Vista previa del material en texto
1 FACULTAD DE INGENIERÍA DE SISTEMAS Y ELECTRÓNICA Carrera de Ingeniería de Sistemas e Informática “Auditoria Post-Implementación de Sistema integral para la gestión de historias clínicas de pacientes de centros de salud.” Integrantes: Berrocal Vasquez, Ashly Adolfo - 1210073 Ccahuana Layme, Edward Andrei - 1411857 Charalla Quispe, Felipe Gustavo - 1120557 Peralta Trejo, Gustavo Alonso - 1420911 Ochoa Roja, Alain Fernando - U18101468 Navarro Ayala, Maykon Abraham - 1613891 Docente: Rojas Nieves, Luis Alfonso Lima, 25 noviembre del 2019 2 INDICE 1. INTRODUCCIÓN ........................................................................................................... 4 2. DEFINICIÓN DEL PROBLEMA ........................................................................................ 5 2.1. Planteamiento del Problema .................................................................................... 5 2.2. Formulación del Problema ....................................................................................... 5 3. MARCO REFERENCIAL .................................................................................................. 6 3.1. Marco Contextual ..................................................................................................... 6 3.1.1. Datos de la Empresa .......................................................................................... 6 3.1.2. Misión ................................................................................................................. 6 3.1.3. Visión .................................................................................................................. 6 3.1.4. Organigrama ....................................................................................................... 6 3.1.5. Descripción Aplicativo ....................................................................................... 7 4. DESARROLLO DE LA AUDITORÍA ............................................................................... 10 4.1. Fase 1 - Elaboración del Plan de Auditoría ........................................................... 10 4.1.1. Objetivos........................................................................................................... 10 4.1.2. Plan de Auditoría .............................................................................................. 11 4.1.3. Recursos........................................................................................................... 14 4.2. Fase 2 - Ejecución del Plan de Auditoría .............................................................. 15 4.2.1. Proceso de Recolección de Información y Planeamiento de Actividades ... 15 4.2.2. Cuestionario Cuantitativo ................................................................................ 15 4.2.3. Entrevistas ........................................................................................................ 15 4.2.4. Técnicas y Herramientas Utilizadas ................................................................ 15 4.2.5. Valoración del Riesgo ...................................................................................... 15 4.2.6. Matriz de Probabilidad e Impacto .................................................................... 16 4.2.7. Hallazgos Producidos por efecto de la Auditoría .......................................... 16 4.3. Fase 3 – Informe de la Auditoría ............................................................................ 19 4.3.1. Introducción al Informe ................................................................................... 19 4.3.2. Principales Observaciones.............................................................................. 19 4.3.3. Recomendaciones y Plan de Acción / Mejoras .............................................. 19 5. CONCLUSIONES ........................................................................................................... 20 6. RECOMENDACIONES ................................................................................................... 20 7. ANEXOS: ....................................................................................................................... 21 ANEXO A: CUESTIONARIO CUANTITATIVO ............................................................... 21 ANEXO B: ENCUESTAS ................................................................................................ 23 ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS ......................................... 24 3 ANEXO D: MATRIZ DE RIESGO .................................................................................... 28 4 1. INTRODUCCIÓN Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, la gestión de datos. Es por ello el centro de salud Madre de Dios el año pasado decidió migrar su sistema de gestión de historias clínicas de pacientes el cual se ha venido desarrollando de manera manual, con las siguientes falencias que esta conlleva, data duplicada, perdida de información sensible para el paciente, información privada vulnerada por terceros, etc. Se desarrolló e implemento un sistema integral para la gestión de historias clínicas de pacientes del centro de salud. Este sistema integra las siguientes áreas: caja, admisión, estadística y unidades prestadoras de servicio de salud (médicos especialistas). Nuestro trabajo de auditoria se abocará en analizar dicha implementación y migración de la gestión de las historias clínicas, buscando comprobar la integridad de los datos ahora manejados por el sistema, así como, los perfiles de usuario que tienen acceso a dicha data. Con ello poder entregar un informe del impacto positivo o negativo que esta migración de gestión de historias clínicas ha tenido en el centro de salud, para la respectiva toma de decisiones de la alta gerencia. 5 2. DEFINICIÓN DEL PROBLEMA 2.1. Planteamiento del Problema Es una constante que, en muchos centros de salud de nuestro país, el manejo de las historias clínicas y diversas documentaciones, aun se realizan de manera manual. Esto genera un tiempo muerto que conlleva al malestar general de los pacientes y aun déficit administrativo innecesario, para los diversos procesos involucrados. El proyecto de la implementación del sistema de gestión de historias clínicas tuvo como objetivo general, eliminar el tiempo muerto por el manejo de las historias clínicas y documentaciones adyacentes de manera manual anteriormente, diseñando e implementando un sistema integral automatizado que agilice y optimice la gestión de atención hacia los pacientes. Sabemos que, una vez instalado un sistema informático, que en definitiva es una herramienta, como tal necesitará de personal capacitado para la configuración y administración de los recursos para su correcto funcionamiento. El impacto que tendrá tanto en el personal administrativo y sobretodo en el staff médico que es el primer interesado en el manejo de las historias clínicas, es la métrica necesaria para resolver si el proyecto fue realizado con éxito. 2.2. Formulación del Problema Una vez ha sido realizada la implementación del sistema de gestión de historias clínicas y habiendo este teniendo un funcionamiento dentro de lo establecido en cuanto a tiempo de aprendizaje, agilización de procedimientos, resultados iniciales etc. Es necesario realizar una auditoría para que la alta gerencia tenga las métricas necesarias para la siguiente toma de decisiones, buscando implementar sistemas de gestión en otras áreas necesarias de la empresa. 6 3. MARCO REFERENCIAL 3.1. Marco Contextual 3.1.1. Datos de laEmpresa El centro de salud y terapia Madre de Dios fue fundada el 1 de junio del 2008, al ser un centro de salud parroquial, fue creado bajo el compromiso hacia los pacientes, brindando servicios personalizados y con excelente atención, contando con ello con un equipo humano capacitado. 3.1.2. Misión Lograr la satisfacción y confianza de nuestros pacientes y colaboradores. 3.1.3. Visión Consolidarnos dentro de los más importantes centros de salud privado, con personal altamente capacitado, motivado y apoyado en la tecnología médica actual. 3.1.4. Organigrama 7 3.1.5. Descripción Aplicativo El aplicativo de gestión de historias clínicas tuvo como objetivo general, la agilización del manejo de las historias clínicas entre las distintas especialidades y la fácil comunicación de este documento entre el staff medico en sus distintas especialidades según se requiera y así mismo las documentaciones adyacentes de manera manual anteriormente, diseñando e implementando un sistema integral automatizado que agilice y optimice la gestión de atención hacia los pacientes. Se describen a continuación algunos objetivos específicos del aplicativo: Un sistema informático que permita la integración de los diversos procesos en los servicios de salud. Generar reportes financieros en tiempo real de los diversos pagos en los diferentes servicios de salud. Facilitar la búsqueda de las historias clínicas de los pacientes. Llevar un historial de atención de cada paciente, que pueda ser compartido por cada especialidad médica cuando esta sea requerida. Se describen a continuación algunos alcances y limitaciones del aplicativo: El presente proyecto espera ser una herramienta importante para la gestión de las historias clínicas, así como, facilitar el proceso de atención a cada paciente. El alcance de este proyecto es de manera local, tanto el sistema como la base de datos es manejada y controlada de manera local. El sistema solo gestiona pacientes de un centro de salud. No comparte historias clínicas con otros centros de salud. Imágenes referenciales del Sistema de Gestión Integral de Historias Clínicas: Módulo de Ingreso 8 Pantalla Principal Módulo de Listado del Registro de Pacientes 9 Módulo de Ingreso de Pacientes Módulo de ingreso de Historias Clínicas 10 4. DESARROLLO DE LA AUDITORÍA 4.1. Fase 1 - Elaboración del Plan de Auditoría 4.1.1. Objetivos 4.1.1.1 Objetivo General Realizar la Auditoria de Hardware y Software del sistema, asociada a la post implementación del sistema; la auditoría tomará como referencia puntos de “Código de Buenas Prácticas”, el cual cubre los controles de Seguridad de la Información y Continuidad del Negocio, según alcance del servicio. 4.1.1.2 Objetivos Específicos - Evaluar si existe una clara definición de los procesos del área Archivo y documentación clínica. - Verificar el funcionamiento del sistema y si cumple las expectativas de los usuarios. - Revisar y verificar los controles internos para el registro de los datos. - Evaluar que se cumplan el proceso de resguardo adecuado y protección de activos. - Evaluar las métricas de valor del impacto del sistema en la clínica. - Dar un seguimiento permanente de las observaciones y sugerencias formuladas por los auditores internos. 4.1.1.3 Alcance Parte de hardware: - Revisión de los Planes de Contingencia. - Plan de Mantenimiento. - Planes de Respaldo (backups y configuración). - Infraestructura (Condiciones físicas del Servidor, registros de sucesos, capacidad de hardware, memoria, puertos de conexión, puertos de entrada; límites de operación, temperatura del ambiente, ubicación adecuada). - Revisión de accesos a los servidores. Parte de Software: - Control del Sistema (Revisión de controles de seguridad en la etapa actual de operación). 11 - Manual del Usuario. - Registros de Capacitación. - Validación de resultados esperados y no esperados. - Control de Acceso, Roles y Perfiles del sistema. 4.1.2. Plan de Auditoría 4.1.2.1 Investigación Preliminar A) Mecanismos para la realización de la investigación preliminar - Determinar los recursos informáticos de la organización y su estructura organizacional. - Evaluar la importancia del Sistema de Información, los procesos de negocio, y el funcionamiento que son objeto de la auditoría y el soporte que los recursos dan. - Determinar si los controles existentes protegen la empresa contra riesgos identificados. - Conocer de manera global el software, identificando los elementos que apoyan la seguridad. B) Objetivo de la Investigación Preliminar Se deberá observar el estado general del sistema, la situación que tiene dentro de la organización, si existe la información solicitada, priorización de información (fecha de actualización). Se realizará la investigación preliminar solicitando y revisando la información, basándose en los siguientes puntos: - Recopilación de información para obtener una visión general del sistema por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir los objetivos y alcances. - Descripción general de los módulos, manual de formas, fechas de instalación, descripción genérica y la documentación respectiva. - Personal participante de la auditoría y sus características. - Información facilitada de manera general por las demás áreas. - La revisión de la gestión de los recursos informáticos. 12 4.1.2.2 Recolección de Información A) Observación: Identificar los factores que intervienen dentro del funcionamiento del software y el hardware necesario que permita obtener la información relevante sobre el comportamiento del sistema, de las funciones y actividades, los procedimientos y operación y de cualquier hecho que ocurra en el área. B) Cuestionario: Serán preguntas impresas en formatos o fichas en que el auditado responderá de acuerdo con su criterio, de esta manera se obtiene información que posteriormente se clasificará e interpretará por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado. Estará incluido dentro de la encuesta que se le aplicará al equipo de Ti, usuario del sistema. (Ver anexo A) C) Encuesta: Se recolectará información sobre aspectos como el servicio, el funcionamiento del sistema, la facilidad de los usuarios al momento de registrar nuevos datos. (Ver anexo B) 4.1.2.3 Aplicación de Instrumentos A) Evaluación e Inspección La evaluación se efectuará mediante pruebas de calidad y cumplimiento de funciones, actividades y procedimientos que se realizan. Se verificará la forma de realizar los procesos, evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, el resultado de las operaciones, comprobar la operación correcta del sistema y otros aspectos relevantes. Se evaluará la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo. La inspección se realizará a cualquiera de las actividades, operaciones y componentes que rodean al aplicativo. (Ver anexo C) 13 B) Matriz de Evaluación de Riesgos Se recolectará la información sobre los procesos y actividades del sistema auditado, reconociendo los riesgos inherentes a estos, así como si se están o no aplicando controles, identificaremos los factores que producen estos riesgos y que efecto tienen en el centro de salud, se especificara un rango de métricas para valorizar el impacto de estas y se propondrá y confrontara los riesgos con controles y soluciones para mitigarlas lo máximo posible. 4.1.2.4 Ejecución de Pruebas ● Aplicar los instrumentosde recolección de información. ● Ejecutar las pruebas del plan de pruebas. ● Determinar las vulnerabilidades y amenazas informáticas. ● Realizar la valoración de las amenazas y vulnerabilidades encontradas y probadas. ● Realizar el proceso de evaluación de riesgos del aplicativo. ● Determinar el tratamiento de los riesgos del sistema de Gestión de Historias Clínicas. 4.1.2.5 Proceso de Análisis y Evaluación de Riesgos Se elabora el cuadro de riesgos y controles que se ven enfrentados, hacer la evaluación de riesgos, y matriz de riesgos. 4.1.2.6 Tratamientos de Riesgos Se determinará el tratamiento de los riesgos de acuerdo con la matriz de riesgos, se propondrán controles de acuerdo con la magnitud que se examinó, y se definirán las posibles soluciones. 4.1.2.7 Dictamen de la Auditoria Se determina el grado de madurez de la organización en el manejo de cada uno de los procesos evaluados, además de medir el grado de madurez de acuerdo con los hallazgos detectados en cada proceso. 14 4.1.2.8 Informe Final de la Auditoria Se procederá a la elaboración del informe ejecutivo, organización de papeles de trabajo para su entrega a los interesados, en ella se recogen los hallazgos detectados y la documentación que sustenta el informe. 4.1.3. Recursos 4.1.3.1 Materiales Los materiales a usar son 5 portátiles (Laptop), impresora, papel, lapiceros y los documentos a mención: ● Manual de procedimientos de los sistemas. ● Descripción genérica. ● Diagramas de entrada, archivos, salida del software. ● Fecha de instalación del sistema. 4.1.3.2 Tecnológicos El servidor del sistema de soporte se encuentra en un cuarto con aire acondicionado, además de otros servidores como de servicios de impresión, antivirus, y otros sistemas de otras áreas. Además se cuenta con equipos de cómputo actualizados. 4.1.3.3 Financieros La Auditoría es financiada por el contratista la Clínica Madre de Dios. 4.1.3.4 Cronograma 15 4.2. Fase 2 - Ejecución del Plan de Auditoría 4.2.1. Proceso de Recolección de Información y Planeamiento de Actividades Durante la elaboración del informe se procede a la recolección de datos del proceso estratégico de gestión de historias clínicas del área de archivo, se realizará el análisis de las conformidades para que los colaboradores puedan mejorar la calidad de servicio, el cual serán evaluadas y verificadas según los hechos que corresponde al área auditada, al finalizar este informe, brindara evidencias que serán apropiadas para la mejora del área de Archivo y Documentación Clínica de la Dirección Medica en el uso del sistema a auditar. 4.2.2. Cuestionario Cuantitativo Para la elaboración del cuestionario realizado al personal del área de TI, técnico y administrativo del sistema, nos brindara una mejor vista de que se tiene actualmente y que es lo que faltaría realizarse. 4.2.3. Entrevistas Para la entrevista como la principal técnica de recopilación de información del auditor se tiene en cuenta al analista de TI dentro del área auditada. 4.2.4. Técnicas y Herramientas Utilizadas Para la elaboración del presente informe, se utilizará la herramienta de entrevistas y cuestionario cualitativo realizadas al área auditada, asimismo se tomará en cuenta a un personal para registrar sus actividades laborales, el cual nos permitirá tener una muestra de la forma de trabajo en dicha área. 4.2.5. Valoración del Riesgo Para este punto se tiene en cuenta el impacto presentado por las encuestas realizadas al jefe de sistemas, el cual nos dará la probabilidad de ocurrencia en el modo de alto, medio y bajo riesgo, mostrándose según su nivel de impacto. 16 4.2.6. Matriz de Probabilidad e Impacto 4.2.7. Hallazgos Producidos por efecto de la Auditoría Los hallazgos encontrados permiten determinar las partes más vulnerables que tiene el área auditada para que posteriormente sean informados y corregido correctamente. Acceso de usuarios Condición En la revisión se evidenció que algunos usuarios cuentan con acceso no autorizados a datos que no deberían ser parte de su perfil de acceso, pudiéndose así realizar acciones negativas por parte de algunos usuarios ya sea por negligencia o por desconocimiento por parte de este. Criterio De acuerdo con la norma ISO 27002 se debe implantar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas de información, para que así no sea utilizado por cualquier personal o algún externo. Causa Falta de actualización de permisos del sistema o cambios de permisos no planificada para cada perfil de usuario. Efecto Tratamiento de la información sin autorización, vulnerabilidad de secreto profesional por parte de la clínica, pérdidas económicas. Recomendación Se recomienda proteger el sistema o implementar un plan de actualización de permisos con el fin de asignar a los usuarios los tipos de permisos definidos por la empresa. Nivel de Impacto Nivel de Probabilidad 1 -Bajo 2 - Moderado 3 - Severo 1 – Poco 1 2 3 2 – Mediano 2 4 6 3 - Alto 3 6 9 17 Backup (respaldo) dentro del mismo servidor principal Condición Se encontró que el Backups del servidor de datos se encuentra dentro del mismo servidor, en forma de disco espejo, en caso que caiga el disco primario el disco espejo entra en funcionamiento. Esto no es lo recomendable. Criterio De acuerdo con la norma ISO 27001 define el dominio Seguridad de las operaciones (A.12) a través de distintos objetivos de control, uno de los cuales es el de Backups (A.12.3), que tiene como propósito proteger a las organizaciones contra la pérdida de información. Causa Falta un servidor completo de respaldo que cumpla dicha función con mayor garantía de seguridad. No se ha previsto en el diseño de la arquitectura física del sistema. Efecto Pérdida de información, pérdidas económicas, podría afectar la continuidad de la empresa. Recomendación Implementar un servidor de respaldo, que cuente con autonomía, ante alguna falla o caída del servidor principal. Uso de red implementada anteriormente Condición Se encontró que la implementación del sistema de gestión de historias clínicas se realizó en base a una red de datos ya implementada con anterioridad, donde se compartía el acceso a Internet entre las distintas áreas involucradas. Criterio De acuerdo con la ISO 27033 se destina a la gestión de la seguridad, aplicaciones de servicios y/o redes, seguridad de los dispositivos de red y a la seguridad de información que se pasa mediante enlaces de comunicaciones. Causa Usar una red ya implementada en la cual no hay suficientes datos sobre su esquema o como esta ha sido implementada. Efecto Corte en las comunicaciones entre las áreas involucradas, alta latencia, vulnerabilidad de la red. Recomendación Es recomendable un nuevo armado de la red de datos de la empresa, y con ello tener claro su esquema de red, tanto por seguridad como para preservar la integridad de los mismos. 18 Adaptación lenta al nuevo sistema Condición Se encontró que algunos usuarios aún no se han adaptado completamente al uso sistema de gestión de historias clínicas y esto ralentiza el proceso de migración. Criterio Se toma en consideración los modelos de buenas prácticas, en donde se establece la diferenciación de manuales para el usuario técnico y el usuario final. causa Los manuales entregados para el uso del sistema de gestión de historias clínicas, en algunos apartados resultan ser muy técnicos y poco comprensibles para el usuario final. Efecto Mal manejo del sistema, datos erróneos, demora en la atención al paciente. Recomendación Es recomendable que se modifiquen los manuales y omitir y/o cambiar los términos técnicos, además se recomienda un mayor número de capacitaciones a las distintasáreas involucradas. Capacidad de almacenamiento de información limitada Condición Se encontró que el tamaño del servidor de datos podría quedar insuficiente en un tiempo medio, ante la cantidad de data que se genera diariamente. Criterio La norma de la gestión de la calidad ISO 9001:2015, asegura que se debe de tomar en cuenta el tamaño de la empresa y el tipo de actividad que realiza, además de los procesos, productos y servicios, para definir los criterios en cuanto al desarrollo del sistema. Causa No hubo una correcta medición de capacidad de almacenamiento, considerando la data que se genera diariamente y la data que se necesita almacenar para terminar la migración total del sistema. Efecto El tamaño actual del servidor de datos quedaría insuficiente en un tiempo próximo, pudiendo ocasionar comportamientos erróneos del sistema. Recomendación Realizar las mediciones correspondientes para tener un alcance de la capacidad de almacenamiento de datos necesaria. 19 Migración incompleta Condición Se encontró que la migración del sistema aún no ha sido total en todas las áreas involucradas. Criterio La norma ISO 15489 se centra en los principios de la gestión de documentos y establece los requisitos básicos para establecer un marco de buenas prácticas. Causa No se consideró el tamaño de data existente en físico, el cual debe ser volcado al sistema actual. Efecto Datos incompletos, demora en la atención al paciente, vulnerabilidad de datos. Recomendación Armar dos grupos del área de TI, el cual el primero se encargue exclusivamente del volcado de datos al sistema y el segundo se encargue de verificar la integridad de los mismos en el sistema actual. 4.3. Fase 3 – Informe de la Auditoría 4.3.1. Introducción al Informe El informe de auditoría está basado en el sistema de Gestión de Historia Clínica del centro de salud y terapias Madre de Dios. 4.3.2. Principales Observaciones - El sistema de soporte no tiene manual de usuario amigable para usuarios no técnicos del sistema. - No se tiene un registro de las personas que acceden al área de cómputo. - No tienen Procesos establecidos (personal de archivo). - No tienen mantenimiento preventivo. 4.3.3. Recomendaciones y Plan de Acción / Mejoras - Gestión de contraseñas de usuario: Se debería considerar en implementar mejores canales seguros de entrega de contraseñas (sobres cerrados, actas de conformidad). - Restricción del Acceso a la información: Mejorar el mecanismos de restricción y control en los sistemas críticos para el acceso indebido a la información de la institución, como permisos de privilegios a las carpetas que almacenan la información a cada área, las validaciones al sistema son propias de cada perfil de negocio, no pudiendo acceder y manipular otras funcionalidades que no le corresponden. - Gestión de la Seguridad en las Redes: Si bien se cuenta con las herramientas de protección a nivel de red local, se debería considerar adquirir Switch administrables para una mejor gestión de la red. Se debería diagramar 20 la red local y perimetral para tener una rápida identificación y acción ante una posible falla de algún componente de red. - Mantenimiento de Equipos: Se cuenta con un plan de mantenimiento de equipos, pero se debería programar y ejecutar el mantenimiento de servidores y equipos de comunicación por los menos 2 veces al año. - Copias de Seguridad: Se cuenta con el procedimiento de Backups, pero no se observa las pruebas de recupero exitosas o estadística de Porcentaje de operaciones de backups exitosas, se recomienda programar su realización. - Responsabilidad y Procedimientos de Operación: Se cuenta con los mecanismos de Operación y monitoreo, pero se recomienda realizar procedimientos y registros para evidenciar la supervisión y para mejores tomas de decisiones futuras de crecimiento de infraestructura. - Elaborar y/o actualizar los manuales de usuario: haciendo uso de un lenguaje amigable y de fácil entendimiento para los usuarios finales. 5. CONCLUSIONES ● La auditoría ha sido realizada cumpliendo el alcance del servicio y se dio en las áreas de negocio del sistema auditado, las cuales fueron Área de TI soporte y mantenimiento y el Área de Archivo y Documentación Clínica. ● La auditoría se llegó a cumplir con los puntos indicados y en las fechas pactadas con previa coordinación del cliente. ● Se encontraron 6 oportunidades de mejora. ● Consideramos que las oportunidades de mejora deben tomarse oportunamente mediante acciones de mejora y con objetivos específicos en el periodo que se programe la organización. 6. RECOMENDACIONES ● Las conformidades y oportunidades de mejoras deben ser analizadas por las diferentes partes interesadas del centro de Salud. ● Proponer una Política de Seguridad de la Información avalado por la alta dirección para orientar y establecer a las buenas prácticas en materia de seguridad de la información a toda la institución ● Proponer y establecer qué parte del proceso de contratación se establezca una inducción en materia de seguridad de la información y realizar un plan anual de capacitación y concientización. ● Revisar y ejecutar los planes de mantenimiento de servidores y los planes de contingencia tecnológica para su mejora y actualización de los mismos. 21 7. ANEXOS: ANEXO A: CUESTIONARIO CUANTITATIVO 22 23 ANEXO B: ENCUESTAS Nuestra población fue de 05 personas técnicos / especialistas que utilizan el sistema día a día y han acompañado el proceso de implementación del sistema de gestión de historias de la clínica. 24 ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS Escala valorativa 1 Muy malo 2 Malo 3 Regular 4 Bueno 5 Muy bueno 1. Nivel de compromiso de la alta gerencia en aspectos de transformación digital Encuestado 1 3 Encuestado 2 3 Encuestado 3 4 Encuestado 4 4 Encuestado 5 5 Total 4 Resultado Bueno 25 2. Importancia de los sistemas de información dentro de la clínica Encuestado 1 3 Encuestado 2 3 Encuestado 3 4 Encuestado 4 4 Encuestado 5 5 Total 4 Resultado Bueno 3. Existe caída de servicio del sistema de gestión de historia clínica implementado Encuestado 1 1 Encuestado 2 2 Encuestado 3 3 Encuestado 4 2 Encuestado 5 1 Total 2 Resultado Malo 4. Importancia de la seguridad de los sistemas de información en la clínica Encuestado 1 4 Encuestado 2 5 Encuestado 3 3 Encuestado 4 3 Encuestado 5 5 Total 4 Resultado Bueno 5. Existe respaldo de información ante perdida de información Encuestado 1 4 Encuestado 2 5 Encuestado 3 3 Encuestado 4 3 Encuestado 5 5 Total 4 Resultado Bueno 26 6. Cuentan con alta disponibilidad el sistema de gestión de clínicas Encuestado 1 4 Encuestado 2 5 Encuestado 3 3 Encuestado 4 3 Encuestado 5 5 Total 4 Resultado Bueno 7. Existe monitoreo del sistema de gestión de historias clínicas Encuestado 1 5 Encuestado 2 5 Encuestado 3 4 Encuestado 4 4 Encuestado 5 5 Total 5 Resultado Muy bueno 8. Existe personal capacitado para el uso del sistema de gestión de historias clínicas Encuestado 1 2 Encuestado 2 3 Encuestado 3 3 Encuestado 4 1 Encuestado 5 4 Total 3 Resultado Regular 9. Se tiene claros los procedimientos en el manejo del sistema de gestión de historias clínicas Encuestado 1 3 Encuestado 2 3 Encuestado 3 3 Encuestado 4 2 Encuestado 5 4 Total 3 Resultado Regular 27 10. El funcionamiento del sistema de gestión de historias clínicas es optimo Encuestado 1 4 Encuestado 2 4 Encuestado 3 3 Encuestado 4 3 Encuestado 5 5 Total 4 ResultadoBueno Guía de evaluación: 28 ANEXO D: MATRIZ DE RIESGO Nivel de Impacto Nivel de Riesgo: Producto de la probabilidad de ocurrencia de un riesgo y nivel de impacto de sus consecuencias ● Bajo Riesgo = (verde) ................(0.01-0.30) ● Medio Riesgo = (amarillo) ..........(0.31-0.60) ● Alto Riesgo = (rojo).................... (0.60-1.00) Identificación de Riesgos Riesgo Causas Agente Generador Efecto Probabilidad (0.00 – 1.00) Consecuencia (0.00 – 1.00) Nivel de Riesgo Controles Cronograma Indicador Acceso de Usuarios -Mal manejo de perfil de usuario. Falta de administración de los perfiles de usuario. -Ingreso de funciones de otros usuarios. -Cambio de datos en la base. -Problemas de seguridad 0.30 0.80 0.24 -Establecer los perfiles de accesos de los usuarios en el sistema. Anual. -Listado de perfil de usuario. Backup (respaldo) dentro del mismo servidor principal -Discos duros con limitados almacenaje. -Falta de presupuesto. Pérdida de información, pérdidas económicas, podría afectar la continuidad de la empresa. 0.50 0.80 0.40 -Implementar un servidor Backups descentralizado. Anual -Estructura de la red de datos. 29 Uso de red implementada anteriormente - Red ya implementada en la cual no hay suficientes datos sobre su esquema o como esta ha sido implementada. . Corte en las comunicaciones entre las áreas involucradas, alta latencia, vulnerabilidad de la red. 0.50 0.70 0.35 -Implementar un mapeo de toda la red. 6 meses. -plano de la red estructurada del centro de salud. Adaptación lenta al nuevo sistema -Falta de capacitación al personal. -Falta de implementación de capacitación por parte de la Administración. -Mal manejo del sistema. -No se utiliza la capacidad del sistema al 100% 0.40 0.50 0.20 -Realizar un cronograma de capacitación. -Implementar cronograma de capacitación. 3 meses. -manual de actividades del sistema. Capacidad de almacenamiento de información limitada. -No estimar el crecimiento de los datos -Falta de implementación de capacidad de almacenamiento de la información. Saturación de la información. -Perdida de información. -Colapso del sistema. 0.80 0.50 0.40 -Ampliar la capacidad de almacenamiento de los discos duros. Anual. -Registro de almacenaje de la información. Migración incompleta No se consideró el tamaño de data existente en físico, el cual debe ser volcado al sistema actual. - Desconocimiento de la estructura organizacional. Datos incompletos, demora en la atención al paciente, vulnerabilidad de datos 0.70 0.50 0.35 -realizar un cronograma para la ampliación del sistema a las áreas excluidas. - 6 meses. --plano de la red estructurada del centro de salud.