con capacidad de controlar el acceso a través de

passwords/contraseñas? ¿Es usada tal capacidad?

36. ¿Se ha establecido un procedimiento de administración para estas claves de acceso?

Observaciones:

F.- Procedimientos para incidentes de seguridad 164.308(a)(6)(i)

Reportes y respuesta 164.308(a)(6)(ii) R

37.- ¿Existe un procedimiento para reportar incidentes de seguridad en equipos biomédicos y sistemas que manejan

información electrónica de paciente?

38.- ¿Existe la política de reportar cualquier incidente de seguridad relacionado a equipo biomédico y sistemas que

manejan información electrónica de paciente?

39.- ¿Son dichos reportes revisados periódicamente a fin de implementar medidas para corregir tales incidentes?

Observaciones:

G.- Plan de contingencia 164.308(a)(7)(i)

Plan de respaldo de información 164.308(a)(7)(ii)(A) R

40.- ¿Existe un plan para el respaldo de información contenida en los sistemas y equipos biomédicos que manejan

48

información electrónica de paciente?

41.- ¿Los respaldos de información son hechos de forma periódica con base en las necesidades del servicio y equipo?

42.- ¿Los respaldos de información son debidamente identificados y resguardados en lugares seguros?

43.- ¿Existe un procedimiento para disponer de la información y medios en los que se respalda, una vez que ya no son

útiles?

Observaciones:

Plan de recuperación en caso de desastre 164.308(a)(7)(ii)(B) R

44.- ¿Los equipos cuentan con la posibilidad de restaurar información después de un desastre o problema?

45.- ¿Existe un procedimiento formal para la restauración de información en equipos y sistemas, después de un

incidente?

Observaciones:

Plan de operación en modo de emergencia 164.308(a)(7)(ii)(C) R

46.- ¿Se han identificado los equipos y sistemas cuyo funcionamiento es crítico en caso de una contingencia?

47.- ¿Existe un plan que garantice la disponibilidad de la información electrónica de paciente en caso de una

contingencia?

48.- ¿Existe protección contra la falla de energía en los equipos que mantienen información electrónica de paciente?

Observaciones:

Procedimientos de revisión y prueba 164.308(a)(7)(ii)(D) O

49.- ¿Se realizan revisiones continuas a los planes de emergencia?

Observaciones:

49

Usos y análisis crítico de información 164.308(a)(7)(ii)(E) O

50.- ¿La información crítica manejada en los equipos biomédicos y sistemas ha sido valorada para desarrollar los

planes de emergencia?

Observaciones:

H.- Evaluación 164.308(a)(8)(i) R

51.- ¿Se realizan evaluaciones periódicas para evaluar y determinar el grado de cumplimiento de las medidas

establecidas por la regla de seguridad de HIPPA?

Observaciones:

II. MEDIDAS DE SEGURIDAD FÍSICAS (Sección 164.310 de la regla de seguridad HIPPA)

Req

uer

ido (

R)

Op

cion

al

(O)

Si

No

Pro

cedim

iento

s

Polí

tica

s

A.- Control de acceso a instalaciones 164.310(a)(1)

Operaciones de contingencia 164.310(a)(2)(i) O

52.- ¿Existen procedimientos definidos para accesar a respaldos de información y equipos biomédicos en caso de

desastre o emergencia?

Observaciones:

Plan de seguridad de instalaciones y equipo 164.310(a)(2)(ii) O

53.- ¿Se han identificado las vulnerabilidades físicas asociadas a los equipos biomédicos y sistemas que manejan

información electrónica de paciente?

54.- ¿Se han tomado medidas de seguridad para la protección física de estos equipos?

50

Observaciones:

Controles de acceso y validación de procedimientos 164.310(a)(2)(iii) O

55.- ¿Se cuenta con un procedimiento para conceder y validar el acceso del personal a equipos y sistemas que manejan

información electrónica de paciente con base en su labor en la organización?

Observaciones:

Documentación de mantenimientos 164.310(a)(2)(iv) O

56.- ¿Los mantenimientos y modificaciones hechas a los equipos biomédicos y sistemas que manejan información

electrónica de paciente son debidamente documentados?

Observaciones:

B.- Uso de estaciones de trabajo 164.310(b) R

57.- ¿Se han identificado todas las estaciones de trabajo que manejan información electrónica de paciente?

58.- ¿Existen políticas y procedimientos para las estaciones de trabajo referentes a la seguridad en su uso?

Observaciones:

C.- Seguridad de las estaciones de trabajo 164.310(c) R

59.- ¿Los equipos biomédicos y sistemas que manejan información electrónica de paciente se encuentran físicamente

seguros a modo de restringir el acceso a ellos solo al personal autorizado?

Observaciones:

D.- Controles de dispositivos y medios 164.310(d)(1)

51

Disposición final 164.310 (d)(2)(ii) R

60.- ¿Han sido identificados los equipos biomédicos y sistemas que requieran liberación periódica de la información

que contienen?

61.- ¿Existen procedimientos, políticas y criterios para la disposición final de información electrónica de paciente en

equipo biomédico y sistemas que manejen información electrónica de paciente?

62.- ¿Existe la documentación apropiada que especifique las causas y formas de disponer de la información?

Observaciones:

Re-uso de medios 164.310(2)(d)(ii) R

63.- ¿Existen procedimientos específicos para la reutilización de medios de almacenaje de información?

Observaciones:

Responsabilidad 164.310(d)(2)(iii) O

64.- ¿Se tiene establecido una persona responsable en cada área o departamento de los equipos que manejan

información electrónica de paciente?

65.- ¿Cuando algún equipo se cambia de ubicación; se documenta el movimiento y se hace el respectivo cambio de

resguardo (persona responsable)?

Observaciones:

Respaldo de información y almacenaje 164.310(d)(2)(iv) O

66.- ¿Cuándo un equipo/sistema que maneja información electrónica de paciente es reubicado se realiza un respaldo de

información antes del movimiento?

Observaciones:

52

III. MEDIDAS DE SEGURIDAD TÉCNICAS (Sección 164.312 de la regla de seguridad HIPPA)

Req

uer

ido (

R)

Op

cion

al

(O)

Si

No

Pro

cedim

iento

s

Polí

tica

s

A.- Controles de acceso 164.312(a)(1)

Identificación única de usuarios 164.312(a)(2)(i) R

67.- ¿Cada usuario con acceso a información electrónica de paciente en equipo biomédico y sistemas es identificado

con un numero o nombre único de usuario?

Observaciones:

Procedimiento de acceso de emergencia 164.312(a)(2)(ii) R

68. ¿Se cuentan con los mecanismos y provisiones necesarias para accesar a la información en caso de emergencia?

Observaciones:

Cierre de sesión automático 164.312(a)(2)(iii) O

69.- ¿Para los equipos médicos y sistemas que manejan información electrónica de paciente y que cuentan con sistemas

de cierre de sesión automático, se hace uso de esta función?

Observaciones:

Encriptación y decodificación 164.312(a)(2)(iv) O

70.- ¿Se han identificado los equipos y sistemas capaces de transmitir la información electrónica de paciente en forma

encriptada? ¿Ésta herramienta es utilizada?

Observaciones:

53

B.- Controles de auditoria 164.312(b) R

71.- ¿Existe un procedimiento de control o auditoria para los sistemas y equipos que manejan información electrónica

de paciente?

Observaciones:

C.- Integridad 164.312(c)(1)

Mecanismos de autentificación de información electrónica de paciente 164.312(c)(2)(i) O

72.- ¿Existen mecanismos para la prevención de alteración de información electrónica en equipos y sistemas por

artefactos de comunicaciones inalámbricas, bluethoot, celulares, etc.?

Observaciones.

D.- Autentificación de personas u organizaciones 164.312(d) R

73.- ¿Existen medidas de seguridad para autentificar que quien solicita acceso a la información electrónica de

paciente es en efecto esa persona?

Observaciones:

E.- Seguridad en la transmisión 164.312(e)(1)

Controles de integridad164.312(e)(2)(i) O

74.- ¿Existen mecanismos para asegurar que en el proceso de transmisión de información electrónica de paciente, ésta

es transmitida de forma íntegra?

Observaciones:

Encriptación 164.312(e)(2)(ii) O

75.- ¿Se han determinado las circunstancias en las que la información debe de ser encriptada y los medios para hacerlo

54

en los equipos médicos y sistemas que manejan información electrónica de paciente?

Observaciones:

IV. REQUERIMIENTOS EN POLÍTICAS, PROCEDIMIENTOS Y DOCUMENTACIÓN

(Sección 164.316 de la regla de seguridad HIPPA)

Req

uer

ido (

R)

Op

cion

al

(O)

Si

No

Pro

cedim

iento

s

Polí

tica

s

A.- Políticas y procedimientos 164.316(a) R

76.- ¿Existen políticas y procedimientos establecidos para garantizar la seguridad de la información manejada en

equipos médicos y sistemas que manejan información electrónica de paciente basados en: los objetivos, tamaño y

capacidades de la organización, la infraestructura técnica de hardware y software de la misma, así como el costo

humano y material de las medidas de seguridad implementadas para garantizar la integridad, disponibilidad y

confidencialidad de la información electrónica de paciente?

Observaciones:

B.- Documentación 164.316(b)(1)

Tiempo Límite 164.316(b)(2)(i) R

77.- ¿La información relacionada a la seguridad de la información electrónica de paciente como prácticas y

procedimientos es resguardada un mínimo de seis años a partir de su creación?

Observaciones:

Disponibilidad 164.316(b)(2)(ii) R

78.- ¿La documentación asociada a la seguridad electrónica de paciente está disponible para aquellos responsables de

55

mantener e implementar las medidas de seguridad, así como para los miembros de la organización que lo requieran?

Observaciones:

Actualizaciones 164.316(b)(2)(iii) R

79.- ¿La documentación relacionada con las políticas y procedimientos de seguridad es revisada de forma periódica

para implementar medidas acordes a los cambios y situaciones actuales de la organización?

Observaciones:

V. NOTAS Y OBSERVACIONES ADICIONALES

Fecha de realización______________________________________________

Responsable de la aplicación del cuestionario__________________________________________

56

ANEXO (D)

TABLA DE ESTÁNDARES DE LA REGLA DE SEGURIDAD DE HIPAA

MEDIDAS ADMINISTRATIVAS

Sección

Estándares

Especificaciones de

implementación

R -

R

equ

erid

o

O -

Op

cio

na

l

Po

líti

ca

Pro

ced

imie

nto

164.308(a)(1) (i) Proceso de Gestión de

seguridad

Implementar medidas de seguridad para

prevenir, detectar, contener y corregir

violaciones de seguridad

(ii)(A) Análisis de

Riesgo

Realizar una evaluación minuciosa y

acertada de los riesgos potenciales y

vulnerabilidades a la confidencialidad,

integridad y disponibilidad de la

Información Electrónica Protegida de

Paciente en manos de la organización

R

(ii)(B) Administración

de Riesgo

Implementar medidas de seguridad

suficientes para reducir riesgos y

vulnerabilidades a un nivel razonable y

apropiado par cumplir con la sección

164.306(a)

R

(ii)(C) Política de

Sanciones

Aplicar sanciones apropiadas a los

miembros del grupo de trabajo que

incurran en el incumplimiento de las

políticas y procedimientos de seguridad

que establezca la organización

R

X

X

(ii)(D) Revisión de la

actividad de los

Sistemas de

Información

Implementar procedimientos para revisar

con regularidad los informes de actividad

del sistema, como reportes de acceso, de

seguimiento de incidentes de seguridad y

registros de auditorias

R

X

164.308(a)(2) (i) Asignación de

Responsabilidad de

Seguridad

Asignar un responsable de seguridad

(Oficial de seguridad), que sea

responsable del desarrollo e

implementación de las políticas y

procedimientos requeridos

R

X

X

57

164.308(a)(3) (i) Equipo de trabajo de

Seguridad

Implementar políticas y procedimientos

para segurar que todos los miembros del

grupo de trabajo tengan el acceso

apropiado a la Información Electrónica

Protegida de Paciente, y para prevenir el

acceso de miembros que no tengan

acceso bajo lo descrito en el párrafo

(a)(4) de esta sección

(ii)(A) Autorización y/o

Supervisión

Implemente procedimientos para la

autorización y/o supervisión de los

miembros del grupo de trabajo que

trabajan con Información Electrónica

Protegida de Paciente o en las locaciones

donde ésta pueda ser accesada

O

X

(ii)(B) Procedimiento

de autorización de

acceso a miembros del

grupo de trabajo

Implementar procedimientos para

determinar que el acceso por parte de los

miembros del grupo de trabajo a la

Información Electrónica Protegida de

Paciente sea apropiada

O

X

(ii)(C) Procedimientos

de Terminación de

acceso

Implementar procedimientos para la

cancelación del acceso cuando un

miembro del grupo de trabajo finaliza su

trabajo en la organización o las requeridas

por las determinaciones especificadas en

el párrafo (a)(3)(ii)(B)

O

X

164.308(a)(4) (i) Administración del

Acceso a la Información

Implementar políticas y procedimientos

para la autorización del acceso a la

Información Electrónica Protegida de

Paciente que sean consistentes con los

requerimientos aplicables de la subparte

E de esta parte

(ii)(A) Aislamiento de

las funciones de la

organización que actúa

como “clearinghouse”

Si la organización que actúa como

“clearinghouse” es parte de una

organización mas grande, la que actúa

como “clearinghouse” debe implementar

políticas y procedimientos que protejan la

Información Electrónica Protegida de

Paciente de acceso no autorizado de la

organización mayor

R

X

X

(ii)(B) Autorización de

acceso

Implementar políticas y procedimientos

para conceder acceso a la Información

Electrónica Protegida de Paciente; por

ejemplo, a través de una estación de

trabajo, transacciones, programas,

procesos u otros mecanismos.

O

X

X

(ii)(C) Establecimiento

y Modificación de

Acceso

Implementar políticas y procedimientos

que basados en las políticas de

autorización de acceso de la organización,

establezcan, documenten, revisen y

modifiquen derechos de acceso de

usuarios a estaciones de trabajo,

transacciones, programas o procesos

O

X

X

58

164.308(a)(5) (i) Conciencia de Seguridad

y Capacitación

Implementar un programa de

concientización y capacitación en

materia de seguridad para todos los

miembros de la fuerza de trabajo

(ii)(A) Recordatorios de

Seguridad

Realizar actualizaciones de seguridad

periódicas

O

(ii)(B) Protección

contra Software

Malicioso

Procedimientos de protección, detección

y reporte de software malicioso

O

X

(ii)(C) Monitoreo de

inicio de sesión

Procedimientos para monitorizar el

acceso al sistema (log-in) y reportar

discrepancias

O

X

(ii)(D)Administración

de Passwords

Procedimientos para crear, cambiar, y

guardar claves de acceso (password)

O X

164.308(a)(6) (i) Procedimientos para

Incidentes de Seguridad

Implementar políticas y procedimientos

de contingencia en caso de incidentes de

seguridad

(ii) Respuesta y

Reportes

Identificar y responder a incidentes

sospechosos o conocidos de seguridad;

mitigar, al grado de practica, efectos

dañinos de los incidentes de seguridad

conocidos por la organización, y la

documentación de los mismos y sus

resultados

R

X

X

164.308(a)(7) (i) Plan de Contingencia

Establecer políticas y procedimientos

para responder a una emergencia u otro

suceso (incendio, fallo del sistema,

desastre natural) que pueda dañar los

sistemas que contengan Información

Electrónica Protegida de Paciente

(ii)(A) Plan de respaldo

de información

Establecer e implementar procedimientos

para crear y mantener copias exactas y

recuperables de la Información

Electrónica Protegida de Paciente

R

X

(ii)(B) Plan de

recuperación en caso de

Desastre

Establecer procedimientos (implementar

según sea necesario) para restaurar

cualquier información perdida

R

X

(ii)(C) Plan de

Operación en modo de

Emergencia

Establecer procedimientos (implementar

según sea necesario) para asegurar la

continuidad de procesos críticos para la

protección de la Información Electrónica

Protegida de Paciente mientras se opera

en modo de emergencia.

R

X

(ii)(D) Procedimientos

de Revisión y prueba

Implementar procedimientos para pruebas

periódicas y revisión de los planes de

contingencia

O

X

(ii)(E) Usos y análisis

crítico de información

Evaluar el grado de importancia crítica

de aplicaciones, procesos e información

específica en el soporte de los planes de

contingencia

O

59

164.308(a)(8) (i)Evaluación Realizar una evaluación periódica técnica

y no técnica, basada inicialmente en los

estándares implementados por esta regla

y subsecuentemente en respuesta a los

cambios operacionales y ambientales que

afecten la seguridad de la Información

Electrónica Protegida de Paciente que

establece el alcance en el que las

políticas y procedimientos de seguridad

de la organización cumplan con esta

subparte de la regla.

R

X

X

164.308(b) (1) Contratos de asociación

y otros arreglos

En concordancia con lo establecido en la

sección 164.306, la organización podrá

asociarse con otras organizaciones para

crear, mantener o transmitir Información

Electrónica Protegida a nombre de la

organización sólo si dichas

organizaciones cumplen las garantías que

concuerden con la sección 164.314(a)

para salvaguardar apropiadamente la

información.

(2) Éste estándar no aplica en respecto a:

(i) La transmisión de información de

la organización a un proveedor de

servicios de salud concerniente al

tratamiento de un individuo

(ii) La transmisión de Información

Electrónica Protegida de Paciente por

Grupos de planes de salud o

Aseguradoras en nombre de otro grupo a

Patrocinadores de planes de salud, hasta

le punto que establece los requerimientos

de las secciones 164.314(b) y 164.504(f)

(iii) La transmisión de Información

Electrónica Protegida de Paciente de/ó

para otras agencias proveedoras de

servicios establecidos en la sección

164.502 (e)(1)(ii)(C), cuando la

organización es pública, si los

(4) Contratos escritos y

otros arreglos

Documentar de forma apropiada las

garantías requeridas en el párrafo (b)(1)

de esta sección a través de contratos

escritos u otro convenios con la

organización asociada que cumpla con los

requerimientos aquí establecidos.

R

60

requerimientos de la sección

164.502(e)(1)(ii)(C) se cumplen.

(3) La organización asociada que viole

el cumplimiento satisfactorio de lo

establecido, no estará en regla con los

estándares, especificaciones de

implementación y requerimientos de este

párrafo y la sección 164.314(a)

MEDIDAS FÍSICAS

Secciones Estándares Especificaciones de

implementación

R -

R

equ

erid

o

O -

Op

cio

na

l

Po

líti

ca

Pro

ced

imie

nt

o

164.310(a)

(1) Control de Acceso a

instalaciones

Implementar políticas y procedimientos

para limitar el acceso físico a los

sistemas de información electrónica y a

las áreas(s) donde están resguardados,

mientras se asegure que el acceso

debidamente autorizado este permitido

(2)(i) Operaciones de

Contingencia

Establecer (e implementar según se

requiera) procedimientos que permitan el

acceso físico ( instalaciones) a los medios

de soporte de restauración de información

perdida bajo el plan de recuperación en

desastre y el modo de operación de

emergencia en caso de una contingencia

O

X

(2)(ii) Plan de

seguridad de

instalaciones y equipo

Implementar políticas y procedimientos

para salvaguardar instalaciones y equipos

de acceso físico no autorizado y robo

O

X

X

(2)(iii) Controles de

acceso y Validación de

Procedimientos

Implementar procedimientos para

controlar y validar el acceso de personal a

las instalaciones y equipo basado en su

función en la organización, incluyendo

control de acceso a software y programas

para revisión y prueba

O

X

(2)(iv) Documentación

de Mantenimientos

Implementar políticas y procedimientos

para la documentación de reparaciones y

mantenimientos a los componentes físicos

de instalaciones y equipos relacionados a

la seguridad de la información.

O

X

X

61

164.310(b)

Uso de estaciones de trabajo

Implementar políticas y procedimientos

que especifiquen las funciones propias a

desempeñarse, la manera en que dichas

funciones deberán realizarse y los

atributos físicos del ambiente de cada

tipo específico de estación de trabajo en

la que se tenga acceso a Información

Electrónica Protegida de Paciente

R

X

X

164.310(c) Seguridad de las estaciones

de trabajo

Implementar medidas físicas de

seguridad para el acceso a las estaciones

de trabajo que manejen información

electrónica protegida para restringir el

acceso solo a usuarios autorizados

R

164.310(d) (1) Controles de

Dispositivos y Medios

Implementar políticas y procedimientos

que regulen la recepción y retiro de

hardware y dispositivos que contengan

información electrónica protegida, hacia

adentro y afuera de la organización, así

como movimientos dentro de las

instalaciones.

(2)(i) Disposición final

Implementar políticas y procedimientos

para determinar el uso final de la

información electrónica protegida y el

hardware o medios electrónicos en que se

almacena.

R

X

X

(2)(ii) Re-uso de

Medios

Implementar procedimientos para el retiro

de información electrónica protegida de

los medios electrónicos antes de su re-uso

R

X

(2)(iii) Responsabilidad

Mantener un registro de los movimientos

de hardware y medios electrónicos y de

cualquier persona responsable de estos

O

(2)(iv) Respaldo y

almacenaje de

información

Crear una copia recuperable y exacta de

la información electrónica protegida,

cuando se necesite, antes del movimiento

de algún equipo.

O

62

MEDIDAS TÉCNICAS

Secciones

Estándares

Especificaciones de

implementación

R -

R

equ

erid

o

O -

Op

cio

na

l

Po

líti

ca

Pro

ced

imie

nt

o

164.312(a) (1) Control de Acceso

Implementar políticas y procedimientos

técnicos para los sistemas que mantiene

información electrónica protegida para

permitir el acceso a sólo a aquellas

personas o programas de software que

tengan derechos de acceso especificados

en 164.308(a)(4)

(2)(i) Identificación de

usuario única

Asignar un nombre y/o numero de

identificación único para cada usuario

R

(2)(ii) Procedimiento de

Acceso de Emergencia

Establecer (implementar según se

requiera) procedimientos para la

obtención de información electrónica

protegida necesaria durante una

emergencia

R

X

(2)(iii) Cierre de sesión

automático

Implementar procedimientos electrónicos

que cierren una sesión electrónica

después de determinado tiempo de

inactividad.

O

X

(2)(iv) Encriptación y

decodificación

Implementar un mecanismo para la

encriptación y decodificación de

Información Electrónica Protegida de

Paciente

O

164.312(b)

Controles de Auditoria Implementar hardware, software y/o

mecanismos de procedimientos que

registren y examinen la actividad en los

sistemas que contengan o manejen

Información Electrónica Protegida de

paciente

R

X

164.312(c)

(1) Integridad Implementar políticas y procedimientos

para proteger la Información Electrónica

Protegida de Paciente de alteraciones o

destrucción

(2)(i) Mecanismos de

Autentificación de

Información

Electrónica Protegida

de Paciente

Implementar mecanismos electrónicos

para corroborar que la información

electrónica protegida no sea alterada o

destruida de forma no autorizada

O

X

X

164.312(d)

Autentificación de Personas

u organizaciones

Implementar procedimientos para

verificar que una persona que busque

acceder a información electrónica

protegida es quien la solicite

R

X

63

164.312(e)(1) (1) Seguridad en la

transmisión

Implementar medidas técnicas de

seguridad para prevenir accesos no

autorizados a l información electrónica

protegida que se transmite en una red de

comunicaciones

(2)(i)Controles de

Integridad

Implementar medidas de seguridad para

asegurar que la información electrónica

protegida transmitida no sea modificada

de manera impropia

O

(2)(ii)Encriptación Implementar mecanismos para encriptar

información electrónica protegida

siempre que se considere apropiado

O

REQUERIMIENTOS ORGANIZACINALES

Sección

Estándares

Especificaciones de

implementación

R -

R

equ

erid

o

O -

Op

cio

na

l

Po

líti

ca

Pro

ced

imie

nt

o

(1) Contratos de asociación

y otros arreglos

(i) Los contratos u otros arreglos entre la

organización y sus socios requeridos por

164.308(b) deben cumplir los requisitos

del párrafo (a)(2)(i) o (a)(2)(ii) de esta

sección, según aplique.

(ii) La organización no cumplirá con los

estándares 164.502(e) y párrafo (a) si se

conoce que la práctica o actividad de

algún asociado incurre en una violación

del contrato o arreglo, hasta que la

organización tome acciones para corregir

tal violación.

(2)(i) Contratos de

asociación

Los contratos entre la organización y sus

asociados deben sentar que la asociación:

(A) Implementará medidas de seguridad

administrativas, físicas y técnicas

razonables y apropiadas para la

protección de la confidencialidad,

integridad y disponibilidad de la

información electrónica protegida de

paciente que se cree, reciba, almacene o

transmita

(B) Asegurar que ningún agente externo

como subcontratistas a quien se le provea

de información acuerde implementar

medidas de seguridad razonables y

apropiadas para protección de la

información

(C) Reportar a la organización cualquier

incidente de seguridad del que sea

enterado

(D) Permitir la cancelación del contrato

por la organización, si ésta determina que

el asociado incurre en la violación de los

términos del contrato

R

64

(A) Terminado el contrato o arreglo, si es

posible; ó

(B) Si la terminación no es posible,

reportar el problema a la autoridad

correspondiente

(2)(ii) Otros arreglos (A) Cuando la organización y su asociado

son ambas organizaciones

gubernamentales, la organización

cumplirá con lo dispuesto en el párrafo

(a)(1) de esta sección si:

(1) Se establece en un memorándum

de entendimiento con el asociado que

contenga los términos para lograr los

objetivos del párrafo (a)(2)(i) de esta

sección; ó

(2) Otra ley (incluidas regulaciones

adoptadas por la organización o sus

socios) contenga requerimientos

aplicables a la asociación para el

cumplimiento de los objetivos del párrafo

(a)(2)(i) de esta sección

(B) Si un asociado es requerido por ley a

realizar una función o actividad en

nombre de la organización o brindar un

servicio descrito en las definiciones de

asociado de negocios especificada en la

sección 160.103 de este subcapítulo,

organización permitirá al asociado crear,

recibir, mantener y transmitir

Información electrónica Protegida de

Paciente en su nombre en lo necesario

para cumplir el mandato legal sin cumplir

los requerimientos del párrafo (a)(2)(i) de

esta sección, siempre que la organización

intente obtener de buena fe

aseguramientos justos como se requiere

en (a)(2)(ii)(A) de este sección, y se

documente el intento y las razones por las

que el aseguramiento deseado no se

pueda obtener.

(C) La organización debe omitir de sus

otros arreglos autorización para la

terminación del contrato por la

organización, como se requiere en el

R

65

párrafo (a)(2)(i)(D) de esta sección si tal

autorización es inconsistente con las

obligaciones legales de la organización o

su asociado

REQUERIMIENTOS DE POLÍTICAS, PROCEDIMIENTOS Y DOCUMENTACIÓN

Sección

Estándares

Especificaciones de

implementación

R -

R

equ

erid

o

O -

Op

cio

na

l

Po

líti

ca

Pro

ced

imie

nt

o

164.314(a)

Políticas y

procedimientos

Implementar políticas y

procedimientos apropiados y

razonables para cumplir con los

estándares, especificaciones de

implementación y otros

requerimientos de esta subparte,

tomando en cuanta los factores

especificados en 164.306(b)(2)(i),

(ii), (iii) y (iv). Este estándar no se

usará para excusar o permitir

acciones que violen otro estándar,

especificación de implementación u

otros requerimientos de esta subparte

La organización podrá cambiar sus

políticas en cualquier momento,

cuando concuerden con lo descrito en

esta sección y sean debidamente

documentados.

X

X

66

164.316(b)

(1) Documentación

(i) Mantener las políticas y

procedimientos implementados para

el cumplimiento de esta parte en

documentación escrita o electrónica,

y;

(ii) Si una acción, actividad o

evaluación es requerida por esta

subparte para ser documenta, se

mantenga por escrito o de forma

electrónica el registro de la acción,

actividad o evaluación.

Implementar políticas y

procedimientos razonables y

apropiados para el cumplimiento de

los estándares, especificaciones de

implementación y otros

requerimientos de esta subparte,

tomando en cuenta lo especificado en

la sección 164.306(b)(2)(i), (ii), (iii)

y (iv). Este estándar no se usará para

excusar o permitir acciones que

violen otro estándar, especificación

de implementación u otros

requerimientos de esta subparte.

La organización podrá cambiar sus

políticas en cualquier momento,

cuando concuerden con lo descrito en

esta sección y sean debidamente

documentados.

(2)(i) Tiempo límite

Mantener la información requerida e el

párrafo (b)(1) de esta sección durante 6

años desde el momento de su creación

R

X

X

(2)(ii) Disponibilidad

Hacer documentación disponible para las

personas encargadas de la

implementación de los procedimientos a

los cuales refiere la documentación

R

X

X

(3)(iii) Actualizaciones Revisar de forma periódica, y actualizar

según se requiera la documentación, en

respuesta a los cambios operacionales que

afecten la seguridad de la información

electrónica protegida.

R

X

X

67

ANEXO (E)

FORMATO DE REPORTE DE INCIDENTES DE

SEGURIDAD INFORMÁTICA

Fecha del reporte

Persona que reporta el incidente

Fecha de ocurrencia del incidente

Persona que atiende el reporte

Equipos/Sistemas involucrados

Lugar del incidente

Contacto de proveedor del equipo/sistema

Compañía Teléfono

Nombre del contacto

Descripción del incidente

Error del sistema Error inicio de sesión Error del usuario

Pérdida de información

Falla física del equipo _________________________________________________________

La falla se presenta en

Almacenaje Disco duro

Servidor

Transmisión Cableado

Red inalámbrica/inalámbrica

Línea telefónica

Otra ____________________________________

____________________________________

____________________________________

Grado de importancia del incidente (impacto en las funciones de la organización)

Pequeño Considerable Grave

Tipo de daño causado a la información

Confidencialidad

Acceso no autorizado

Revelación de información

Integridad

Modificación o corrupción de información

Perdida o destrucción de información

Disponibilidad

Negación de acceso

Información perdida

Información afectada

Demográfica (Identificación de paciente) Diagnóstica

Estado de cuenta del paciente Tratamiento

Otra_________________________________________________________________________

Acciones correctivas tomadas

Administrativas Cambio de

Políticas/Procedimientos

Capacitación

Otras ______________________

___________________________

Físicas Respaldo de información

Reubicación de equipo

Otras ______________________

___________________________

___________________________

Técnicas Encriptación

Medios de control de acceso

Otros _____________________

___________________________

___________________________

Notas: