Post on 22-Jul-2022
0
REPORTE DE PROYECTO TERMINAL
DE INGENIERÍA BIOMÉDICA
TÍTULO: “EVALUACIÓN Y ADMINISTRACIÓN DE RIESGOS
EN SISTEMAS DE INFORMACIÓN MÉDICA; INTEGRACIÓN
CON LAS PRÁCTICAS Y FUNCIONES DEL DEPTO DE
INGENIERÍA BIOMÉDICA DE UN HOSPITAL”
ASESORAS:
DRA. MARÍA DEL ROCÍO ORTIZ PEDROZA
M en I. CLAUDIA CÁRDENAS ALANIS
PRESENTA: FERNANDO ZÚÑIGA ORTA
MATRÍCULA: 202318655
MÉXICO D.F., OCTUBRE 2008
1
INDICE 1
INTRODUCCIÓN 3
JUSTIFICACIÓN 5
OBJETIVO 5
I. PRIMERA PARTE
“MANUAL DE PRÁCTICAS Y PROCEDIMIENTOS” 7
1.- Estado del DIB en el anterior Hospital
Naval Militar y sus Manuales de Procedimientos 7
2.- Modelo propuesto del Manual de Prácticas y
Procedimientos de un DIB 11
3.- Comparación y observaciones. 21
II. SEGUNDA PARTE
“EVALUACIÓN Y ADMINISTRACIÓN DE RIESGOS EN
SISTEMAS DE INFORMACIÓN MÉDICA” 23
1.- Introducción 23
2.- Definiciones 24
3.- Procedimientos 26
4.- Metodología para la Evaluación y Control de Riesgos en
Equipo Biomédico y Sistemas de Información Médica 28
4.1) Etapa 1 ORGANIZACIÓN 29
4.2) Etapa 2 EVALUACIÓN 31
4.3) Etapa 3 ANÁLISIS Y PLANEACIÓN 32
4.4) Etapa 4 IMPLEMENTACIÓN Y CONTROL 34
III. TERCERA PARTE
1.- RESULTADOS 35
2.- CONCLUSIONES 35
GLOSARIO 37
2
BIBLIOGRAFIA 38
ANEXOS
Anexo A.- Formato de evaluación de riesgo informático en equipo médico 40
Anexo B.- Tablas para determinación de nivel de riesgo en la información 42
Anexo C.- Cuestionario de evaluación de prácticas y procedimientos de
seguridad informática 43
Anexo D.- Tabla de estándares de la regla de seguridad de HIPPA 56
Anexo E.- Formato de reporte de incidentes de seguridad informática 67
3
INTRODUCCIÓN
El Colegio Americano de Ingeniería Clínica (ACCE) define al ingeniero clínico como: un
profesional que da soporte y mejora la atención médica aplicando sus habilidades y
conocimientos en ingeniería y administración de tecnología médica. [1]
La integración de ingenieros biomédicos (clínicos) en los hospitales y consecuentemente la
creación de Departamentos de Ingeniería Biomédica (DIB), surgieron como respuesta al
incremento de tecnologías complejas; para resolver problemas asociados a la seguridad
eléctrica en equipos médicos, y garantizar la funcionalidad del equipo la mayor parte del
tiempo para su aprovechamiento óptimo, así como implementar y supervisar que la
regulación y normatividad relacionada con el equipo se cumpla. [9]
De manera específica el modelo de funciones de un departamento de ingeniería biomédica
se centraba en la administración y consultoría que incluía el manejo del inventario, la
seguridad y el cumplimiento de normatividad; además de servicios de soporte como
inspecciones y mantenimientos preventivos y correctivos. A través de los años este modelo
se ha mantenido en esencia pero ha aumentado sus funciones en ambos rubros; en la
administración y consultoría se encuentra ahora el aseguramiento de la calidad y la
planeación estratégica, y en los servicios de soporte la capacitación, instalación e
integración de sistemas biomédicos e informática médica, la actualización de los mismos;
como el Picture Archiving and Communications System (PACS) en los departamentos de
radiodiagnóstico, los usados en la automatización de laboratorio clínico y banco de sangre,
monitoreo de pacientes en áreas críticas, entre otros. [9]
Las nuevas tendencias dan forma y rumbo a las actividades de la ingeniería clínica. Y en
este caso la creciente proliferación en el uso de sistemas de información resulta en una
sinergia con los equipos médicos, trayendo consigo múltiples y mayores beneficios al
trabajar de manera integrada, en comparación a su funcionamiento independiente. Los
recursos de redes e Internet traen consigo facilidades como acceso a información,
almacenaje y comunicación a distancia.
Como claro ejemplo se tiene la creciente implementación en los establecimientos de salud
de sistemas como: PACS, Radiological Information System (RIS) y Hospital Information
System (HIS).
Este tipo de aplicaciones forman parte de las llamadas Tecnologías de la Información
(TI’s); que son definidas como el estudio, diseño, desarrollo, soporte y administración de
sistemas de información computarizados, particularmente en los usos de software y
hardware que se encargan del uso de computadoras y software para procesar, guardar,
proteger, transmitir y recuperar información de forma segura. [10]
4
Esta convergencia con las TI’s, ha ganado la atención de ingenieros clínicos, hospitales y
autoridades de salud. Un ejemplo de esto es la “Health Insurance Portability and
Accountability Act (HIPPA)”, aprobada en 1996 por el congreso estadounidense. Este
documento incluyó una sección denominada “Security Rule”, que exige el uso de
estándares y normas en respuesta al reconocimiento de los riesgos potenciales en el manejo
de información electrónica en tecnologías médicas y aplicaciones hospitalarias. La regla
final de seguridad de HIPPA fue publicada en febrero de 2003. [7,8]
En resumen, esta regla de seguridad establece estándares y recomendaciones para
desarrollar, implementar y mantener medidas apropiadas de seguridad para la información
electrónica en tecnologías médicas y aplicaciones hospitalarias, que incluyan:
procedimientos administrativos, sistemas de seguridad físicos y mecanismos técnicos de
seguridad. Todo esto bajo una debida documentación de cada proceso y medida
implementada.
En este marco de referencia, en el año 2003 la Secretaria de Marina (SEMAR) inició el ante
proyecto de la construcción de un hospital de alta especialidad en la ciudad de México. Para
el año 2005 la Dirección General Adjunta de Sanidad Naval, con base en la demanda de
atención especializada en el Centro Médico Naval (CEMAV), presentó a la Dirección
General de Obras y Dragado (DIAGAOD) de la SEMAR una propuesta de proyecto de
hospital. Ya en julio de 2006 se inician las labores de construcción para lo cual se contrata
a la empresa Ingenieros Civiles Asociados, S.A. DE C.V. (ICA) que a su vez,
subcontrató para la parte del equipamiento médico a la empresa DEWIMED S.A. El
contrato consta de la construcción y equipamiento de un hospital de alta especialidad con
tecnologías de vanguardia, que tenga 150 camas censables, con una capacidad de
despliegue del 30% en caso de contingencias físicas que pudieran enfrentar las tropas
navales operativas y de élite con riesgos asociados a lesiones por explosivos, quemaduras,
bioterrorismo o accidentes nucleares.
Dado que es un hospital de tercer nivel contará con servicios de: atención de
especialidades, hospitalización pediátrica y de adultos, unidad de trasplantes, radiología e
imagen, medicina nuclear, laboratorio clínico, medicina física y rehabilitación, patología,
quirófanos, sala de urgencias, terapia intensiva neonatal, pediátrica y de adultos como
servicios principales, entre otros.
El trabajo aquí presentado se realizó dentro de este proyecto de hospital de la SEMAR,
tomándolo como modelo y con la intención de que la aportación hecha aquí sirva a este
nuevo centro de salud.
5
JUSTIFICACIÓN
Debido a que la labor del ingeniero biomédico en un hospital impacta directamente en la
calidad del servicio otorgado al paciente es necesario establecer un marco operativo para
las funciones del DIB a través de un manual de políticas y procedimientos que describa la
organización interna, las funciones y responsabilidades de cada miembro del staff, las
relaciones que se tienen con las diferentes áreas del hospital, las funciones del
departamento y como se llevan a cabo cada una de éstas.
Por otra parte, ante el creciente uso de sistemas de información médica en los hospitales, y
su estrecha relación con los equipos médicos, junto con las nuevas tendencias en la labor
del ingeniero biomédico; se identifica la necesidad de tener un control y manejo apropiado
de tales sistemas y equipos, y de la información que éstos manejan. Además de proponer y
determinar mecanismos que aseguren la correcta operatividad de los mismos prestando
atención a las vulnerabilidades y oportunidades de desarrollo en la integración de equipos
médicos y sistemas de información.
Esto último es precisamente el tema de la segunda parte de este trabajo; donde se propone
una metodología para realizar una evaluación y administración de riesgos en los equipos
médicos y sistemas de información médica en hospitales del sistema de salud mexicano.
Esta actividad estará bajo el marco operativo de los manuales de prácticas y procedimientos
del departamento de ingeniería biomédica.
La oportunidad que representa un nuevo hospital de tales características permiten poder
establecer y encaminar desde un principio los temas propuestos en este trabajo, así como
poder enfrentar nuevos horizontes de desarrollo en la ingeniería biomédica.
OBJETIVOS
El primer objetivo consiste en realizar un análisis de la situación actual del departamento
de ingeniería biomédica del anterior hospital Naval Militar y del manual de prácticas y
procedimientos que lo rige, presentando una propuesta de modelo contra la cual se harán
una serie de observaciones que puedan ser de ayuda para su adaptación en el nuevo
hospital. Dentro de este marco se introducirá una nueva función del DIB, relacionada con el
manejo y administración de riesgo para la información relacionada al paciente en equipos
biomédicos y sistemas de información médica.
El segundo objetivo busca desarrollar una guía metodológica para la evaluación y
administración de riesgos en sistemas de información médica, dentro del marco de
operaciones del Departamento de Ingeniería Biomédica (DIB) del hospital, que permita
garantizar que la información manejada en estos sistemas adquiera características de
disponibilidad, integridad y confidencialidad, cumpliendo con estándares y normatividad
6
apropiada, a través de un proceso de evaluación y manejo de riesgos de los procedimientos
involucrados en estos sistemas.
Cabe aclarar, que los alcances de este trabajo se limitan al análisis y a la presentación de
una propuesta tanto del modelo del DIB como de la guía para la evaluación y manejo de
riesgos para la información relacionada al paciente en equipos biomédicos y sistemas de
informática médica. La implementación de la guía y el uso del modelo propuesto para el
DIB dependerán de la administración del la organización, las propuestas aquí presentadas
son sujetas de adecuaciones en base a características y necesidades específicas de la
institución que las use.
7
I) PRIMERA PARTE
“MANUAL DE PRÁCTICAS Y PROCEDIMIENTOS”
En esta primera parte del trabajo se hace una descripción del estado que guarda la
organización y labores desempeñadas por el Departamento de Ingeniería Biomédica del
anterior Hospital Naval Militar; detallando la forma en cómo se realizan tales labores y la
documentación generada en cada proceso. Esto con el fin de tener un punto de referencia y
proponer un modelo de DIB que complemente y mejore el existente.
1) ESTADO DEL DIB EN EL ANTERIOR HOSPITAL NAVAL MILITAR Y
SUS MANUALES DE PROCEDIMIENTOS1.
1.1.- Antecedentes
El Departamento de Ingeniería Biomédica (DIB) es constituido en Enero de 2003
denominado como “Departamento de Mantenimiento de Equipo Médico”
1.2.- Estructura organizacional
El Departamento de Mantenimiento de Equipo Médico (DIB) depende de la
Subdirección de Ingeniería y Mantenimiento, quien a su vez depende de la Dirección de
Administración y Servicios. El personal del DIB consta de un jefe de departamento y un
ingeniero biomédico, aunque en realidad se cuenta con dos ingenieros biomédicos más. En
el esquema de la Figura 1 se muestra esta estructura. El DIB rinde cuentas a la
Subdirección de Ingeniería y Mantenimiento y también de manera directa a Sanidad Naval.
1.3.- Manual de Prácticas y Procedimiento del DIB
Se cuentan con los siguientes manuales del DIB
Manual de la organización del Departamento de Mantenimiento de
Equipo Médico.
Lineamientos Normativos de procesos del Departamento de
Mantenimiento de equipo Médico.
Manual de Prácticas y Procedimientos del Departamento de
Mantenimiento de equipo Médico.
1 La información aquí presentada corresponde al levantamiento hecho el día 20 de Junio de 2008 en las
oficinas del DIB del CEMANAV
8
Figura 1.- Organigrama del DIB del actual Hospital Naval
1.4.- Actividades del Departamento
1.4.1.- Control de Inventario de equipo médico
Se cuenta con un inventario electrónico de equipo médico con aproximadamente
850 equipos con la siguiente información:
Nombre del equipo
Marca
Modelo
No. de catálogo (Asignado por almacén general)
No. de tarjeta de control (Asignado por almacén general)
Existen diferencias entre el inventario manejado por el DIB y el departamento de
Almacén general del hospital, porque existe equipo que ha sido donado, equipo que es
subrogado y por la falta de un proceso eficiente en el control de inventarios entre el
departamento y almacén general
DIRECCION DE ADMINISTRACION
Y SERVICIOS
SUBDIRECCIÓN DE INGENIERÍA
Y MANTENIMIENTO
DEPARTAMENTO DE MANTENIMIENTO
DE EQUIPO MÉDICO DEPARTAMENTO DE INGENIERÍA
DE PLANTA
Jefe del Departamento
Ingeniero Biomédico
Ingeniero Biomédico
Ingeniero Biomédico
9
1.4.2.- Mantenimientos
1.4.2.1- Correctivos
El departamento realiza mantenimientos correctivos de los equipos
en el hospital, el procedimiento consiste en la atención a un reporte hecho por el área
usuaria del equipo, se genera un reporte en papel, que contiene datos como el nombre del
equipo, no. de serie, no. de tarjeta control, no. de inventario, departamento que solicita el
servicio, ubicación del equipo, firma de quien reporta y quien recibe por porte del DIB. En
el anverso del este reporte se encuentra el acuse de recibo del equipo una vez que es
reparado y entregado al servicio, conteniendo la descripción del servicio realizado y la
firma de conformidad del quien recibe el equipo en el área. Los formatos de solicitud de
servicio no cuentan con número de folio y no se lleva un registro electrónico de estos.
Para el equipo que está bajo contrato de mantenimientos el DIB es
sólo encargado de hacer los reportes de fallas a la compañía que hace el mantenimiento,
aunque también el reporte lo hacen las mismas áreas donde está el equipo. No se cuenta con
calendarios de mantenimiento para estos equipos, dado que en el proceso de contratación de
los servicios no participa el DIB, no existe una coordinación para planear las fechas en las
que los equipos recibirán mantenimiento y cada que se presenta un proveedor a realizar el
servicio debe ser programado con el área. El DIB recibe de conformidad junto con el área
cuando el mantenimiento haya sido realizado o la falla haya sido reparada, se conservan los
reportes de servicio.
Para este propósito se cuenta con un fondo revolvente de $15,000.00
pesos mensuales para compra de refacciones y pago de reparaciones externas que no
excedan los $5,000.00 pesos.
1.4.2.2- Preventivos
El departamento realiza un calendario de mantenimientos del equipo
médico a su cargo (algunos equipos cuentan con contratos de mantenimiento, garantía o
están en comodato), sin embargo éste no se cumple, por la carga de servicios asignados a
cada ingeniero, y los constantes llamados para servicios correctivos, entre otras cosas. Se
cuenta con la descripción del proceso de mantenimiento pero no existen cédulas que
especifiquen el proceso para cada mantenimiento en particular.
1.4.2.- Baja de equipo Médico
El proceso de baja de equipo médico comienza con la solicitud por parte del área, el
DIB genera un reporte de dictamen técnico que justifique la baja del equipo por los motivos
que así se determinen. Este reporte con la solicitud de baja es enviado a almacén general,
donde se hace la baja del inventario. El DIB por su parte hace lo mismo en su inventario.
1.4.3.- Salida y Entrada de equipo
Para este proceso el DIB genera una orden de salida y entrada de equipo con un
número de control dado por Almacén General. Este documento contiene información del la
persona que saca el equipo, la empresa proveedora, la descripción del equipo, con datos de
no. de serie, no. de tarjeta de control o no. de catálogo. Incluye las firmas de autorización
del Jefe del DIB, el jefe de Almacén General y el director de Administración y servicios.
10
También incluye las firmas de quien entrega y recibe el equipo de salida. Al retorno del
equipo se firma otra parte donde se recibe y entrega el equipo ya reparado.
1.4.4.- Adquisición de equipo
En el proceso de adquisición de equipo hay participación del DIB. Al final del año
se recibe de las áreas del hospital los requerimientos de equipo que cada una considera
pertinente, después se realiza una reunión con las direcciones de áreas para determinar la
prioridad de las adquisiciones con base en un presupuesto determinado. El DIB se encarga
entonces de hacer la evaluación técnica de las opciones en el mercado, elaborando cuadros
comparativos y solicitando cotizaciones. Esto es enviado a Sanidad Naval donde se
reevalúa y se decide la compra. En el proceso se genera una cotización, una requisición, un
pedido y una factura.
En los contratos de mantenimiento para ciertos equipos el DIB no participa, el
encargado es el Departamento de recursos financieros
1.4.5.- Capacitación
El DIB brinda cursos de capacitación para el personal del hospital, pero estos no han
tenido el aprovechamiento esperado, pues se han seguido presentando fallas relacionadas al
uso del equipo.
Dado que en gran parte del proceso de adquisición de equipo y contratación de
servicios el DIB no participa, se tienen muy pocos manuales de usuario y servicio, y no
existe una biblioteca de manuales de equipo.
1.4.6.- Seguridad y Normatividad
No hay una labor clara en este rubro, se busca cumplir las normas más básicas de
seguridad eléctrica, pero carecen de recursos (equipo) para garantizar dicha seguridad, y
tampoco existe una documentación de esto que avale el cumplimiento de tales estándares
de seguridad.
11
2) MODELO PROPUESTO DEL MANUAL DE PRÁCTICAS Y
PROCEDIMIENTOS DE UN DIB
Con base en modelos previos propuestos en trabajos y publicaciones encontrados en una
búsqueda bibliográfica, se propone el siguiente modelo para el manual del DIB.
[15][16][17]
2.1.- Introducción
La introducción hará referencia a la historia del departamento y su formación, los
cambios y formas en los que ha ido evolucionando y creciendo. Enfatizará el porqué del
departamento y a grandes rasgos la importancia del mismo dentro de la organización.
2.2.- Misión
Garantizar las óptimas condiciones de funcionamiento, seguridad, instalaciones y
uso del equipo médico del hospital, a través de la gestión y planeación estratégica que
coadyuve a una atención de calidad para el paciente.
2.3.- Visión
Ser una entidad de excelencia dentro de la organización del hospital, que brinde
servicios efectivos y de calidad, promoviendo el desarrollo de la ingeniería biomédica
dentro y fuera de la organización.
2.4.- Objetivos del DIB
Garantizar las óptimas condiciones de funcionamiento y seguridad de la tecnología
médica bajo especificaciones del fabricante original.
Garantizar la seguridad de pacientes y usuarios que estén o puedan estar en
contacto directo con el equipo médico, sus accesorios o bien con las instalaciones
correspondientes.
Promover la integración de las ciencias de la Ingeniería Biomédica al desarrollo de
la investigación médica.
Procurar las condiciones necesarias para la estandarización, uso y cuidados
correctos de los recursos tecnológicos, y que redunden en una atención segura y
eficiente de los pacientes.
Controlar y vigilar el estado y movimientos del equipo médico existente.
Brindar soporte técnico y apoyo de Ingeniería Clínica a la Administración del
Hospital, al personal médico y enfermería, así como a los servicios hospitalarios que
lo requieran con el enfoque de administración y gestión tecnológica que el hospital
requiera.
Optimización de los recursos tecnológicos y financieros al participar en los procesos
administrativos relacionados a la Tecnología Médica.
Colaborar en el mejoramiento del control de calidad de equipo médico,
instalaciones y Áreas de servicio.
Garantizar que el correcto funcionamiento de los equipos que manejan información
asociada al paciente mantengan dicha información integra, disponible y
confidencial.
12
2.5.- Funciones
Evaluación de equipo médico para su adquisición.
Supervisión, recepción, e instalación de equipo nuevo.
Realización de mantenimientos correctivos del equipo médico del hospital.
Programación e implementación de rutinas de mantenimiento preventivo y de
seguridad eléctrica del equipo médico del hospital que incluyan la evaluación de
funcionalidad del mismo
Mantener un programa de Control de Equipo Médico.
Desarrollo de un programa de educación continua sobre el manejo y la operación de
equipo médico.
Desarrollo de tecnologías médicas propias para la Institución.
Supervisión de seguridad hospitalaria
Evaluación y administración de tecnologías de la información asociadas al equipo
biomédico, así como del control de riesgo en la información de paciente en éstos.
2.6.- Organización del DIB
Organigrama
DIRECCION MÉDICA
DEPARTAMENTO DE
INGENIERÍA
BIOMÉDICA
Jefe del Departamento
de IB
Secretaria
Ingeniero Biomédico
Ingeniero Biomédico
Ingeniero Biomédico
Ingeniero Biomédico (Cuantos sean necesarios)
Técnico Biomédico
Técnico Biomédico
Técnico Biomédico
Técnico Biomédico
(Cuantos sean necesarios)
13
Figura 2.- Propuesta de organigrama para el DIB
Se debe tener una descripción detallada de los puestos y funciones de cada una de las
personas que integran el departamento. Esta incluirá: perfil académico, funciones y
actividades a desarrollar, responsabilidades, etcétera. Se pueden determinar campos
específicos de aplicación dentro del departamento, como: coordinaciones (mantenimiento y
conservación, normatividad y calidad, seguridad) de las que se puede asignar a un elemento
del departamento para su dirección.
2.7.- Generalidades
Es importante para el correcto desarrollo de las actividades del DIB contar con
ciertos requerimientos:
2.7.1.- Se debe contar con equipo necesario para la realización de mantenimientos
preventivos, correctivos y de seguridad eléctrica como:
Analizador de seguridad eléctrica
Analizador para pruebas de potencia
Simulador de paciente
Multímetros digitales
Termómetros digitales
Barómetro digital
Equipo de cómputo
Analizador de presión y flujos
Además de herramientas generales para reparación como:
Cautín
Desarmadores
Pinzas
Tornillo de mesa
Llaves (españolas, Allen, etc.)
2.7.2.- El departamento debe contar con un almacén o bodega para los suministros y
refacciones necesarios. Además se recomienda tener un control de inventario del almacén
debidamente documentado; esto permitirá tener previsión en el consumo de materiales, en
las cantidades necesarias y poder hacer balances eficientes de gastos del departamento.
2.7.3.- También se debe contar con un área designada para el resguardo de manuales
de usuario y de servicio de los equipos del hospital, como fuente de información para
capacitación y servicio técnico de los mismos.
2.7.4.- Una necesidad importante para la correcta administración del departamento y
desarrollo de sus funciones es el contar con un programa de control de equipos, es decir,
una base de datos del departamento en la que se tenga documentado el inventario, estado
funcional, entradas y salidas de equipo, el seguimiento de contratos y proveedores,
desarrollo del personal del departamento, formatos de mantenimientos, finanzas del
departamento, inventario de almacén y stock de refacciones, formato de reporte de falla de
equipo en contrato y/o garantía, etc. (Figura 3).
14
Figura 3.- Esquema de base de datos para el DIB
La generación de formatos impresos es necesaria para dar validez a los registros
electrónicos, dar seguimiento a las actividades realizadas, y para tener elementos para la
evaluación de la calidad del servicio prestado por el DIB a la institución hospitalaria. Se
debe contar con formatos de servicio de mantenimiento, pases de entrada y salida de
equipo, formatos de pruebas de seguridad eléctrica, de potencia y las definidas para ciertos
equipos. El diseño de cada formato dependerá de las necesidades y forma de organización
particulares del DIB y la organización de salud.
2.8.- Procedimientos del DIB
Cada uno de los procesos que aquí se describen debe ser planteado en forma de
diagramas de flujo o utilizando una herramienta que facilite su comprensión y determine de
forma clara el orden de los pasos a seguir, así como los actores encargados de realizar cada
etapa del procedimiento.
Los diagramas de flujo consisten en la representación de procesos, a través de símbolos y
líneas, para conseguir una visión general de los mismos. Se utilizan para tener una visión
general y esquemática de cómo funciona un proceso, y de las relaciones entre las tareas y
acciones de un proceso, así como las relaciones con otros procesos. Más adelante se
ejemplificará el uso de esta técnica en el procedimiento de mantenimiento correctivo.
2.8.1.- Control de inventario
Como se menciono anteriormente, el departamento debe contar con un inventario de
equipo médico actualizado, y de manera más completa un programa de control de equipo
INVENTARIO Marca, Modelo,
No serie, Estado
funcional
Ubicación, etc.
Ordenes de
servicio
(Mantenimiento
interno)
Seguimiento de
contratos
Ordenes de
servicio (manto.
externo)
Catálogo de
proveedores
Finazas del
DIB
Inventario de
refacciones y
consumibles
Control de
entrada y salida de
equipo
Base de datos
Del DIB
15
médico, que permita la planeación de mantenimientos, sustitución de equipos, y mantenga
al día la información pertinente de cada equipo.
El inventario debe contener como base la siguiente información:
Nombre del equipo
Marca
Modelo
No de serie
No. de catálogo (Asignado por almacén general)
No. de tarjeta de control (Asignado por almacén general)
Ubicación del equipo
Área a la que pertenece el equipo
Estatus del equipo (Propio, renta, comodato, etc.)
Accesorios
Consumibles
Manuales de operación
Manuales de servicio
Manuales de instalación
Fecha de adquisición
Vida útil
Proveedor
Garantía
Estado funcional
Observaciones
Este inventario deberá estar en la base de datos del departamento.
2.8.2.- Mantenimientos
2.8.2.1.- Preventivos
Se debe contar con un programa de mantenimientos
preventivos, con base en el inventario que se tiene de equipo médico. El programa deberá
de ser implementado gradualmente con base en las necesidades determinadas por el
departamento y las áreas. El programa debe contar con dos partes:
2.8.2.1.1.- Rutinas de mantenimiento
Las rutinas de mantenimiento se desarrollan a manera de fichas.
Describen el procedimiento para el mantenimiento de un equipo, incluyendo
las pruebas de seguridad eléctrica, potencia, y las que en su caso sean
pertinentes.
Este programa generará información relacionada a los suministros y
refacciones necesarias para los mantenimientos que ayudará a la planeación
de las compras y mantenimiento del stock de refacciones del DIB, así como
para mantener un control de sus finanzas.
16
2.8.2.1.2.- Calendario
El calendario de mantenimientos incluye a los equipos en
contrato y bajo servicio del DIB. Este deberá ser planeado de manera anual
y dividido en áreas (patología, quirófanos, CEYE, etc.). En el caso de los
equipos cuyo mantenimiento esté en contrato con un proveedor externo, se
debe solicitar la programación de mantenimientos con antelación, para
incluirlo en el calendario; o en el mejor de los casos programarlo de manera
conjunta. Una vez generado el calendario se le debe comunicar a cada área
de éste para que estén informados y en caso de algún conflicto hacer la
reprogramación de fechas.
La documentación de los mantenimientos preventivos se debe levar en un
registro en papel y en la base de datos. Se debe especificar la periodicidad
del mantenimiento de equipos a través de una metodología definida.
2.8.2.2.- Correctivos
El mantenimiento correctivo seguirá un proceso bien definido:
a. El área hace el reporte de la falla al DIB.
b. La secretaria recibe el reporte y lo turna al personal correspondiente.
c. Un ingeniero de servicio del DIB acude al área que reportó el equipo.
d. Se determina si existe una falla real en el equipo o es un problema de
operación. De ser esto último se brinda asistencia al usuario.
e. En caso contrario, se determina ahora si el equipo está bajo contrato de
mantenimiento y/o en garantía.
f. De estar en garantía o contrato, se levanta un reporte y se comunica con
la empresa para que se envíe personal a su reparación.
g. En caso contrario, si la reparación puede ser realizada en el área se lleva
a cabo o en otro caso se lleva el equipo al taller del DIB para su
reparación. En este proceso se deberá llenar el formato de servicio del
DIB.
h. En el caso de una falla mayor se define si la reparación se hará en el
departamento o se cotiza con un proveedor externo. En este último caso
se genera la requisición de presupuesto para su reparación. Se informa al
área usuaria.
i. Al término de la reparación se entrega el equipo y se firma de recibido en
el formato de servicio.
j. La orden de servicio deberá ser cargada a la base de datos del DIB.
Se detalla el procedimiento a través de un diagrama de flujo (Figura 4)
17
PROCEDIMIENTO: MANTENIMIENTO CORRECTIVO DE EQUIPO
Descripción: Se detallan los pasos a seguir en el proceso de mantenimiento correctivo de un equipo
médico
Proceso Documentación Responsable Observaciones
DIB
Proveedor
Área donde se
encuentra el equipo
Secretaría del DIB
Ingeniero/técnico
de servicio del DIB
Ingeniero/técnico
de servicio del DIB
Ingeniero/técnico
de servicio del DIB
Ingeniero/técnico
de servicio del DIB
Ingeniero/técnico
de servicio del DIB
DIB y área usuaria
del equipo
Ingeniero/técnico
de servicio del DIB
Toma el reporte y
lo entrega al
ingeniero
responsable
El incidente se
registra para
posibles efectos
de capacitación
Se carga la orden
en la base de
datos
Se carga el
reporte en la base
de datos
El DIB recibe y
libera junto con el
área usuaria la
orden de servicio
de la empresa
Se reporta la falla al
departamento de IB
Se recibe el
reporte en el DIB
Un ingeniero/técnico de
servicio del DIB acude al área
Falla menor o de
operación
Falla
mayor
Se resuelve la falla
y/o se brinda apoyo
y asesoría al
usuario
Garantía/
Contrato
Se llama a la
empresa
encargada
del servicio Atendido
por el DIB
Orden de
servicio
Reporte
de falla a
empresas
Determinación
de la falla
¿Equipo en
garantía/contrato
o atendido por el
DIB?
La empresa realiza
el mantenimiento
Orden de
servicio
de la
empresa ¿Se repara en el
DIB o con un
proveedor?
Solicitud de
cotización
Se realiza la
reparación y
se entrega al
área usuaria
Orden de
servicio
18
DIB
Proveedor
No
Si
Ingeniero/técnico
de servicio del DIB
Ingeniero/técnico
de servicio del DIB
Ingeniero/técnico
de servicio del DIB
En caso de que el
equipo salga a
reparación se
genera la orden de
salida
correspondiente
Se carga la orden
en la base de
datos
En caso de que el
equipo salga a
reparación se
genera la orden de
salida
correspondiente
Se carga la orden
en la base de
datos.
Figura 4.- Diagrama de flujo para el procedimiento de mantenimientos correctivos
2.8.3.- Adquisición de equipo
La evaluación de la tecnología clínica es una de las funciones más
importantes del DIB dentro del hospital. Esto radica en el conocimiento para poder
trasladar las necesidades de las áreas y usuarios a requerimientos específicos de
tecnologías, que además sean acordes con la misión que la organización persigue.
El proceso de manera específica deberá ser diseñado por el departamento con base en las
relaciones interdepartamentales, pero puede definirse bajo una línea básica de operación:
- El DIB recibe la lista de requerimientos por parte de las áreas.
- Con base en éstos, traduce las necesidades médicas en especificaciones técnicas y
recauda una serie de propuestas técnico/económicas de proveedores.
- Determina un método de comparación entre alternativas tomando como base las
necesidades específicas de los servicios, las características técnicas de los equipos, el
presupuesto, las condiciones de la compra, y algunos otros elementos que son
importantes en esta consideración (garantía, instalación, manuales, capacitación,
consumibles, tiempo de entrega, servicio, etc.)
- Con esta evaluación hecha se hace la recomendación de las mejores opciones a el
departamento de adquisiciones (o el que se encargue de la compra), acompañada y
justificada por toda la información recabada.
Partida
presupuestal
Se realiza la
reparación y
se entrega al
área usuaria
Orden de
servicio
Solicitud de
requisición
extraordinaria
Aprobación
Se realiza la
reparación y
se entrega al
área usuaria
Orden de
servicio
Justificación
presupuestal
Factura
19
- Una vez hecha la compra, el DIB deberá recibir el equipo y supervisar su instalación
capacitación, funcionamiento adecuado, entrega de manuales, y todo lo especificado
en la compra. Cumplido esto, podrá dar por recibido junto con el responsable del área
el equipo.
2.8.4.- Alta y Baja de equipo
2.8.4.1.- Baja de equipo
El hospital debe contar con un formato de baja de equipo médico.
Las causas de una baja son varias: falla irreparable, sustitución, obsolescencia, o falta
de uso por el área usuaria.
El departamento de DIB deberá recibir la solicitud de dictamen técnico por parte del
área responsable del equipo.
El personal responsable del DIB se encargará de obtener la información pertinente del
equipo en la base del departamento (antigüedad, historia de mantenimientos, vida útil,
proveedor, etc.), así como un dictamen físico y técnico del equipo.
Con esta información el DIB habrá de determinar la causa y justificar la baja del
equipo.
En algunos casos es conveniente solicitar al proveedor documentación que avale
situaciones como por ejemplo que las refacciones para este equipo ya no son
fabricadas o que la falla es irreparable.
En caso de que el equipo funcione se deberá buscar un área que pueda necesitar el
equipo
2.8.4.2.- Alta de equipo
Cuando se realiza la adquisición de un equipo, el departamento
deberá recibir el equipo primeramente en el almacén general, ahí se le dará de alta en
el inventario del activo fijo del hospital y se le asigna un número de control según los
procedimientos del almacén. Realizado esto, el equipo se instalará en el área
designada y el DIB deberá realizar o supervisar (según sea el caso de la compra) la
instalación y recibir junto con el área usuaria el equipo. El DIB deberá dar de alta el
equipo en su base de datos (programa de control de equipo) con todos los datos
requeridos en el inventario. De la misma forma toda la documentación y manuales del
equipo será identificada y archivada.
2.8.5.- Entrada y Salida de equipo
Se deberá de contar con un formato para la entrada y salida de equipo
médico. En él se deberá especificar si el equipo entra o sale, los datos del equipo (equipo,
marca modelo, no. serie, no. de inventario y control) la persona y empresa responsable de
llevarse el equipo, el motivo por el que entra o sale, la fecha en que regresará y las firmas
correspondientes de entrega y recepción del proveedor y el DIB. Este formato deberá tener
un número de control sucesivo que estará controlado por el almacén general. El formato
deberá quedar registrado en la base de datos del departamento.
2.8.6.- Capacitación
Una función muy importante del departamento de ingeniería biomédica es el
de mantener un programa o calendario de capacitación para personal clínico, así como para
personal del mismo DIB. El objetivo de esta función es garantizar el conocimiento pleno
del manejo y funcionalidad de los equipos, por parte del personal clínico para que dichos
20
equipos puedan ser explotados de manera eficiente, además de reducir el número de
reportes de fallas y asesorías por errores de usuario. Por otra parte el personal del
departamento debe mantenerse actualizado y en constante capacitación para brindar los
servicios, incluyendo el de capacitación al área clínica.
El programa deberá:
Identificar la necesidad del curso
Determinar el capacitador (interno/externo)
Determinar los objetivos
Determinar la metodología
Determinar el método de evaluación
Determinar el método de seguimiento
21
3) COMPARACIÓN Y OBSERVACIONES.
Analizando el Manual de la organización del Departamento de Mantenimiento de Equipo
Médico del Centro Médico Naval (CEMENAV), se observa que se describen la misión,
visión, objetivos y valores. Sin embargo la misión y visión son las del hospital, no se
particulariza para el departamento; de igual forma existe una descripción de valores que
va enfocada a la práctica médica y no a la del ingeniero biomédico en el hospital; es
importante que el departamento desarrolle una misión, visión, objetivos y valores propios,
acordes a los propósitos de la organización a la que sirve, para crear una identidad y
enfocar su labor. Se cita también que el manual deberá ser revisado y actualizado
anualmente, y esto no es llevado a cabo, por lo que habrá que considerar una manera de
hacerlo efectivo.
El manual en su introducción hace mucho énfasis en que la función principal del
departamento es la de realizar el mantenimiento del equipo electromédico. En las
atribuciones agrega la gestión y control de contratos de servicios de mantenimiento así
como el proceso de adquisición. Posteriormente en la parte de funciones del área da una
descripción más amplia de las funciones del departamento, incluyendo: capacitación,
control y resguardo de bibliografía técnica, verificación de inventarios de equipo médico.
Se plantea una estructura organizacional en la que el departamento es denominado como
“Subdirección de Mantenimiento de Equipo Médico” dentro de la dirección de Ingeniería y
Mantenimiento, contando con dos personas como lo marca el organigrama; en la práctica
se cuenta con 4 personas, se debe hacer la consideración necesaria para poder atender las
demandas del nuevo hospital en cuanto a cantidad de personal del DIB. Desde un punto de
vista más especifico, la función del departamento de ingeniería biomédica no es sólo en
mantenimientos de equipo, por tanto se propone que esté bajo la dirección médica porque
su actividad incluye planeación y gestión tecnológica del equipo médico que se utiliza en
los pacientes.
El correcto funcionamiento de un departamento se puede facilitar al tener un sistema de
administración y control; un buen punto de partida es una base de datos del departamento,
donde se tenga el inventario, órdenes de entrada y salida de equipo, manuales, órdenes de
servicio (internas y externas), finanzas del departamento, seguimiento de contratos y
proveedores. Se cuenta con formatos para varias de las actividades mencionadas como la
entrada o salida de equipo y ordenes de servicio de mantenimiento de equipo; sin embargo
se carece de muchos mecanismos de documentación para las demás actividades.
Se tiene un inventario que no coincide con el que el almacén general tiene; es necesario que
el departamento actualice éste inventario y haga que coincida con lo que se tiene en el
hospital.
22
En la parte de mantenimientos se identifica una deficiencia en el registro de los mismos, el
formato de mantenimiento no contiene un número de folio, no es capturado en la base de
datos y por tanto no proporciona ninguna utilidad adicional al no brindar información
importante para el departamento (productividad, índices de fallas, causas, refacciones
utilizadas con frecuencia, etc.). Por otro lado existe una marcada carencia de equipo y
herramientas necesarios para la realización de esta tarea.
En el caso de los mantenimientos preventivos es necesario contar con un calendario y que
éste sea llevado a cabo, las empresas proveedoras deberán entregar de manera puntual y en
tiempo la planeación de sus mantenimientos para que el DIB planee su calendario y pueda
informar a las áreas con antelación.
23
II) SEGUNDA PARTE
“EVALUACIÓN Y ADMINISTRACIÓN DE RIESGOS EN EQUIPOS
BIOMÉDICOS Y SISTEMAS DE INFORMACIÓN MÉDICA”
1.- INTRODUCCIÓN
En la segunda parte de este trabajo se propone una nueva función a desempeñar por el
departamento de ingeniería biomédica en el hospital; esta consiste en la administración de
riesgos asociados a los equipos biomédicos y sistemas que adquieren, almacenan y
transmiten de alguna forma cualquier tipo de información electrónica relacionada a los
datos personales, información diagnóstica o de tratamiento de un paciente. Esto para
asegurar las características de disponibilidad, integridad y confiabilidad ya antes
mencionadas en este trabajo.
Para esta labor se identifican tres procedimientos; los dos primeros relacionados al
mantenimiento físico de los equipos biomédicos y sistemas que manejan información
electrónica de paciente, definidos como: “Upgrade” o actualización y mantenimiento
preventivo y correctivo; y el tercero consiste en una guía para la evaluación y control de
riesgo para la información relacionada al paciente manejada en dichos equipos y sistemas.
El upgrade y el mantenimiento al ser procedimientos ya conocidos, habrán de seguir un
proceso específico definido en un diagrama de flujo como se propuso en la primera parte de
este trabajo. El tercer elemento es la parte central y la propuesta de este trabajo; la guía se
encargará de la evaluación de riesgo e implementación de medidas apropiadas para la
seguridad de la información electrónica de paciente.
Esta metodología propuesta contiene cuatro pasos que serán descritos a detalle más
adelante:
1. Organización
2. Evaluación
3. Análisis y Planeación
4. Implementación y Control
Dado lo novedoso de esta metodología de administración y control de riesgos en sistemas
de informática médica, y el poco desarrollo y atención prestada en el sector salud de
nuestro país, se busca dar fundamento a ésta metodología, a través del cumplimiento de la
24
norma americana HIPPA, en específico con su regla de seguridad que impacta directamente
en el equipo biomédico y sistemas de información médica, en la medida y función de lo
aplicable en el sector salud de nuestro país.
2.- DEFINICIONES
Antes de entrar en materia es necesario dejar claras ciertas definiciones que habrán de
orientar en la aplicación de la metodología, estas son:
2.1.- Sistemas de información
Un sistema de información (SI) es un conjunto organizado de elementos que incluyen
personas, datos, actividades o procedimientos y recursos materiales en general
(principalmente computacionales y de comunicación, aunque para este caso de estudio se
tiene también equipo médico como parte fundamental de la generación de información en
estos sistemas). Todo el conjunto de elementos interactúan entre sí para adquirir, procesar y
almacenar los datos y la información para distribuirla de la manera más adecuada posible
en una determinada organización en función de sus objetivos. [10]
2.2.- Informática médica
La Informática médica es la aplicación de la informática y las comunicaciones al área de la
salud, mediante el uso del software y hardware de aplicaciones médicas. Su objetivo
principal es prestar servicio a los profesionales de la salud para mejorar la calidad de la
atención sanitaria. Tiene aplicación en todas las áreas de la medicina, como en laboratorios
de análisis clínicos, dispositivos electrónicos para hacer mediciones de variables
fisiológicas, archivos de imágenes, software de gestión hospitalaria, captura y
almacenamiento de historias clínicas, bases de datos de pacientes, entre otros. [4]
Salud informática o informática médica es la intersección de las ciencias de la información,
ciencias de la computación y la atención de la salud. Se ocupa de los recursos, dispositivos
y métodos necesarios para optimizar la adquisición, almacenamiento, recuperación y
utilización de la información manejada en el campo de la atención a la salud. [4]
Por tal motivo, la Informática Médica es un campo multidisciplinario que reúne a
profesionales de áreas como la ingeniería Biomédica, la Informática y de Sistemas,
Telecomunicaciones, Electrónica, administración, etc.
Algunas de las aplicaciones más conocidas de este campo de la informática se encuentran
en sistemas de diagnóstico por imagen, la telemedicina y los sistemas de gestión
hospitalaria.
25
La informática médica comenzó a despegar en los EE.UU. en la década de 1950 con el
auge de las computadoras y el microchip.
Los primeros nombres referidos a la informática médica incluyeron computación médica,
la medicina de computadoras, procesamiento electrónico de datos médicos, procesamiento
automático de datos médicos, procesamiento de la información médica, ciencia de la
información médica, ingeniería de software médico, etc. [4]
Desde el decenio de 1970 el órgano de coordinación ha sido la Asociación Internacional de
Informática Médica (IMIA), con sede en Bethesda, Meryland en los Estados Unidos de
Norteamérica. [18]
2.3.- Administración (Administrador del sistema)
Un Administrador de sistemas, es aquella persona que se dedica a mantener y operar un
sistema informático, de cómputo o una red. Los administradores de sistemas generalmente
son parte del departamento de Informática.
Las responsabilidades de un administrador de sistemas son muy amplias, y varían
enormemente de una organización a otra. A los administradores por lo general se les
encomienda la instalación, soporte y mantenimiento de los servidores u otros sistemas de
cómputo, la planeación de respuesta a contingencias y otros problemas. Algunas otras
responsabilidades pudieran incluir la programación de scripts o programación (en distintos
niveles), manejo de proyectos relacionados con el sistema, supervisión o entrenamiento de
operadores de cómputo y ser el consultor para los problemas que se encuentran más allá del
conocimiento técnico del personal de soporte. Un administrador de sistemas debe mostrar
una mezcla de habilidades técnicas y responsabilidad que incluyen.
Realizar copias de seguridad.
Actualizar el sistema operativo, y configurar los cambios.
Instalar y configurar el nuevo hardware y software.
Agregar, borrar y modificar información de las cuentas de usuarios, restablecer
contraseñas, etc.
Responder consultas técnicas.
Responsable de la seguridad.
Responsable de documentar la configuración del sistema.
Resolución de problemas.
Configuración óptima del sistema.
Implementación de Planes de Recuperación ante Desastres.
26
3.- PROCEDIMIENTOS
Una vez hechas estas definiciones, se describen y especifican ahora los procedimientos
básicos relacionados a los equipos biomédicos y sistemas que manejan información
electrónica de paciente.
3.1.- Upgrade (actualización de sofware, hardware)
El termino en ingles Upgrade, definido también como: módulo, paquete, hotfix o parche
permite actualizar software computacional, una aplicación o un sistema operativo; también
puede ser una actualización que dada la tecnología del equipo requiera una actualización en
los componentes físicos del sistema (hardware).
Las actualizaciones se dan como respuesta para corregir algunos defectos, mejorar un
programa o sistema, o bien, un cambio en la versión del mismo.
Un ejemplo de estas actualizaciones ocurre en los antivirus que necesitan constantes
actualizaciones en sus bases de datos de virus para estar al día y ser más efectivos ante las
amenazas, otro ejemplo son los service packs de sistemas operativos como Windows.
El procedimiento a seguir para llevar a cabo este proceso se ilustra en el diagrama de flujo
de la Figura 5
3.2.- Mantenimiento
El mantenimiento de sistemas de información generalmente requiere de una combinación
de usuarios, ingenieros del DIB, ingenieros del departamento de Informática, así como
soporte de especialistas externos. Las tareas sencillas como carga de papel o toner en
impresoras corresponden a usuarios, la detección y corrección de fallas menores a cargo de
ingenieros o técnicos de los departamentos de IB o Informática y en el caso de fallas
mayores es conveniente contar con soporte, garantía o un contrato de mantenimiento con la
empresa proveedora del sistema.
A pesar de que los sistemas de información no requieren mantenimientos complejos,
encontramos actividades como la limpieza de los elementos principales de los sistemas, el
cambio de baterías en las UPS del equipo, el manejo y optimización de espacio para
almacenamiento en disco, así como la creación de respaldos (backups) que protejan la
información en caso de una falla mayor.
Esta clase de actividades seguirá el mismo procedimiento antes establecido para el
mantenimiento de equipo biomédico, siendo de carácter preventivo y/o correctivo; el único
detalle a mencionar es la necesidad de contar con respaldos de información y sistemas
redundantes o de respaldo de estos equipos, para tener continuidad en la información.
27
Estos dos procesos resultan de fácil asimilación a las funciones del departamento, dado que
se basan en el procedimiento de mantenimiento de equipo, y por lo tanto no requieren de
mayor especificidad.
PROCEDIMIENTO: UPGRADE O ACTUALIZACION DE EQUIPOS BIOMÉDICOS Y SISTEMAS
QUE MANEJAN INFORMACIÓN ELECTRÓNICA DE PACIENTE
Descripción: Se detallan los pasos a seguir en el proceso de actualización (Upgrade) de equipo
biomédico y sistemas que manejan información electrónica de paciente (Hardware y Software)
Proceso Documentación Responsable Observaciones
Si
No
FIN
***Este procedimiento supone que las actualizaciones serán realizadas por el
proveedor del equipo, lo que implica la existencia de un contrato de servicio
para el equipo, en el cual deberán contemplarse actualizaciones y los términos
específicos en que estas se realizarán
Proveedor del
equipo/tecnología
Oficina del DIB
Ingeniero/técnico
de servicio del DIB
Ingeniero/técnico
de servicio del DIB
o proveedor del
servicio de
actualización
Ingeniero/técnico
de servicio del DIB
DIB y área usuaria
del equipo
El proveedor del
equipo habrá de
hacer la
notificación de
actualización al
DIB para
programarla
Se carga el
reporte en la base
de datos
El DIB
coordinara la
capacitación
necesaria para
efectos de la
actualización del
sistema o equipo
Figura 5.- Diagrama de flujo para el procedimiento de actualización de equipos
biomédicos y sistemas que manejan información electrónica de paciente
Se emite alerta de
actualización
Se recibe la alerta
en el DIB
Se genera un respaldo
de la información
contenida en el equipo
Se realiza la actualización
Se programa
curso de
capacitación y
actualización para
usuarios
Se programa la
fecha para realizar la
actualización con el
área usuaria
Orden de
servicio
Carta de
justificación
/notificación de
la actualización
¿Se requiere
capacitación?
28
4.- METODOLOGÍA PARA LA EVALUACIÓN Y CONTROL DE RIESGOS DE
SEGURIDAD EN SISTEMAS Y EQUIPOS BIOMÉDICOS QUE MANEJAN
INFORMACIÓN ELECTRÓNICA DE PACIENTE
El tercer elemento descrito como una metodología para la evaluación y control de riesgos
de seguridad en sistemas y equipo biomédico que maneja información electrónica de
paciente, requiere una descripción detallada de los pasos a seguir. Su objetivo será brindar
una evaluación de la situación de la seguridad de la información en los equipos biomédicos
y sistemas que manejan información electrónica de paciente, para posteriormente
implementar medidas para la seguridad de la información manejada en estos equipos y
sistemas tomando como referencia la regla de seguridad de HIPPA, la HIPPA Security
Compliance Guide desarrollada por el Colegio Americano de Ingeniería Clínica (ACCE) y
el Emergency Care Research Institute (ECRI), para la elaboración de los formatos usados
en la metodología. [11]
A continuación se describe cada paso de la metodología para la evaluación y control de
riesgos de seguridad en sistemas y equipo biomédico que maneja información electrónica
de paciente. La Figura 4 muestra un esquema de la metodología.
Figura 4.- Esquema de la metodología para la evaluación y control de riesgos de seguridad
en sistemas y equipo biomédico que maneja información electrónica de paciente
29
4.1) Etapa 1 ORGANIZACIÓN
En esta primera etapa de la metodología se busca organizar un equipo de trabajo,
establecer metas y objetivos, así como considerar los elementos, recursos y materiales
necesarios para la implementación de esta metodología. En los siguientes puntos se detallan
estas consideraciones.
4.1.1.- Se asignará un Oficial de Seguridad Informática (OSI) y un grupo de trabajo
Para el aseguramiento de la regla de seguridad de HIPPA requiere que la organización
asigne un Oficial de seguridad informática, quien será el responsable de manejar la
Información electrónica de paciente de la organización. El OSI debe ser un Ingeniero
biomédico, o un ingeniero del departamento de Sistemas de información, otra persona
calificada o un consultor externo.
El OSI debe contar con pleno soporte de la administración de la organización, deberá
establecer relaciones efectivas de trabajo con aquellos involucrados con los sistemas de
información (usuarios, proveedores, etc.). Si no tiene experiencia previa con equipo
médico, debe desarrollar una relación cercana de trabajo con algún miembro del
departamento de Ingeniería Biomédica, que brinde tal experiencia y conocimiento.
4.1.1.1.- Descripción del puesto de Oficial de Seguridad Informática
Nombre del puesto Oficial de Seguridad Informática
Definición del puesto Es el encargado de desarrollar e implementar medidas
para la administración de la Seguridad de la
Información electrónica de paciente
Puesto al que reporta Jefe Departamento de Ingeniería Biomédica Jefe
Departamento de Informática
Instrucción Ingeniero Clínico Certificado, Ingeniero en sistemas o
informática
4.1.2.- Equipo de trabajo
Para llevar esta metodología de seguridad en el manejo de información, es necesario el
soporte de un equipo apropiado de trabajo, preferentemente elementos clave del mismo
hospital y del DIB. Esto incluye Ingenieros y técnicos biomédicos, así como elementos del
departamento de informática. Sus funciones estarán encaminadas a:
Analizar las tecnologías médicas en el hospital relacionadas a sistemas de
información médica, para determinar el riesgo de la información
Dar recomendaciones para la implementación de medidas de seguridad
Brindar soporte y capacitación al personal sobre equipos y sistemas
30
Identificar el equipo que maneja información electrónica de paciente
Preparar reportes de seguridad y análisis de riesgo
Conocimiento de las normas aplicables a los procesos de seguridad informática
4.1.3.- Se deberá establecer un comité de seguridad Informática
Junto con el OSI se deberá establecer un comité de seguridad informática, que debe ser
constituido para definir políticas de seguridad de la información en la organización, así
como supervisar el desarrollo e implementación de la metodología de seguridad
informática.
Los miembros del comité incluyen:
Oficial de seguridad informática (OSI)
Ingeniero clínico representante del DIB (en caso de no ser el OSI)
Representante del departamento de informática
Representante de dirección médica
Representante de enfermeras
Representante de área de radiología
Miembros ad hoc
4.1.4.- Definir metas y plan de trabajo
Una vez designado el OSI, el comité de seguridad y el equipo de trabajo; se organizarán las
actividades para llevar a cabo esta metodología, definiendo alcances, metas, tiempos,
presupuestos y todo lo necesario. Esto ayudará a saber cuando comienza o termina una
etapa del proceso, los resultados esperados en cada etapa, la dependencia entre éstas,
además, ayudará a tener un control claro de los recursos materiales y humanos necesarios.
4.1.5.- Obtención de información
La documentación previa es importante pues brinda información del estado actual y facilita
el diseño de una estrategia para alcanzar de manera eficiente los objetivos planteados. Entre
la información necesaria que deberá recolectarse se encuentra:
Inventario del equipo que maneja Información Electrónica de Paciente
Información técnica del equipo que maneja Información Electrónica de Paciente
como: protocolos de transmisión y forma de almacenaje de información, tipo de
sistema operativo; y los datos relacionados al manejo de la información electrónica
Organigrama de la organización con nombres, cargos y relaciones funcionales
Documentos de políticas y procedimientos relacionados
Información de proveedores de equipos y sistemas con nombres, contactos, etc.
Documentación adicional pertinente
31
4.2) Etapa 2 EVALUACIÓN
Este parte de la metodología involucra dos partes básicas: el equipo médico y los
procedimientos que manejan información electrónica de paciente. Ambas serán analizadas
para obtener información del estado que se guarda respecto al manejo de la información
electrónica de paciente, y de los resultados obtenidos podrán determinarse las medidas
correctivas y preventivas necesarias para la seguridad de la información. Dada su relación
estos procesos pueden llevarse a cabo de manera simultánea.
4.2.1- Equipo Médico
La evaluación de equipo médico se realiza mediante un cuestionario denominado “Formato
de evaluación de riesgo informático en equipo Biomédico” (Anexo A); para el cual se
debe tener el inventario de equipo médico que adquiere, mantiene y/o transmite
información electrónica de paciente. Habrá de llenarse un formato por cada uno de los
equipos incluidos en el inventario de equipo; empezando por los datos generales del equipo
como: modelo, marca, número de serie, inventario, contacto de la empresa proveedora,
entre otros. Cada formato llenado deberá llevar un folio consecutivo y deberán contestarse
todas las preguntas del formato. En caso de carecer de alguna información se deben
consultar los documentos del equipo como: manuales, y especificaciones técnicas. En caso
necesario, se solicitarán al proveedor la información que se desconozca.
El personal responsable de realizar esta tarea, debe estar familiarizado con el equipo y tener
acceso a los manuales de operación y servicio para resolver cualquier duda, así como el
contacto con las empresas proveedoras de equipos y los responsables y usuarios de los
mismos. Esta tarea supone la correcta documentación hecha en la etapa 1, de lo contrario
los resultados obtenidos serán parciales y de poca ayuda a la evaluación.
En esta parte se debe determinar el nivel de riesgo asociado para la información electrónica
de paciente en cada uno de estos equipos con ayuda de las tablas del Anexo B. En éstas
tablas se califica el riesgo asociado al tipo de equipo, es decir a la función que desempeña
(soporte de vida, diagnóstico, tratamiento, etc.) y al tipo de información que maneja (datos
demográficos, de tratamiento o de diagnóstico). El nivel de riesgo asociado se determina al
multiplicar el valor de riesgo obtenido para el tipo de equipo por el obtenido en el tipo de
información manejada. Entre más alta sea la calificación, el riesgo asociado a la
información electrónica de paciente será mayor.
Este formato evalúa sólo equipo médico, sin embargo se reconoce la vulnerabilidad y
riesgo existente de las estaciones de trabajo (computadoras de escritorio y portátiles)
conectadas a los sistemas de información donde diverso personal puede acceder a una
variedad de información electrónica relacionada con el paciente. Para este caso deberá
realizarse un reporte de la cantidad, ubicación, plataforma de sistema operativo, elementos
básicos de seguridad como antivirus y antispyware, función que desempeñan tales
32
estaciones y quien tiene acceso a ellas, para los diversos tipos de estaciones con los que se
cuente.
4.2.2- Prácticas y Procedimientos
La parte de prácticas y procedimientos se realizara con el “Cuestionario de Evaluación de
Prácticas y Procedimientos de Seguridad Informática” (Anexo C). Éste consiste en una
serie de las preguntas divididas en cuatro secciones:
Medidas de Seguridad Físicas
Medidas de Seguridad Administrativas
Medidas de Seguridad Técnicas
Requerimientos de políticas, procedimientos y documentación
Cada una de estas secciones tiene a su vez apartados numerados e identificados según lo
establece el acta de la HIPPA; estos apartados se refieren a las especificaciones de la regla
de seguridad. El objetivo de las preguntas de cada sección y apartado es determinar el
grado de cumplimiento o existencia de medidas acordes a la regla de seguridad HIPPA
que se describen a detalle en la tabla de estándares de la regla de seguridad de HIPPA
(Anexo D). Este formato se llena una sola vez y se marca la respuesta “si” o “no” en cada
pregunta, además de que si es afirmativa la respuesta se debe especificar si esa medida
existe como política o procedimiento definido.
Esta propuesta busca seguir los requerimientos de la regla de seguridad HIPPA, pero se
desarrolló para poder ser aplicable a cualquier equipamiento médico y sistema de
información médica en México, del sector público o privado, ya que ciertas partes de esta
regla no son aplicables para el caso de las instituciones de salud en México. Un ejemplo es
el uso de compañías denominadas Health Care Claearinghouses que se encargan de
proporcionar servicios de comunicación y conectividad entre los diversos actores del
proceso de atención de la salud; para lo cual se especifican requerimientos en los contratos
y arreglos realizados con esta clase de empresas, y en el caso de México esta clase de
compañías no son utilizadas.
4.3) Etapa 3 ANÁLISIS Y PLANEACIÓN
Esta tercera parte busca obtener datos estadísticos cuantitativos y cualitativos del estado
que guardan los equipos y sistemas que manejan información electrónica de paciente.
A través del la información obtenida en los cuestionarios de evaluación de equipo médico:
podemos obtener información estadística clara como:
33
Distribución del tipo de información manejada (demográfica, diagnóstica y de
tratamiento)
Identificación del nivel de riesgo en áreas y equipos específicos (alto, medio, bajo)
Distribución del tipo de almacenaje de información (servidores en red, medios
magnéticos, CD’s, DVD’s)
Distribución del tipo de medio para transmitir la información (Internet, Intranet, red
alámbrica/inalámbrica)
Cantidad de equipos que cuenta con medidas de seguridad relacionadas a su uso
Cantidad de equipos físicamente resguardados en áreas y con protección eléctrica
Distribución de plataformas de software del equipo (Windows, Linux, Mac OS)
Cantidad de equipos que cuentan con medidas técnicas de protección como antivirus
y antispyware
Cantidad de equipos protegidos con accesos de ID y Password
Otros
Por otra parte, el cuestionario de prácticas y procedimientos dejará en claro con qué
medidas requeridas por la regla de seguridad HIPPA se cuenta, y de cuales hay una
carencia de políticas y procedimientos asociados. El cuestionario muestra que medidas son
requeridas y cuales son opcionales de adoptarse. Cabe mencionarse que para el caso de
aplicación en las organizaciones de salud públicas y privadas en México, algunas de estas
medidas requeridas no son aplicables en un sentido estricto, como la mencionada
anteriormente de los contratos con Health Care ClearingHouses. Por esta razón las medidas
requeridas son susceptibles de modificaciones y ajustes según la organización requiera,
siempre que estas garanticen la seguridad de la información electrónica de paciente.
Con esta información de deberá elaborar un reporte de resultados en el que se detalle la
situación con base en la estadística obtenida de los formatos de evaluación de equipo
médico, así como los resultados obtenidos del cuestionario de prácticas y procedimientos,
donde se determinen los estándares que se cumplen, la medida en que son cumplidos y un
detalle de los que no se tienen, así como cualquier observación que se considere prudente.
Este reporte será el punto de partida para la elaboración un plan de mitigación de riesgo.
A continuación se elabora un programa de mitigación de riesgos, en él se deben especificar
las acciones correctivas y preventivas para todos los puntos de vulnerabilidad encontrados
en el reporte de resultados. Éste deberá describir las acciones y pasos a seguir para las
medidas administrativas, físicas, técnicas y de documentación a implementar.
34
4.4) Etapa 4 IMPLEMENTACIÓN Y CONTROL
La última etapa de esta metodología consiste en la puesta en marcha del plan de mitigación
de riesgos. Para esto es necesario, designar tareas a los miembros del grupo de trabajo,
calendarizar y priorizar objetivos y metas, asignar recursos y determinar métodos de
control para las medidas implementadas.
Una herramienta que será de utilidad una vez que el plan de mitigación de riesgo comience
a ser implementado, serán los reportes de incidentes de seguridad (formato del Anexo E).
Con este formato se llevará registro de los incidentes relacionados a la seguridad de la
información electrónica de paciente, y su análisis brindará información de los puntos de
vulnerabilidad aún existentes.
La etapa de implementación y control debe determinar los tiempos estimados de realización
de tareas y el alcance de objetivos; futuras medidas serán implementadas o modificadas con
base en el análisis de los reportes de incidentes.
35
III) TERCERA PARTE
1.- RESULTADOS
El resultado de este trabajo en su primera parte es la aportación hecha al actual modelo del
Departamento de Ingeniería Biomédica del anterior hospital Naval Militar, ya que se hizo
una descripción detallada de sus funciones y organización con base en sus manuales de
prácticas y procedimientos y al levantamiento de información realizado en sitio con el
personal del departamento.
Se encontraron una serie de puntos no cubiertos por el actual programa como la
calendarización de mantenimientos preventivos, la participación en el proceso de
adquisiciones, la supervisión de contratos, la falta de un programa de control de equipo
médico, entre otros. La propuesta de modelo y el análisis hecho sugiere una serie medidas a
tomar para corregir los huecos existentes en el programa. Tales medidas propuestas tienen
fundamento práctico y teórico de experiencia y trabajos previos, así como modelos
operativos usados en hospitales. [15][16][17]
La segunda parte dio como resultado una metodología de aplicación general para
administrar y manjar el riesgo existente para la información electrónica de pacientes en
sistemas de información médica y equipos biomédicos.
Los resultados de implementación de esta metodología al igual que la adaptación de
modelo de Departamento de ingeniería Biomédica no son parte del alcance de este trabajo
dada la extensión de tiempo y recursos necesarios. Para el caso del Nuevo Hospital Naval
Militar, dependerá de la organización la adopción de estas recomendaciones.
2.- CONCLUSIONES
Existe una gran oportunidad de desarrollo para el departamento de ingeniería biomédica en
el Nuevo Hospital Naval Militar, el modelo propuesto trata de brindar una visión de estas
oportunidades y una idea de cómo llegar a ellas. Es vital para el desarrollo de la profesión
el tomar estos espacios y afianzar las actividades que como ingenieros biomédicos podemos
realizar, es claro que sólo a través del trabajo y la obtención de resultados positivos para la
organización de salud y para el paciente se logra el reconocimiento de la labor de los
Departamento de ingeniería Biomédica en los hospitales.
La gran cantidad de recursos tecnológicos de alto nivel con los que contará el nuevo
Hospital Naval Militar requieren de atención y administración eficiente, para garantizar la
disponibilidad y seguridad en el uso de tales recursos. En un principio el departamento será
sólo responsable del seguimiento de contratos de mantenimiento y garantías, pero deberá
contemplar y planear la transición del equipo que tendrá por completo a su cargo. La
36
consolidación de un DIB en el hospital será la clave para asegurar el aprovechamiento de
los recursos tecnológicos.
Por otro lado, resulta clara la creciente adopción de sistemas de información médica y la
integración de equipos biomédicos a estos sistemas y a las redes; con esto la necesidad de
vigilar y garantizar la seguridad de la información electrónica que ahí se maneja, dado que
se trata de información cuyo impacto puede ser decisivo en el tratamiento y atención del
paciente en la organización de salud: dicha información debe cumplir características de
disponibilidad, integridad y confidencialidad.
Existen algunas propuestas para el análisis y control del riesgo en estos sistemas, el trabajo
se basó en guías desarrolladas para cumplir la regla de seguridad HIPPA de los Estados
Unidos, sin embargo muchas de las especificaciones y requerimientos no son aplicables a
los modelos de las organizaciones de salud públicas y privadas en México, esta
metodología presenta una pauta para atender estas clase de necesidad en respuesta a las
actuales tendencias, pero primero deberá pasar por la implementación en una organización
de salud y con base en ello las modificaciones y adaptaciones que resulten prudentes
podrán realizarse a fin de perfeccionar la técnica.
Desafortunadamente el alcance del proyecto no llegó a la etapa de aplicación práctica, pero
está bien fundamentada y sigue un orden de ideas lógico; lo que sugiere la viabilidad del
método.
El campo de desarrollo de la ingeniería biomédica está creciendo ampliamente; prestar
atención a esta clase de tendencias como las tecnologías de información médicas y la
construcción de hospitales es abrir nuevos horizontes a la profesión.
37
GLOSARIO
Información Se define como aquella información adquirida, almacenada o
electrónica transmitida en forma electrónica que contenga datos a cerca
de Paciente del paciente, ya sea información relacionada a su identificación
personal o datos médicos sobre su estado de salud.
OSI Oficial de Seguridad informática
HIPAA (Health Insurance Portability and Accountability Act) Acta de
Responsabilidad y Portabilidad del Seguro Médico.
ACCE American Collage of Clinical Engennering
ECRI
Clearinghouse Es una compañía pública o privada que provee servicios de
conectividad y comunicaciones y sirve como un intermediario entre
organizaciones de salud (hospitales) y otras organizaciones como
aseguradoras, hospitales y otros proveedores para la transmisión y
traslado de solicitudes de información (básicamente de forma
electrónica) en un formato específico requerido por el que contrata el
servicio.
Log in Es el registro que se hace con un nombre de usuario y/o contraseña
para ingresar a un sistema o iniciar una sesión en él.
Password Contraseña
Estación de trabajo Computadora donde se tiene acceso a información electrónica de
paciente ya sea para consulta, modificación o adquisición de datos de
dicha información
Virus Programa autocopiado, esto es que puede violara la seguridad de un
sistema, absorbiendo recursos de este e infectando otros programas,
sectores de arranque o documentos, insertándose o adjuntándose al
archivo o medio.
Antivirus Software computacional cuya función es detectar y eliminar virus
informáticos
Antispyware Software computacional cuya función consiste en detectar y eliminar
programas espías o spywares, que son aplicaciones que recopilan
información sobre una persona u organización sin su consentimiento.
38
BIBLIOGRAFÍA
[1] Stephen L. Grimes, Future of Clinical Engineering, FACCE SHIMSS, March 11,
2005
[2] Stephen L. Grimes, Convergence of Clinical Engineering and Information
Technology
[3] Portal de internet de la Secretaría de Salud. Dirección General de Información en
Salud. Criterios del capítulo de estructura para la certificación de establecimientos
de atención médica en: http://www.salud.gob.mx/csg/progr_cert2.htm Fecha de
consulta 01/Nov/2007
[4] Portal de internet de la Healthcare Information and Management Systems Society
http://www.himss.org/ASP/index.asp Fecha de consulta 16/Nov/2007
[5] Daniel P. Lorence and Richard Churchill. Clinical Knowledge Management Using
Computerized Patient Record Systems: Is the Current Infrastructure Adequate?
IEEE Transactions on Information Technology in Biomedicine, Vol. 9, no. 2, June
2005
[6] Daniel P. Lorence and Richard Churchill. Incremental Adoption of Information
Security in Health-Care Organizations: Implications for Document Management.
IEEE Transactions on Information Technology in Biomedicine, Vol. 9, no. 2, June
2005
[7] Stephen L. Grimes, Overview of Medical Devices and HIPAA Security Compliance
Technology in Medicine Conference on Medical Device Security. American
College of Clinical Engineering (ACCE). March, 2005
[8] Stephen L. Grimes, Is Your Security Back Door Open? HIPAA’s Implications for
Biomedical Devices & Systems. Healthcare Information and Management Systems
Society (HIMSS). February 2003
[9] Stephen L. Grimes, Convergence of Clinical Engineering and Information
Technology. FACCE SHIMSS, August 24, 2006
[10] Portal de internet de la Information Technology Association of America (ITAA)
http:// www.itaa.org Fecha de consulta 16/Nov/2007
[11] Information Security for Biomedical Technology, A HIPPA Compliance Guide,
American Collage of Clinical Engennering (ACCE) & ECRI Institute, Version 1.0,
2004
[12] Healthcare Information Security: The Threats and the Safeguards and How to
Manage Them, Health Devices, ECRI. 2001 Jan-Feb;30(1-2):31-48
[13] HIPAA Security Implementation, SANS Institute, Version 1.0, 2003
[14] Manual de Organización del Departamento de Mantenimiento de Equipo Médico,
Secretaria de Marina Dirección General Adjunta de Sanidad Naval Centro Médico
Naval, Mayo de 2005
[15] Programa de Control de Equipo Médico en el INCan, Marco Antonio González
Rivera, Sandra Rocha Nava, Fabiola Martínez Licona, México D.F.,
[16] Manual de Políticas y Procedimientos para un Departamento de Ingeniería
Biomédica, Beatriz Hernández Bermúdez, Claudia Cárdenas Alanis, Rocío Ortiz
Pedroza, México D.F., Junio 1998
[17] Restructuración de un Departamento de Ingeniería Biomédica, Susana Borja García,
Teófila Cadena Alfaro, México D.F. 2005
39
[18] Portal de internet de la International Medical Informatics Association (IMIA)
http:// www.imia.org Fecha de consulta 16/Dic/2007
40
ANEXO (A)
FORMATO DE EVALUACIÓN DE RIESGO INOFRMÁTICO EN EQUIPO BIOMÉDICO
Instrucciones.- Complete el siguiente formulario
Equipo : No serie: Folio:
Marca: Modelo: No inventario:
Ubicación:
Información del proveedor
Nombre: Puesto:
Compañía Depto.:
Teléfono: Ext. e-mail:
1.- ¿Es el equipo capaz de adquirir, mantener y transmitir
información electrónica de paciente?............................................... Si No
2.- Seleccione los tipos de elementos de información que maneja
Información demográfica, identificación de paciente (Nombre, edad, domicilio…)
Información diagnóstica de paciente (Imágenes, video, resultados de laboratorio clínico,
banco de sangre)
Información relacionada al tratamiento del paciente (Prescripciones médicas,
Procedimientos programados, Cirugías…)
Otros _________________________________________
3.- Seleccione la fuente o forma en la que la información es adquirida/generada
Teclado
Voz
El equipo genera la información
Otros__________________________________________
4.- ¿Es el equipo capaz de mantener información electrónica?................... Si No
Seleccione la forma o medio de almacenamiento
Disco duro
Servidor en Red Disco óptico (CD, DVD,…)
5.- ¿Es el equipo capaz de transmitir información electrónica?.................. Si No
Selecciona le forma o medio de transmisión
Disco óptico (CD, DVD,…) Memoria, disco portátil
Línea telefónica
Red alámbrica/inalámbrica (LAN, WAN, VPN, Intranet, Internet)
6.- ¿A dónde se envía la información?
Pantalla (display) Impresoras
Dispositivo/Medio de almacenamiento Estaciones de trabajo (PC)
Red alámbrica/inalámbrica (LAN, WAN, VPN, Intranet, Internet)
7.- ¿Quién tiene acceso a la información manejada en este equipo? (especifique el tipo)
Staff medico Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________
Enfermeras Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________
Staff administrativo Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________
Staff Depto. Informática Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________
Staff Depto. Biomédica Inf_Demográfica ___ Dx ___ Tx ___ Otros____________________
41
9.- Medidas de seguridad administrativas
¿Existen políticas/procedimientos asociadas a este equipo que
cubran uso apropiado y autorización de uso?
¿Está el staff de usuarios y servicio consiente y capacitado sobre
los riesgos de seguridad de la información asociados a este
equipo?
Si No NA
10.- Medidas de seguridad físicas
¿Está el equipo y componentes seguros físicamente, o
guardados en una ubicación segura, accesible sólo a personal
autorizado?
¿Cuando se transmite o intercambia información con otros
dispositivos a través de la red (alámbrica/inalámbrica), ésta se
transmite por un cable o medios seguros (no hay acceso
intermedio posible)?
¿El equipo cuenta con protección de alimentación de energía en
caso de interrupción de suministro eléctrico (UPS, No-break,
conexión a planta de emergencia)?
Si No NA
11.- Medidas técnicas de seguridad
El equipo está basado en
Windows Mac Linux Otro______________
¿El equipo cuenta con algún sistema antivirus, de detección de
intrusos o protección de software malicioso?
¿Las definiciones de estos programas son actualizadas
regularmente?
¿Cuando se transmite información a la red
(alámbrica/inalámbrica), ésta se transmite de forma encriptada?
¿Se puede accesar a la información del equipo en forma remota?
Para accesar a la información del equipo se requiere
ID y password único
Medio biométrico ________________________________
Otro ___________________________________________
Si No NA
12.- Calificación de riesgo asociado al tipo de información (RI) que maneja
el equipo (sí es más de un tipo de información, poner el de valor mas alto)
Información Demográfica = 1 Diagnóstica = 2 Tratamiento = 3
13.- Calificación de riesgo asociado al tipo de equipo médico (RE)
Valoración y diagnóstico simple = 1
Diagnóstico especializado y monitoreo = 2
Tratamiento y soporte de vida = 3
14.- Nivel de riesgo asociado (NR)
NR = RI x RE
42
ANEXO (B)
TABLAS PARA DETERMINACIÓN DE NIVEL DE RIESGO EN LA INFORMACIÓN
Tipo de información comprometida
Riesgo asociado a la
información
Calificación del Riesgo
por el tipo de información
manejada (RI)
Tratamiento
Alto 3
Diagnóstico
Medio
2
Datos demográficos
Identificación de paciente
Bajo
1
Tabla 1.- Tabla de calificación del riesgo asociado al tipo de información
Tabla 2.- Tabla de calificación del riesgo asociado al tipo de equipo médico
Nivel de riesgo en la información (NR)
NR = RI x RE
Tipo de Equipo Médico Riesgo asociado al tipo
de equipo médico
Calificación de Riesgo por
el tipo de equipo médico
(RE)
Tratamiento y Soporte de Vida
(Ventiladores, Equipos de anestesia, …)
Alta
3
Equipos especializados
de diagnóstico y monitoreo
(Equipos de imagenología, monitoreo de
signos vitales…)
Media
2
Equipos de valoración y diagnóstico
(ECG, EEG,…)
Baja
1
43
ANEXO (C)
CUESTIONARIO DE EVALUACIÓN DE PRÁCTICAS Y PROCEDIMIENTOS DE SEGURIDAD INFORMÁTICA
I. MEDIDAS DE SEGURIDAD ADMINISTRATIVAS (Sección 164.308 de la regla de seguridad HIPPA)
Req
uer
ido (
R)
Opci
onal
(O
)
Si
No
Pro
cedim
iento
s
Polí
tica
s
A.- Proceso de gestión de seguridad 164.308(a)(1)(i) R
Análisis de riesgo 164.308(a)(1)(ii)(A) R
1.- ¿Se ha realizado el inventario del equipo biomédico, dispositivos y sistemas capaces de adquirir, mantener y
transmitir información electrónica de paciente?
2.- ¿Para cada uno de estos equipos se tiene la descripción del tipo de información que manejan?
3.- Para cada equipo se ha determinado el grado de riesgo asociado al tipo de información manejada
4.- Para cada equipo se ha determinado el grado de riesgo asociado al tipo de equipo médico
5.- Se cuenta con la documentación técnica de cada equipo del inventario para determinar las características del manejo
de la Información electrónica de paciente
6.- Se cuenta con la documentación de las medidas de seguridad técnicas, físicas y administrativas existentes para la
Información Electrónica de Paciente en el equipo biomédico
Observaciones:
Administración de riesgo 164.308(a)(1)(ii)(B) R
7.- ¿Existe un plan de manejo de riesgo que incluya la implementación de medidas de seguridad para dispositivos
médicos?
8.- ¿Se tomaron en cuenta la infraestructura técnica de hardware y software de seguridad en la planeación y adopción
de medidas de seguridad?
9.- ¿Se consideró el costo económico, humano y de recursos en la planeación y adopción de medidas de seguridad?
44
10.- ¿Se consideró el tamaño, objetivos, complejidad y capacidades de la organización para la planeación y adopción de
medidas de seguridad?
11.- ¿Se consideró el grado de riesgo asociado a la información electrónica de paciente en la planeación, adopción y
determinación de prioridades de medidas de seguridad?
12.-¿La funcionalidad y efectividad de las medidas de seguridad son revisadas con periodicidad con base en reportes de
incidentes u otro medio?
13.- ¿Existen revisiones de auditores externos?
Observaciones:
Política de sanciones 164.308(a)(1)(ii)(C) R
14.- ¿Existen sanciones definidas para los miembros de la organización por el incumplimiento o violación de las
medidas de seguridad?
15.- ¿Se cuenta con la documentación que verifique la aplicación de sanciones?
Observaciones:
Revisión de la actividad de los sistemas de información 164.308(a)(1)(ii)(D) R
16.- ¿Se cuenta con reportes y documentación de la actividad y operación de los sistemas y equipos biomédicos que
manejan información electrónica de paciente (reportes de incidentes, mantenimientos, accesos), y estos son revisados
periódicamente para determinar problemas de seguridad?
Observaciones:
B.- Asignación de responsabilidades de seguridad 164.308(a)(2)(i) R
17.- ¿Se ha nombrado un Oficial de Seguridad Informática, o un responsable del manejo y administración de riesgos en
la información electrónica de paciente?
18.- ¿El oficial de seguridad es el responsable de la administración y supervisión de riesgos asociados a la información
electrónica de paciente?
45
Observaciones:
C.- Equipo de trabajo de seguridad 164.308(a)(3)(i)
Autorización y/o supervisión 164.308(a)(3)(ii)(A) O
19.- ¿Existe un proceso para conceder acceso al personal de la organización a los sistemas que manejan Información
electrónica de Paciente, incluidos equipos biomédicos?
20.- ¿Existe un control y supervisión del personal que tiene acceso a la Información Electrónica de Paciente?
21.- ¿Existe una definición clara de los privilegios de acceso y manejo de la Información Electrónica de Paciente para
cada tipo de personal con base en su actividad?
Observaciones:
Procedimiento de autorización de acceso a miembros del grupo de trabajo 164.308(a)(3)(ii)(B) O
22.- ¿El acceso a la información, sistemas y equipos es concedido con base en la una necesidad demostrable?
23.- ¿Se cuentan con medidas preventivas que eviten el acceso inapropiado a la Información Electrónica de Paciente
por parte del personal?
Observaciones:
Procedimientos de terminación de acceso 164.308 (a)(3)(ii)(C) O
25.- ¿Cuando un empleado con acceso a Información Electrónica de Paciente termina su labor en la organización sus
privilegios de acceso son cancelados?
26.- ¿Existe un procedimiento para el cambio de atribuciones/derechos de acceso a la Información Electrónica de
Paciente cuando el roll de un empleado dentro de la organización cambia?
27.- ¿Existe un procedimiento para garantizar la cancelación del acceso físico a sistemas y equipos una vez que un
empleado termina su labor o cambia de roll en la organización?
Observaciones:
46
D.- Administración del acceso a la información 164.308(a)(4)(i)
Autorización de acceso 164.308(a)(4)(ii)(B) O
28.- ¿Existe un procedimiento para garantizar el acceso a la información por los miembros autorizados de la
organización en sistemas y equipos biomédicos?
Observaciones:
Establecimiento y Modificación de Acceso 164.308(a)(4)(ii)(C) O
29.- ¿Existe documentación que lleve cuenta de las modificaciones de privilegios y permisos de acceso de cada
usuario que tiene acceso a la Información Electrónica de Paciente?
Observaciones:
E.- Conciencia de Seguridad y Capacitación 164.308(a)(5)(i)
Recordatorios de seguridad 164.308(a)(5)(ii)(A) O
30.- ¿Los miembros del grupo de trabajo de la organización reciben capacitación inicial y periódica sobre las políticas y
procedimientos de seguridad concernientes a la Información Electrónica de Paciente, así como de las responsabilidades
de seguridad a su cargo?
Observaciones:
Protección de software malicioso 164.308(a)(5)(ii)(B) O
31.- ¿Están identificados los equipos biomédicos susceptibles a software malicioso (basado en plataformas de sistemas
operativos como Windows, etc.)?
32.- ¿Existen medidas de seguridad que protejan el equipo biomédico vulnerable de esta amenaza (antispyware)?
33.- ¿Los medios y medidas de seguridad aplicados para proteger los equipos de software malicioso son revisados y
probados con regularidad?
Observaciones:
47
Monitoreo de inicio de sesión 164.308(a)(5)(ii)(C) O
33.- ¿Los sistemas y equipos tiene la capacidad de monitorear y registrar el acceso de los usuarios?
34.- ¿Se cuenta con software para monitorear el acceso de usuarios a los sistemas de información médica (HIS, RIS,
PACS) en computadoras o estaciones de trabajo?
Observaciones:
Administración de contraseñas 164.308(a)(5)(ii)(D) O
35. ¿Han sido identificados los sistemas y equipos biomédicos con capacidad de controlar el acceso a través de
passwords/contraseñas? ¿Es usada tal capacidad?
36. ¿Se ha establecido un procedimiento de administración para estas claves de acceso?
Observaciones:
F.- Procedimientos para incidentes de seguridad 164.308(a)(6)(i)
Reportes y respuesta 164.308(a)(6)(ii) R
37.- ¿Existe un procedimiento para reportar incidentes de seguridad en equipos biomédicos y sistemas que manejan
información electrónica de paciente?
38.- ¿Existe la política de reportar cualquier incidente de seguridad relacionado a equipo biomédico y sistemas que
manejan información electrónica de paciente?
39.- ¿Son dichos reportes revisados periódicamente a fin de implementar medidas para corregir tales incidentes?
Observaciones:
G.- Plan de contingencia 164.308(a)(7)(i)
Plan de respaldo de información 164.308(a)(7)(ii)(A) R
40.- ¿Existe un plan para el respaldo de información contenida en los sistemas y equipos biomédicos que manejan
48
información electrónica de paciente?
41.- ¿Los respaldos de información son hechos de forma periódica con base en las necesidades del servicio y equipo?
42.- ¿Los respaldos de información son debidamente identificados y resguardados en lugares seguros?
43.- ¿Existe un procedimiento para disponer de la información y medios en los que se respalda, una vez que ya no son
útiles?
Observaciones:
Plan de recuperación en caso de desastre 164.308(a)(7)(ii)(B) R
44.- ¿Los equipos cuentan con la posibilidad de restaurar información después de un desastre o problema?
45.- ¿Existe un procedimiento formal para la restauración de información en equipos y sistemas, después de un
incidente?
Observaciones:
Plan de operación en modo de emergencia 164.308(a)(7)(ii)(C) R
46.- ¿Se han identificado los equipos y sistemas cuyo funcionamiento es crítico en caso de una contingencia?
47.- ¿Existe un plan que garantice la disponibilidad de la información electrónica de paciente en caso de una
contingencia?
48.- ¿Existe protección contra la falla de energía en los equipos que mantienen información electrónica de paciente?
Observaciones:
Procedimientos de revisión y prueba 164.308(a)(7)(ii)(D) O
49.- ¿Se realizan revisiones continuas a los planes de emergencia?
Observaciones:
49
Usos y análisis crítico de información 164.308(a)(7)(ii)(E) O
50.- ¿La información crítica manejada en los equipos biomédicos y sistemas ha sido valorada para desarrollar los
planes de emergencia?
Observaciones:
H.- Evaluación 164.308(a)(8)(i) R
51.- ¿Se realizan evaluaciones periódicas para evaluar y determinar el grado de cumplimiento de las medidas
establecidas por la regla de seguridad de HIPPA?
Observaciones:
II. MEDIDAS DE SEGURIDAD FÍSICAS (Sección 164.310 de la regla de seguridad HIPPA)
Req
uer
ido (
R)
Op
cion
al
(O)
Si
No
Pro
cedim
iento
s
Polí
tica
s
A.- Control de acceso a instalaciones 164.310(a)(1)
Operaciones de contingencia 164.310(a)(2)(i) O
52.- ¿Existen procedimientos definidos para accesar a respaldos de información y equipos biomédicos en caso de
desastre o emergencia?
Observaciones:
Plan de seguridad de instalaciones y equipo 164.310(a)(2)(ii) O
53.- ¿Se han identificado las vulnerabilidades físicas asociadas a los equipos biomédicos y sistemas que manejan
información electrónica de paciente?
54.- ¿Se han tomado medidas de seguridad para la protección física de estos equipos?
50
Observaciones:
Controles de acceso y validación de procedimientos 164.310(a)(2)(iii) O
55.- ¿Se cuenta con un procedimiento para conceder y validar el acceso del personal a equipos y sistemas que manejan
información electrónica de paciente con base en su labor en la organización?
Observaciones:
Documentación de mantenimientos 164.310(a)(2)(iv) O
56.- ¿Los mantenimientos y modificaciones hechas a los equipos biomédicos y sistemas que manejan información
electrónica de paciente son debidamente documentados?
Observaciones:
B.- Uso de estaciones de trabajo 164.310(b) R
57.- ¿Se han identificado todas las estaciones de trabajo que manejan información electrónica de paciente?
58.- ¿Existen políticas y procedimientos para las estaciones de trabajo referentes a la seguridad en su uso?
Observaciones:
C.- Seguridad de las estaciones de trabajo 164.310(c) R
59.- ¿Los equipos biomédicos y sistemas que manejan información electrónica de paciente se encuentran físicamente
seguros a modo de restringir el acceso a ellos solo al personal autorizado?
Observaciones:
D.- Controles de dispositivos y medios 164.310(d)(1)
51
Disposición final 164.310 (d)(2)(ii) R
60.- ¿Han sido identificados los equipos biomédicos y sistemas que requieran liberación periódica de la información
que contienen?
61.- ¿Existen procedimientos, políticas y criterios para la disposición final de información electrónica de paciente en
equipo biomédico y sistemas que manejen información electrónica de paciente?
62.- ¿Existe la documentación apropiada que especifique las causas y formas de disponer de la información?
Observaciones:
Re-uso de medios 164.310(2)(d)(ii) R
63.- ¿Existen procedimientos específicos para la reutilización de medios de almacenaje de información?
Observaciones:
Responsabilidad 164.310(d)(2)(iii) O
64.- ¿Se tiene establecido una persona responsable en cada área o departamento de los equipos que manejan
información electrónica de paciente?
65.- ¿Cuando algún equipo se cambia de ubicación; se documenta el movimiento y se hace el respectivo cambio de
resguardo (persona responsable)?
Observaciones:
Respaldo de información y almacenaje 164.310(d)(2)(iv) O
66.- ¿Cuándo un equipo/sistema que maneja información electrónica de paciente es reubicado se realiza un respaldo de
información antes del movimiento?
Observaciones:
52
III. MEDIDAS DE SEGURIDAD TÉCNICAS (Sección 164.312 de la regla de seguridad HIPPA)
Req
uer
ido (
R)
Op
cion
al
(O)
Si
No
Pro
cedim
iento
s
Polí
tica
s
A.- Controles de acceso 164.312(a)(1)
Identificación única de usuarios 164.312(a)(2)(i) R
67.- ¿Cada usuario con acceso a información electrónica de paciente en equipo biomédico y sistemas es identificado
con un numero o nombre único de usuario?
Observaciones:
Procedimiento de acceso de emergencia 164.312(a)(2)(ii) R
68. ¿Se cuentan con los mecanismos y provisiones necesarias para accesar a la información en caso de emergencia?
Observaciones:
Cierre de sesión automático 164.312(a)(2)(iii) O
69.- ¿Para los equipos médicos y sistemas que manejan información electrónica de paciente y que cuentan con sistemas
de cierre de sesión automático, se hace uso de esta función?
Observaciones:
Encriptación y decodificación 164.312(a)(2)(iv) O
70.- ¿Se han identificado los equipos y sistemas capaces de transmitir la información electrónica de paciente en forma
encriptada? ¿Ésta herramienta es utilizada?
Observaciones:
53
B.- Controles de auditoria 164.312(b) R
71.- ¿Existe un procedimiento de control o auditoria para los sistemas y equipos que manejan información electrónica
de paciente?
Observaciones:
C.- Integridad 164.312(c)(1)
Mecanismos de autentificación de información electrónica de paciente 164.312(c)(2)(i) O
72.- ¿Existen mecanismos para la prevención de alteración de información electrónica en equipos y sistemas por
artefactos de comunicaciones inalámbricas, bluethoot, celulares, etc.?
Observaciones.
D.- Autentificación de personas u organizaciones 164.312(d) R
73.- ¿Existen medidas de seguridad para autentificar que quien solicita acceso a la información electrónica de
paciente es en efecto esa persona?
Observaciones:
E.- Seguridad en la transmisión 164.312(e)(1)
Controles de integridad164.312(e)(2)(i) O
74.- ¿Existen mecanismos para asegurar que en el proceso de transmisión de información electrónica de paciente, ésta
es transmitida de forma íntegra?
Observaciones:
Encriptación 164.312(e)(2)(ii) O
75.- ¿Se han determinado las circunstancias en las que la información debe de ser encriptada y los medios para hacerlo
54
en los equipos médicos y sistemas que manejan información electrónica de paciente?
Observaciones:
IV. REQUERIMIENTOS EN POLÍTICAS, PROCEDIMIENTOS Y DOCUMENTACIÓN
(Sección 164.316 de la regla de seguridad HIPPA)
Req
uer
ido (
R)
Op
cion
al
(O)
Si
No
Pro
cedim
iento
s
Polí
tica
s
A.- Políticas y procedimientos 164.316(a) R
76.- ¿Existen políticas y procedimientos establecidos para garantizar la seguridad de la información manejada en
equipos médicos y sistemas que manejan información electrónica de paciente basados en: los objetivos, tamaño y
capacidades de la organización, la infraestructura técnica de hardware y software de la misma, así como el costo
humano y material de las medidas de seguridad implementadas para garantizar la integridad, disponibilidad y
confidencialidad de la información electrónica de paciente?
Observaciones:
B.- Documentación 164.316(b)(1)
Tiempo Límite 164.316(b)(2)(i) R
77.- ¿La información relacionada a la seguridad de la información electrónica de paciente como prácticas y
procedimientos es resguardada un mínimo de seis años a partir de su creación?
Observaciones:
Disponibilidad 164.316(b)(2)(ii) R
78.- ¿La documentación asociada a la seguridad electrónica de paciente está disponible para aquellos responsables de
55
mantener e implementar las medidas de seguridad, así como para los miembros de la organización que lo requieran?
Observaciones:
Actualizaciones 164.316(b)(2)(iii) R
79.- ¿La documentación relacionada con las políticas y procedimientos de seguridad es revisada de forma periódica
para implementar medidas acordes a los cambios y situaciones actuales de la organización?
Observaciones:
V. NOTAS Y OBSERVACIONES ADICIONALES
Fecha de realización______________________________________________
Responsable de la aplicación del cuestionario__________________________________________
56
ANEXO (D)
TABLA DE ESTÁNDARES DE LA REGLA DE SEGURIDAD DE HIPAA
MEDIDAS ADMINISTRATIVAS
Sección
Estándares
Especificaciones de
implementación
R -
R
equ
erid
o
O -
Op
cio
na
l
Po
líti
ca
Pro
ced
imie
nto
164.308(a)(1) (i) Proceso de Gestión de
seguridad
Implementar medidas de seguridad para
prevenir, detectar, contener y corregir
violaciones de seguridad
(ii)(A) Análisis de
Riesgo
Realizar una evaluación minuciosa y
acertada de los riesgos potenciales y
vulnerabilidades a la confidencialidad,
integridad y disponibilidad de la
Información Electrónica Protegida de
Paciente en manos de la organización
R
(ii)(B) Administración
de Riesgo
Implementar medidas de seguridad
suficientes para reducir riesgos y
vulnerabilidades a un nivel razonable y
apropiado par cumplir con la sección
164.306(a)
R
(ii)(C) Política de
Sanciones
Aplicar sanciones apropiadas a los
miembros del grupo de trabajo que
incurran en el incumplimiento de las
políticas y procedimientos de seguridad
que establezca la organización
R
X
X
(ii)(D) Revisión de la
actividad de los
Sistemas de
Información
Implementar procedimientos para revisar
con regularidad los informes de actividad
del sistema, como reportes de acceso, de
seguimiento de incidentes de seguridad y
registros de auditorias
R
X
164.308(a)(2) (i) Asignación de
Responsabilidad de
Seguridad
Asignar un responsable de seguridad
(Oficial de seguridad), que sea
responsable del desarrollo e
implementación de las políticas y
procedimientos requeridos
R
X
X
57
164.308(a)(3) (i) Equipo de trabajo de
Seguridad
Implementar políticas y procedimientos
para segurar que todos los miembros del
grupo de trabajo tengan el acceso
apropiado a la Información Electrónica
Protegida de Paciente, y para prevenir el
acceso de miembros que no tengan
acceso bajo lo descrito en el párrafo
(a)(4) de esta sección
(ii)(A) Autorización y/o
Supervisión
Implemente procedimientos para la
autorización y/o supervisión de los
miembros del grupo de trabajo que
trabajan con Información Electrónica
Protegida de Paciente o en las locaciones
donde ésta pueda ser accesada
O
X
(ii)(B) Procedimiento
de autorización de
acceso a miembros del
grupo de trabajo
Implementar procedimientos para
determinar que el acceso por parte de los
miembros del grupo de trabajo a la
Información Electrónica Protegida de
Paciente sea apropiada
O
X
(ii)(C) Procedimientos
de Terminación de
acceso
Implementar procedimientos para la
cancelación del acceso cuando un
miembro del grupo de trabajo finaliza su
trabajo en la organización o las requeridas
por las determinaciones especificadas en
el párrafo (a)(3)(ii)(B)
O
X
164.308(a)(4) (i) Administración del
Acceso a la Información
Implementar políticas y procedimientos
para la autorización del acceso a la
Información Electrónica Protegida de
Paciente que sean consistentes con los
requerimientos aplicables de la subparte
E de esta parte
(ii)(A) Aislamiento de
las funciones de la
organización que actúa
como “clearinghouse”
Si la organización que actúa como
“clearinghouse” es parte de una
organización mas grande, la que actúa
como “clearinghouse” debe implementar
políticas y procedimientos que protejan la
Información Electrónica Protegida de
Paciente de acceso no autorizado de la
organización mayor
R
X
X
(ii)(B) Autorización de
acceso
Implementar políticas y procedimientos
para conceder acceso a la Información
Electrónica Protegida de Paciente; por
ejemplo, a través de una estación de
trabajo, transacciones, programas,
procesos u otros mecanismos.
O
X
X
(ii)(C) Establecimiento
y Modificación de
Acceso
Implementar políticas y procedimientos
que basados en las políticas de
autorización de acceso de la organización,
establezcan, documenten, revisen y
modifiquen derechos de acceso de
usuarios a estaciones de trabajo,
transacciones, programas o procesos
O
X
X
58
164.308(a)(5) (i) Conciencia de Seguridad
y Capacitación
Implementar un programa de
concientización y capacitación en
materia de seguridad para todos los
miembros de la fuerza de trabajo
(ii)(A) Recordatorios de
Seguridad
Realizar actualizaciones de seguridad
periódicas
O
(ii)(B) Protección
contra Software
Malicioso
Procedimientos de protección, detección
y reporte de software malicioso
O
X
(ii)(C) Monitoreo de
inicio de sesión
Procedimientos para monitorizar el
acceso al sistema (log-in) y reportar
discrepancias
O
X
(ii)(D)Administración
de Passwords
Procedimientos para crear, cambiar, y
guardar claves de acceso (password)
O X
164.308(a)(6) (i) Procedimientos para
Incidentes de Seguridad
Implementar políticas y procedimientos
de contingencia en caso de incidentes de
seguridad
(ii) Respuesta y
Reportes
Identificar y responder a incidentes
sospechosos o conocidos de seguridad;
mitigar, al grado de practica, efectos
dañinos de los incidentes de seguridad
conocidos por la organización, y la
documentación de los mismos y sus
resultados
R
X
X
164.308(a)(7) (i) Plan de Contingencia
Establecer políticas y procedimientos
para responder a una emergencia u otro
suceso (incendio, fallo del sistema,
desastre natural) que pueda dañar los
sistemas que contengan Información
Electrónica Protegida de Paciente
(ii)(A) Plan de respaldo
de información
Establecer e implementar procedimientos
para crear y mantener copias exactas y
recuperables de la Información
Electrónica Protegida de Paciente
R
X
(ii)(B) Plan de
recuperación en caso de
Desastre
Establecer procedimientos (implementar
según sea necesario) para restaurar
cualquier información perdida
R
X
(ii)(C) Plan de
Operación en modo de
Emergencia
Establecer procedimientos (implementar
según sea necesario) para asegurar la
continuidad de procesos críticos para la
protección de la Información Electrónica
Protegida de Paciente mientras se opera
en modo de emergencia.
R
X
(ii)(D) Procedimientos
de Revisión y prueba
Implementar procedimientos para pruebas
periódicas y revisión de los planes de
contingencia
O
X
(ii)(E) Usos y análisis
crítico de información
Evaluar el grado de importancia crítica
de aplicaciones, procesos e información
específica en el soporte de los planes de
contingencia
O
59
164.308(a)(8) (i)Evaluación Realizar una evaluación periódica técnica
y no técnica, basada inicialmente en los
estándares implementados por esta regla
y subsecuentemente en respuesta a los
cambios operacionales y ambientales que
afecten la seguridad de la Información
Electrónica Protegida de Paciente que
establece el alcance en el que las
políticas y procedimientos de seguridad
de la organización cumplan con esta
subparte de la regla.
R
X
X
164.308(b) (1) Contratos de asociación
y otros arreglos
En concordancia con lo establecido en la
sección 164.306, la organización podrá
asociarse con otras organizaciones para
crear, mantener o transmitir Información
Electrónica Protegida a nombre de la
organización sólo si dichas
organizaciones cumplen las garantías que
concuerden con la sección 164.314(a)
para salvaguardar apropiadamente la
información.
(2) Éste estándar no aplica en respecto a:
(i) La transmisión de información de
la organización a un proveedor de
servicios de salud concerniente al
tratamiento de un individuo
(ii) La transmisión de Información
Electrónica Protegida de Paciente por
Grupos de planes de salud o
Aseguradoras en nombre de otro grupo a
Patrocinadores de planes de salud, hasta
le punto que establece los requerimientos
de las secciones 164.314(b) y 164.504(f)
(iii) La transmisión de Información
Electrónica Protegida de Paciente de/ó
para otras agencias proveedoras de
servicios establecidos en la sección
164.502 (e)(1)(ii)(C), cuando la
organización es pública, si los
(4) Contratos escritos y
otros arreglos
Documentar de forma apropiada las
garantías requeridas en el párrafo (b)(1)
de esta sección a través de contratos
escritos u otro convenios con la
organización asociada que cumpla con los
requerimientos aquí establecidos.
R
60
requerimientos de la sección
164.502(e)(1)(ii)(C) se cumplen.
(3) La organización asociada que viole
el cumplimiento satisfactorio de lo
establecido, no estará en regla con los
estándares, especificaciones de
implementación y requerimientos de este
párrafo y la sección 164.314(a)
MEDIDAS FÍSICAS
Secciones Estándares Especificaciones de
implementación
R -
R
equ
erid
o
O -
Op
cio
na
l
Po
líti
ca
Pro
ced
imie
nt
o
164.310(a)
(1) Control de Acceso a
instalaciones
Implementar políticas y procedimientos
para limitar el acceso físico a los
sistemas de información electrónica y a
las áreas(s) donde están resguardados,
mientras se asegure que el acceso
debidamente autorizado este permitido
(2)(i) Operaciones de
Contingencia
Establecer (e implementar según se
requiera) procedimientos que permitan el
acceso físico ( instalaciones) a los medios
de soporte de restauración de información
perdida bajo el plan de recuperación en
desastre y el modo de operación de
emergencia en caso de una contingencia
O
X
(2)(ii) Plan de
seguridad de
instalaciones y equipo
Implementar políticas y procedimientos
para salvaguardar instalaciones y equipos
de acceso físico no autorizado y robo
O
X
X
(2)(iii) Controles de
acceso y Validación de
Procedimientos
Implementar procedimientos para
controlar y validar el acceso de personal a
las instalaciones y equipo basado en su
función en la organización, incluyendo
control de acceso a software y programas
para revisión y prueba
O
X
(2)(iv) Documentación
de Mantenimientos
Implementar políticas y procedimientos
para la documentación de reparaciones y
mantenimientos a los componentes físicos
de instalaciones y equipos relacionados a
la seguridad de la información.
O
X
X
61
164.310(b)
Uso de estaciones de trabajo
Implementar políticas y procedimientos
que especifiquen las funciones propias a
desempeñarse, la manera en que dichas
funciones deberán realizarse y los
atributos físicos del ambiente de cada
tipo específico de estación de trabajo en
la que se tenga acceso a Información
Electrónica Protegida de Paciente
R
X
X
164.310(c) Seguridad de las estaciones
de trabajo
Implementar medidas físicas de
seguridad para el acceso a las estaciones
de trabajo que manejen información
electrónica protegida para restringir el
acceso solo a usuarios autorizados
R
164.310(d) (1) Controles de
Dispositivos y Medios
Implementar políticas y procedimientos
que regulen la recepción y retiro de
hardware y dispositivos que contengan
información electrónica protegida, hacia
adentro y afuera de la organización, así
como movimientos dentro de las
instalaciones.
(2)(i) Disposición final
Implementar políticas y procedimientos
para determinar el uso final de la
información electrónica protegida y el
hardware o medios electrónicos en que se
almacena.
R
X
X
(2)(ii) Re-uso de
Medios
Implementar procedimientos para el retiro
de información electrónica protegida de
los medios electrónicos antes de su re-uso
R
X
(2)(iii) Responsabilidad
Mantener un registro de los movimientos
de hardware y medios electrónicos y de
cualquier persona responsable de estos
O
(2)(iv) Respaldo y
almacenaje de
información
Crear una copia recuperable y exacta de
la información electrónica protegida,
cuando se necesite, antes del movimiento
de algún equipo.
O
62
MEDIDAS TÉCNICAS
Secciones
Estándares
Especificaciones de
implementación
R -
R
equ
erid
o
O -
Op
cio
na
l
Po
líti
ca
Pro
ced
imie
nt
o
164.312(a) (1) Control de Acceso
Implementar políticas y procedimientos
técnicos para los sistemas que mantiene
información electrónica protegida para
permitir el acceso a sólo a aquellas
personas o programas de software que
tengan derechos de acceso especificados
en 164.308(a)(4)
(2)(i) Identificación de
usuario única
Asignar un nombre y/o numero de
identificación único para cada usuario
R
(2)(ii) Procedimiento de
Acceso de Emergencia
Establecer (implementar según se
requiera) procedimientos para la
obtención de información electrónica
protegida necesaria durante una
emergencia
R
X
(2)(iii) Cierre de sesión
automático
Implementar procedimientos electrónicos
que cierren una sesión electrónica
después de determinado tiempo de
inactividad.
O
X
(2)(iv) Encriptación y
decodificación
Implementar un mecanismo para la
encriptación y decodificación de
Información Electrónica Protegida de
Paciente
O
164.312(b)
Controles de Auditoria Implementar hardware, software y/o
mecanismos de procedimientos que
registren y examinen la actividad en los
sistemas que contengan o manejen
Información Electrónica Protegida de
paciente
R
X
164.312(c)
(1) Integridad Implementar políticas y procedimientos
para proteger la Información Electrónica
Protegida de Paciente de alteraciones o
destrucción
(2)(i) Mecanismos de
Autentificación de
Información
Electrónica Protegida
de Paciente
Implementar mecanismos electrónicos
para corroborar que la información
electrónica protegida no sea alterada o
destruida de forma no autorizada
O
X
X
164.312(d)
Autentificación de Personas
u organizaciones
Implementar procedimientos para
verificar que una persona que busque
acceder a información electrónica
protegida es quien la solicite
R
X
63
164.312(e)(1) (1) Seguridad en la
transmisión
Implementar medidas técnicas de
seguridad para prevenir accesos no
autorizados a l información electrónica
protegida que se transmite en una red de
comunicaciones
(2)(i)Controles de
Integridad
Implementar medidas de seguridad para
asegurar que la información electrónica
protegida transmitida no sea modificada
de manera impropia
O
(2)(ii)Encriptación Implementar mecanismos para encriptar
información electrónica protegida
siempre que se considere apropiado
O
REQUERIMIENTOS ORGANIZACINALES
Sección
Estándares
Especificaciones de
implementación
R -
R
equ
erid
o
O -
Op
cio
na
l
Po
líti
ca
Pro
ced
imie
nt
o
(1) Contratos de asociación
y otros arreglos
(i) Los contratos u otros arreglos entre la
organización y sus socios requeridos por
164.308(b) deben cumplir los requisitos
del párrafo (a)(2)(i) o (a)(2)(ii) de esta
sección, según aplique.
(ii) La organización no cumplirá con los
estándares 164.502(e) y párrafo (a) si se
conoce que la práctica o actividad de
algún asociado incurre en una violación
del contrato o arreglo, hasta que la
organización tome acciones para corregir
tal violación.
(2)(i) Contratos de
asociación
Los contratos entre la organización y sus
asociados deben sentar que la asociación:
(A) Implementará medidas de seguridad
administrativas, físicas y técnicas
razonables y apropiadas para la
protección de la confidencialidad,
integridad y disponibilidad de la
información electrónica protegida de
paciente que se cree, reciba, almacene o
transmita
(B) Asegurar que ningún agente externo
como subcontratistas a quien se le provea
de información acuerde implementar
medidas de seguridad razonables y
apropiadas para protección de la
información
(C) Reportar a la organización cualquier
incidente de seguridad del que sea
enterado
(D) Permitir la cancelación del contrato
por la organización, si ésta determina que
el asociado incurre en la violación de los
términos del contrato
R
64
(A) Terminado el contrato o arreglo, si es
posible; ó
(B) Si la terminación no es posible,
reportar el problema a la autoridad
correspondiente
(2)(ii) Otros arreglos (A) Cuando la organización y su asociado
son ambas organizaciones
gubernamentales, la organización
cumplirá con lo dispuesto en el párrafo
(a)(1) de esta sección si:
(1) Se establece en un memorándum
de entendimiento con el asociado que
contenga los términos para lograr los
objetivos del párrafo (a)(2)(i) de esta
sección; ó
(2) Otra ley (incluidas regulaciones
adoptadas por la organización o sus
socios) contenga requerimientos
aplicables a la asociación para el
cumplimiento de los objetivos del párrafo
(a)(2)(i) de esta sección
(B) Si un asociado es requerido por ley a
realizar una función o actividad en
nombre de la organización o brindar un
servicio descrito en las definiciones de
asociado de negocios especificada en la
sección 160.103 de este subcapítulo,
organización permitirá al asociado crear,
recibir, mantener y transmitir
Información electrónica Protegida de
Paciente en su nombre en lo necesario
para cumplir el mandato legal sin cumplir
los requerimientos del párrafo (a)(2)(i) de
esta sección, siempre que la organización
intente obtener de buena fe
aseguramientos justos como se requiere
en (a)(2)(ii)(A) de este sección, y se
documente el intento y las razones por las
que el aseguramiento deseado no se
pueda obtener.
(C) La organización debe omitir de sus
otros arreglos autorización para la
terminación del contrato por la
organización, como se requiere en el
R
65
párrafo (a)(2)(i)(D) de esta sección si tal
autorización es inconsistente con las
obligaciones legales de la organización o
su asociado
REQUERIMIENTOS DE POLÍTICAS, PROCEDIMIENTOS Y DOCUMENTACIÓN
Sección
Estándares
Especificaciones de
implementación
R -
R
equ
erid
o
O -
Op
cio
na
l
Po
líti
ca
Pro
ced
imie
nt
o
164.314(a)
Políticas y
procedimientos
Implementar políticas y
procedimientos apropiados y
razonables para cumplir con los
estándares, especificaciones de
implementación y otros
requerimientos de esta subparte,
tomando en cuanta los factores
especificados en 164.306(b)(2)(i),
(ii), (iii) y (iv). Este estándar no se
usará para excusar o permitir
acciones que violen otro estándar,
especificación de implementación u
otros requerimientos de esta subparte
La organización podrá cambiar sus
políticas en cualquier momento,
cuando concuerden con lo descrito en
esta sección y sean debidamente
documentados.
X
X
66
164.316(b)
(1) Documentación
(i) Mantener las políticas y
procedimientos implementados para
el cumplimiento de esta parte en
documentación escrita o electrónica,
y;
(ii) Si una acción, actividad o
evaluación es requerida por esta
subparte para ser documenta, se
mantenga por escrito o de forma
electrónica el registro de la acción,
actividad o evaluación.
Implementar políticas y
procedimientos razonables y
apropiados para el cumplimiento de
los estándares, especificaciones de
implementación y otros
requerimientos de esta subparte,
tomando en cuenta lo especificado en
la sección 164.306(b)(2)(i), (ii), (iii)
y (iv). Este estándar no se usará para
excusar o permitir acciones que
violen otro estándar, especificación
de implementación u otros
requerimientos de esta subparte.
La organización podrá cambiar sus
políticas en cualquier momento,
cuando concuerden con lo descrito en
esta sección y sean debidamente
documentados.
(2)(i) Tiempo límite
Mantener la información requerida e el
párrafo (b)(1) de esta sección durante 6
años desde el momento de su creación
R
X
X
(2)(ii) Disponibilidad
Hacer documentación disponible para las
personas encargadas de la
implementación de los procedimientos a
los cuales refiere la documentación
R
X
X
(3)(iii) Actualizaciones Revisar de forma periódica, y actualizar
según se requiera la documentación, en
respuesta a los cambios operacionales que
afecten la seguridad de la información
electrónica protegida.
R
X
X
67
ANEXO (E)
FORMATO DE REPORTE DE INCIDENTES DE
SEGURIDAD INFORMÁTICA
Fecha del reporte
Persona que reporta el incidente
Fecha de ocurrencia del incidente
Persona que atiende el reporte
Equipos/Sistemas involucrados
Lugar del incidente
Contacto de proveedor del equipo/sistema
Compañía Teléfono
Nombre del contacto
Descripción del incidente
Error del sistema Error inicio de sesión Error del usuario
Pérdida de información
Falla física del equipo _________________________________________________________
La falla se presenta en
Almacenaje Disco duro
Servidor
Transmisión Cableado
Red inalámbrica/inalámbrica
Línea telefónica
Otra ____________________________________
____________________________________
____________________________________
Grado de importancia del incidente (impacto en las funciones de la organización)
Pequeño Considerable Grave
Tipo de daño causado a la información
Confidencialidad
Acceso no autorizado
Revelación de información
Integridad
Modificación o corrupción de información
Perdida o destrucción de información
Disponibilidad
Negación de acceso
Información perdida
Información afectada
Demográfica (Identificación de paciente) Diagnóstica
Estado de cuenta del paciente Tratamiento
Otra_________________________________________________________________________
Acciones correctivas tomadas
Administrativas Cambio de
Políticas/Procedimientos
Capacitación
Otras ______________________
___________________________
Físicas Respaldo de información
Reubicación de equipo
Otras ______________________
___________________________
___________________________
Técnicas Encriptación
Medios de control de acceso
Otros _____________________
___________________________
___________________________
Notas: