AUDITORIA INFORMATICA ESSALUD RED ASISTENCIAL MOQUEGUA
INTRODUCCION El presente estudio se realizó en el Seguro Social de Salud – EsSalud Red Asistencial Moquegua, con motivo de llevarse a cabo la investigación sobre la Seguridad Lógica de los sistemas de Información Sin embargo se podido podido apr apreci eciar ar que El Sistema de !estión "ospitalaria S!" es el principal sistema de información en uso en la ma#or$a de "ospitales de la Red Asistencial Este sistema fue desarrollado %ace mas de &' a(os # en el transcurso del tiempo se %a me)orado # fortalecido en sus diferentes funcionalidades *a *ambi+n, los mecanismos de seguridad son susceptibles de modificar modificar,, alterar alterar o destruir informació información n registrada registrada tra debilidad debilidad importante es el mantenimiento # soporte de este sistema, que por su antig-edad # discontinuidad tecnológica la %ace engorrosa # comple)a .omo alternativa al S!" se concibió la construcción de un nuevo sistema de te tecn cnol olog og$a $a /E /E0 0 # ma mane ne)a )ado dore ress de 0a 0ase se de 1a 1ato toss de deno nomi mina nado do Sistema de !estión de Servicios de Salud S!SS La construcción se inicio en el &223, el mismo que enfoco sus tareas en los módulos de filiación, citas medicas # programación Sn embargo, este sistema est4 enfocado para "ospitales de niveles I # II, denot4ndose all$ las carencias funcionales al implementarse en "ospitales de nivel II # I5 6Seguridad Lógica7 e8plora las amenazas lógicas que puede sufrir los sistem sis temas as *ambi mbi+n +n ref refle) le)a a alg alguno unoss con contro troles les qu que, e, uti utiliz lizado adoss de for forma ma correcta, si no eliminan, al menos, minimizan el impacto causado en la 9uncionalidad de la red Asistencial de Salud
INTRODUCCION El presente estudio se realizó en el Seguro Social de Salud – EsSalud Red Asistencial Moquegua, con motivo de llevarse a cabo la investigación sobre la Seguridad Lógica de los sistemas de Información Sin embargo se podido podido apr apreci eciar ar que El Sistema de !estión "ospitalaria S!" es el principal sistema de información en uso en la ma#or$a de "ospitales de la Red Asistencial Este sistema fue desarrollado %ace mas de &' a(os # en el transcurso del tiempo se %a me)orado # fortalecido en sus diferentes funcionalidades *a *ambi+n, los mecanismos de seguridad son susceptibles de modificar modificar,, alterar alterar o destruir informació información n registrada registrada tra debilidad debilidad importante es el mantenimiento # soporte de este sistema, que por su antig-edad # discontinuidad tecnológica la %ace engorrosa # comple)a .omo alternativa al S!" se concibió la construcción de un nuevo sistema de te tecn cnol olog og$a $a /E /E0 0 # ma mane ne)a )ado dore ress de 0a 0ase se de 1a 1ato toss de deno nomi mina nado do Sistema de !estión de Servicios de Salud S!SS La construcción se inicio en el &223, el mismo que enfoco sus tareas en los módulos de filiación, citas medicas # programación Sn embargo, este sistema est4 enfocado para "ospitales de niveles I # II, denot4ndose all$ las carencias funcionales al implementarse en "ospitales de nivel II # I5 6Seguridad Lógica7 e8plora las amenazas lógicas que puede sufrir los sistem sis temas as *ambi mbi+n +n ref refle) le)a a alg alguno unoss con contro troles les qu que, e, uti utiliz lizado adoss de for forma ma correcta, si no eliminan, al menos, minimizan el impacto causado en la 9uncionalidad de la red Asistencial de Salud
DEFINICIÓN EsSa Es Salu lud d se en encu cuen entr tra a en pl plen eno o pr proc oces eso o de mo mode dern rniz izac ació ión n de su suss serv se rvic icio ios, s, am ampl plia iand ndo o la co cobe bertu rtura ra de at aten enci ción ón :o :ofe ferta rta;; pa para ra cu cubr brir ir adecuadamente la demanda creciente de prestaciones .omo parte del proceso de me)ora se %an implementado un con)unto de aplicaciones
0A= :9iliación, =rogramación, .itas, Atención M+dica # 9armacia; 1ic%a solución est4 basada en una pla lata tafo form rma a de te teccno nolo log g$a act ctu ual :e :ent nto orn rno o
RESEÑA HISTORICA
El Seguro Social de Salud – EsSalud, fue creado el &EneBB por Le# CD &2'3 como rganismo 1escentralizado adscrito al Sector *raba)o # =romoción Social con personer$a )ur$dica de derec%o pFblico interno, con autonom$a t+cnica, administrativa, económica, financiera, presupuestal # contable, sobre la base del e8 Instituto =eruano de Seguridad Social Su finalidad es dar cobertura a los asegurados # sus derec%o%abientes, a trav+s del otorgamiento de prestaciones de prevención, promoción, recuperación, re%abilitación, prestaciones económicas # prestaciones sociales que corresponden al r+gimen contributivo de la Seguridad Social en Salud, as$ como otros seguros de riesgos %umanos Su sede principal se encuentra en la ciudad de Lima # desarrolla sus actividades en todo el territorio nacional a trav+s de sus Grganos 1esconcentrados EsSalud tiene como ob)etivo me)orar la calidad de servicios de saludH ampliar la cobertura de la seguridad socialH optimizar la gestión institucional #, me)orar los niveles de satisfacción de los asegurados La estructura org4nica # las funciones de EsSalud se encuentran regulados por su Le# de .reación, la Le# CD &2'3 # su Reglamento aprobado por 1S CD22&BB*R del &3AbrilJBBB El Reglamento de rganización # 9unciones, vigente a la fec%a de nuestro e8amen, aprobado mediante Resolución de =residencia E)ecutiva CDK'K=E EsSalud&22J, fue de)ado sin efecto con Resolución de =residencia E)ecutiva CD2=EEsSalud&22& del &'Marzo&22&, con la que se puso en vigencia la estructura org4nica # el Reglamento de rganización # 9unciones actuales de la Institución
BASE LEGAL
o
Le# CD &2'3, Le# de .reación del Seguro Social de Salud
o
1S CD 22&–BB–*R, Reglamento de la Le# CD &2'3, Le# de .reación del Seguro Social de Salud
o
Le# CD &3J, establecen pro%ibición de e)ercer la facultad de nombramiento # contratación de personal en el Sector =Fblico, en casos de parentesco
o
1S CD2&J–&222–=.M, aprueba Reglamento de la Le# que establece pro%ibición de e)ercer la facultad de nombramiento # contratación de personal en el Sector =Fblico, en casos de parentesco
o
1S CD22–B–*R, *e8to nico rdenado del 1ecreto Legislativo CD &, Le# de =roductividad # .ompetitividad Laboral
o
1ecreto Legislativo CD&3, Le# de 0ases de la .arrera Administrativa # de Remuneraciones del Sector =Fblico
o
1S CD22'–B2–=.M, Reglamento de la Le# de 0ases de la .arrera Administrativa
o
1S CD 2J&–&22J–=.M, *e8to nico rdenado de la Le# de .ontrataciones # Adquisiciones del Estado
o
1S CD 2J–&22J–=.M, *e8to nico rdenado del Reglamento de la Le# de .ontrataciones # Adquisiciones del Estado
o
Resolución de !erencia !eneral CD 3KB–B3–!!–I=SS–B3, aprueba la .lasificación de las !erencias 1epartamentales, su Estructura rg4nica # Reglamento de rganización # 9unciones
o
Acuerdo CD –JJ–I=SS–B, aprueba la Estructura rg4nica # el Reglamento de rganización # 9unciones del Instituto =eruano de Seguridad Social
o
Resolución de =residencia E)ecutiva CD K'K–=E–EsSalud–&22J, aprueba Estructura rg4nica # Reglamento de rganización # 9unciones de EsSalud, vigente %asta el &'Mar&22&
o
Resolución de =residencia E)ecutiva CD JB–=E–EsSalud–BB, aprueba el Reglamento Interno de *raba)o para los traba)adores comprendidos en el r+gimen laboral de la actividad privada del Seguro Social de Salud
OBJETIVOS DE LA AUDITORIA DE GESTION
La seguridad se puede definir como aquello que esta 6libre de peligro, da(o o riesgo7 =ero lo cierto es que la seguridad plena no e8iste, por lo que otro enunciado que podr$a enca)ar me)or con la realidad ser$a 6calidad relativa,
resultado
del
equilibrio
entre
el
riesgo
:amenazas,
vulnerabilidades e impacto; # las medidas adoptadas para paliarlo7 >na definición que se a)usta m4s en el 4mbito inform4tico es@ 6la seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones il$citas o
malintencionadas que comprometan la disponibilidad, autenticidad, integridad # confidencialidad de los datos almacenados o transmitidos # de los servicios que dic%as redes # sistemas ofrecen o %acen accesibles7 Esta definición est4 incluida en el libro I M+todo de MA!ERI* versión &
EJECUCION La fase de e)ecución de la Auditoria de !estión est4 focalizada b4sicamente, en la obtención de evidencias suficientes, competentes # pertinentes sobre los asuntos m4s importantes :4reas de auditoria; aprobados en el plan de auditoria Co obstante, algunas veces, como consecuencia de este proceso se determinan aspectos adicionales por evaluar, lo que implica la modificación del plan de auditoria *oda labor en la auditoria debe ser controlada a trav+s de programas de traba)o *ales programas definen por anticipado las tareas que deben efectuarse durante el curso de la auditoria # se sustentan en ob)etivos incluidos en el plan de auditoria # en la información disponible sobre las actividades # operaciones de la entidad consignada en el informe de revisión estrat+gica >na de las actividades m4s importantes de la fase de e)ecución, es el desarrollo de %allazgos El t+rmino %allazgo en auditoria tiene un sentido de recopilación # s$ntesis de información espec$fica sobre una actividad u operación, que %a sido analizada # evaluada #, que se considera de inter+s para los funcionarios a cargo de la entidad e8aminada
>sualmente, se utiliza en un sentido cr$tico, dado que se refiere a deficiencias que son presentadas en el informe de auditor$a 1entro del proceso de e)ecución de la auditoria, el auditor brinda a los funcionarios # servidores de la entidad e8aminada, que est4n o podr$an estar afectados por el informe, la oportunidad de efectuar comentarios # aclaraciones en forma escrita :u otra; sobre los %allazgos identificados antes de presentar el informe Estos comentarios # cualquier revelación importe que se presenten, deben reconocerse # discutirse en el informe en forma apropiada # ob)etiva CingFn informe de auditor$a debe emitirse sin escuc%ar a los funcionarios responsables de la entidad e8aminada, quienes tienen la oportunidad de presentar sus comentarios sobre los %ec%os que se observan >n aspecto importante del desarrollo de las observaciones que en esencia, involucran los elementos propios del %allazgo de auditoria :condición # criterio;, es la identificación de las causas # efectos actuales o posibles de las deficiencias detectadas durante la fase de e)ecución La identificación oportuna de las razones que ocasionaron la situación negativa # por qu+ se mantiene :causa;, as$ como la cuantificación de las consecuencias reales o potenciales :efecto; en t+rminos financieros, constitu#en una manera efectiva para interesar a los funcionarios de la entidad responsables de adoptar correctivos en forma oportuna En base a la evidencia de auditoria reunida # a trav+s de la evaluación de las opiniones vertidas por los funcionarios de la entidad, el auditor puede arribar a conclusiones concretas sobre las deficiencias identificadas durante la fase de e)ecución Las observaciones # conclusiones, deben estar acompa(adas de recomendaciones para los funcionarios a cargo de
la entidad e8aminada, a fin de corregir las deficiencias identificadas # evitar en el futuro su repetición Los papeles de traba)o son los documentos elaborados u obtenidos por el auditor durante las fases de planeamiento # e)ecución, los cuales sirven como fundamento # respaldo del informe Los papeles de traba)o son revisados por el auditor encargado # el supervisor responsable, con el ob)eto de establecer si son pertinentes a la auditoria, documentan en forma adecuada la evidencia obtenida # guardan consistencia internamente
OBJETIVO DE LA AUDITORIA INFORMATICA Es mostrar cómo est4 funcionando el programa, localizando pr4cticas # condiciones que son per)udiciales para la empresa o que no est4n )ustificando su costo o pr4cticas # condiciones que deben incrementarse
VISION DE ESSALUD .onstituirse en una institución moderna, eficiente # competitiva que conserva el principio de la solidaridad, # se caracteriza por una alta especialización # capacidad de resolución al costo m4s adecuadoH que al entregar en forma amable sus servicios, genere una gran lealtad # fidelidad en sus usuarios # que cultivando los m4s e8celsos valores de la %umanidad, va#a creciendo %asta alcanzar el postulado de universalidad en la atención de la salud de la población, al cual ad%erimos
MISION DE ESSALUD
En EsSalud tenemos el compromiso de contribuir a me)orar la calidad de vida de las familias peruanas, brind4ndoles los servicios de salud # las prestaciones económicas # sociales que est4n comprendidas dentro del r+gimen contributivo de la Seguridad Social de Salud, basados en los principios de solidaridad, equidad # universalidad para sus asegurados =ara ello contamos con la calidad, calidez # valores de nuestro personal # con una red de establecimientos de salud # centros de alta especialización adecuadamente equipados .onsideramos a nuestros asegurados # empresas aportantes como socios en esta tarea, siendo nuestra responsabilidad la administración eficiente de sus aportaciones
OBJETIVOS ESTRATEGICOS DE ESSALUD •
•
•
Me)orar la calidad de los servicios Ampliar la cobertura de las prestaciones # de la seguridad ptimizar la gestión institucional
SISTEMA DE COMUNICACIONES SEGURIDAD INFORMATICA El SA= es el sistema administrativo implementado # en uso en EsSalud, fue implementado %ace m4s de J& a(os # carece de mantenimiento # soporte desde %ace 3 a(os El reconocimiento del SA= a nivel
internacional como soft
Sistema ERP (SAP R/! Administra los procesos administrativos en las 4reas de Log$stica, 9inanzas # Recursos "umanos Abarca a la Sede .entral # todos los órganos desconcentrados a nivel nacional de la Red de ESSAL>1 pera ba)o entorno cliente N servidor
Sistema "e Gesti#$ H%s&ita'aia (SGH! =ermite el registro de las prestaciones asistenciales otorgadas a las personas que reciben atención en los centros de ESSAL>1 a nivel nacional Sus principales módulos son Admisión, "istoria .l$nica, .onsulta E8terna, 9armacia, =atolog$a .l$nica :Laboratorio;,
GESTION HOSPITALARIA O
El Sistema de !estión "ospitalaria S!" es el principal sistema de información en uso en la ma#or$a de "ospitales de la Red Asistencial
O
Este sistema fue desarrollado %ace mas de &' a(os # en el transcurso del tiempo se %a me)orado # fortalecido en sus diferentes funcionalidades
O
Sin embargo, su principal problema es la naturaleza propia de su construcción, el cual no contempla un mane)ador de 0ase de 1atos %aci+ndola desarticulada # dif$cil de e8plotar información
O
*ambi+n, los mecanismos de seguridad son susceptibles de modificar, alterar o destruir información registrada
O
tra debilidad importante es el mantenimiento # soporte de este sistema, que por su antig-edad # discontinuidad tecnológica la %ace engorrosa # comple)a
O
.omo alternativa al S!" se concibió la construcción de un nuevo sistema de tecnolog$a /E0 # mane)adores de 0ase de 1atos denominado Sistema de !estión de Servicios de Salud S!SS
O
La construcción se inicio en el &223, el mismo que enfoco sus tareas en los módulos de filiación, citas medicas # programación
O
Sn embargo, este sistema est4 enfocado para "ospitales de niveles I # II, denot4ndose all$ las carencias funcionales al implementarse en "ospitales de nivel II # I5
A continuación se muestran algunas capturas de pantallas del Sistemas de !estión "ospitalaria que est4n divididos en modulos@
En los terminales se traba)a con el S LIC>P # MS1S La 0ase de 1atos est4 en lengua)e de programación 9P=R Este se modifica solo por la )efatura de inform4tica o red de gestión de acuerdo a los inconvenientes que se presenta en el momento de la atención, no se modifica el sistema en si sino las pantallas para su uso En cuanto a la base de datos del .AQs, esta información si se puede cambiar de acuerdo a la documentación respectiva que presenta el asegurado # al sistema de "ost :0ase de 1atos de EsSalud, es la que se obtiene cuando el empleador inscribe a sus traba)adores con sus familiares afili4ndolos en la seguridad social;, # tambi+n se cuenta con la información que brinda el módulo de acreditación que a trav+s de Internet
tiene acceso a los pagos de los asegurados o empleadores que
%ac$an a la S>CA* se creó la Atención de .itas a trav+s de Essalud en L$nea teniendo como base el mismo SIS*EMA 1E !ES*IC "S=I*ALARIA, esta vez #a no ser$a por atendidos por terminalistas en cada .AQs sino por personal de los services SILSA # S0 El sistema de citas 6Essalud en L$nea7, se compone de personal asistencial :teleoperadoras; que atiende las citas por tel+fono a trav+s del mismo 6Sistema de !estión "ospitalaria con nuevas pantallas de cone8ión e inicio de sesión solamente pero con las mismas pantallas que %emos visto anteriormente conectados a la red de cada uno de los %ospitales, policl$nicos, ubapQs # son ellos a%ora lo que mane)an a%ora las citas de todas las redes de Lima
)eas "e ta*a+% "isti*,i"%s se-.$ e' CAs0 O
Módulo de Admisión :atendido por terminalistas que daban citas del d$a para los consultorios;
O
Módulo de 9iliación:En este módulo se atend$a a los pacientes sin %istoria cl$nica en el .entro Asistencial para que tuvieran una # as$ poder atenderse; M#",'% "e A1e"ita1i#$2 (Temi$a'istas 1%$tata"%s 1%$ a11es% a i$te$et 3 a i$4%ma1i#$ 1%$4i"e$1ia' "e Essa'," 1%m% '%s &a-%s "e' em&'ea"%5 este sistema 6,e ,ti'i7a*a esta*a e$ e" 1%$ 'as a-e$1ias "e 'a i$stit,1i#$2 O
Módulo de 9armacia
O
Módulo de Ra#os P
O
Módulo de Laboratorio
O
Módulo de .itas por tel+fono
O
Módulo de Emergencia
Essalud en l$nea cuenta con un sistema
SISTEMA WEB ACREDITA (Usado en el “Sistema de Gestin !os"itala#ia$ Anti%&o ' At&al)
SE!>RI1A1 LG!I.A
CONCEPTO2 La seguridad lógica aplica mecanismos # barreras que mantengan a salvo la información de la organización desde su propio medio Algunos de los controles utilizados en la seguridad lógica son@ O
Se limita el acceso a determinados aplicaciones, programas o arc%ivos mediante claves o a trav+s de la criptograf$a
O
Se otorgan los privilegios m$nimos a los usuarios del sistema inform4tico Es decir, sólo se conceden los privilegios que el personal necesita para desempe(ar su actividad
O
.erciorarse de los arc%ivos, las aplicaciones # programas que se utilizan en la compa($a se adaptan a las necesidades # se usan de manera adecuada por los empleados
O
.ontrolar que la información que entra o sale de la empresa es $ntegra # sólo est4 disponible para los usuarios autorizados
O
Ame$a7as '#-i1as =ara evitar posibles amenazas lógicas en nuestra organización, es importante
que
todos
los
empleados,
especialmente
los
administradores de los equipos, tomen conciencia del cuidado que deben poner para que no se materialicen posibles da(os en la compa($a Adem4s, es fundamental implementar mecanismos de prevención, detección # recuperación ante posibles amenazas lógicas como virus, gusanos, bombas lógicas # otros códigos maliciosos
SEGURIDAD LÓGICA 828 IDENTIFICACIÓN 9 IDS 1eber4 e8istir una %erramienta para la administración # el control de acceso a los datos 1ebe e8istir una pol$tica formal de control de acceso a datos donde se detalle como m$nimo@ el nivel de confidencialidad de los datos # su sensibilidad, los procedimientos de otorgamiento de claves de usuarios para el ingreso a los sistemas, los est4ndares fi)ados para la identificación # la autenticación de usuarios O =ara dar de alta un usuario al sistema debe e8istir un procedimiento formal, =or escrito, que regule # e8i)a el ingreso de los siguientes datos@ •
Identificación del usuario, deber4 ser Fnica e irrepetible, o pass
•
nombre # apellido completo
•
sucursal de la empresa donde traba)a
•
grupo de usuarios al que pertenece
•
fec%a de e8piración del =ass
•
fec%a de anulación de la cuenta
•
contador de intentos fallidos
•
autorización de imprimir
•
autorización de ingreso al 4rea de usados
O 1eben asignarse los permisos m$nimos # necesarios para que cada usuario desempe(e su tarea O 1ebe e8istir una manera de auditar :lista de control de acceso; todos los requerimientos de accesos # los datos que fueron modificados por cada usuario, # si este tiene los permisos necesarios para %acerlo O 1eber4 restringirse el acceso al sistema o la utilización de recursos en un rango %orario definido, teniendo en cuenta que@ •
Las cuentas de los usuarios no deben poder acceder al sistema en %orarios no laborales, de acuerdo al grupo al que pertenezcan,
•
1urante las vacaciones o licencias las cuentas de usuarios deben desactivarse,
•
En d$as feriados las cuentas de usuarios administrativos, a e8cepción de los del departamento de ventas, deben permanecer desactivadas
•
1eben restringirse las cone8iones de los usuarios sólo a las estaciones f$sicas autorizadas
•
El administrador debe poder logearse solamente desde las terminales que se encuentren en el centro de cómputos # en una terminal espec$fica # %abilitada por cada sucursal
•
El administrador del sistema deber4 realizar un c%equero mensual de los usuarios del sistema, comprobando que e8isten solo los usuarios que son necesarios # que sus permisos sean los correctos
•
El 4rea de recursos %umanos deber4 comunicar al administrador los cambios de personal que se produzcan
•
=ara dar de ba)a un usuario deber4 e8istir un procedimiento formal por escrito, a trav+s del cual los datos del usuario no se eliminar4n sino que se actualizar4 la fec%a de anulación de su cuenta, quedando estos datos registrados en el %istórico
•
Adem4s, se debe llevar a cabo una pol$tica de desvinculación del personal, a trav+s de la cual se quitan permisos al empleado paulatinamente, evitando un posible acto de vandalismo por insatisfacción con la decisión de la Empresa
•
El sistema deber4 finalizar toda sesión interactiva cuando la terminal desde donde se est+ e)ecutando no verifique uso durante un per$odo de cinco minutos, deber4 deslogear al usuario # limpiar la pantalla
•
Las =.s deben tener instalado un protector de pantalla con contrase(a
•
Se debe bloquear el perfil de todo usuario que no %a#a accedido al sistema durante un per$odo razonable de tiempo a determinar por el 1irectorio
•
Los usuarios del sistema solamente podr4n abrir una sesión de cada aplicación, # no podr4n abrir dos sesiones del mismo menF en diferentes terminales ni en la misma terminal
•
Se deber4 impedir la e8istencia de perfiles de usuarios gen+ricos, en todos los sistemas operativos # en el sistema inform4tico de la Empresa
•
Se deber4 minimizar la generación # el uso de perfiles de usuario con m48imos privilegios *odos los usos de estas clases de perfiles deber4n ser registrados # revisados por el administrador de seguridad
•
1eber4 e8istir un administrador total del sistema :root;, que deber4 estar
•
resguardado en un sobre cerrado ba)o adecuadas normas de seguridad En caso que sea necesaria su utilización se deber4 proceder de acuerdo con un procedimiento de autorización estipulado a tal fin
•
>n segundo administrador :un sFperusuario; debe ser creado con privilegios similares al anterior Se crear4 un tercer perfil de administrador del sistema, con los permisos m$nimos necesarios para la realización de tareas cotidianas del administrador Cinguno de estos usuarios tendr4 permitida la eliminación del usuario root
•
Los administradores que realizan tareas de mantenimiento, deber4n tener otro perfil, con un nivel de acceso menor, denominado mantenimiento, para ser utilizado en tareas cotidianas que no requieran privilegios de sFper usuario
•
Si se realiza mantenimiento e8terno, deber4 crearse una cuenta de usuario especial para esta tarea, con los permisos m$nimos necesarios para desempe(ar las funcionesH una vez finalizado el mantenimiento el administrador del sistema deber4 modificar la contrase(a de esta cuenta .ada vez que sea necesario realizar mantenimiento, el administrador deber4 proporcionar esta clave al personal e8terno
•
=eriódicamente el administrador del sistema deber4 c%equear las acciones desempe(adas con las cuentas de administradores # de mantenimiento
82: AUTENTICACIÓN
La pantalla de logeo del sistema deber4 mostrar los siguientes datos@ Combre de usuario, o pass
nombre de usuario,
•
fec%a # %ora de la Fltima cone8ión,
•
cantidad de intentos fallidos de cone8ión de ese I1 de usuario desde la Fltima cone8ión lograda
•
la lista de control de accesos, los pass
82 PASS;ORD Los pass
La fec%a de e8piración del pass
•
El pass
•
0loquear el perfil de todo usuario que %a#a intentado acceder al sistema en forma fallida por m4s de cinco veces consecutivas
•
Si un usuario olvida el pass
82< SEGREGACIÓN DE FUNCIONES •
El 4rea de sistemas deber$a
encontrarse ubicada en el
organigrama de la empresa en una posición tal que garantice la independencia necesaria respecto de las 4reas usuarias, lo cual actualmente en la Red Asistencial Moquegua no ocurre •
Co e8iste una rotación en las tareas del personal >suario de los Sistemas de Solo se establecen per$odos de vacaciones anuales obligatorios para el personal del 4rea, entre otras pocas medidas
CONCLUSIONES = RECOMENDACIONES
CONCLUSIONES
O
El Sistema de !estión "ospitalaria S!" es el principal sistema de información en uso en la ma#or$a de "ospitales de la Red Asistencial
O
Este sistema fue desarrollado %ace mas de &' a(os # en el transcurso del tiempo se %a me)orado # fortalecido en sus diferentes funcionalidades
O
Sin embargo, su principal problema es la naturaleza propia de su construcción, el cual no contempla un mane)ador de 0ase de 1atos %aci+ndola desarticulada # dif$cil de e8plotar información
O
*ambi+n, los mecanismos de seguridad son susceptibles de modificar, alterar o destruir información registrada
O
tra debilidad importante es el mantenimiento # soporte de este sistema, que por su antig-edad # discontinuidad tecnológica la %ace engorrosa # comple)a
O
.omo alternativa al S!" se concibió la construcción de un nuevo sistema de tecnolog$a /E0 # mane)adores de 0ase de 1atos denominado Sistema de !estión de Servicios de Salud S!SS
O
La construcción se inicio en el &223, el mismo que enfoco sus tareas en los módulos de filiación, citas medicas # programación
O
Sn embargo, este sistema esta enfocado para "ospitales de niveles I # II, denot4ndose all$ las carencias funcionales al implementarse en "ospitales de nivel II # I5
2 RECOMENDACIONES a Las organizaciones como EsSalud tienen tres caracter$sticas b4sicas En primer lugar, e8isten para cumplir un propósito definido En segundo lugar, se basan en la información En tercer lugar, son completamente fle8ibles # totalmente adaptables Reaccionan con rapidez # con eficacia ante los cambios de su entorno que afecten a su capacidad para cumplir su propósito definido En este conte8to recomendamos utilizar a la auditoria de gestión como la ma#or fuente de información que permitir4 fle8ibilizar # adaptar la organización # administración de acuerdo con los resultados obtenidos b Tue siendo la auditor$a de gestión una %erramienta de la evaluación de la efectividad, eficiencia # econom$a de los recursos %umanos del Area de Recursos "umanos de EsSalud # siendo +stos los m4s importantes de la institución, recomendamos su aplicación en forma trimestral, a fin de obtener el ma#or provec%o de esta actividad profesional c 1ada la importancia de la Auditoria de !estión # su reciente aplicación en nuestro pa$s, recomendamos se fomente eventos o
seminarios que traten sobre esta actividad # establecer como se constitu#e en instrumento importante de evaluación, con la finalidad de que el profesional que egrese de las universidades tenga conocimientos claros # suficientes sobre este tipo de e8amen d Recomendamos, que los directivos de las instituciones pFblicas # privadas faciliten la realización de este tipo de auditoria porque permite determinar si est4n logr4ndose los resultados o beneficios previstos por la normativa institucional # de no ser as$ aplicar las medidas correctivas del caso
BIBLIOGRAF>A J ARECS, Alvin A U LE00E.E Vames 6Auditoria un Enfoque Integral7, 3ta Edición, M+8ico JBB3, B2Jpp & 0LAC. L>CA, Uanet 6PPII .I. *raba)os Interamericanos7, pJ 0RA5 .ER5AC*ES, Miguel " 6Auditoria Integral7, Editorial 9E.A*, Lima–=erF, JBB, 'Bpp K 9ERCWC1EX, Vos+ 6La Auditoria Administrativa7, Editorial V>S*S SA, M+8ico JBB2, &3'pp ' "AIMAC, *%eo 61irección # !erencia7, '32pp
3 "ELLER, Robert 6La *oma de 1ecisiones7, Editorial !RI!AL0, Jra Edición, 0arcelona–Espa(a, JBB, &pp "ERCWC1EX R1RY!>EX, 9ernando 6La Auditoria perativa@ .omo Instrumento en la 1ecisión !erencial7 Servicio !r4fico # =ublicitario San Marcos SA, Lima–=erF, JBB&, KK2pp "LMES, Art%ur 6La Auditoria@ =rincipios # =rocedimientos7 >nión *ipogr4fica, Editorial "ispanoam+rica, M+8ico – JBB, 2pp B ICS*I*>* MEPI.AC 1E .C*A1RES =0LI.S A. 6Cormas # =rocedimientos de Auditoria7, M+8ico – JBB2, ''2pp J2LECAR1, /illiam 6Auditoria Administrativa@ Evaluación de los M+todos # Eficiencia Administrativa7, Editorial 1iana, M+8ico – JBB, 32pp JJ MEVYA L=EX, .esar 0ernardino 6La Auditoria Administrativa como Instrumentos de !estión para el .umplimiento de los b)etivos Institucionales en la >niversidad Inca !arcilaso de la 5ega7, *esis, Maestr$a en .ontabilidad con mención en Auditoria, =erF–JBB3 J&MEC1XA .AS*R, Vorge Luis 6La Auditoria perativa en la !estión, para la *oma de 1ecisiones en el Area de Abastecimiento "ospitalario7, *esis, .ontador =Fblico, >niversidad Inca !arcilaso de la 5ega, =erF–JBB J=EREX R1RY!>EX, Vuan 6La Auditoria perativa como parte de la Evaluación del .ontrol Interno de los =rocedimientos en una
Empresa
de Servicios7,
*esis, Maestr$a
en .ontabilidad,
>niversidad de Lima, =erF–JBB JKR1RY!>EX SSA, Miguel 6Investigación .ient$fica@ *eor$a # M+todo7, Lima–=erF, JBBK, '2pp J'RSEM0ER!, Verr# 61iccionario de Administración # 9inanzas7, Editorial c+ano, 0arcelona–Espa(a, JBB, B2pp J3SIERRA 0RA5, Restituto 6*+cnicas de Investigación Social7, Editorial =araninfo, Madrid–Espa(a, JBB', 3&2pp J*A9>R =R*ILLA, RaFl 6La *esis >niversitaria7, Lima–=erF, Editorial Mantaro, JBB', K&Bpp J*"IERA>9, Roberto # otros 6=rincipios # Aplicaciones de Administración7, Editorial LIM>SA, M+8ico JB3, &da Edición, '&2pp JB*>ES*A RIT>ELME, Uolanda
6El A0.
de
la Auditoria
!ubernamental7, *omo I, 'B2pp &2UARAS.A RAMS, =edro Antonio 6Auditoria – 9undamento con un Enfoque Moderno7, &da Edición, Lima – =erF, JBB', Kpp
ENCUESTA I$st,11i%$es La presente encuesta, tiene como finalidad recabar información relacionada con La seguridad Lógica de los sistemas de Información de EsSalud7 Red Asistencial MoqueguaH por lo que se solicita que en las preguntas que a continuación se le presenten, marque con un aspa : P ;, frente a la interrogante que >d considere valedera Se le agradece su participación
82 ?Es &%si*'e a11e"e a' sistema si$ C%$tase@a a Si se puede acceder a cualquier información del sitema : ; b Solo a servicios que no implican riesgo de acceso a información no permitida: ; c Co : ;
:2 ?L%s Us,ai%s se I"e$ti4i1a$ I$"ii",a'me$te
a Si : ; b Co : ;
2 ?L%s Us,ai%s Cam*ia$ s, 1%$tase@a 4a1i'ita" &% "e4e1t% a Si : ; b Co : ; c A Los usuarios no se les facilita .ontrase(a por defecto : ;
<2 ?La C%$tase@a 1%$tie$e Ma3.s1,'as5 mi$.s1,'as5 $.me%s 3 si-$%s "e &,$t,a1i#$ a Si : ; b Co : ;
2 ?La C%$tase@a tie$e$ ,$a '%$-it," m$ima "e 1aa1tees a Si : ; b Co : ;
2 ?L%s ,s,ai%s ,ti'i7a$ 'a misma C%$tase@a &aa ai%s Sistemas a Si : ; b Co : ;
2 ?Se 1%m&,e*a 6,e '%s ,s,ai%s $% ,ti'i7a$ C%$tase@as 3a ,sa"as a$tei%me$te tie$e$ ,$a '%$-it," m$ima "e 1aa1tees a Si : ; b Co : ;