ejemplo TRABAJO FINAL auditoria 2019

Vista previa del material en texto

1 
 
 
 
 
 
 
 
 
FACULTAD DE INGENIERÍA DE SISTEMAS Y 
ELECTRÓNICA 
 
Carrera de Ingeniería de Sistemas e Informática 
 
 
“Auditoria Post-Implementación de Sistema integral 
para la gestión de historias clínicas de pacientes de 
centros de salud.” 
 
 
Integrantes: 
 
Berrocal Vasquez, Ashly Adolfo - 1210073 
Ccahuana Layme, Edward Andrei - 1411857 
Charalla Quispe, Felipe Gustavo - 1120557 
Peralta Trejo, Gustavo Alonso - 1420911 
Ochoa Roja, Alain Fernando - U18101468 
Navarro Ayala, Maykon Abraham - 1613891 
 
Docente: 
Rojas Nieves, Luis Alfonso 
 
 
 
Lima, 25 noviembre del 2019 
 
2 
 
INDICE 
 
1. INTRODUCCIÓN ........................................................................................................... 4 
2. DEFINICIÓN DEL PROBLEMA ........................................................................................ 5 
2.1. Planteamiento del Problema .................................................................................... 5 
2.2. Formulación del Problema ....................................................................................... 5 
3. MARCO REFERENCIAL .................................................................................................. 6 
3.1. Marco Contextual ..................................................................................................... 6 
3.1.1. Datos de la Empresa .......................................................................................... 6 
3.1.2. Misión ................................................................................................................. 6 
3.1.3. Visión .................................................................................................................. 6 
3.1.4. Organigrama ....................................................................................................... 6 
3.1.5. Descripción Aplicativo ....................................................................................... 7 
4. DESARROLLO DE LA AUDITORÍA ............................................................................... 10 
4.1. Fase 1 - Elaboración del Plan de Auditoría ........................................................... 10 
4.1.1. Objetivos........................................................................................................... 10 
4.1.2. Plan de Auditoría .............................................................................................. 11 
4.1.3. Recursos........................................................................................................... 14 
4.2. Fase 2 - Ejecución del Plan de Auditoría .............................................................. 15 
4.2.1. Proceso de Recolección de Información y Planeamiento de Actividades ... 15 
4.2.2. Cuestionario Cuantitativo ................................................................................ 15 
4.2.3. Entrevistas ........................................................................................................ 15 
4.2.4. Técnicas y Herramientas Utilizadas ................................................................ 15 
4.2.5. Valoración del Riesgo ...................................................................................... 15 
4.2.6. Matriz de Probabilidad e Impacto .................................................................... 16 
4.2.7. Hallazgos Producidos por efecto de la Auditoría .......................................... 16 
4.3. Fase 3 – Informe de la Auditoría ............................................................................ 19 
4.3.1. Introducción al Informe ................................................................................... 19 
4.3.2. Principales Observaciones.............................................................................. 19 
4.3.3. Recomendaciones y Plan de Acción / Mejoras .............................................. 19 
5. CONCLUSIONES ........................................................................................................... 20 
6. RECOMENDACIONES ................................................................................................... 20 
7. ANEXOS: ....................................................................................................................... 21 
ANEXO A: CUESTIONARIO CUANTITATIVO ............................................................... 21 
ANEXO B: ENCUESTAS ................................................................................................ 23 
ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS ......................................... 24 
3 
 
ANEXO D: MATRIZ DE RIESGO .................................................................................... 28 
 
 
4 
 
1. INTRODUCCIÓN 
Los Sistemas Informáticos se han constituido en las herramientas más poderosas para 
materializar uno de los conceptos más vitales y necesarios para cualquier organización 
empresarial, la gestión de datos. 
Es por ello el centro de salud Madre de Dios el año pasado decidió migrar su sistema de 
gestión de historias clínicas de pacientes el cual se ha venido desarrollando de manera 
manual, con las siguientes falencias que esta conlleva, data duplicada, perdida de 
información sensible para el paciente, información privada vulnerada por terceros, etc. 
Se desarrolló e implemento un sistema integral para la gestión de historias clínicas de 
pacientes del centro de salud. Este sistema integra las siguientes áreas: caja, admisión, 
estadística y unidades prestadoras de servicio de salud (médicos especialistas). 
Nuestro trabajo de auditoria se abocará en analizar dicha implementación y migración de 
la gestión de las historias clínicas, buscando comprobar la integridad de los datos ahora 
manejados por el sistema, así como, los perfiles de usuario que tienen acceso a dicha 
data. Con ello poder entregar un informe del impacto positivo o negativo que esta migración 
de gestión de historias clínicas ha tenido en el centro de salud, para la respectiva toma de 
decisiones de la alta gerencia. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
2. DEFINICIÓN DEL PROBLEMA 
2.1. Planteamiento del Problema 
Es una constante que, en muchos centros de salud de nuestro país, el manejo de las 
historias clínicas y diversas documentaciones, aun se realizan de manera manual. 
Esto genera un tiempo muerto que conlleva al malestar general de los pacientes y aun 
déficit administrativo innecesario, para los diversos procesos involucrados. 
El proyecto de la implementación del sistema de gestión de historias clínicas tuvo 
como objetivo general, eliminar el tiempo muerto por el manejo de las historias clínicas 
y documentaciones adyacentes de manera manual anteriormente, diseñando e 
implementando un sistema integral automatizado que agilice y optimice la gestión de 
atención hacia los pacientes. 
Sabemos que, una vez instalado un sistema informático, que en definitiva es una 
herramienta, como tal necesitará de personal capacitado para la configuración y 
administración de los recursos para su correcto funcionamiento. El impacto que tendrá 
tanto en el personal administrativo y sobretodo en el staff médico que es el primer 
interesado en el manejo de las historias clínicas, es la métrica necesaria para resolver 
si el proyecto fue realizado con éxito. 
 
2.2. Formulación del Problema 
Una vez ha sido realizada la implementación del sistema de gestión de historias 
clínicas y habiendo este teniendo un funcionamiento dentro de lo establecido en 
cuanto a tiempo de aprendizaje, agilización de procedimientos, resultados iniciales 
etc. Es necesario realizar una auditoría para que la alta gerencia tenga las métricas 
necesarias para la siguiente toma de decisiones, buscando implementar sistemas de 
gestión en otras áreas necesarias de la empresa. 
 
 
 
 
 
 
 
 
6 
 
3. MARCO REFERENCIAL 
3.1. Marco Contextual 
3.1.1. Datos de laEmpresa 
El centro de salud y terapia Madre de Dios fue fundada el 1 de junio del 2008, al 
ser un centro de salud parroquial, fue creado bajo el compromiso hacia los 
pacientes, brindando servicios personalizados y con excelente atención, contando 
con ello con un equipo humano capacitado. 
3.1.2. Misión 
Lograr la satisfacción y confianza de nuestros pacientes y colaboradores. 
 
3.1.3. Visión 
Consolidarnos dentro de los más importantes centros de salud privado, con 
personal altamente capacitado, motivado y apoyado en la tecnología médica actual. 
 
3.1.4. Organigrama 
 
 
 
 
7 
 
3.1.5. Descripción Aplicativo 
El aplicativo de gestión de historias clínicas tuvo como objetivo general, la 
agilización del manejo de las historias clínicas entre las distintas especialidades y 
la fácil comunicación de este documento entre el staff medico en sus distintas 
especialidades según se requiera y así mismo las documentaciones adyacentes de 
manera manual anteriormente, diseñando e implementando un sistema integral 
automatizado que agilice y optimice la gestión de atención hacia los pacientes. 
Se describen a continuación algunos objetivos específicos del aplicativo: 
 
 Un sistema informático que permita la integración de los diversos procesos 
en los servicios de salud. 
 Generar reportes financieros en tiempo real de los diversos pagos en los 
diferentes servicios de salud. 
 Facilitar la búsqueda de las historias clínicas de los pacientes. 
 Llevar un historial de atención de cada paciente, que pueda ser compartido 
por cada especialidad médica cuando esta sea requerida. 
 
Se describen a continuación algunos alcances y limitaciones del aplicativo: 
 
 El presente proyecto espera ser una herramienta importante para la gestión 
de las historias clínicas, así como, facilitar el proceso de atención a cada 
paciente. 
 El alcance de este proyecto es de manera local, tanto el sistema como la 
base de datos es manejada y controlada de manera local. 
 
 El sistema solo gestiona pacientes de un centro de salud. 
 No comparte historias clínicas con otros centros de salud. 
 
 
Imágenes referenciales del Sistema de Gestión Integral de Historias Clínicas: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Módulo de Ingreso 
 
 
8 
 
Pantalla Principal 
 
 
Módulo de Listado del Registro de Pacientes 
 
 
 
 
9 
 
 
Módulo de Ingreso de Pacientes 
 
 
Módulo de ingreso de Historias Clínicas 
 
10 
 
4. DESARROLLO DE LA AUDITORÍA 
4.1. Fase 1 - Elaboración del Plan de Auditoría 
4.1.1. Objetivos 
4.1.1.1 Objetivo General 
Realizar la Auditoria de Hardware y Software del sistema, asociada a la post 
implementación del sistema; la auditoría tomará como referencia puntos de 
“Código de Buenas Prácticas”, el cual cubre los controles de Seguridad de 
la Información y Continuidad del Negocio, según alcance del servicio. 
4.1.1.2 Objetivos Específicos 
- Evaluar si existe una clara definición de los procesos del área Archivo y 
documentación clínica. 
- Verificar el funcionamiento del sistema y si cumple las expectativas de los 
usuarios. 
- Revisar y verificar los controles internos para el registro de los datos. 
- Evaluar que se cumplan el proceso de resguardo adecuado y protección de 
activos. 
- Evaluar las métricas de valor del impacto del sistema en la clínica. 
- Dar un seguimiento permanente de las observaciones y sugerencias 
formuladas por los auditores internos. 
4.1.1.3 Alcance 
Parte de hardware: 
 
- Revisión de los Planes de Contingencia. 
- Plan de Mantenimiento. 
- Planes de Respaldo (backups y configuración). 
- Infraestructura (Condiciones físicas del Servidor, registros de sucesos, 
capacidad de hardware, memoria, puertos de conexión, puertos de 
entrada; límites de operación, temperatura del ambiente, ubicación 
adecuada). 
- Revisión de accesos a los servidores. 
 
Parte de Software: 
 
- Control del Sistema (Revisión de controles de seguridad en la etapa 
actual de operación). 
11 
 
- Manual del Usuario. 
- Registros de Capacitación. 
- Validación de resultados esperados y no esperados. 
- Control de Acceso, Roles y Perfiles del sistema. 
4.1.2. Plan de Auditoría 
4.1.2.1 Investigación Preliminar 
 
A) Mecanismos para la realización de la investigación preliminar 
- Determinar los recursos informáticos de la organización y su estructura 
organizacional. 
- Evaluar la importancia del Sistema de Información, los procesos de 
negocio, y el funcionamiento que son objeto de la auditoría y el soporte 
que los recursos dan. 
- Determinar si los controles existentes protegen la empresa contra 
riesgos identificados. 
- Conocer de manera global el software, identificando los elementos que 
apoyan la seguridad. 
B) Objetivo de la Investigación Preliminar 
Se deberá observar el estado general del sistema, la situación que tiene 
dentro de la organización, si existe la información solicitada, priorización 
de información (fecha de actualización). 
Se realizará la investigación preliminar solicitando y revisando la 
información, basándose en los siguientes puntos: 
- Recopilación de información para obtener una visión general del 
sistema por medio de observaciones, entrevistas preliminares y 
solicitud de documentos para poder definir los objetivos y alcances. 
 
- Descripción general de los módulos, manual de formas, fechas de 
instalación, descripción genérica y la documentación respectiva. 
 
- Personal participante de la auditoría y sus características. 
 
- Información facilitada de manera general por las demás áreas. 
 
- La revisión de la gestión de los recursos informáticos. 
12 
 
4.1.2.2 Recolección de Información 
 
A) Observación: 
Identificar los factores que intervienen dentro del funcionamiento del 
software y el hardware necesario que permita obtener la información 
relevante sobre el comportamiento del sistema, de las funciones y 
actividades, los procedimientos y operación y de cualquier hecho que 
ocurra en el área. 
B) Cuestionario: 
Serán preguntas impresas en formatos o fichas en que el auditado 
responderá de acuerdo con su criterio, de esta manera se obtiene 
información que posteriormente se clasificará e interpretará por medio de 
la tabulación y análisis, para evaluar lo que se está auditando y emitir una 
opinión sobre el aspecto evaluado. Estará incluido dentro de la encuesta 
que se le aplicará al equipo de Ti, usuario del sistema. 
(Ver anexo A) 
C) Encuesta: 
Se recolectará información sobre aspectos como el servicio, el 
funcionamiento del sistema, la facilidad de los usuarios al momento de 
registrar nuevos datos. (Ver anexo B) 
4.1.2.3 Aplicación de Instrumentos 
 
A) Evaluación e Inspección 
 La evaluación se efectuará mediante pruebas de calidad y cumplimiento 
de funciones, actividades y procedimientos que se realizan. Se verificará 
la forma de realizar los procesos, evaluar la aplicación de técnicas, 
métodos o procedimientos de trabajo, el resultado de las operaciones, 
comprobar la operación correcta del sistema y otros aspectos relevantes. 
Se evaluará la eficiencia y eficacia del sistema, en cuanto a operación y 
procesamiento de datos para reducir los riesgos y unificar el trabajo hasta 
finalizarlo. La inspección se realizará a cualquiera de las actividades, 
operaciones y componentes que rodean al aplicativo. 
(Ver anexo C) 
 
 
 
13 
 
B) Matriz de Evaluación de Riesgos 
Se recolectará la información sobre los procesos y actividades del sistema 
auditado, reconociendo los riesgos inherentes a estos, así como si se 
están o no aplicando controles, identificaremos los factores que producen 
estos riesgos y que efecto tienen en el centro de salud, se especificara un 
rango de métricas para valorizar el impacto de estas y se propondrá y 
confrontara los riesgos con controles y soluciones para mitigarlas lo 
máximo posible. 
4.1.2.4 Ejecución de Pruebas 
 
● Aplicar los instrumentosde recolección de información. 
● Ejecutar las pruebas del plan de pruebas. 
● Determinar las vulnerabilidades y amenazas informáticas. 
● Realizar la valoración de las amenazas y vulnerabilidades encontradas y 
probadas. 
● Realizar el proceso de evaluación de riesgos del aplicativo. 
● Determinar el tratamiento de los riesgos del sistema de Gestión de 
Historias Clínicas. 
4.1.2.5 Proceso de Análisis y Evaluación de Riesgos 
 
Se elabora el cuadro de riesgos y controles que se ven enfrentados, hacer 
la evaluación de riesgos, y matriz de riesgos. 
 4.1.2.6 Tratamientos de Riesgos 
 
Se determinará el tratamiento de los riesgos de acuerdo con la matriz de 
riesgos, se propondrán controles de acuerdo con la magnitud que se 
examinó, y se definirán las posibles soluciones. 
 4.1.2.7 Dictamen de la Auditoria 
 
Se determina el grado de madurez de la organización en el manejo de cada 
uno de los procesos evaluados, además de medir el grado de madurez de 
acuerdo con los hallazgos detectados en cada proceso. 
14 
 
4.1.2.8 Informe Final de la Auditoria 
 
Se procederá a la elaboración del informe ejecutivo, organización de 
papeles de trabajo para su entrega a los interesados, en ella se recogen los 
hallazgos detectados y la documentación que sustenta el informe. 
4.1.3. Recursos 
4.1.3.1 Materiales 
Los materiales a usar son 5 portátiles (Laptop), impresora, papel, lapiceros y 
los documentos a mención: 
● Manual de procedimientos de los sistemas. 
● Descripción genérica. 
● Diagramas de entrada, archivos, salida del software. 
● Fecha de instalación del sistema. 
4.1.3.2 Tecnológicos 
El servidor del sistema de soporte se encuentra en un cuarto con aire 
acondicionado, además de otros servidores como de servicios de impresión, 
antivirus, y otros sistemas de otras áreas. Además se cuenta con equipos de 
cómputo actualizados. 
4.1.3.3 Financieros 
La Auditoría es financiada por el contratista la Clínica Madre de Dios. 
4.1.3.4 Cronograma 
 
 
15 
 
4.2. Fase 2 - Ejecución del Plan de Auditoría 
4.2.1. Proceso de Recolección de Información y Planeamiento de Actividades 
 
Durante la elaboración del informe se procede a la recolección de datos del 
proceso estratégico de gestión de historias clínicas del área de archivo, se 
realizará el análisis de las conformidades para que los colaboradores puedan 
mejorar la calidad de servicio, el cual serán evaluadas y verificadas según los 
hechos que corresponde al área auditada, al finalizar este informe, brindara 
evidencias que serán apropiadas para la mejora del área de Archivo y 
Documentación Clínica de la Dirección Medica en el uso del sistema a auditar. 
4.2.2. Cuestionario Cuantitativo 
 
Para la elaboración del cuestionario realizado al personal del área de TI, técnico 
y administrativo del sistema, nos brindara una mejor vista de que se tiene 
actualmente y que es lo que faltaría realizarse. 
4.2.3. Entrevistas 
 
Para la entrevista como la principal técnica de recopilación de información del 
auditor se tiene en cuenta al analista de TI dentro del área auditada. 
4.2.4. Técnicas y Herramientas Utilizadas 
 
Para la elaboración del presente informe, se utilizará la herramienta de entrevistas 
y cuestionario cualitativo realizadas al área auditada, asimismo se tomará en 
cuenta a un personal para registrar sus actividades laborales, el cual nos permitirá 
tener una muestra de la forma de trabajo en dicha área. 
4.2.5. Valoración del Riesgo 
 
Para este punto se tiene en cuenta el impacto presentado por las encuestas 
realizadas al jefe de sistemas, el cual nos dará la probabilidad de ocurrencia en 
el modo de alto, medio y bajo riesgo, mostrándose según su nivel de impacto. 
 
 
 
16 
 
4.2.6. Matriz de Probabilidad e Impacto 
 
 
 
 
 
 
 
4.2.7. Hallazgos Producidos por efecto de la Auditoría 
 
Los hallazgos encontrados permiten determinar las partes más vulnerables que 
tiene el área auditada para que posteriormente sean informados y corregido 
correctamente. 
Acceso de usuarios 
Condición En la revisión se evidenció que algunos usuarios 
cuentan con acceso no autorizados a datos que no 
deberían ser parte de su perfil de acceso, pudiéndose 
así realizar acciones negativas por parte de algunos 
usuarios ya sea por negligencia o por 
desconocimiento por parte de este. 
Criterio De acuerdo con la norma ISO 27002 se debe 
implantar procedimientos formales para controlar la 
asignación de derechos de acceso a los sistemas de 
información, para que así no sea utilizado por 
cualquier personal o algún externo. 
Causa Falta de actualización de permisos del sistema o 
cambios de permisos no planificada para cada perfil 
de usuario. 
Efecto Tratamiento de la información sin autorización, 
vulnerabilidad de secreto profesional por parte de la 
clínica, pérdidas económicas. 
Recomendación Se recomienda proteger el sistema o implementar un 
plan de actualización de permisos con el fin de asignar 
a los usuarios los tipos de permisos definidos por la 
empresa. 
 
 
 
 
 Nivel de Impacto 
 
Nivel de 
Probabilidad 
1 -Bajo 2 - Moderado 3 - Severo 
1 – Poco 1 2 3 
2 – Mediano 2 4 6 
3 - Alto 3 6 9 
17 
 
Backup (respaldo) dentro del mismo servidor principal 
Condición Se encontró que el Backups del servidor de datos se 
encuentra dentro del mismo servidor, en forma de 
disco espejo, en caso que caiga el disco primario el 
disco espejo entra en funcionamiento. Esto no es lo 
recomendable. 
Criterio De acuerdo con la norma ISO 27001 define el dominio 
Seguridad de las operaciones (A.12) a través de 
distintos objetivos de control, uno de los cuales es el 
de Backups (A.12.3), que tiene como propósito 
proteger a las organizaciones contra la pérdida de 
información. 
Causa Falta un servidor completo de respaldo que cumpla 
dicha función con mayor garantía de seguridad. No se 
ha previsto en el diseño de la arquitectura física del 
sistema. 
Efecto Pérdida de información, pérdidas económicas, podría 
afectar la continuidad de la empresa. 
Recomendación Implementar un servidor de respaldo, que cuente con 
autonomía, ante alguna falla o caída del servidor 
principal. 
 
Uso de red implementada anteriormente 
Condición Se encontró que la implementación del sistema de 
gestión de historias clínicas se realizó en base a una 
red de datos ya implementada con anterioridad, donde 
se compartía el acceso a Internet entre las distintas 
áreas involucradas. 
Criterio De acuerdo con la ISO 27033 se destina a la gestión 
de la seguridad, aplicaciones de servicios y/o redes, 
seguridad de los dispositivos de red y a la seguridad 
de información que se pasa mediante enlaces de 
comunicaciones. 
Causa Usar una red ya implementada en la cual no hay 
suficientes datos sobre su esquema o como esta ha 
sido implementada. 
Efecto Corte en las comunicaciones entre las áreas 
involucradas, alta latencia, vulnerabilidad de la red. 
Recomendación Es recomendable un nuevo armado de la red de datos 
de la empresa, y con ello tener claro su esquema de 
red, tanto por seguridad como para preservar la 
integridad de los mismos. 
 
18 
 
Adaptación lenta al nuevo sistema 
Condición Se encontró que algunos usuarios aún no se han 
adaptado completamente al uso sistema de gestión 
de historias clínicas y esto ralentiza el proceso de 
migración. 
Criterio Se toma en consideración los modelos de buenas 
prácticas, en donde se establece la diferenciación de 
manuales para el usuario técnico y el usuario final. 
causa Los manuales entregados para el uso del sistema de 
gestión de historias clínicas, en algunos apartados 
resultan ser muy técnicos y poco comprensibles para 
el usuario final. 
Efecto Mal manejo del sistema, datos erróneos, demora en 
la atención al paciente. 
Recomendación Es recomendable que se modifiquen los manuales y 
omitir y/o cambiar los términos técnicos, además se 
recomienda un mayor número de capacitaciones a 
las distintasáreas involucradas. 
 
Capacidad de almacenamiento de información limitada 
Condición Se encontró que el tamaño del servidor de datos 
podría quedar insuficiente en un tiempo medio, ante 
la cantidad de data que se genera diariamente. 
Criterio La norma de la gestión de la calidad ISO 9001:2015, 
asegura que se debe de tomar en cuenta el tamaño 
de la empresa y el tipo de actividad que realiza, 
además de los procesos, productos y servicios, para 
definir los criterios en cuanto al desarrollo del 
sistema. 
Causa No hubo una correcta medición de capacidad de 
almacenamiento, considerando la data que se 
genera diariamente y la data que se necesita 
almacenar para terminar la migración total del 
sistema. 
Efecto El tamaño actual del servidor de datos quedaría 
insuficiente en un tiempo próximo, pudiendo 
ocasionar comportamientos erróneos del sistema. 
Recomendación Realizar las mediciones correspondientes para tener 
un alcance de la capacidad de almacenamiento de 
datos necesaria. 
 
 
 
19 
 
Migración incompleta 
Condición Se encontró que la migración del sistema aún no ha 
sido total en todas las áreas involucradas. 
Criterio La norma ISO 15489 se centra en los principios de la 
gestión de documentos y establece los requisitos 
básicos para establecer un marco de buenas 
prácticas. 
Causa No se consideró el tamaño de data existente en 
físico, el cual debe ser volcado al sistema actual. 
Efecto Datos incompletos, demora en la atención al 
paciente, vulnerabilidad de datos. 
Recomendación Armar dos grupos del área de TI, el cual el primero 
se encargue exclusivamente del volcado de datos al 
sistema y el segundo se encargue de verificar la 
integridad de los mismos en el sistema actual. 
 
4.3. Fase 3 – Informe de la Auditoría 
4.3.1. Introducción al Informe 
El informe de auditoría está basado en el sistema de Gestión de Historia Clínica 
del centro de salud y terapias Madre de Dios. 
4.3.2. Principales Observaciones 
- El sistema de soporte no tiene manual de usuario amigable para usuarios no 
técnicos del sistema. 
- No se tiene un registro de las personas que acceden al área de cómputo. 
- No tienen Procesos establecidos (personal de archivo). 
- No tienen mantenimiento preventivo. 
4.3.3. Recomendaciones y Plan de Acción / Mejoras 
- Gestión de contraseñas de usuario: Se debería considerar en implementar 
mejores canales seguros de entrega de contraseñas (sobres cerrados, actas 
de conformidad). 
 
- Restricción del Acceso a la información: Mejorar el mecanismos de 
restricción y control en los sistemas críticos para el acceso indebido a la 
información de la institución, como permisos de privilegios a las carpetas que 
almacenan la información a cada área, las validaciones al sistema son propias 
de cada perfil de negocio, no pudiendo acceder y manipular otras 
funcionalidades que no le corresponden. 
 
- Gestión de la Seguridad en las Redes: Si bien se cuenta con las 
herramientas de protección a nivel de red local, se debería considerar adquirir 
Switch administrables para una mejor gestión de la red. Se debería diagramar 
20 
 
la red local y perimetral para tener una rápida identificación y acción ante una 
posible falla de algún componente de red. 
 
- Mantenimiento de Equipos: Se cuenta con un plan de mantenimiento de 
equipos, pero se debería programar y ejecutar el mantenimiento de servidores 
y equipos de comunicación por los menos 2 veces al año. 
 
- Copias de Seguridad: Se cuenta con el procedimiento de Backups, pero no 
se observa las pruebas de recupero exitosas o estadística de Porcentaje de 
operaciones de backups exitosas, se recomienda programar su realización. 
 
- Responsabilidad y Procedimientos de Operación: Se cuenta con los 
mecanismos de Operación y monitoreo, pero se recomienda realizar 
procedimientos y registros para evidenciar la supervisión y para mejores tomas 
de decisiones futuras de crecimiento de infraestructura. 
 
- Elaborar y/o actualizar los manuales de usuario: haciendo uso de un 
lenguaje amigable y de fácil entendimiento para los usuarios finales. 
 
5. CONCLUSIONES 
● La auditoría ha sido realizada cumpliendo el alcance del servicio y se dio en las áreas 
de negocio del sistema auditado, las cuales fueron Área de TI soporte y mantenimiento 
y el Área de Archivo y Documentación Clínica. 
 
● La auditoría se llegó a cumplir con los puntos indicados y en las fechas pactadas con 
previa coordinación del cliente. 
 
● Se encontraron 6 oportunidades de mejora. 
 
● Consideramos que las oportunidades de mejora deben tomarse oportunamente 
mediante acciones de mejora y con objetivos específicos en el periodo que se programe 
la organización. 
6. RECOMENDACIONES 
● Las conformidades y oportunidades de mejoras deben ser analizadas por las diferentes 
partes interesadas del centro de Salud. 
● Proponer una Política de Seguridad de la Información avalado por la alta dirección para 
orientar y establecer a las buenas prácticas en materia de seguridad de la información 
a toda la institución 
 
● Proponer y establecer qué parte del proceso de contratación se establezca una 
inducción en materia de seguridad de la información y realizar un plan anual de 
capacitación y concientización. 
 
● Revisar y ejecutar los planes de mantenimiento de servidores y los planes de 
contingencia tecnológica para su mejora y actualización de los mismos. 
 
 
21 
 
 
7. ANEXOS: 
ANEXO A: CUESTIONARIO CUANTITATIVO 
 
 
 
 
 
22 
 
 
 
 
 
 
 
 
 
 
 
 
23 
 
ANEXO B: ENCUESTAS 
 
Nuestra población fue de 05 personas técnicos / especialistas que utilizan el sistema día 
a día y han acompañado el proceso de implementación del sistema de gestión de 
historias de la clínica. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
24 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS 
 
Escala valorativa 
1 Muy malo 
2 Malo 
3 Regular 
4 Bueno 
5 Muy bueno 
 
 
1. Nivel de compromiso de la alta gerencia 
en aspectos de transformación digital 
Encuestado 1 3 
Encuestado 2 3 
Encuestado 3 4 
Encuestado 4 4 
Encuestado 5 5 
Total 4 
Resultado Bueno 
 
 
 
25 
 
2. Importancia de los sistemas de 
información dentro de la clínica 
Encuestado 1 3 
Encuestado 2 3 
Encuestado 3 4 
Encuestado 4 4 
Encuestado 5 5 
Total 4 
Resultado Bueno 
 
 
3. Existe caída de servicio del sistema de 
gestión de historia clínica implementado 
Encuestado 1 1 
Encuestado 2 2 
Encuestado 3 3 
Encuestado 4 2 
Encuestado 5 1 
Total 2 
Resultado Malo 
 
 
4. Importancia de la seguridad de los 
sistemas de información en la clínica 
Encuestado 1 4 
Encuestado 2 5 
Encuestado 3 3 
Encuestado 4 3 
Encuestado 5 5 
Total 4 
Resultado Bueno 
 
 
5. Existe respaldo de información ante 
perdida de información 
Encuestado 1 4 
Encuestado 2 5 
Encuestado 3 3 
Encuestado 4 3 
Encuestado 5 5 
Total 4 
Resultado Bueno 
26 
 
6. Cuentan con alta disponibilidad el 
sistema de gestión de clínicas 
Encuestado 1 4 
Encuestado 2 5 
Encuestado 3 3 
Encuestado 4 3 
Encuestado 5 5 
Total 4 
Resultado Bueno 
 
 
7. Existe monitoreo del sistema de 
gestión de historias clínicas 
Encuestado 1 5 
Encuestado 2 5 
Encuestado 3 4 
Encuestado 4 4 
Encuestado 5 5 
Total 5 
Resultado Muy bueno 
 
8. Existe personal capacitado para el 
uso del sistema de gestión de historias 
clínicas 
Encuestado 1 2 
Encuestado 2 3 
Encuestado 3 3 
Encuestado 4 1 
Encuestado 5 4 
Total 3 
Resultado Regular 
 
 
9. Se tiene claros los procedimientos en 
el manejo del sistema de gestión de 
historias clínicas 
Encuestado 1 3 
Encuestado 2 3 
Encuestado 3 3 
Encuestado 4 2 
Encuestado 5 4 
Total 3 
Resultado Regular 
 
27 
 
10. El funcionamiento del sistema de 
gestión de historias clínicas es optimo 
Encuestado 1 4 
Encuestado 2 4 
Encuestado 3 3 
Encuestado 4 3 
Encuestado 5 5 
Total 4 
ResultadoBueno 
 
 
Guía de evaluación: 
 
 
 
 
 
 
28 
 
ANEXO D: MATRIZ DE RIESGO 
Nivel de Impacto 
 
Nivel de Riesgo: Producto de la probabilidad de ocurrencia de un riesgo y nivel de impacto de sus consecuencias 
 
● Bajo Riesgo = (verde) ................(0.01-0.30) 
● Medio Riesgo = (amarillo) ..........(0.31-0.60) 
● Alto Riesgo = (rojo).................... (0.60-1.00) 
 
Identificación de Riesgos 
 
Riesgo Causas Agente 
Generador 
Efecto Probabilidad 
(0.00 – 1.00) 
Consecuencia 
(0.00 – 1.00) 
Nivel 
de 
Riesgo 
Controles Cronograma Indicador 
Acceso de 
Usuarios 
-Mal manejo 
de perfil de 
usuario. 
 
Falta de 
administración 
de los perfiles de 
usuario. 
-Ingreso de 
funciones de 
otros usuarios. 
-Cambio de 
datos en la base. 
-Problemas de 
seguridad 
0.30 0.80 0.24 -Establecer los 
perfiles de 
accesos de los 
usuarios en el 
sistema. 
Anual. -Listado de 
perfil de 
usuario. 
Backup 
(respaldo) 
dentro del 
mismo servidor 
principal 
-Discos duros 
con limitados 
almacenaje. 
-Falta de 
presupuesto. 
 
Pérdida de 
información, 
pérdidas 
económicas, 
podría afectar la 
continuidad de 
la empresa. 
 
 
0.50 0.80 0.40 -Implementar un 
servidor 
Backups 
descentralizado. 
Anual -Estructura 
de la red de 
datos. 
29 
 
Uso de red 
implementada 
anteriormente 
- Red ya 
implementada 
en la cual no 
hay suficientes 
datos sobre su 
esquema o 
como esta ha 
sido 
implementada. 
. Corte en las 
comunicaciones 
entre las áreas 
involucradas, 
alta latencia, 
vulnerabilidad 
de la red. 
0.50 0.70 0.35 -Implementar un 
mapeo de toda la 
red. 
 
6 meses. -plano de la 
red 
estructurada 
del centro 
de salud. 
 
Adaptación 
lenta al nuevo 
sistema 
-Falta de 
capacitación al 
personal. 
-Falta de 
implementación 
de capacitación 
por parte de la 
Administración. 
-Mal manejo del 
sistema. 
-No se utiliza la 
capacidad del 
sistema al 100% 
0.40 0.50 0.20 -Realizar un 
cronograma de 
capacitación. 
-Implementar 
cronograma de 
capacitación. 
3 meses. -manual de 
actividades 
del sistema. 
Capacidad de 
almacenamiento 
de información 
limitada. 
 
-No estimar el 
crecimiento de 
los datos 
-Falta de 
implementación 
de capacidad de 
almacenamiento 
de la 
información. 
Saturación de la 
información. 
-Perdida de 
información. 
-Colapso del 
sistema. 
0.80 0.50 0.40 -Ampliar la 
capacidad de 
almacenamiento 
de los discos 
duros. 
 
Anual. -Registro de 
almacenaje 
de la 
información. 
Migración 
incompleta 
No se 
consideró el 
tamaño de 
data existente 
en físico, el 
cual debe ser 
volcado al 
sistema actual. 
-
Desconocimiento 
de la estructura 
organizacional. 
Datos 
incompletos, 
demora en la 
atención al 
paciente, 
vulnerabilidad 
de datos 
0.70 0.50 0.35 -realizar un 
cronograma para 
la ampliación del 
sistema a las 
áreas excluidas. 
- 
6 meses. --plano de la 
red 
estructurada 
del centro 
de salud.