Embed Size (px)
Citation preview
INTRODUCCION
El presente estudio se realizó en el Seguro Social de Salud – EsSalud
Red Asistencial Moquegua, con motivo de llevarse a cabo la investigación
sobre la Seguridad Lógica de los sistemas de Información. Sin embargo
se podido apreciar que El Sistema de Gestión Hospitalaria SGH es el
principal sistema de información en uso en la mayoría de Hospitales de la
Red Asistencial. Este sistema fue desarrollado hace mas de 25 años y en
el transcurso del tiempo se ha mejorado y fortalecido en sus diferentes
funcionalidades. También, los mecanismos de seguridad son susceptibles
de modificar, alterar o destruir información registrada. Otra debilidad
importante es el mantenimiento y soporte de este sistema, que por su
antigüedad y discontinuidad tecnológica la hace engorrosa y compleja.
Como alternativa al SGH se concibió la construcción de un nuevo sistema
de tecnología WEB y manejadores de Base de Datos denominado
Sistema de Gestión de Servicios de Salud SGSS. La construcción se
inicio en el 2006, el mismo que enfoco sus tareas en los módulos de
filiación, citas medicas y programación. Sn embargo, este sistema está
enfocado para Hospitales de niveles I y II, denotándose allí las carencias
funcionales al implementarse en Hospitales de nivel II y IV.
“Seguridad Lógica” explora las amenazas lógicas que puede sufrir los
sistemas. También refleja algunos controles que, utilizados de forma
correcta, si no eliminan, al menos, minimizan el impacto causado en la
Funcionalidad de la red Asistencial de Salud.
DEFINICIÓN
EsSalud se encuentra en pleno proceso de modernización de sus
servicios, ampliando la cobertura de atención (oferta) para cubrir
adecuadamente la demanda creciente de prestaciones. Como parte del
proceso de mejora se han implementado un conjunto de aplicaciones
web, que brindan soporte a los macro procesos institucionales de
Aseguramiento, Prestaciones de Salud y Prestaciones Económicas y
Sociales. Es así que a través de su Oficina de Organización e Informática,
en coordinación con la Gerencia Central de Prestaciones de Salud ha
desarrollado un Sistema de Gestión de Servicios de Salud que permite
coberturar la funcionalidad de las UBAP (Filiación, Programación, Citas,
Atención Médica y Farmacia). Dicha solución está basada en una
plataforma de tecnología actual (entorno web y base de datos
centralizada) y funcionalmente orientada a la historia clínica electrónica,
además está integrada a los sistemas institucionales.
La seguridad de la información es débil, y está sujeto a ataques de
hackers que pueden traer perjuicio a la institución. Para ello se requiere
adecuar el MOF y el ROF de la institución para incorporar tareas y
responsabilidades como: Elaboración de análisis de riesgos, pruebas de
penetración, asignación de responsabilidades en el sistema de gestión de
la seguridad de la información.
RESEÑA HISTORICA
El Seguro Social de Salud – EsSalud, fue creado el 28.Ene.99 por Ley N°
27056 como Organismo Descentralizado adscrito al Sector Trabajo y
Promoción Social con personería jurídica de derecho público interno, con
autonomía técnica, administrativa, económica, financiera, presupuestal y
contable, sobre la base del ex Instituto Peruano de Seguridad Social. Su
finalidad es dar cobertura a los asegurados y sus derechohabientes, a
través del otorgamiento de prestaciones de prevención, promoción,
recuperación, rehabilitación, prestaciones económicas y prestaciones
sociales que corresponden al régimen contributivo de la Seguridad Social
en Salud, así como otros seguros de riesgos humanos. Su sede principal
se encuentra en la ciudad de Lima y desarrolla sus actividades en todo el
territorio nacional a través de sus Órganos Desconcentrados.
EsSalud tiene como objetivo mejorar la calidad de servicios de salud;
ampliar la cobertura de la seguridad social; optimizar la gestión
institucional y, mejorar los niveles de satisfacción de los asegurados.
La estructura orgánica y las funciones de EsSalud se encuentran
regulados por su Ley de Creación, la Ley N° 27056 y su Reglamento
aprobado por D.S. N°002-99-TR del 26.Abril.1999. El Reglamento de
Organización y Funciones, vigente a la fecha de nuestro examen,
aprobado mediante Resolución de Presidencia Ejecutiva N°454-PE-
EsSalud-2001, fue dejado sin efecto con Resolución de Presidencia
Ejecutiva N°088-PE-EsSalud-2002 del 25.Marzo.2002, con la que se puso
en vigencia la estructura orgánica y el Reglamento de Organización y
Funciones actuales de la Institución.
BASE LEGAL
o Ley N° 27056, Ley de Creación del Seguro Social de Salud.
o D.S. N° 002–99–TR, Reglamento de la Ley N° 27056, Ley de
Creación del Seguro Social de Salud.
o Ley N° 26771, establecen prohibición de ejercer la facultad de
nombramiento y contratación de personal en el Sector Público, en
casos de parentesco.
o D.S. N°021–2000–PCM, aprueba Reglamento de la Ley que
establece prohibición de ejercer la facultad de nombramiento y
contratación de personal en el Sector Público, en casos de
parentesco.
o D.S. N°003–97–TR, Texto Único Ordenado del Decreto Legislativo
N° 728, Ley de Productividad y Competitividad Laboral.
o Decreto Legislativo N°276, Ley de Bases de la Carrera
Administrativa y de Remuneraciones del Sector Público.
o D.S. N°005–90–PCM, Reglamento de la Ley de Bases de la
Carrera Administrativa.
o D.S. N° 012–2001–PCM, Texto Único Ordenado de la Ley de
Contrataciones y Adquisiciones del Estado.
o D.S. N° 013–2001–PCM, Texto Único Ordenado del Reglamento
de la Ley de Contrataciones y Adquisiciones del Estado.
o Resolución de Gerencia General N° 649–96–GG–IPSS–96,
aprueba la Clasificación de las Gerencias Departamentales, su
Estructura Orgánica y Reglamento de Organización y Funciones.
o Acuerdo N° 37–11–IPSS–97, aprueba la Estructura Orgánica y el
Reglamento de Organización y Funciones del Instituto Peruano de
Seguridad Social.
o Resolución de Presidencia Ejecutiva N° 454–PE–EsSalud–2001,
aprueba Estructura Orgánica y Reglamento de Organización y
Funciones de EsSalud, vigente hasta el 25.Mar.2002.
o Resolución de Presidencia Ejecutiva N° 139–PE–EsSalud–99,
aprueba el Reglamento Interno de Trabajo para los trabajadores
comprendidos en el régimen laboral de la actividad privada del
Seguro Social de Salud.
OBJETIVOS DE LA AUDITORIA DE GESTION
La seguridad se puede definir como aquello que esta “libre de peligro,
daño o riesgo”. Pero lo cierto es que la seguridad plena no existe, por lo
que otro enunciado que podría encajar mejor con la realidad sería “calidad
relativa, resultado del equilibrio entre el riesgo (amenazas,
vulnerabilidades e impacto) y las medidas adoptadas para paliarlo”. Una
definición que se ajusta más en el ámbito informático es: “la seguridad es
la capacidad de las redes o de los sistemas de información para resistir,
con un determinado nivel de confianza, los accidentes o acciones ilícitas o
malintencionadas que comprometan la disponibilidad, autenticidad,
integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles”.
Esta definición está incluida en el libro I - Método de MAGERIT versión 2.
EJECUCION
La fase de ejecución de la Auditoria de Gestión está focalizada
básicamente, en la obtención de evidencias suficientes, competentes y
pertinentes sobre los asuntos más importantes (áreas de auditoria)
aprobados en el plan de auditoria. No obstante, algunas veces, como
consecuencia de este proceso se determinan aspectos adicionales por
evaluar, lo que implica la modificación del plan de auditoria. Toda labor en
la auditoria debe ser controlada a través de programas de trabajo. Tales
programas definen por anticipado las tareas que deben efectuarse
durante el curso de la auditoria y se sustentan en objetivos incluidos en el
plan de auditoria y en la información disponible sobre las actividades y
operaciones de la entidad consignada en el informe de revisión
estratégica.
Una de las actividades más importantes de la fase de ejecución, es el
desarrollo de hallazgos. El término hallazgo en auditoria tiene un sentido
de recopilación y síntesis de información específica sobre una actividad u
operación, que ha sido analizada y evaluada y, que se considera de
interés para los funcionarios a cargo de la entidad examinada.
Usualmente, se utiliza en un sentido crítico, dado que se refiere a
deficiencias que son presentadas en el informe de auditoría.
Dentro del proceso de ejecución de la auditoria, el auditor brinda a los
funcionarios y servidores de la entidad examinada, que están o podrían
estar afectados por el informe, la oportunidad de efectuar comentarios y
aclaraciones en forma escrita (u otra) sobre los hallazgos identificados
antes de presentar el informe. Estos comentarios y cualquier revelación
importe que se presenten, deben reconocerse y discutirse en el informe
en forma apropiada y objetiva. Ningún informe de auditoría debe emitirse
sin escuchar a los funcionarios responsables de la entidad examinada,
quienes tienen la oportunidad de presentar sus comentarios sobre los
hechos que se observan.
Un aspecto importante del desarrollo de las observaciones que en
esencia, involucran los elementos propios del hallazgo de auditoria
(condición y criterio), es la identificación de las causas y efectos actuales
o posibles de las deficiencias detectadas durante la fase de ejecución. La
identificación oportuna de las razones que ocasionaron la situación
negativa y por qué se mantiene (causa), así como la cuantificación de las
consecuencias reales o potenciales (efecto) en términos financieros,
constituyen una manera efectiva para interesar a los funcionarios de la
entidad responsables de adoptar correctivos en forma oportuna.
En base a la evidencia de auditoria reunida y a través de la evaluación de
las opiniones vertidas por los funcionarios de la entidad, el auditor puede
arribar a conclusiones concretas sobre las deficiencias identificadas
durante la fase de ejecución. Las observaciones y conclusiones, deben
estar acompañadas de recomendaciones para los funcionarios a cargo de
la entidad examinada, a fin de corregir las deficiencias identificadas y
evitar en el futuro su repetición. Los papeles de trabajo son los
documentos elaborados u obtenidos por el auditor durante las fases de
planeamiento y ejecución, los cuales sirven como fundamento y respaldo
del informe. Los papeles de trabajo son revisados por el auditor
encargado y el supervisor responsable, con el objeto de establecer si son
pertinentes a la auditoria, documentan en forma adecuada la evidencia
obtenida y guardan consistencia internamente.
OBJETIVO DE LA AUDITORIA INFORMATICA
Es mostrar cómo está funcionando el programa, localizando prácticas y
condiciones que son perjudiciales para la empresa o que no están
justificando su costo o prácticas y condiciones que deben incrementarse.
VISION DE ESSALUD
Constituirse en una institución moderna, eficiente y competitiva que
conserva el principio de la solidaridad, y se caracteriza por una alta
especialización y capacidad de resolución al costo más adecuado; que al
entregar en forma amable sus servicios, genere una gran lealtad y
fidelidad en sus usuarios y que cultivando los más excelsos valores de la
humanidad, vaya creciendo hasta alcanzar el postulado de universalidad
en la atención de la salud de la población, al cual adherimos.
MISION DE ESSALUD
En EsSalud tenemos el compromiso de contribuir a mejorar la calidad de
vida de las familias peruanas, brindándoles los servicios de salud y las
prestaciones económicas y sociales que están comprendidas dentro del
régimen contributivo de la Seguridad Social de Salud, basados en los
principios de solidaridad, equidad y universalidad para sus asegurados.
Para ello contamos con la calidad, calidez y valores de nuestro personal y
con una red de establecimientos de salud y centros de alta
especialización adecuadamente equipados.
Consideramos a nuestros asegurados y empresas aportantes como
socios en esta tarea, siendo nuestra responsabilidad la administración
eficiente de sus aportaciones.
OBJETIVOS ESTRATEGICOS DE ESSALUD
Mejorar la calidad de los servicios.
Ampliar la cobertura de las prestaciones y de la seguridad.
Optimizar la gestión institucional.
SISTEMA DE COMUNICACIONES
SEGURIDAD INFORMATICA
El SAP es el sistema administrativo implementado y en uso en EsSalud,
fue implementado hace más de 12 años y carece de mantenimiento y
soporte desde hace 6 años. El reconocimiento del SAP a nivel
internacional como software de clase mundial lo avala como una
herramienta de gestión administrativa importante para la institución
Sistema ERP (SAP R/3)
Administra los procesos administrativos en las áreas de Logística,
Finanzas y Recursos Humanos. Abarca a la Sede Central y todos los
órganos desconcentrados a nivel nacional de la Red de ESSALUD. Opera
bajo entorno cliente / servidor.
Sistema de Gestión Hospitalaria (SGH)
Permite el registro de las prestaciones asistenciales otorgadas a las
personas que reciben atención en los centros de ESSALUD a nivel
nacional. Sus principales módulos son Admisión, Historia Clínica,
Consulta Externa, Farmacia, Patología Clínica (Laboratorio),
GESTION HOSPITALARIA
• El Sistema de Gestión Hospitalaria SGH es el principal sistema de
información en uso en la mayoría de Hospitales de la Red
Asistencial.
• Este sistema fue desarrollado hace mas de 25 años y en el
transcurso del tiempo se ha mejorado y fortalecido en sus
diferentes funcionalidades.
• Sin embargo, su principal problema es la naturaleza propia de su
construcción, el cual no contempla un manejador de Base de Datos
haciéndola desarticulada y difícil de explotar información.
• También, los mecanismos de seguridad son susceptibles de
modificar, alterar o destruir información registrada.
• Otra debilidad importante es el mantenimiento y soporte de este
sistema, que por su antigüedad y discontinuidad tecnológica la
hace engorrosa y compleja.
• Como alternativa al SGH se concibió la construcción de un nuevo
sistema de tecnología WEB y manejadores de Base de Datos
denominado Sistema de Gestión de Servicios de Salud SGSS.
• La construcción se inicio en el 2006, el mismo que enfoco sus
tareas en los módulos de filiación, citas medicas y programación.
• Sn embargo, este sistema está enfocado para Hospitales de
niveles I y II, denotándose allí las carencias funcionales al
implementarse en Hospitales de nivel II y IV.
A continuación se muestran algunas capturas de pantallas del Sistemas
de Gestión Hospitalaria que están divididos en modulos:
En los terminales se trabaja con el S. O. LINUX y MS-DOS
La Base de Datos está en lenguaje de programación FOX-PRO.
Este se modifica solo por la jefatura de informática o red de gestión de
acuerdo a los inconvenientes que se presenta en el momento de la
atención, no se modifica el sistema en si sino las pantallas para su uso.
En cuanto a la base de datos del CA’s, esta información si se puede
cambiar de acuerdo a la documentación respectiva que presenta el
asegurado y al sistema de Host (Base de Datos de EsSalud, es la que se
obtiene cuando el empleador inscribe a sus trabajadores con sus
familiares afiliándolos en la seguridad social), y también se cuenta con la
información que brinda el módulo de acreditación que a través de Internet
tiene acceso a los pagos de los asegurados o empleadores que hacían a
la SUNAT.
se creó la Atención de Citas a través de Essalud en Línea teniendo como
base el mismo SISTEMA DE GESTION HOSPITALARIA, esta vez ya no
sería por atendidos por terminalistas en cada CA’s sino por personal de
los services SILSA y SBK.
El sistema de citas “Essalud en Línea”, se compone de personal
asistencial (teleoperadoras) que atiende las citas por teléfono a través del
mismo “Sistema de Gestión Hospitalaria con nuevas pantallas de
conexión e inicio de sesión solamente pero con las mismas pantallas que
hemos visto anteriormente conectados a la red de cada uno de los
hospitales, policlínicos, ubap’s y son ellos ahora lo que manejan ahora las
citas de todas las redes de Lima.
Áreas de trabajo distribuidos según el CA’s:
• Módulo de Admisión (atendido por terminalistas que daban citas del día para los consultorios).
• Módulo de Filiación.(En este módulo se atendía a los pacientes sin historia clínica en el Centro Asistencial para que tuvieran una y así poder atenderse)
Módulo de Acreditación. (Terminalistas contratados con acceso a internet y a información confidencial de Essalud como los pagos del empleador, este sistema que utilizaba estaba en red con las agencias de la institución.
• Módulo de Farmacia
• Módulo de Rayos X
• Módulo de Laboratorio
• Módulo de Citas por teléfono
• Módulo de Emergencia
Essalud en línea cuenta con un sistema web llamado ACREDITA (FIG.6) ,
el cual te muestra la vigencia y que clase de asegurado es y donde se
atiende mas los datos del asegurado.
Es el mismo el cual uno puede acceder por el portal web:
http://ww4.essalud.gob.pe:7777/acredita/
SISTEMA WEB ACREDITA (Usado en el “Sistema de Gestión Hospitalaria”
Antiguo y Actual)
SEGURIDADLÓGICA
CONCEPTO.
La seguridad lógica aplica mecanismos y barreras que mantengan a
salvo la información de la organización desde su propio medio.
Algunos de los controles utilizados en la seguridad lógica son:
• Se limita el acceso a determinados aplicaciones, programas o
archivos mediante claves o a través de la criptografía.
• Se otorgan los privilegios mínimos a los usuarios del sistema
informático. Es decir, sólo se conceden los privilegios que el
personal necesita para desempeñar su actividad.
• Cerciorarse de los archivos, las aplicaciones y programas que
se utilizan en la compañía se adaptan a las necesidades y se
usan de manera adecuada por los empleados.
• Controlar que la información que entra o sale de la empresa es
íntegra y sólo está disponible para los usuarios autorizados.
• Amenazas lógicas
Para evitar posibles amenazas lógicas en nuestra organización, es
importante que todos los empleados, especialmente los
administradores de los equipos, tomen conciencia del cuidado que
deben poner para que no se materialicen posibles daños en la
compañía. Además, es fundamental implementar mecanismos de
prevención, detección y recuperación ante posibles amenazas
lógicas como virus, gusanos, bombas lógicas y otros códigos
maliciosos.
SEGURIDAD LÓGICA
1.1 IDENTIFICACIÓN – ID’S
Deberá existir una herramienta para la administración y el control de
acceso a los datos. Debe existir una política formal de control de acceso a
datos donde se detalle como mínimo:
el nivel de confidencialidad de los datos y su sensibilidad, los
procedimientos de otorgamiento de claves de usuarios para el ingreso a
los sistemas, los estándares fijados para la identificación y la
autenticación de usuarios.
• Para dar de alta un usuario al sistema debe existir un procedimiento
formal,
Por escrito, que regule y exija el ingreso de los siguientes datos:
Identificación del usuario, deberá ser única e irrepetible, o
password, debe ser personal e ingresado por el usuario.
nombre y apellido completo
sucursal de la empresa donde trabaja
grupo de usuarios al que pertenece
fecha de expiración del Password.
fecha de anulación de la cuenta
contador de intentos fallidos
autorización de imprimir
autorización de ingreso al área de usados.
• Deben asignarse los permisos mínimos y necesarios para que cada
usuario desempeñe su tarea.
• Debe existir una manera de auditar (lista de control de acceso) todos los
requerimientos de accesos y los datos que fueron modificados por cada
usuario, y si este tiene los permisos necesarios para hacerlo.
• Deberá restringirse el acceso al sistema o la utilización de recursos en
un rango horario definido, teniendo en cuenta que:
Las cuentas de los usuarios no deben poder acceder al sistema en
horarios no laborales, de acuerdo al grupo al que pertenezcan,
Durante las vacaciones o licencias las cuentas de usuarios deben
desactivarse,
En días feriados las cuentas de usuarios administrativos, a
excepción de los del departamento de ventas, deben permanecer
desactivadas.
Deben restringirse las conexiones de los usuarios sólo a las
estaciones físicas autorizadas.
El administrador debe poder logearse solamente desde las
terminales que se encuentren en el centro de cómputos y en una
terminal específica y habilitada por cada sucursal.
El administrador del sistema deberá realizar un chequero mensual
de los usuarios del sistema, comprobando que existen solo los
usuarios que son necesarios y que sus permisos sean los
correctos.
El área de recursos humanos deberá comunicar al administrador
los cambios de personal que se produzcan.
Para dar de baja un usuario deberá existir un procedimiento formal
por escrito, a través del cual los datos del usuario no se eliminarán
sino que se actualizará la fecha de anulación de su cuenta,
quedando estos datos registrados en el histórico.
Además, se debe llevar a cabo una política de desvinculación del
personal, a través de la cual se quitan permisos al empleado
paulatinamente, evitando un posible acto de vandalismo por
insatisfacción con la decisión de la Empresa.
El sistema deberá finalizar toda sesión interactiva cuando la
terminal desde donde se esté ejecutando no verifique uso durante
un período de cinco minutos, deberá deslogear al usuario y limpiar
la pantalla.
Las PC´s deben tener instalado un protector de pantalla con
contraseña.
Se debe bloquear el perfil de todo usuario que no haya accedido al
sistema durante un período razonable de tiempo a determinar por
el Directorio.
Los usuarios del sistema solamente podrán abrir una sesión de
cada aplicación, y no podrán abrir dos sesiones del mismo menú
en diferentes terminales ni en la misma terminal.
Se deberá impedir la existencia de perfiles de usuarios genéricos,
en todos los sistemas operativos y en el sistema informático de la
Empresa.
Se deberá minimizar la generación y el uso de perfiles de usuario
con máximos privilegios. Todos los usos de estas clases de perfiles
deberán ser registrados y revisados por el administrador de
seguridad.
Deberá existir un administrador total del sistema (root), que deberá
estar
resguardado en un sobre cerrado bajo adecuadas normas de
seguridad. En caso que sea necesaria su utilización se deberá
proceder de acuerdo con un procedimiento de autorización
estipulado a tal fin.
Un segundo administrador (un súper-usuario) debe ser creado con
privilegios similares al anterior. Se creará un tercer perfil de
administrador del sistema, con los permisos mínimos necesarios
para la realización de tareas cotidianas del administrador. Ninguno
de estos usuarios tendrá permitida la eliminación del usuario root.
Los administradores que realizan tareas de mantenimiento,
deberán tener otro perfil, con un nivel de acceso menor,
denominado mantenimiento, para ser utilizado en tareas cotidianas
que no requieran privilegios de súper usuario.
Si se realiza mantenimiento externo, deberá crearse una cuenta de
usuario especial para esta tarea, con los permisos mínimos
necesarios para desempeñar las funciones; una vez finalizado el
mantenimiento el administrador del sistema deberá modificar la
contraseña de esta cuenta. Cada vez que sea necesario realizar
mantenimiento, el administrador deberá proporcionar esta clave al
personal externo.
Periódicamente el administrador del sistema deberá chequear las
acciones desempeñadas con las cuentas de administradores y de
mantenimiento.
1.2 AUTENTICACIÓN
La pantalla de logeo del sistema deberá mostrar los siguientes datos:
Nombre de usuario, o password, o opción para cambiar la clave.
Mientras el usuario está ingresando su contraseña, esta no debe ser
mostrada por pantalla.
Cuando el usuario logra logearse al sistema deberán mostrase los
siguientes datos:
nombre de usuario,
fecha y hora de la última conexión,
cantidad de intentos fallidos de conexión de ese ID de usuario
desde la última conexión lograda.
la lista de control de accesos, los passwords y datos de las cuentas
de usuarios, los datos de autenticación de los usuarios mientras
son transmitidos a través de la red.
1.3 PASSWORD
Los passwords deberán tener las siguientes características:
Conjunto de caracteres alfa-numérico, o longitud mínima de 6 y máxima
de 10 caracteres.
El password deberá inicializarse como expirado para obligar el cambio.
La fecha de expiración del password deberá ser de un año. El
sistema no exige automáticamente el cambio, una vez cumplido el
plazo.
El password no deberá contener el nombre de la empresa, el
nombre del usuario, ni palabras reservadas.
Bloquear el perfil de todo usuario que haya intentado acceder al
sistema en forma fallida por más de cinco veces consecutivas.
Si un usuario olvida el password, la aplicación no deberá mostrarle
el password al administrador, y permitirá que el usuario ingrese uno
nuevo desde su terminal, la próxima vez que intente logearse.
1.4 SEGREGACIÓN DE FUNCIONES
El área de sistemas debería encontrarse ubicada en el
organigrama de la empresa en una posición tal que garantice la
independencia necesaria respecto de las áreas usuarias, lo cual
actualmente en la Red Asistencial Moquegua no ocurre.
No existe una rotación en las tareas del personal Usuario de los
Sistemas de. Solo se establecen períodos de vacaciones anuales
obligatorios para el personal del área, entre otras pocas medidas.
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
• El Sistema de Gestión Hospitalaria SGH es el principal sistema de
información en uso en la mayoría de Hospitales de la Red
Asistencial.
• Este sistema fue desarrollado hace mas de 25 años y en el
transcurso del tiempo se ha mejorado y fortalecido en sus
diferentes funcionalidades.
• Sin embargo, su principal problema es la naturaleza propia de su
construcción, el cual no contempla un manejador de Base de Datos
haciéndola desarticulada y difícil de explotar información.
• También, los mecanismos de seguridad son susceptibles de
modificar, alterar o destruir información registrada.
• Otra debilidad importante es el mantenimiento y soporte de este
sistema, que por su antigüedad y discontinuidad tecnológica la
hace engorrosa y compleja.
• Como alternativa al SGH se concibió la construcción de un nuevo
sistema de tecnología WEB y manejadores de Base de Datos
denominado Sistema de Gestión de Servicios de Salud SGSS.
• La construcción se inicio en el 2006, el mismo que enfoco sus
tareas en los módulos de filiación, citas medicas y programación.
• Sn embargo, este sistema esta enfocado para Hospitales de
niveles I y II, denotándose allí las carencias funcionales al
implementarse en Hospitales de nivel II y IV.
3. RECOMENDACIONES
a. Las organizaciones como EsSalud tienen tres características
básicas. En primer lugar, existen para cumplir un propósito
definido. En segundo lugar, se basan en la información. En tercer
lugar, son completamente flexibles y totalmente adaptables.
Reaccionan con rapidez y con eficacia ante los cambios de su
entorno que afecten a su capacidad para cumplir su propósito
definido. En este contexto recomendamos utilizar a la auditoria de
gestión como la mayor fuente de información que permitirá
flexibilizar y adaptar la organización y administración de acuerdo
con los resultados obtenidos.
b. Que siendo la auditoría de gestión una herramienta de la
evaluación de la efectividad, eficiencia y economía de los recursos
humanos del Area de Recursos Humanos de EsSalud y siendo
éstos los más importantes de la institución, recomendamos su
aplicación en forma trimestral, a fin de obtener el mayor provecho
de esta actividad profesional.
c. Dada la importancia de la Auditoria de Gestión y su reciente
aplicación en nuestro país, recomendamos se fomente eventos o
seminarios que traten sobre esta actividad y establecer como se
constituye en instrumento importante de evaluación, con la
finalidad de que el profesional que egrese de las universidades
tenga conocimientos claros y suficientes sobre este tipo de
examen.
d. Recomendamos, que los directivos de las instituciones públicas y
privadas faciliten la realización de este tipo de auditoria porque
permite determinar si están lográndose los resultados o beneficios
previstos por la normativa institucional y de no ser así aplicar las
medidas correctivas del caso.
BIBLIOGRAFÍA
1. ARENS, Alvin A. Y LOEBBECKE James K. “Auditoria un Enfoque
Integral”, 6ta. Edición, México 1996, 901pp.
2. BLANCO LUNA, Yanet. “XXII CIC Trabajos Interamericanos”, p.81.
3. BRAVO CERVANTES, Miguel H. “Auditoria Integral”, Editorial
FECAT, Lima–Perú, 1998, 759pp.
4. FERNÁNDEZ, José. “La Auditoria Administrativa”, Editorial
JUSTOS S.A., México 1990, 265pp.
5. HAIMAN, Theo. “Dirección y Gerencia”, 560pp.
6. HELLER, Robert. “La Toma de Decisiones”, Editorial GRIGALBO,
1ra. Edición, Barcelona–España, 1998, 72pp.
7. HERNÁNDEZ RODRÍGUEZ, Fernando. “La Auditoria Operativa:
Como Instrumento en la Decisión Gerencial”. Servicio Gráfico y
Publicitario San Marcos S.A., Lima–Perú, 1992, 440pp.
8. HOLMES, Arthur. “La Auditoria: Principios y Procedimientos”. Unión
Tipográfica, Editorial Hispanoamérica, México – 1993, 870pp.
9. INSTITUTO MEXICANO DE CONTADORES PÚBLICOS A.C.
“Normas y Procedimientos de Auditoria”, México – 1990, 550pp.
10.LEONARD, William. “Auditoria Administrativa: Evaluación de los
Métodos y Eficiencia Administrativa”, Editorial Diana, México –
1993, 630pp.
11.MEJÍA LOPEZ, Cesar Bernardino. “La Auditoria Administrativa
como Instrumentos de Gestión para el Cumplimiento de los
Objetivos Institucionales en la Universidad Inca Garcilaso de la
Vega”, Tesis, Maestría en Contabilidad con mención en Auditoria,
Perú–1996.
12.MENDOZA CASTRO, Jorge Luis. “La Auditoria Operativa en la
Gestión, para la Toma de Decisiones en el Area de Abastecimiento
Hospitalario”, Tesis, Contador Público, Universidad Inca Garcilaso
de la Vega, Perú–1998.
13.PEREZ RODRÍGUEZ, Juan. “La Auditoria Operativa como parte de
la Evaluación del Control Interno de los Procedimientos en una
Empresa de Servicios”, Tesis, Maestría en Contabilidad,
Universidad de Lima, Perú–1998.
14.RODRÍGUEZ SOSA, Miguel. “Investigación Científica: Teoría y
Método”, Lima–Perú, 1994, 580pp.
15.ROSEMBERG, Jerry. “Diccionario de Administración y Finanzas”,
Editorial Océano, Barcelona–España, 1993, 390pp.
16.SIERRA BRAVO, Restituto. “Técnicas de Investigación Social”,
Editorial Paraninfo, Madrid–España, 1995, 620pp.
17.TAFUR PORTILLA, Raúl. “La Tesis Universitaria”, Lima–Perú,
Editorial Mantaro, 1995, 429pp.
18.THIERAUF, Roberto y otros. “Principios y Aplicaciones de
Administración”, Editorial LIMUSA, México 1986, 2da. Edición,
520pp.
19.TUESTA RIQUELME, Yolanda. “El ABC de la Auditoria
Gubernamental”, Tomo I, 590pp.
20.YARASCA RAMOS, Pedro Antonio. “Auditoria – Fundamento con
un Enfoque Moderno”, 2da. Edición, Lima – Perú, 1995, 343pp.
ENCUESTA
Instrucciones
La presente encuesta, tiene como finalidad recabar información
relacionada con La seguridad Lógica de los sistemas de Información de
EsSalud” Red Asistencial Moquegua; por lo que se solicita que en las
preguntas que a continuación se le presenten, marque con un aspa ( X ),
frente a la interrogante que Ud. considere valedera. Se le agradece su
participación.
1. ¿Es posible acceder al sistema sin Contraseña?
a. Si se puede acceder a cualquier información del sitema ( )
b. Solo a servicios que no implican riesgo de acceso a información
no permitida( )
c. No ( )
2. ¿Los Usuarios se Identifican Individualmente?
a. Si ( )
b. No ( )
3. ¿Los Usuarios Cambian su contraseña facilitad por defecto?
a. Si ( )
b. No ( )
c. A Los usuarios no se les facilita Contraseña por defecto ( ).
4. ¿La Contraseña contiene Mayúsculas, minúsculas, números y signos de puntuación?
a. Si ( )
b. No ( )
5. ¿La Contraseña tienen una longitud mínima de 8 caracteres?
a. Si ( )
b. No ( )
6. ¿Los usuarios utilizan la misma Contraseña para varios Sistemas?
a. Si ( )
b. No ( )
7. ¿Se comprueba que los usuarios no utilizan Contraseñas ya usadas anteriormente tienen una longitud mínima de 8 caracteres?
a. Si ( )
b. No ( )
