FACULTAD DE INGENIERÍA DE SISTEMAS Y

ELECTRÓNICA

Carrera de Ingeniería de Sistemas e Informática

“Auditoria Post-Implementación de Sistema integral

para la gestión de historias clínicas de pacientes de
centros de salud.”

1
 INDICE
1. INTRODUCCIÓN ........................................................................................................... 4
2. DEFINICIÓN DEL PROBLEMA ........................................................................................ 5
2.1. Planteamiento del Problema .................................................................................... 5
2.2. Formulación del Problema ....................................................................................... 5
3. MARCO REFERENCIAL .................................................................................................. 6
3.1. Marco Contextual ..................................................................................................... 6
3.1.1. Datos de la Empresa .......................................................................................... 6
3.1.2. Misión ................................................................................................................. 6
3.1.3. Visión .................................................................................................................. 6
3.1.4. Organigrama ....................................................................................................... 6
3.1.5. Descripción Aplicativo....................................................................................... 7
4. DESARROLLO DE LA AUDITORÍA ............................................................................... 10
4.1. Fase 1 - Elaboración del Plan de Auditoría ........................................................... 10
4.1.1. Objetivos........................................................................................................... 10
4.1.2. Plan de Auditoría.............................................................................................. 11
4.1.3. Recursos........................................................................................................... 14
4.2. Fase 2 - Ejecución del Plan de Auditoría .............................................................. 15
4.2.1. Proceso de Recolección de Información y Planeamiento de Actividades ... 15
4.2.2. Cuestionario Cuantitativo ................................................................................ 15
4.2.3. Entrevistas........................................................................................................ 15
4.2.4. Técnicas y Herramientas Utilizadas................................................................ 15
4.2.5. Valoración del Riesgo ...................................................................................... 15
4.2.6. Matriz de Probabilidad e Impacto.................................................................... 16
4.2.7. Hallazgos Producidos por efecto de la Auditoría .......................................... 16
4.3. Fase 3 – Informe de la Auditoría ............................................................................ 19
4.3.1. Introducción al Informe ................................................................................... 19
4.3.2. Principales Observaciones.............................................................................. 19
4.3.3. Recomendaciones y Plan de Acción / Mejoras .............................................. 19
5. CONCLUSIONES ........................................................................................................... 20
6. RECOMENDACIONES ................................................................................................... 20
7. ANEXOS: ....................................................................................................................... 21
ANEXO A: CUESTIONARIO CUANTITATIVO ............................................................... 21
ANEXO B: ENCUESTAS ................................................................................................ 23
ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS ......................................... 24

2
ANEXO D: MATRIZ DE RIESGO .................................................................................... 28

3
1. INTRODUCCIÓN
Los Sistemas Informáticos se han constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización
empresarial, la gestión de datos.
Es por ello el centro de salud Madre de Dios el año pasado decidió migrar su sistema de
gestión de historias clínicas de pacientes el cual se ha venido desarrollando de manera
manual, con las siguientes falencias que esta conlleva, data duplicada, perdida de
información sensible para el paciente, información privada vulnerada por terceros, etc.
Se desarrolló e implemento un sistema integral para la gestión de historias clínicas de
pacientes del centro de salud. Este sistema integra las siguientes áreas: caja, admisión,
estadística y unidades prestadoras de servicio de salud (médicos especialistas).
Nuestro trabajo de auditoria se abocará en analizar dicha implementación y migración de
la gestión de las historias clínicas, buscando comprobar la integridad de los datos ahora
manejados por el sistema, así como, los perfiles de usuario que tienen acceso a dicha
data. Con ello poder entregar un informe del impacto positivo o negativo que esta
migración de gestión de historias clínicas ha tenido en el centro de salud, para la
respectiva toma de decisiones de la alta gerencia.

4
2. DEFINICIÓN DEL PROBLEMA

2.1. Planteamiento del Problema

Es una constante que, en muchos centros de salud de nuestro país, el manejo de las
historias clínicas y diversas documentaciones, aun se realizan de manera manual.
Esto genera un tiempo muerto que conlleva al malestar general de los pacientes y
aun déficit administrativo innecesario, para los diversos procesos involucrados.
El proyecto de la implementación del sistema de gestión de historias clínicas tuvo
como objetivo general, eliminar el tiempo muerto por el manejo de las historias
clínicas y documentaciones adyacentes de manera manual anteriormente,
diseñando e implementando un sistema integral automatizado que agilice y optimice
la gestión de atención hacia los pacientes.
Sabemos que, una vez instalado un sistema informático, que en definitiva es una
herramienta, como tal necesitará de personal capacitado para la configuración y
administración de los recursos para su correcto funcionamiento. El impacto que
tendrá tanto en el personal administrativo y sobretodo en el staff médico que es el
primer interesado en el manejo de las historias clínicas, es la métrica necesaria para
resolver si el proyecto fue realizado con éxito.

2.2. Formulación del Problema

Una vez ha sido realizada la implementación del sistema de gestión de historias
clínicas y habiendo este teniendo un funcionamiento dentro de lo establecido en
cuanto a tiempo de aprendizaje, agilización de procedimientos, resultados iniciales
etc. Es necesario realizar una auditoría para que la alta gerencia tenga las métricas
necesarias para la siguiente toma de decisiones, buscando implementar sistemas de
gestión en otras áreas necesarias de la empresa.

5
3. MARCO REFERENCIAL

3.1. Marco Contextual

3.1.1. Datos de la Empresa

El centro de salud y terapia Madre de Dios fue fundada el 1 de junio del 2008, al
ser un centro de salud parroquial, fue creado bajo el compromiso hacia los
pacientes, brindando servicios personalizados y con excelente atención, contando
con ello con un equipo humano capacitado.

3.1.2. Misión
Lograr la satisfacción y confianza de nuestros pacientes y colaboradores.

3.1.3. Visión
Consolidarnos dentro de los más importantes centros de salud privado, con
personal altamente capacitado, motivado y apoyado en la tecnología médica
actual.

3.1.4. Organigrama

6
3.1.5. Descripción Aplicativo
El aplicativo de gestión de historias clínicas tuvo como objetivo general, la
agilización del manejo de las historias clínicas entre las distintas especialidades y
la fácil comunicación de este documento entre el staff medico en sus distintas
especialidades según se requiera y así mismo las documentaciones adyacentes
de manera manual anteriormente, diseñando e implementando un sistema
integral automatizado que agilice y optimice la gestión de atención hacia los
pacientes.
Se describen a continuación algunos objetivos específicos del aplicativo:

 Un sistema informático que permita la integración de los diversos procesos

en los servicios de salud.
 Generar reportes financieros en tiempo real de los diversos pagos en los
diferentes servicios de salud.
 Facilitar la búsqueda de las historias clínicas de los pacientes.
 Llevar un historial de atención de cada paciente, que pueda ser
compartido por cada especialidad médica cuando esta sea requerida.

Se describen a continuación algunos alcances y limitaciones del aplicativo:

 El presente proyecto espera ser una herramienta importante para la

gestión de las historias clínicas, así como, facilitar el proceso de atención
a cada paciente.
 El alcance de este proyecto es de manera local, tanto el sistema como la
base de datos es manejada y controlada de manera local.

 El sistema solo gestiona pacientes de un centro de salud.

 No comparte historias clínicas con otros centros de salud.

Imágenes referenciales del Sistema de Gestión Integral de Historias Clínicas:

Módulo de Ingreso

7
 Pantalla Principal

Módulo de Listado del Registro de Pacientes

8
Módulo de Ingreso de Pacientes

Módulo de ingreso de Historias Clínicas

9
4. DESARROLLO DE LA AUDITORÍA

4.1. Fase 1 - Elaboración del Plan de Auditoría

4.1.1. Objetivos

4.1.1.1 Objetivo General

Realizar la Auditoria de Hardware y Software del sistema, asociada a la

post implementación del sistema; la auditoría tomará como referencia
puntos de “Código de Buenas Prácticas”, el cual cubre los controles de
Seguridad de la Información y Continuidad del Negocio, según alcance del
servicio.

4.1.1.2 Objetivos Específicos

- Evaluar si existe una clara definición de los procesos del área Archivo y
documentación clínica.
- Verificar el funcionamiento del sistema y si cumple las expectativas de los
usuarios.
- Revisar y verificar los controles internos para el registro de los datos.
- Evaluar que se cumplan el proceso de resguardo adecuado y protección
de activos.
- Evaluar las métricas de valor del impacto del sistema en la clínica.
- Dar un seguimiento permanente de las observaciones y sugerencias
formuladas por los auditores internos.

4.1.1.3 Alcance
Parte de hardware:

- Revisión de los Planes de Contingencia.

- Plan de Mantenimiento.
- Planes de Respaldo (backups y configuración).
- Infraestructura (Condiciones físicas del Servidor, registros de sucesos,
capacidad de hardware, memoria, puertos de conexión, puertos de
entrada; límites de operación, temperatura del ambiente, ubicación
adecuada).
- Revisión de accesos a los servidores.

Parte de Software:

- Control del Sistema (Revisión de controles de seguridad en la etapa

actual de operación).

10
 - Manual del Usuario.
- Registros de Capacitación.
- Validación de resultados esperados y no esperados.
- Control de Acceso, Roles y Perfiles del sistema.

4.1.2. Plan de Auditoría

4.1.2.1 Investigación Preliminar

A) Mecanismos para la realización de la investigación preliminar

- Determinar los recursos informáticos de la organización y su

estructura organizacional.
- Evaluar la importancia del Sistema de Información, los procesos de
negocio, y el funcionamiento que son objeto de la auditoría y el
soporte que los recursos dan.
- Determinar si los controles existentes protegen la empresa contra
riesgos identificados.
- Conocer de manera global el software, identificando los elementos
que apoyan la seguridad.

B) Objetivo de la Investigación Preliminar

Se deberá observar el estado general del sistema, la situación que tiene

dentro de la organización, si existe la información solicitada, priorización
de información (fecha de actualización).

Se realizará la investigación preliminar solicitando y revisando la

información, basándose en los siguientes puntos:

- Recopilación de información para obtener una visión general del

sistema por medio de observaciones, entrevistas preliminares y
solicitud de documentos para poder definir los objetivos y alcances.

- Descripción general de los módulos, manual de formas, fechas de

instalación, descripción genérica y la documentación respectiva.

- Personal participante de la auditoría y sus características.

- Información facilitada de manera general por las demás áreas.

- La revisión de la gestión de los recursos informáticos.

11
4.1.2.2 Recolección de Información

A) Observación:
Identificar los factores que intervienen dentro del funcionamiento del
software y el hardware necesario que permita obtener la información
relevante sobre el comportamiento del sistema, de las funciones y
actividades, los procedimientos y operación y de cualquier hecho que
ocurra en el área.
B) Cuestionario:
Serán preguntas impresas en formatos o fichas en que el auditado
responderá de acuerdo con su criterio, de esta manera se obtiene
información que posteriormente se clasificará e interpretará por medio de
la tabulación y análisis, para evaluar lo que se está auditando y emitir
una opinión sobre el aspecto evaluado. Estará incluido dentro de la
encuesta que se le aplicará al equipo de Ti, usuario del sistema.
(Ver anexo A)
C) Encuesta:
Se recolectará información sobre aspectos como el servicio, el
funcionamiento del sistema, la facilidad de los usuarios al momento de
registrar nuevos datos. (Ver anexo B)

4.1.2.3 Aplicación de Instrumentos

A) Evaluación e Inspección
La evaluación se efectuará mediante pruebas de calidad y cumplimiento
de funciones, actividades y procedimientos que se realizan. Se verificará
la forma de realizar los procesos, evaluar la aplicación de técnicas,
métodos o procedimientos de trabajo, el resultado de las operaciones,
comprobar la operación correcta del sistema y otros aspectos relevantes.
Se evaluará la eficiencia y eficacia del sistema, en cuanto a operación y
procesamiento de datos para reducir los riesgos y unificar el trabajo
hasta finalizarlo. La inspección se realizará a cualquiera de las
actividades, operaciones y componentes que rodean al aplicativo.
(Ver anexo C)

12
B) Matriz de Evaluación de Riesgos
Se recolectará la información sobre los procesos y actividades del
sistema auditado, reconociendo los riesgos inherentes a estos, así como
si se están o no aplicando controles, identificaremos los factores que
producen estos riesgos y que efecto tienen en el centro de salud, se
especificara un rango de métricas para valorizar el impacto de estas y se
propondrá y confrontara los riesgos con controles y soluciones para
mitigarlas lo máximo posible.

4.1.2.4 Ejecución de Pruebas

● Aplicar los instrumentos de recolección de información.

● Ejecutar las pruebas del plan de pruebas.
● Determinar las vulnerabilidades y amenazas informáticas.
● Realizar la valoración de las amenazas y vulnerabilidades encontradas
y probadas.
● Realizar el proceso de evaluación de riesgos del aplicativo.
● Determinar el tratamiento de los riesgos del sistema de Gestión de
Historias Clínicas.

4.1.2.5 Proceso de Análisis y Evaluación de Riesgos

Se elabora el cuadro de riesgos y controles que se ven enfrentados, hacer

la evaluación de riesgos, y matriz de riesgos.

4.1.2.6 Tratamientos de Riesgos

Se determinará el tratamiento de los riesgos de acuerdo con la matriz de

riesgos, se propondrán controles de acuerdo con la magnitud que se
examinó, y se definirán las posibles soluciones.

4.1.2.7 Dictamen de la Auditoria

Se determina el grado de madurez de la organización en el manejo

de cada uno de los procesos evaluados, además de medir el grado de
madurez de acuerdo con los hallazgos detectados en cada proceso.

13
 4.1.2.8 Informe Final de la Auditoria

Se procederá a la elaboración del informe ejecutivo, organización de

papeles de trabajo para su entrega a los interesados, en ella se recogen
los hallazgos detectados y la documentación que sustenta el informe.

4.1.3. Recursos

4.1.3.1 Materiales
Los materiales a usar son 5 portátiles (Laptop), impresora, papel, lapiceros
y los documentos a mención:
● Manual de procedimientos de los sistemas.
● Descripción genérica.
● Diagramas de entrada, archivos, salida del software.
● Fecha de instalación del sistema.

4.1.3.2 Tecnológicos
El servidor del sistema de soporte se encuentra en un cuarto con aire
acondicionado, además de otros servidores como de servicios de impresión,
antivirus, y otros sistemas de otras áreas. Además se cuenta con equipos de
cómputo actualizados.

4.1.3.3 Financieros
La Auditoría es financiada por el contratista la Clínica Madre de Dios.

4.1.3.4 Cronograma

14
4.2. Fase 2 - Ejecución del Plan de Auditoría

4.2.1. Proceso de Recolección de Información y Planeamiento de Actividades

Durante la elaboración del informe se procede a la recolección de datos del

proceso estratégico de gestión de historias clínicas del área de archivo, se
realizará el análisis de las conformidades para que los colaboradores puedan
mejorar la calidad de servicio, el cual serán evaluadas y verificadas según los
hechos que corresponde al área auditada, al finalizar este informe, brindara
evidencias que serán apropiadas para la mejora del área de Archivo y
Documentación Clínica de la Dirección Medica en el uso del sistema a auditar.

4.2.2. Cuestionario Cuantitativo

Para la elaboración del cuestionario realizado al personal del área de TI, técnico
y administrativo del sistema, nos brindara una mejor vista de que se tiene
actualmente y que es lo que faltaría realizarse.

4.2.3. Entrevistas

Para la entrevista como la principal técnica de recopilación de información del

auditor se tiene en cuenta al analista de TI dentro del área auditada.

4.2.4. Técnicas y Herramientas Utilizadas

Para la elaboración del presente informe, se utilizará la herramienta de

entrevistas y cuestionario cualitativo realizadas al área auditada, asimismo se
tomará en cuenta a un personal para registrar sus actividades laborales, el cual
nos permitirá tener una muestra de la forma de trabajo en dicha área.

4.2.5. Valoración del Riesgo

Para este punto se tiene en cuenta el impacto presentado por las encuestas
realizadas al jefe de sistemas, el cual nos dará la probabilidad de ocurrencia en
el modo de alto, medio y bajo riesgo, mostrándose según su nivel de impacto.

15
4.2.6. Matriz de Probabilidad e Impacto

Nivel de Impacto

Nivel de 1 -Bajo 2 - Moderado 3 - Severo

Probabilidad
1 – Poco 1 2 3
2 – Mediano 2 4 6
3 - Alto 3 6 9

4.2.7. Hallazgos Producidos por efecto de la Auditoría

Los hallazgos encontrados permiten determinar las partes más vulnerables que
tiene el área auditada para que posteriormente sean informados y corregido
correctamente.
Acceso de usuarios

Condición En la revisión se evidenció que algunos usuarios

cuentan con acceso no autorizados a datos que no
deberían ser parte de su perfil de acceso,
pudiéndose así realizar acciones negativas por parte
de algunos usuarios ya sea por negligencia o por
desconocimiento por parte de este.

Criterio De acuerdo con la norma ISO 27002 se debe

implantar procedimientos formales para controlar la
asignación de derechos de acceso a los sistemas de
información, para que así no sea utilizado por
cualquier personal o algún externo.

Causa Falta de actualización de permisos del sistema o

cambios de permisos no planificada para cada perfil
de usuario.

Efecto Tratamiento de la información sin autorización,

vulnerabilidad de secreto profesional por parte de la
clínica, pérdidas económicas.

Recomendación Se recomienda proteger el sistema o implementar un

plan de actualización de permisos con el fin de
asignar a los usuarios los tipos de permisos definidos
por la empresa.

16
 Backup (respaldo) dentro del mismo servidor principal

Condición Se encontró que el Backups del servidor de datos se

encuentra dentro del mismo servidor, en forma de
disco espejo, en caso que caiga el disco primario el
disco espejo entra en funcionamiento. Esto no es lo
recomendable.

Criterio De acuerdo con la norma ISO 27001 define el

dominio Seguridad de las operaciones (A.12) a través
de distintos objetivos de control, uno de los cuales es
el de Backups (A.12.3), que tiene como propósito
proteger a las organizaciones contra la pérdida de
información.

Causa Falta un servidor completo de respaldo que cumpla

dicha función con mayor garantía de seguridad. No
se ha previsto en el diseño de la arquitectura física
del sistema.

Efecto Pérdida de información, pérdidas económicas, podría

afectar la continuidad de la empresa.

Recomendación Implementar un servidor de respaldo, que cuente con

autonomía, ante alguna falla o caída del servidor
principal.

Uso de red implementada anteriormente

Condición Se encontró que la implementación del sistema de

gestión de historias clínicas se realizó en base a una
red de datos ya implementada con anterioridad,
donde se compartía el acceso a Internet entre las
distintas áreas involucradas.

Criterio De acuerdo con la ISO 27033 se destina a la gestión

de la seguridad, aplicaciones de servicios y/o redes,
seguridad de los dispositivos de red y a la seguridad
de información que se pasa mediante enlaces de
comunicaciones.

Causa Usar una red ya implementada en la cual no hay

suficientes datos sobre su esquema o como esta ha
sido implementada.

Efecto Corte en las comunicaciones entre las áreas

involucradas, alta latencia, vulnerabilidad de la red.

Recomendación Es recomendable un nuevo armado de la red de

datos de la empresa, y con ello tener claro su
esquema de red, tanto por seguridad como para
preservar la integridad de los mismos.

17
 Adaptación lenta al nuevo sistema

Condición Se encontró que algunos usuarios aún no se han

adaptado completamente al uso sistema de gestión
de historias clínicas y esto ralentiza el proceso de
migración.

Criterio Se toma en consideración los modelos de buenas

prácticas, en donde se establece la diferenciación de
manuales para el usuario técnico y el usuario final.

causa Los manuales entregados para el uso del sistema de

gestión de historias clínicas, en algunos apartados
resultan ser muy técnicos y poco comprensibles para
el usuario final.

Efecto Mal manejo del sistema, datos erróneos, demora en

la atención al paciente.

Recomendación Es recomendable que se modifiquen los manuales y

omitir y/o cambiar los términos técnicos, además se
recomienda un mayor número de capacitaciones a
las distintas áreas involucradas.

Capacidad de almacenamiento de información limitada

Condición Se encontró que el tamaño del servidor de datos

podría quedar insuficiente en un tiempo medio, ante
la cantidad de data que se genera diariamente.

Criterio La norma de la gestión de la calidad ISO 9001:2015,

asegura que se debe de tomar en cuenta el tamaño
de la empresa y el tipo de actividad que realiza,
además de los procesos, productos y servicios, para
definir los criterios en cuanto al desarrollo del
sistema.

Causa No hubo una correcta medición de capacidad de

almacenamiento, considerando la data que se
genera diariamente y la data que se necesita
almacenar para terminar la migración total del
sistema.

Efecto El tamaño actual del servidor de datos quedaría

insuficiente en un tiempo próximo, pudiendo
ocasionar comportamientos erróneos del sistema.

Recomendación Realizar las mediciones correspondientes para tener

un alcance de la capacidad de almacenamiento de
datos necesaria.

18
 Migración incompleta

Condición Se encontró que la migración del sistema aún no ha

sido total en todas las áreas involucradas.

Criterio La norma ISO 15489 se centra en los principios de

la gestión de documentos y establece los requisitos
básicos para establecer un marco de buenas
prácticas.

Causa No se consideró el tamaño de data existente en

físico, el cual debe ser volcado al sistema actual.

Efecto Datos incompletos, demora en la atención al

paciente, vulnerabilidad de datos.

Recomendación Armar dos grupos del área de TI, el cual el primero

se encargue exclusivamente del volcado de datos al
sistema y el segundo se encargue de verificar la
integridad de los mismos en el sistema actual.

4.3. Fase 3 – Informe de la Auditoría

4.3.1. Introducción al Informe

El informe de auditoría está basado en el sistema de Gestión de Historia
Clínica del centro de salud y terapias Madre de Dios.

4.3.2. Principales Observaciones

- El sistema de soporte no tiene manual de usuario amigable para usuarios no
técnicos del sistema.
- No se tiene un registro de las personas que acceden al área de cómputo.
- No tienen Procesos establecidos (personal de archivo).
- No tienen mantenimiento preventivo.

4.3.3. Recomendaciones y Plan de Acción / Mejoras

- Gestión de contraseñas de usuario: Se debería considerar en implementar
mejores canales seguros de entrega de contraseñas (sobres cerrados, actas
de conformidad).

- Restricción del Acceso a la información: Mejorar el mecanismos de

restricción y control en los sistemas críticos para el acceso indebido a la
información de la institución, como permisos de privilegios a las carpetas que
almacenan la información a cada área, las validaciones al sistema son
propias de cada perfil de negocio, no pudiendo acceder y manipular otras
funcionalidades que no le corresponden.

- Gestión de la Seguridad en las Redes: Si bien se cuenta con las

herramientas de protección a nivel de red local, se debería considerar
adquirir Switch administrables para una mejor gestión de la red. Se debería

19
 diagramar la red local y perimetral para tener una rápida identificación y
acción ante una posible falla de algún componente de red.

- Mantenimiento de Equipos: Se cuenta con un plan de mantenimiento de

equipos, pero se debería programar y ejecutar el mantenimiento de
servidores y equipos de comunicación por los menos 2 veces al año.

- Copias de Seguridad: Se cuenta con el procedimiento de Backups, pero no

se observa las pruebas de recupero exitosas o estadística de Porcentaje de
operaciones de backups exitosas, se recomienda programar su realización.

- Responsabilidad y Procedimientos de Operación: Se cuenta con los

mecanismos de Operación y monitoreo, pero se recomienda realizar
procedimientos y registros para evidenciar la supervisión y para mejores
tomas de decisiones futuras de crecimiento de infraestructura.

- Elaborar y/o actualizar los manuales de usuario: haciendo uso de un

lenguaje amigable y de fácil entendimiento para los usuarios finales.

5. CONCLUSIONES
● La auditoría ha sido realizada cumpliendo el alcance del servicio y se dio en las áreas
de negocio del sistema auditado, las cuales fueron Área de TI soporte y
mantenimiento y el Área de Archivo y Documentación Clínica.

● La auditoría se llegó a cumplir con los puntos indicados y en las fechas pactadas con
previa coordinación del cliente.

● Se encontraron 6 oportunidades de mejora.

● Consideramos que las oportunidades de mejora deben tomarse oportunamente

mediante acciones de mejora y con objetivos específicos en el periodo que se
programe la organización.

6. RECOMENDACIONES
● Las conformidades y oportunidades de mejoras deben ser analizadas por las
diferentes partes interesadas del centro de Salud.

● Proponer una Política de Seguridad de la Información avalado por la alta dirección

para orientar y establecer a las buenas prácticas en materia de seguridad de la
información a toda la institución

● Proponer y establecer qué parte del proceso de contratación se establezca una

inducción en materia de seguridad de la información y realizar un plan anual de
capacitación y concientización.

● Revisar y ejecutar los planes de mantenimiento de servidores y los planes de

contingencia tecnológica para su mejora y actualización de los mismos.

20
7. ANEXOS:

ANEXO A: CUESTIONARIO CUANTITATIVO

21
22
ANEXO B: ENCUESTAS

Nuestra población fue de 05 personas técnicos / especialistas que utilizan el sistema día
a día y han acompañado el proceso de implementación del sistema de gestión de
historias de la clínica.

23
ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS

Escala valorativa
1 Muy malo
2 Malo
3 Regular
4 Bueno
5 Muy bueno

1. Nivel de compromiso de la alta gerencia

en aspectos de transformación digital
Encuestado 1 3
Encuestado 2 3
Encuestado 3 4
Encuestado 4 4
Encuestado 5 5
Total 4
Resultado Bueno

24
 2. Importancia de los sistemas de
información dentro de la clínica
Encuestado 1 3
Encuestado 2 3
Encuestado 3 4
Encuestado 4 4
Encuestado 5 5
Total 4
Resultado Bueno

3. Existe caída de servicio del sistema de

gestión de historia clínica implementado
Encuestado 1 1
Encuestado 2 2
Encuestado 3 3
Encuestado 4 2
Encuestado 5 1
Total 2
Resultado Malo

4. Importancia de la seguridad de los

sistemas de información en la clínica

Encuestado 1 4
Encuestado 2 5
Encuestado 3 3
Encuestado 4 3
Encuestado 5 5
Total 4
Resultado Bueno

5. Existe respaldo de información ante

perdida de información
Encuestado 1 4
Encuestado 2 5
Encuestado 3 3
Encuestado 4 3
Encuestado 5 5
Total 4
Resultado Bueno

25
 6. Cuentan con alta disponibilidad el
sistema de gestión de clínicas
Encuestado 1 4
Encuestado 2 5
Encuestado 3 3
Encuestado 4 3
Encuestado 5 5
Total 4
Resultado Bueno

7. Existe monitoreo del sistema de

gestión de historias clínicas
Encuestado 1 5
Encuestado 2 5
Encuestado 3 4
Encuestado 4 4
Encuestado 5 5
Total 5
Resultado Muy bueno

8. Existe personal capacitado para el

uso del sistema de gestión de historias
clínicas
Encuestado 1 2
Encuestado 2 3
Encuestado 3 3
Encuestado 4 1
Encuestado 5 4
Total 3
Resultado Regular

9. Se tiene claros los procedimientos en

el manejo del sistema de gestión de
historias clínicas
Encuestado 1 3
Encuestado 2 3
Encuestado 3 3
Encuestado 4 2
Encuestado 5 4
Total 3
Resultado Regular

26
 10. El funcionamiento del sistema de
gestión de historias clínicas es optimo
Encuestado 1 4
Encuestado 2 4
Encuestado 3 3
Encuestado 4 3
Encuestado 5 5
Total 4
Resultado Bueno

Guía de evaluación:

27
 ANEXO D: MATRIZ DE RIESGO
Nivel de Impacto

Nivel de Riesgo: Producto de la probabilidad de ocurrencia de un riesgo y nivel de impacto de sus consecuencias

● Bajo Riesgo = (verde) ................(0.01-0.30)

● Medio Riesgo = (amarillo) ..........(0.31-0.60)
● Alto Riesgo = (rojo).................... (0.60-1.00)

Identificación de Riesgos

Riesgo Causas Agente Efecto Probabilidad Consecuencia Nivel Controles Cronograma Indicador
Generador (0.00 – 1.00) (0.00 – 1.00) de
Riesgo
Acceso de -Mal manejo Falta de -Ingreso de 0.30 0.80 0.24 -Establecer los Anual. -Listado de
Usuarios de perfil de administración funciones de perfiles de perfil de
usuario. de los perfiles de otros usuarios. accesos de los usuario.
usuario. -Cambio de usuarios en el
datos en la base. sistema.
-Problemas de
seguridad
Backup -Discos duros -Falta de Pérdida de 0.50 0.80 0.40 -Implementar un Anual -Estructura
(respaldo) con limitados presupuesto. información, servidor de la red de
dentro del almacenaje. pérdidas Backups datos.
mismo servidor económicas, descentralizado.
principal podría afectar la
continuidad de
la empresa.

28
Uso de red - Red ya . Corte en las 0.50 0.70 0.35 -Implementar un 6 meses. -plano de la
implementada implementada comunicaciones mapeo de toda la red
anteriormente en la cual no entre las áreas red. estructurada
hay suficientes involucradas, del centro
datos sobre su alta latencia, de salud.
esquema o vulnerabilidad
como esta ha de la red.
sido
implementada.
Adaptación -Falta de -Falta de -Mal manejo del 0.40 0.50 0.20 -Realizar un 3 meses. -manual de
lenta al nuevo capacitación al implementación sistema. cronograma de actividades
sistema personal. de capacitación -No se utiliza la capacitación. del sistema.
por parte de la capacidad del -Implementar
Administración. sistema al 100% cronograma de
capacitación.
Capacidad de -Falta de Saturación de la 0.80 0.50 0.40 -Ampliar la Anual. -Registro de
almacenamiento -No estimar el implementación información. capacidad de almacenaje
de información crecimiento de de capacidad de -Perdida de almacenamiento de la
limitada. los datos almacenamiento información. de los discos información.
de la -Colapso del duros.
información. sistema.

Migración No se - Datos 0.70 0.50 0.35 -realizar un 6 meses. --plano de la

incompleta consideró el Desconocimiento incompletos, cronograma para red
tamaño de de la estructura demora en la la ampliación del estructurada
data existente organizacional. atención al sistema a las del centro
en físico, el paciente, áreas excluidas. de salud.
cual debe ser vulnerabilidad -
volcado al de datos
sistema actual.

29