TÍTULO

“Auditoría a las Aplicaciones que están en

funcionamiento en el HSJL”

HOSPITAL SAN JUAN DE LURIGANCHO

Murrugarra Ramirez, Jesus Emilio

Ponce Huallullo, Patrick Stev

Lima – Perú, Octubre del 2018

 INTRODUCCION
Hoy en día son muchas las organizaciones y/o empresas que tienen la difícil tarea de elegir un
software que cumplan todos sus procesos de negocios. El software se ha vuelto un recurso
estratégico e indispensable para las empresas.

En el Hospital San Juan de Lurigancho cuentan con el Sistema Integral de Gestión Hospitalaria
(SIGHOS), con este Sistema brindan las citas programadas para el público en general en el
área de módulo de citas.

También utilizan un software llamado APLICATIVO (Aplhsjl), sirve para tener un control de
ingresos y salidas de los medicamentos, precios de los medicamentos, etc. Este software está
enfocado principalmente para el Departamento de Farmacia.

La parte administrativa usa también lo que es el SIGA Y SIAF, que son aplicaciones para realizar
los requerimientos del HSJL.

A continuación evaluaremos la efectividad de los controles existentes y sugerir nuevos

controles, de tal forma que se pueda minimizar los riesgos y fortalecer el control de dichas
aplicaciones.
 RESEÑA HISTORICA

Desde el gobierno militar de agosto de 1975 se produce una invasión de pobladores a los
terrenos adyacentes al puente Huáscar. Siendo esta zona de gran peligro por la presencia de
cables de alta tensión, las autoridades de turno buscaron un lugar apropiado para trasladar a
los invasores. Del mismo modo, esta zona se ubicaba cerca al Río Rímac por lo que la zona era
pantanosa con grandes peligros para la salud constituyendo un foco de conocidas
enfermedades infecto contagiosas.

Ante presiones de las autoridades y dirigentes este pueblo joven envió al lugar una carpa
pequeña para la atención de la salud, permaneciendo hasta el 19 de febrero de 1976, fecha
decidida para su traslado. La decisión gubernamental fue firme y los invasores ocuparon
Canto Grande. El 20 de febrero de 1976,en dos carpas donadas por el ejército y la Cruz Roja
de la República Popular China, se instalaron en el paradero 10 de la Av. Canto Grande, donde
surgió lo que hoy conocemos como “Hospital San Juan de Lurigancho”, siendo su primer
médico jefe el Dr. Mario Chuy Chiu (1976-1983).

El 08 de julio del 2005 mediante R.D.N° 297-DG-DESP-DISA-III-LN-2005, se le reconoce como

Hospital II-1, brindando las cuatro especialidades básicas con 75camas de hospitalización y 09
de observación, para una población asignada de 104,303 habitantes y una demanda de 1
millón de habitantes del distrito por ser el único nosocomio de la zona, incrementándose
nuestra cobertura y capacidad resolutiva, hasta de mediana complejidad; y en la actualidad
continúa ampliándose la oferta al haberse ampliado nuevas especialidades médicas y
quirúrgicas para satisfacer los requerimientos de nuestros usuarios.

Durante estos 38 años hemos brindado nuestros esfuerzos con entrega y tenacidad, para
atender las necesidades de salud demandadas por nuestra comunidad.
Índice

1. Objetivos de la Auditoría: ....................................................... Error! Bookmark not defined.

1.1. Objetivo General ............................................................. Error! Bookmark not defined.
1.2. Objetivos Específicos....................................................... Error! Bookmark not defined.
1.3. Misión ............................................................................. Error! Bookmark not defined.
1.4. Visión............................................................................... Error! Bookmark not defined.
2. Equipo de Auditores................................................................ Error! Bookmark not defined.
3. Diagrama de Gantt .................................................................. Error! Bookmark not defined.
4. FODA DE TI (General) .............................................................. Error! Bookmark not defined.
5. Organigrama General .............................................................. Error! Bookmark not defined.
7. Documentos Importantes ....................................................... Error! Bookmark not defined.
8. Hallazgos: ................................................................................ Error! Bookmark not defined.
9. Conclusiones……………………………………………………………………………………………………………………….13
10. Anexo………………………………………………………………………………………………………………………………..15
OBJETIVOS DE LA AUDITORIA
Objetivo General:
El objetivo de esta auditoría es verificar las actividades realizadas para el funcionamiento del
Sistema SIGHOS Y APL del HSJL, dar conformidad con las necesidades del Hospital San Juan
De Lurigancho, que permitan a los usuarios correspondientes atender las necesidades de los
pacientes, para que los pacientes puedan sentirse satisfechos con la atención brindada.

Objetivos Específicos:

 Identificar, analizar y evaluar las fortalezas, debilidades, eficacia y efectividad del

ingreso, de los datos al sistema de aplicación en ejecución.
 Identificar, analizar y evaluar las fortalezas, debilidades, eficacia y efectividad en las
funciones de procesamiento y de almacenamiento en el sistema de aplicación en
ejecución.
 Identificar, analizar y evaluar las fortalezas, debilidades, eficacia y efectividad en las
funciones de salida de la información.

Misión:
Asegurar que los aplicativos que usa el Hospital SJL funcionen correctamente, y así poder
resolver todas las necesidades de los pacientes.

Visión:
Agilizar los procesos, para que no se generen colas, y así poder brindar una mejor atención al
paciente.
EQUIPO DE AUDITORES
 Jesus Murrugarra Ramírez

 Patrick Ponce Huallullo

DIAGRAMA DE GANTT
ANALISIS FODA
Fortalezas:
 Se cuenta con el recurso económico necesario.
 Personal Capacitado con mucha experiencia.

Oportunidades:
 Aprovechamiento de los recursos.
 Buen servicio y trato.
 Mejora de los procesos de seguridad de información.

Debilidades:
 El servidor donde se encuentran alojados los aplicativos están fallando.
 El data center no cuenta con los mantenimientos preventivos.
 El 40% de computadores del hsjl que utilizan los aplicativos tienen una antigüedad
mayor a 5 años.
 Hay caídas de internet que entorpecen las labores administrativas.

Amenazas:
 Rotación permanente del personal imposibilitando continuidad a os objetivos propuestos.
 Pérdida de información por la caída de los servidores.
 Falta de recursos para mejorar la infraestructura del Data center.
 Renovación de la Junta directiva por no estar capacitado.
ORGANIGRAMA
Documentos Principales
Empresa: Hospital San Juan de
Lurigancho
Documentos entregados por el Hospital San Juan de Lurigancho:

 MOF
 ROF
 ORGANIGRAMA
 MANUALES DE USUARIO
 PRECIO DE ADQUISION DE SOFTWARE
 INFORMACION CONFIDENCIAL
HALLAZGOS
Hallazgo N°1:
Se detectó la falta de seguridad a la hora de ingresar a los sistemas.
Existen usuarios que rotaron de área y siguen tienen acceso al sistema.

De la verificación in situ, se pudo evidenciar la falta de seguridad en el acceso al sistema,

durante el periodo 2016 a la actualidad.

NTP – ISO/IEC 27001

A.9 CONTROL DE ACCESO
A.9.2 GESTION DE ACCESO DE USUARIO
Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas
y servicios.
A.9.2.1 REGISTRO Y BAJA DE USUARIOS

Un proceso formal de registro y baja de usuarios debe ser implementado para permitir la
asignación de derechos de acceso.

En la entrevista realizada al señor Charlie Arostegui Ore, Técnico del área de TI, nos mostró
que este error se registra más en el área de admisión, ya que constantemente el personal de
dicha área está en constante rotación. También informa que el Responsable de dicha área
casi nunca informa de los cambios de usuario.

Se recomienda que el responsable del área de admisión tenga que realizar un control semanal
o diario de los usuarios, ya que se encuentran en constante rotación y luego comunicar al
área de informática los usuarios activos, ya que todo esto genera diversos problemas como
eliminación de citas, colas para los pacientes, etc.

Hallazgo N°2:
Se ha evidenciado la falta de licencia de antivirus en los equipos de cómputo de todo el
hospital. No cuentan con una licencia el cual puede generar graves daños como el robo de
información, etc.

De la verificación in situ, se pudo evidenciar que el antivirus esta desactualizado y sin

licencia, por ende la información no está segura, durante el periodo setiembre del 2018
hasta la actualidad.

NTP – ISO/IEC 27001

A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A.14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Garantizar que la seguridad de la Información es una parte integral de los sistemas de
información a través del ciclo de vida completo. Esto también incluye los requisitos para
sistemas de información que proporcionen servicios sobre redes públicas.
A.14.1.1 ANALISIS Y ESPECIFICACIONES DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
Requisitos relacionados a la seguridad de la información deben ser incluidos dentro de los
requisitos para nuevos sistemas de información o mejoras a los sistemas de información
existentes.

En la entrevista realizada al señor Yeyson Aquino Hinostroza, técnico del área de TI, hace
referencia que no cuentan con licencia de antivirus desde el mes de setiembre del 2018, al no
contar con una licencia de antivirus, todo el hospital se encuentra vulnerable a cualquier
ataque y/o robo de información.

Se recomienda agilizar el trámite para la compra de la licencia de antivirus, puesto que el

servidor donde se guarda el sistema de SIGHOS, APLHSJL, SIGA y SIAF hace poco ha registrado
virus.

Hallazgo N°3:
Se ha evidenciado el estado del data center y también se verificó que solo funciona 1 servidor
de los 3 que tiene el HSJL, en el cual en ese servidor que está activo se encuentra toda la data
del SIGHOS, APLHSJL, SIGA Y SIAF; los backup de estos sistemas lo hacen mediante un disco
duro externo, por lo que en algún momento podría perderse información.

De la verificación in situ, se ha detectado que los sistemas no cuentan con un debido respaldo
de la información, durante el periodo Enero 2018 hasta la actualidad.

NTP – ISO/IEC 27001

A.12 SEGURIDAD DE LAS OPERACIONES
A.12.3 RESPALDO
Proteger contra la pérdida de datos.
A.12.3.1 RESPALDO DE LA INFORMACIÓN
Copias de respaldo de información, del software y de las imágenes del sistema deben ser
tomadas y probadas regularmente en concordancia con una política de respaldo acordada.

En la entrevista realizada al Ing. Alex Vía Flores, responsable del área de TI, señaló que su
principal preocupación es la pérdida de información que se pueda dar en cualquier momento,
ya que el HSJL está trabajando con un solo servidor.

Se recomienda que el responsable del área de TI el sr. Alex Vía Flores realice los reiterativos
correspondientes para la compra de los servidores, para así poder migrar los sistemas y
tengan un adecuado respaldo de información.
Hallazgo N°4:
Se detectó que el Sistema APLHSJL no cumple con todos los requerimientos del área de
farmacia, como por ejemplo aparecen errores a la hora de hacer transferencias internas.
Ejemplo: Quieren transferir algunos medicamentos de farmacia central hacia farmacia de
emergencia o viceversa, el sistema hace la transferencia pero a la hora del cuadre de stock no
aparece en el Sistema.

De la verificación in situ, se pudo evidenciar el mal funcionamiento del Sistema APLHSJL,

durante el periodo Noviembre 2017 hasta la actualidad.

NTP – ISO/IEC 27001

A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A.14.2 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
Garantizar que la seguridad de la información esté diseñada e implementada dentro del ciclo
de vida de desarrollo de los sistemas de información.
A.14.2.4 RESTRICCIONES SOBRE CAMBIOS A LOS PAQUETES DE SOFTWARE
Modificaciones a los paquetes de software deben ser disuadidas, limitadas a los cambios
necesarios y todos los cambios deben ser estrictamente controlados.

En la entrevista realizada al Ing. Alex Vía Flores, responsable del área de TI, manifestó que a
fines de octubre del 2017 se contrató a un personal por terceros que duró solo 1 mes
trabajando en el HSJL en el área de informática, él fue quien estaba a cargo del sistema
APLHSJL y realizó cambios en el software, a partir de esa fecha se presentó el problema en
farmacia.

Se recomienda ubicar a la persona contratada en Octubre del 2017, para que dé solución al
problema que el mismo generó, caso contrario contratar a un especialista en Fox Pro para
poder solucionar este problema lo más pronto posible.
CONCLUSIONES
Hallazgo N°1:
Se observó muchos usuarios que ya no laboran en el área de admisión, pero seguían dando
citas en otras áreas, para su propio beneficio y de su allegados. Para acabar con todo eso se
sugiere tener una buena coordinación con los Jefes de todas las áreas cuando haya algún
movimiento de personal administrativo.

Hallazgo N°2:
La falta de antivirus en el HSJL es muy peligroso ya que actualmente se encuentra vulnerable
a cualquier tipo de amenaza. Por consecuencia puede generar pérdida de información, alterar
información, etc.

Hallazgo N°3:
El que solo tengan funcionando actualmente 1 servidor y que todos los sistemas estén dentro
de él, es un problema ya que no existe otro servidor para hacer una copia que sirva de
respaldo, actualmente hacen la copia de respaldo en disco duro externo.

Hallazgo N°4:
Para que el aplicativo APLHSJL vuelva a funcionar correctamente se requiere de un
especialista que pueda modificar los cambios que se efectuaron y generaron el error actual,
caso contrario adquirir un nuevo sistema también sería una buena opción.
Anexos