Grupos 2 y 4 - INFORME FINAL #204 - 2022 SERVICIO DE SALUD COQUIMBO AUDITORÍA A LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN - JUL.2022 - Censurado

CONTRALORÍA REGIONAL DE COQUIMBO
UNIDAD DE CONTROL EXTERNO
INFORME FINAL
SERVICIO DE SALUD COQUIMBO
INFORME N° 204 / 2022

26 DE JULIO DE 2022
CONTRALORÍA GENERAL DE LA REPÚBLICA
AL SEÑOR
HUGO SEGOVIA SABA
CONTRALOR REGIONAL DE COQUIMBO
PRESENTE
Nº E238970 / 2022
PREG. N° 4.002/2022 REMITE INFORME FINAL DE AUDITORÍA

REF.: N° 42.082/2022 QUE INDICA.
UCE 457
LA SERENA, 26 de julio de 2022
Se remite, para su conocimiento y fines

pertinentes, el Informe Final N° 204, de 2022, sobre auditoría a los sistemas de
información mantenidos en el Servicio de Salud Coquimbo.
Sobre el particular, corresponde que esa

autoridad adopte las medidas pertinentes, e implemente las acciones que en cada
caso se señalan, tendientes a subsanar las situaciones observadas.
Finalmente, cabe recordar que los datos

personales, información personal y datos sensibles contenidos en el Informe Final que
se remite, se encuentran protegidos conforme a la ley N° 19.628, sobre Protección de
la Vida Privada, y a cuyo respecto se deberán arbitrar las medidas pertinentes a fin de
asegurar su protección y uso adecuado, conforme a las disposiciones del referido
cuerpo normativo.
Saluda atentamente a Ud.,
AL SEÑOR
DIRECTOR (S)
PRESENTE
DISTRIBUCIÓN:
-Unidad de Seguimiento y Apoyo al Cumplimiento, Contraloría Regional de Coquimbo.
Firmado electrónicamente por:

Nombre HUGO SEGOVIA SABA
Cargo Contralor Regional
Fecha firma 26/07/2022
Código validación pw30zrM8S
URL validación https://www.contraloria.cl/validardocumentos
Nº E238969 / 2022

UCE 458

Cabe recordar que los datos personales,

información personal y datos sensibles contenidos en el Informe Final que se remite,
se encuentran protegidos conforme a la ley N° 19.628, sobre Protección de la Vida
Privada, y a cuyo respecto se deberán arbitrar las medidas pertinentes a fin de
cuerpo normativo.
A LA SEÑORA
JEFA DE AUDITORÍA INTERNA
PRESENTE

Código validación pw30zrNqA
Nº E238971 / 2022

UCE 459

Cabe recordar que los datos personales,

información personal y datos sensibles contenidos en el Informe Final que se remite,
se encuentran protegidos conforme a la ley N° 19.628, sobre Protección de la Vida
Privada, y a cuyo respecto se deberán arbitrar las medidas pertinentes a fin de
cuerpo normativo.
AL SEÑOR
JEFE DEPARTAMENTO DE AUDITORÍA MINISTERIAL
MINISTERIO DE SALUD
PRESENTE

Código validación pw30zrPBl
ÍNDICE
GLOSARIO ................................................................................................................. 3
RESUMEN EJECUTIVO ............................................................................................ 4
JUSTIFICACIÓN ........................................................................................................ 5
ANTECEDENTES GENERALES ............................................................................... 6
OBJETIVO .................................................................................................................. 7
METODOLOGÍA ......................................................................................................... 7
UNIVERSO Y MUESTRA .......................................................................................... 8
RESULTADO DE LA AUDITORÍA ............................................................................. 8
I. ASPECTOS DE CONTROL INTERNO ........................................................... 8
1. Ausencia de un mecanismo de control que permita validar el cumplimiento

de los niveles de servicios. ........................................................................................ 8
II. EXAMEN DE LA MATERIA AUDITADA ......................................................... 9
2. Comité de seguridad. ........................................................................................ 9
2.1 Ausencia de comité de seguridad de la información. ........................................ 9
3. Gestión de riesgos. ........................................................................................... 9
3.1 Ausencia de evaluación de los riesgos. ......................................................... 9
4. Control de acceso. .......................................................................................... 10
4.2 Ausencia de registro de alta o baja de perfiles de acceso. ......................... 11
5. Control de acceso remoto. .............................................................................. 11
6. Seguridad física y del ambiente. ..................................................................... 12
7. Gestión de las operaciones y las comunicaciones. ........................................ 14
1
7.1 Deficiencias en diccionario de datos. ........................................................... 14
7.2 Licencias de software. ................................................................................... 14
8. Integridad y disponibilidad de la información. ................................................. 15
8.1 Registro de fallas. .......................................................................................... 15
9. Tercerización de servicios TI. ......................................................................... 15
10. Plan de Contingencia. ..................................................................................... 16
10.1 Deficiencias en plan de Contingencia. ......................................................... 16
CONCLUSIONES ..................................................................................................... 16
ANEXO Nº 1: Registro fotográfico sala de procesamiento Servicio de Salud

Coquimbo. ................................................................................................................ 19
ANEXO N° 2: Licencias de software no informadas .............................................. 21
Anexo N° 3: Estado de Observaciones de Informe Final N° 204, de 2022 .......... 22
2
GLOSARIO
TÉRMINO CONCEPTO
Es un plan que tiene por objetivo proporcionar orientación y apoyo

Política de
a la dirección, para la seguridad de la información, de acuerdo con
seguridad de la
los requisitos del negocio y con las regulaciones y leyes
información
pertinentes.1
Evaluación
Son evaluaciones que deben identificar, cuantificar, y priorizar los
metódica de los
riesgos contra los criterios para la aceptación del riesgo y los
riesgos de
objetivos pertinentes para la organización.2
seguridad
Es un modelo de distribución de software diseñado para
revendedores de valor agregado que compran soluciones de TI de
Licencias ROK
distribuidores para los clientes comerciales a los que brindan
soporte.3
1 Fuente: Numeral 5.1 de la norma Chilena ISO 27.002.

2 Fuente: Numeral 4.1 de la norma Chilena ISO 27.002.
3
Fuente: Hewlett Packard Enterprise Community https://community.hpe.com/t5/Alliances/What-is-ROK-HPE-
OEM-Microsoft-Windows-Server-Reseller-Option-Kit/ba-p/6972766#.YrXnY3bMKUk.
3
RESUMEN EJECUTIVO
Informe Final N° 204, de 2022,
Servicio de Salud Coquimbo
Objetivo: Efectuar una auditoría al Macroproceso de Tecnologías de la Información,

con la finalidad de revisar y evaluar el nivel de seguridad informática implementado
por esa entidad, a través de la existencia y aplicación de políticas, normas y
procedimientos de seguridad informática que permitan asegurar la integridad,
confiabilidad y confidencialidad de la información en sus sistemas informáticos y redes
de comunicación, conforme a las Normas Técnicas aplicables para los Órganos de la
Administración del Estado sobre Seguridad y Confidencialidad de los Documentos
Electrónicos, aprobada por el artículo primero del decreto N° 83, de 2004, del
Ministerio Secretaría General de la Presidencia.
Pregunta de Auditoría:
• ¿Ha implementado la entidad fiscalizada controles para la gestión de la

seguridad de la información?
Principales resultados:
• A raíz de una visita a las dependencias del Servicio de Salud Coquimbo, llevada
a cabo el día 14 de marzo de 2022, se determinaron diversas vulneraciones a lo
dispuesto en la letra e) del artículo 37 del decreto N° 83, de 2004, y a lo establecido
en numeral 6 de Seguridad Física y del Ambiente, contenido en la NCh ISO 27.002,
de 2009, entre ellas: el acceso a sala de servidores no cuenta con una puerta
cortafuegos; además el servicio no ha implementado mecanismos que permitan
monitorear las condiciones ambientales en las salas de procesamientos, tales como
temperatura y humedad; asimismo, las salas de procesamientos del servicio carecen
de detectores de apertura de puertas; no se han implementado controles para reducir
el mínimo de riesgo de amenazas potenciales sobre los activos de las tecnologías de
la información, como son el humo, agua, humedad y vandalismo; se constató en la
dependencia visitada que en un punto de la sala de procesamiento no se aprecia la
debida separación entre cables de corriente y de datos, como también la instalación
eléctrica no se realizó exclusivamente para la sala y el tablero de distribución no se
encuentra en el lugar.
En mérito de lo expuesto, el Servicio de Salud Coquimbo deberá implementar medidas

y procedimientos a objeto de subsanar cada una de las materias objetadas, dando
cumplimiento a la normativa antes citada, lo que tendrá que ser acreditado y
documentado a través del Sistema de Seguimiento y Apoyo CGR, en el plazo de 60
días hábiles, contado desde a fecha de recepción del presente informe.
4
PREG. N° 4.002/2022 INFORME FINAL DE AUDITORÍA N° 204, DE

REF.: N° 42.082/2022 2022, SOBRE SEGURIDAD DE LOS
SISTEMAS DE INFORMACIÓN EN EL
SERVICIO DE SALUD COQUIMBO.
En cumplimiento del plan anual de

fiscalización de esta Contraloría Regional para el año 2022, y en conformidad con lo
establecido en el artículo 95 y siguientes de la ley N° 10.336, de Organización y
Atribuciones de la Contraloría General de la República, y el artículo 54 del decreto ley
N° 1.263, de 1975, Orgánico de Administración Financiera del Estado, se efectuó una
auditoría a los sistemas de información mantenidos en el Servicio de Salud Coquimbo
–SSC–, con la finalidad de revisar y evaluar el nivel de seguridad informática
implementado por la entidad, a través de la existencia y aplicación de políticas, normas
y procedimientos de seguridad informática que permitan asegurar la integridad,
confiabilidad y confidencialidad de la información en sus sistemas informáticos y redes
de comunicación, conforme a las normas técnicas que rigen la materia, aplicables para
los órganos de la Administración del Estado, en el período comprendido entre el 1 de
enero y el 31 de diciembre de 2021.
JUSTIFICACIÓN
A partir de la ejecución de auditorías de

sistemas desarrolladas por esta Contraloría General, se han advertido deficiencias
en los sistemas informáticos mantenidos por los servicios públicos que afectan su
seguridad y confiabilidad, y de la información que generan y resguardan. Asimismo,
en los últimos años se han conocido públicamente ataques que han afectado el
normal funcionamiento de estos sistemas, por lo que resulta relevante evaluar el
nivel de seguridad implementado por la citada entidad.
Además, a través de la presente auditoría

esta Contraloría General busca contribuir a la implementación y cumplimiento de los
17 Objetivos de Desarrollo Sostenible, ODS, aprobados por la Asamblea General de
las Naciones Unidas en su Agenda 2030, para la erradicación de la pobreza, la
protección del planeta y la prosperidad de toda la humanidad.
En tal sentido, la revisión de esta Contraloría

Regional se enmarca en el ODS N° 16, Paz, Justicia e Instituciones Sólidas,
específicamente, con la meta N° 16.6, Crear a todos los niveles instituciones eficaces
y transparentes que rindan cuentas.
AL SEÑOR
HUGO SEGOVIA SABA
CONTRALOR REGIONAL DE COQUIMBO
PRESENTE
ANTECEDENTES GENERALES
El Servicio de Salud Coquimbo es un

organismo estatal funcionalmente descentralizado con personalidad jurídica y
patrimonio propio, al cual le son aplicables, entre otras normas, el decreto con fuerza
de ley N° 1, de 2005, del Ministerio de Salud, en adelante MINSAL, que Fija Texto
Refundido, Coordinado y Sistematizado del decreto ley N° 2.763, de 1979 y de las
leyes Nos 18.933 y 18.469, y el decreto N° 140, de 2004, del MINSAL, que aprueba el
Reglamento Orgánico de los Servicios de Salud.
La Red Asistencial del SSC comprende las

provincias del Elqui, Limarí y Choapa, y su principal fuente de financiamiento la
constituyen las transferencias recibidas de las Subsecretarías de Salud Pública y de
Redes Asistenciales y del Fondo Nacional de Salud, FONASA.
Por su parte el artículo 8° del citado

reglamento establece las atribuciones que le corresponden al director de cada
servicio, en el orden de la gestión, articulación y desarrollo de la Red Asistencial; en
el orden administrativo; financiero, presupuestario y patrimonial; en materia de
recursos humanos; en relación con la atención primaria de salud; y en relación con los
Establecimientos de Autogestión en Red.
Sobre la materia, cabe recordar que la

seguridad de la información utilizada por los órganos de la Administración del Estado
en términos de confidencialidad y disponibilidad se debe sujetar a lo establecido en el
decreto N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, que
Aprueba Norma Técnica para los Órganos del Estado sobre la Seguridad y
Confidencialidad de los Documentos Electrónicos, el que en su artículo 1°, establece
las características mínimas obligatorias de seguridad y confidencialidad que deben
cumplir los documentos electrónicos de los órganos de la administración, y las demás
cuya aplicación se recomienda para los mismos fines.
Enseguida, es preciso señalar que a través

de la resolución exenta N° 1.535, de 2009, del entonces Ministerio de Economía,
Fomento y Reconstrucción, se declaró como norma oficial de la República de Chile,
entre otras, la Norma Chilena ISO 27.002, de 2009, sobre Tecnología de la
Información - Códigos de prácticas para la gestión de la seguridad de la información,
y reemplaza a la Norma Chilena 2.777, de 2003, como complementaria para efectos
de lo establecido en el citado decreto N° 83, de 2004.
Respecto de la aplicación de la Norma

Chilena ISO 27.002, de 2009, cabe agregar que conforme al dictamen N° 2.643, de
2013, esta Contraloría General ha reconocido el carácter vinculante de las normas
oficiales chilenas cuando estas han sido declaradas mediante decreto supremo
publicado en el Diario Oficial, como ocurre en la especie.
6
Asimismo, se debe tener presente lo

establecido en la ley N° 20.285, sobre Acceso a la Información Pública, ley N° 19.799,
sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha
firma y ley N° 17.336, de Propiedad Intelectual.
Luego, es oportuno señalar que el citado

servicio, al momento de la presente fiscalización cuenta con un especialista en
informática, quien se desempeña como Jefe del Subdepartamento Tecnologías de la
Información a contar del 5 de abril de 2021, según consta en la resolución exenta N°
1, de igual año, cuya dependencia jerárquica es del Departamento de Planificación,
Gestión y Control.
Finalmente, cabe señalar que por medio del

oficio N° E214053, de 2022, de esta procedencia, con carácter confidencial, fue puesto
en conocimiento del Servicio de Salud Coquimbo el preinforme de auditoría N° 204,
de 2022, con la finalidad de que formulara los alcances y precisiones que a su juicio
procedieran, lo que se concretó por medio del oficio ordinario N° 787, ingresado a esta
Entidad de Control el 16 de mayo de igual año.
OBJETIVO
Efectuar una auditoría al macroproceso de

Tecnologías de la Información, con la finalidad de revisar y evaluar el nivel de
seguridad informática implementado por el SSC, a través de la existencia y aplicación
de políticas, normas y procedimientos de seguridad informática que permitan asegurar
la integridad, confiabilidad y confidencialidad de la información en sus sistemas
informáticos y redes de comunicación, conforme a las Normas Técnicas aplicables a
los Órganos de la Administración del Estado sobre Seguridad y Confidencialidad de
los Documentos Electrónicos, aprobada por el artículo primero del decreto N° 83, de
2004, del Ministerio Secretaría General de la Presidencia.
METODOLOGÍA
La fiscalización se practicó de acuerdo con la

metodología de auditoría de este Organismo Fiscalizador, contenida en la resolución
N° 10, de 2021, que Fija Normas que Regulan las Auditorías efectuadas por la
Contraloría General de la República, además de los procedimientos de control
aprobados mediante la resolución exenta N° 1.485, de 1996, que Aprueba Normas de
Control Interno, considerando resultados de evaluaciones de aspectos de control
interno respecto de las materias examinadas y determinándose la realización de
pruebas de auditoría en la medida que se consideraron necesarias.
Las observaciones que la Contraloría General

formula con ocasión de las fiscalizaciones que realiza se clasifican en diversas
categorías, de acuerdo con su grado de complejidad. En efecto, se entiende por
Altamente complejas (AC)/Complejas (C), aquellas observaciones que, de acuerdo
con su magnitud, reiteración, detrimento patrimonial, graves debilidades de control
interno, eventuales responsabilidades funcionarias, son consideradas de especial
relevancia por la Contraloría General; en tanto, se clasifican como Medianamente
7
complejas (MC)/Levemente complejas (LC), aquellas que tienen menor impacto en

esos criterios.
UNIVERSO Y MUESTRA
De conformidad con la información

suministrada mediante correo electrónico, de 31 de enero de 2022, el Servicio de
Salud Coquimbo informó que cuenta con un total de 20 servidores de los cuales 6 son
físicos y 14 virtuales, los que soportan bases de datos y diversos sistemas para la
gestión de la entidad.
Ahora bien, de acuerdo con la envergadura

de los servicios tecnológicos administrados por la institución, se determinó la revisión
de 2 sistemas, los cuales manejan información confidencial relacionada con la
contingencia actual que vive el país, de acuerdo con el siguiente detalle.
Tabla N° 1: Universo y Muestra.
Denominación Sistema Tipo de Desarrollo de Sistema

Sistema Resultados Exámenes PCR Local
Sistema Decomiso y Destrucción de
Local
Drogas
Fuente: Elaboración propia en base a la información suministrada por el Servicio de Salud Coquimbo.
RESULTADO DE LA AUDITORÍA
Del examen practicado se constataron las

siguientes situaciones:
I. ASPECTOS DE CONTROL INTERNO
1. Ausencia de un mecanismo de control que permita validar el cumplimiento de los

niveles de servicios.
Con respecto al servicio de licencias y

soporte provisto por el proveedor AVIS SpA., mediante la resolución exenta N° 5.823,
de 2021, la que adjudica de forma directa el software de gestión AVIS, se constató
que el SSC carece de un mecanismo de verificación que permita validar el
cumplimiento de los niveles de servicio acordados entre las partes y de un registro
cronológico de las incidencias ocurridas con sus correspondientes respuestas,
situaciones que podrían tener como consecuencia la falta de aplicación de multas por
eventuales incumplimientos del contrato.
La situación expuesta constituye una

debilidad de control interno, que se aparta de lo previsto en la letra e), Vigilancia de
los Controles, numeral 38, de la resolución exenta N° 1.485, de 1986, en cuanto a que
los directivos deben vigilar continuamente sus operaciones y adoptar inmediatamente
las medidas oportunas ante cualquiera evidencia de irregularidades de actuación
8
contraria a los principios de economía, eficiencia y eficacia y de lo dispuesto en la letra

a) Responsabilidad de la Entidad, numeral 72, del mismo documento, en cuanto a que
la dirección del órgano respectivo es responsable de la aplicación y vigilancia de los
controles internos específicos, necesarios para sus operaciones, por lo que debe ser
consciente de que una estructura rigurosa en ese ámbito es fundamental para
controlar la organización, los objetivos, las operaciones y los recursos.
En su respuesta el servicio adjunta la

resolución exenta Nº 2.285, de 2017, que aprueba las bases administrativas y técnicas
para la contratación de software como servicio SAAS, el que establece en “Niveles de
acuerdo de servicio”, el cumplimiento acordado entre las partes, además proporciona
el informe de estatus de proyecto de fecha 6 de abril de 2022, donde se establece el
listado de requerimientos acordados y cerrados entre el 1 y el 31 de esta anualidad.
Al respecto, considerando la documentación

aportada por la entidad, se resuelve subsanar la observación formulada.
II. EXAMEN DE LA MATERIA AUDITADA
2. Comité de seguridad.
2.1 Ausencia de comité de seguridad de la información.
Se constató que el SSC no ha creado

formalmente un comité de gestión de la seguridad de la información, lo que vulnera lo
establecido en la letra b), del artículo 37, del decreto N° 83, de 2004, del Ministerio de
Secretaría General de la Presidencia, sobre la seguridad organizacional, que indica
que se aplicará la sección 4.1, del capítulo 4 de la norma NCh 2.777, la que debe
entenderse referida al numeral 6.1, de la mencionada norma NCh-lSO 27.002, de
2009, que manifiesta, en lo que importa, que se debe establecer un marco de gestión
para iniciar y controlar la implementación de la seguridad de la información dentro de
la organización.
En su contestación, el servicio adjunta la

resolución exenta N°1.872, de 2022, en el cual se establece el Comité de Seguridad
de la Información, conformado por un Encargado de Seguridad, el Jefe del
Subdepartamento de Tecnologías de la Información en Salud y el Subdirector
Administrativo.
En razón de lo expuesto, se resuelve

subsanar la observación formulada.
3. Gestión de riesgos.
3.1 Ausencia de evaluación de los riesgos.
Se constató que el SSC no ha efectuado una

evaluación metódica de los riesgos de seguridad de acuerdo a lo establecido en el
numeral 0.4 de la NCh ISO 27.002, de 2009. Lo anterior, en conformidad a lo
informado por el jefe de la Unidad de Informática del servicio.
9
En su respuesta, la entidad adjunta copia del

acta s/n en la que se establece los compromisos correspondientes a la
implementación de una evaluación metódica de los riesgos, la que se encontrará
disponible a partir del 29 de julio de esta anualidad.
Sobre el particular, si bien lo informado por el

servicio resulta atendible, dado que las medidas anunciadas no se han materializado,
corresponde mantener la observación.
En virtud de lo anterior, el Servicio de Salud

Coquimbo deberá realizar la referida evaluación, en concordancia con lo establecido
en el numeral 0.4 de la Nch ISO 27.002 de año 2009, lo que deberá ser acreditado y
documentado a través del Sistema de Seguimiento y Apoyo CGR y luego validado por
el Auditor Interno de la entidad, en el plazo de 90 días hábiles, contado desde la total
tramitación de este informe.
4. Control de acceso.
4.1 Deficiencias en seguridad de contraseñas.
Sobre la materia, se observaron en el

Sistema de Registro Decomiso de Drogas del SSC, las siguientes situaciones:
a) Las contraseñas no se almacenan de

manera encriptada en la base de datos, lo que incrementa el riesgo de accesos no
autorizados y propagación de incidentes.
b) Se evidenció que en el sistema no se

aprecia límites de intentos fallidos al ingresar una contraseña errónea.
c) Se verificó que no hay una restricción

sobre la reutilización de contraseñas anteriores.
Las situaciones expuestas vulneran lo

dispuesto en el artículo 37, letra g) del decreto N° 83, de 2004, y lo dispuesto en el
numeral 11.4.1 de la NCh ISO 27.002, de 2009.
Asimismo, vulnera lo previsto en la letra g) del

artículo 28, de la señalada normativa y lo indicado en el acápite 11.2.3 sobre “Gestión
de contraseñas del usuario” que dispone que: “La asignación de contraseñas para
acceder a un sistema se debe controlar mediante un proceso formal de gestión”.
En cuanto a lo observado en la letra a), el

servicio adjunta una captura de pantalla, correspondiente al cambio en el sistema en
el cual se almacena de manera encriptada la contraseña de los usuarios.
En tanto, para las letras b) y c) el servicio

adjunta un acta s/n en la cual se compromete a subsanar las situaciones observadas
a partir del 25 de julio de 2022.
10
Al respecto, considerando la documentación

aportada por la entidad, se resuelve subsanar la observación formulada en la letra a)
precedente.
En tanto, si bien lo informado por el SSC para

las observaciones contenidas en los literales b) y c) resulta pertinente, se resuelve
mantener ambas objeciones hasta que se acredite su materialización.
En mérito de lo expuesto, La entidad deberá

implementar medidas para subsanar las situaciones observadas, en conformidad con
lo dispuesto en el artículo 37, letra g) del anotado decreto N° 83, de 2004, y lo
dispuesto en el numeral 11.4.1 de la NCh ISO 27.002, de 2009, lo que tendrá que ser
acreditado y documentado a través del Sistema de Seguimiento y Apoyo CGR, en el
plazo de 60 días hábiles, contado desde la fecha de recepción del presente informe.
4.2 Ausencia de registro de alta o baja de perfiles de acceso.
Se verificó que el SSC no mantiene un

registro de solicitudes de alta o baja de perfiles en los sistemas, vulnerando lo
establecido en la letra g), del artículo 37, del decreto N° 83, de 2004, el cual indica
que se aplicarán las disposiciones contenidas en el capítulo 9 de la norma NCh 2.777,
con excepción de las secciones 9.5, 9.6, 9.7 y 9.8, que debe entenderse referida al
capítulo 11 de la norma chilena NCh-ISO 27.002, de 2009, que la reemplaza.
En su contestación, el servicio proporciona

bitácoras de creación e inactivación de cuentas, la que se encuentra a contar del 2 de
mayo de 2022 en marcha blanca, no obstante, informa que la realización de
producción de solicitudes de alta o baja de perfiles en los sistemas se disponibilizará
a partir del 28 de julio de esta anualidad.

SSC resulta pertinente, se resuelve mantener la observación hasta que se acredite su
materialización, lo que se deberá realizar a través del Sistema de Seguimiento y Apoyo
CGR, previa validación por el Auditor Interno de ese servicio, en el plazo de 90 días
hábiles, contado desde la fecha de recepción del presente informe.
5. Control de acceso remoto.
Se verificó que el SSC, si bien posee una

política de teletrabajo, esta no hace referencia a procedimientos relacionados con las
actividades de acceso remoto a algún sistema o servicio informático, lo que
contraviene lo establecido en el artículo 33, del decreto N° 83, de 2004, el que dispone
que las instituciones impartirán instrucciones relativas al uso de redes y servicios en
red que, al menos, especifiquen lo siguiente:
a) Las redes y servicios de red a las que el

acceso está permitido.
b) Los procedimientos de autorización para

determinar quién tiene permitido acceder a las distintas redes y servicios de red, y
11
c) Los controles de gestión y

procedimientos para proteger el acceso a las conexiones de la red y servicios de red.
Además, lo expuesto no se aviene con lo

dispuesto en el punto 11.7, de la norma NCh-ISO 27.002, de 2009, sobre informática
móvil y trabajo remoto, el cual indica que se debe garantizar la seguridad de la
información cuando se usan dispositivos de informática móvil y trabajo remoto.
En relación a este punto, la entidad en su

respuesta adjunta el documento denominado “Recomendaciones de manejo para la
creación de las cuentas VPN”, elaborado por el proveedor ENTEL, las que se rigen de
acuerdo a sus definiciones.

servicio resulta pertinente, la observación se mantiene, por cuanto los procedimientos
no son propios del servicio.
Al respecto, la entidad auditada deberá

elaborar procedimientos propios relacionados con las actividades de acceso remoto a
algún sistema o servicio informático, lo que tendrá que ser acreditado y documentado
a través del Sistema de Seguimiento y Apoyo CGR, y validado por el Auditor Interno
de esa entidad, en el plazo de 90 días hábiles, contado desde la fecha de recepción
del presente informe.
6. Seguridad física y del ambiente.
Sobre el particular, el día 14 de marzo de

2022 se realizó una visita a las dependencias del Servicio de Salud Coquimbo, en
conjunto con don , Jefe de Informática, con el propósito de
verificar el estado de las instalaciones donde se encuentran los equipos, así como
también los controles de acceso y el perímetro de seguridad establecido para la sala
en la cual se mantienen los activos relacionados con las tecnologías de la información
y donde se realiza el procesamiento de datos y comunicaciones.
En ese sentido, se advirtió que la entidad no

ha dado cumplimiento a lo dispuesto en la letra e) del artículo 37 del decreto referido
N° 83, de 2004, así como, asimismo, no se aviene con lo establecido en numeral 9 de
Seguridad Física y del Ambiente, contenido en la NCh ISO 27.002, de 2009, de
acuerdo con lo que a continuación se detalla:
a) Los accesos a la sala donde se

encuentran los racks de servidores y equipos de comunicaciones no cuentan con una
puerta cortafuegos. Lo expuesto, no se ajusta con lo establecido en la letra b) del
punto 9.1.1., de la NCh ISO 27.002, de 2009.
b) El servicio no cuenta con sensores de

temperatura y detectores de humo, incumpliendo con ello lo establecido en la letra f)
del numeral 9.2.1., de la NCh ISO 27.002, de 2009.
12
c) Se aprecia inexistencia de detectores

de aperturas de puertas, contraviniendo lo dispuesto en la letra b) del punto 9.1.1., de
la NCh ISO 27.002, de 2009.
d) La bitácora de incidentes no está
actualizada, lo que vulnera lo señalado en la letra a) del numeral 9.1.2, de la NCh ISO
27.002, de 2009.
e) Se estableció que en un punto de la
sala de procesamiento no se aprecia la debida separación entre cables de corriente y
de datos, no cumpliendo con lo señalado en el numeral 9.2.3 letra c) de la NCh ISO
27.002, de 2009.
f) La instalación eléctrica no se realizó

exclusivamente para la sala y el tablero de distribución no se encuentra en el lugar, lo
que no se ajusta a lo establecido en el punto 9.2.2 de la NCh ISO 27.002, de 2009.
g) Se aprecia acopio de materiales y

cajas en el acceso a la sala, incumpliendo con ello lo establecido en el punto 9.1.4 de
la NCh ISO 27.002, de 2009.
h) No se evidencian alarmas en los

accesos, lo cual contraviene a lo señalado en el punto 9.1.1, letra e) de la NCh ISO
27.002, de 2009.
El registro fotográfico de las situaciones

advertidas se muestra en el anexo N° 1.
En su contestación, el SSC adjunta un correo

electrónico del encargado de mantención, quien señala que para las letras a), b), c),
e), f) y h), se realizarán las mejoras de la sala de servidores.
Sobre el particular, si bien lo argumentado por

la entidad resulta atendible, dado que las medidas anunciadas no se han materializado
corresponde mantener las observaciones contenidas en las letras a), b), c), e), f) y h).
En tanto para las letras d) y g) se procede a

subsanar la observación, en razón de la documentación aportada en esta oportunidad.
Por consiguiente, las observaciones que se

mantienen, el servicio deberá implementar medidas y procedimientos concretos con
el objeto de subsanar cada una de esas materias, conforme a lo establecido en el
numeral 9 de la NCh ISO 27.002, de 2009, lo que tendrá que ser acreditado y
documentado a través del Sistema de Seguimiento y Apoyo CGR, en el plazo de 60
días hábiles.
13
7. Gestión de las operaciones y las comunicaciones.
7.1 Deficiencias en diccionario de datos.
Se comprobó que la aplicación Sistema de

Decomiso de Drogas no posee diccionario de datos y en el caso del Sistema de
Resultado PCR está incompleto, lo cual contraviene lo establecido en el artículo 37,
letra h), del decreto N° 83, de 2004, que señala que se aplicarán únicamente las
normas de la sección 10.3 del capítulo 10 de la noma CH 2.777, lo que se debe
entender referido al punto 12.3 de la NCh-ISO 27.002, de 2009, que la reemplaza, el
cual estipula que se debe proteger la confidencialidad, autenticidad o integridad de la
información por medios criptográficos.
Con respecto a lo observado, el servicio

adjunta los diccionarios de datos de las aplicaciones del Sistema de Decomiso de
Drogas y Sistema de Resultado de PCR, creadas con fecha 19 de abril de 2022.
En razón de las medidas anunciadas, se

resuelve subsanar la observación formulada.
7.2 Licencias de software.
De acuerdo con las revisiones en terreno, se

constató en 6 servidores, la utilización del sistema operativo Windows, en sus
Versiones 2019 y 2016, sin contar con las licencias vigentes para su uso.
El detalle de las situaciones advertidas se

encuentra en el anexo N° 2.
Lo anterior vulnera lo establecido en la letra

b), del artículo 22, del decreto N° 83, de 2004, sobre gestión de las operaciones y las
comunicaciones, de las licencias de software y la prohibición del uso de software no
autorizado, y lo estipulado en los artículos 19 y 20, de la ley N° 17.336, sobre
Propiedad Intelectual, que disponen que nadie podrá utilizar públicamente una obra
del dominio privado sin haber obtenido la autorización expresa del titular del derecho
de autor, la infracción de lo dispuesto en este artículo hará incurrir al o los
responsables en las sanciones civiles y penales correspondientes.
El servicio en su respuesta adjunta capturas

de pantalla de licencias instaladas y plan de trabajo de su implementación. Además,
informa que las licencias de Windows Server de dichos servidores corresponden a
ROK las que fueron instaladas de fábrica en los servidores y proporciona captura de
pantalla de la licencia Windows de servidor SIRH-MINSAL del Ministerio de Salud.
Al respecto, considerando lo manifestado por

el SSC en el párrafo anterior, y las validaciones efectuadas al respecto, corresponde
subsanar el hecho objetado.
14
8. Integridad y disponibilidad de la información.
8.1 Registro de fallas.
Se verificó que el SSC solo posee logs de

fallas en su firewall y en su sistema de respaldo, pero no en los sistemas que
administra, contraviniendo la letra f) del artículo 37, del decreto N° 83, en referencia al
acápite 10.10.5, de la norma chilena NCh-ISO 27.002, de 2009, sobre fallas del
sistema de información y pérdida del servicio.
En su respuesta, la entidad informa su

compromiso de habilitar un registro de fallas, a contar del 29 de julio 2022, por medio
de un servidor de monitoreo de red.

servicio resulta pertinente, se resuelve mantener la observación hasta que se acredite
su materialización.
En virtud de lo anterior, la entidad deberá

implementar las medidas señaladas en su respuesta, en conformidad con la letra f)
del artículo 37, del decreto N° 83, en referencia al acápite 10.10.5, de la norma chilena
NCh-ISO 27.002, de 2009, sobre fallas del sistema de información y pérdida del
servicio, lo que tendrá que ser acreditado y documentado a través del Sistema de
Seguimiento y Apoyo CGR, y luego validado por el Auditor Interno de esa entidad, en
el plazo de 90 días hábiles, contado desde la fecha de recepción del presente informe.
9. Tercerización de servicios TI.
Se advirtió que el servicio de salud cuenta con

un funcionario desarrollador de software bajo la modalidad de prestador de servicio
externo, el cual no cuenta con un contrato o acuerdo donde se establece la
confidencialidad de la información que maneja.
Lo descrito contraviene lo indicado en el

artículo 37, letra d) del decreto N°83 de 2004, referido a seguridad de personal. Por
otra parte, la situación expuesta transgrede lo mencionado en los puntos 6.2.1 y 6.2.3,
de la norma chilena NCh-ISO 27.002, de 2009, referente a la identificación de los
riesgos relacionados con partes o personal externo a la institución.
En respuesta, el servicio adjunta su

resolución exenta Nº 2.139, de 2022, que autoriza el trato directo por la contratación
de la empresa Servicios Informáticos Omar Ignacio Claude Villegas E.I.R.L., por un
período de 10 meses, a contar de marzo hasta diciembre de 2022, incorporando el
ítem de seguridad y confidencialidad de datos.
En razón de lo expuesto, se resuelve

subsanar la observación formulada.
15
10. Plan de Contingencia.
10.1 Deficiencias en plan de Contingencia.
Se constató que el SSC cuenta con un

documento sobre "Plan de Emergencia Dirección Servicio de Salud Coquimbo”,
formalizado a través de la resolución exenta N°4.724, de 2021, no obstante, no se
aprecia la integración de aspectos de Tecnologías de la Información en equipos,
sistemas y personal responsables de estos.
Lo descrito no se ajusta a lo previsto en los

artículos 35 y 37, letra i), del anotado decreto N° 83, de 2004, los que prevén que el
encargado de seguridad deberá formular un plan de contingencia para asegurar la
continuidad de las operaciones críticas para la institución.
En ese contexto, cabe precisar que el referido

plan, como mínimo, dispondrá de la efectiva gestión de las relaciones públicas, la
eficiente coordinación con las autoridades apropiadas, tales como fuerza pública en
caso de ser necesario, bomberos, autoridades directivas, etc., y mecanismos eficaces
para convocar a quienes sean los responsables de los documentos electrónicos y
sistemas informáticos afectados, en concordancia con lo dispuesto en el numeral
14.1.3 de la NCh-ISO N° 27.002, de 2009, la cual fue declarada como norma oficial
de la República mediante la resolución exenta N° 1.535, de 2009, del Ministerio de
Economía.
En su respuesta, el SSC adjunta el

documento denominado "Plan de Emergencia Dirección Servicio de Salud Coquimbo”,
formalizado a través de la mencionada resolución exenta N°4.724, de 2021,
reiterándose que no se advierte que aquella dé cumplimiento a la normativa citada.
Sobre la materia, considerando que el

servicio no precisa las acciones que adoptará tendientes a regularizar lo advertido, se
resuelve mantener la observación formulada.
Al respecto, la entidad auditada deberá incluir

los aspectos observados en sus planes de contingencia, lo que tendrá que ser
acreditado, a través del Sistema de Seguimiento y Apoyo CGR, y validado por la
Dirección de Control en el plazo de 90 días hábiles, contado desde la fecha de
recepción del presente informe.
CONCLUSIONES
Atendidas las consideraciones expuestas

durante el desarrollo del presente trabajo y el inicio de acciones, el Servicio de Salud
Coquimbo ha aportado antecedentes que han podido salvar parte de las
observaciones planteadas en el Preinforme de Auditoría N° 204, de 2022, de esta
Entidad Fiscalizadora.
16
En efecto, las observaciones señaladas en el

capítulo I. Aspectos de Control Interno, numeral 1, ausencia de un mecanismo de
control que permita validar el cumplimiento de los niveles de servicios; capítulo II.
Examen de la Materia Auditada; numerales 2.1, ausencia de comité de seguridad de
la información; 4.1, letra a), deficiencias en seguridad de contraseñas; 6, letras d) y
g), seguridad física y del ambiente; 7.1, deficiencias en diccionario de datos; 7.2,
licencias de software; y 9, tercerización de servicios TI, se dan por subsanadas,
considerando la explicación y antecedentes aportados por la entidad.
No obstante, y en virtud de los resultados

obtenidos en la presente auditoría, ese servicio deberá adoptar las medidas
pertinentes con el objeto de dar estricto cumplimiento a las normas legales y
reglamentarias que las rigen, entre las cuales se estima necesario considerar, a lo
menos, las siguientes:
1. En lo que respecta a lo observado en

el capítulo II, Examen de la Materia Auditada, numeral 3.1, ausencia de evaluación de
los riesgos, (MC), el Servicio de Salud Coquimbo deberá realizar una evaluación
metódica de estos riesgos de seguridad en concordancia a lo establecido en el
numeral 0.4 de la Nch ISO 27.002 de año 2009, lo que deberá ser acreditado y
documentado a través del Sistema de Seguimiento y Apoyo CGR y luego validado por
el Auditor Interno de la entidad, en el plazo de 90 días hábiles, contado desde la fecha
de recepción del presente informe.
2. Respecto de lo consignado en el
numeral 4.1, deficiencias en seguridad de contraseñas, letras a), b) y c) (C), la entidad
deberá implementar medidas para subsanar las situaciones observadas, en
conformidad con lo dispuesto en el artículo 37, letra g) del decreto N° 83, de 2004, del
Ministerio de Secretaría General de la Presidencia, y lo dispuesto en el numeral 11.4.1
de la NCh ISO 27.002, de 2009, lo que tendrá que ser acreditado y documentado a
través del Sistema de Seguimiento y Apoyo CGR, en el plazo de 60 días hábiles,
contado desde la fecha de recepción del presente informe.
3. Sobre el numeral 4.2, ausencia de

registro de alta o baja de perfiles de acceso (MC), el Servicio de Salud Coquimbo
deberá mantener un registro de solicitudes de alta o baja de perfiles, tal como lo
comprometió en su oficio de respuesta, lo que acreditará a través del Sistema de
Seguimiento y Apoyo CGR , previa validación por el Auditor Interno de ese servicio,
en el plazo de 90 días hábiles, contado desde la fecha de recepción del presente
informe.
4. Respecto al numeral 5, control de

acceso remoto (MC), el SSC deberá incluir los aspectos observados de las letras a),
b) y c) en su política de trabajo, lo que tendrá que ser acreditado y documentado a
través del Sistema de Seguimiento y Apoyo CGR y luego validado por la unidad de
auditoría de la mencionada entidad, en el plazo de 90 días hábiles, contado desde la
fecha de recepción del presente informe.
17
5. En relación con la observación

contenida en el numeral 6, seguridad física y del ambiente, letras a), b), c), e), f) y h),
(C), el SSC deberá implementar medidas y procedimientos a objeto de dar
cumplimiento a lo establecido en el numeral 9 de la NCh ISO 27.002, de 2009, lo que
tendrá que ser acreditado y documentado a través del Sistema de Seguimiento y
Apoyo CGR, en el plazo de 60 días hábiles, contado desde la fecha de recepción del
presente informe.
6. En cuanto a lo objetado en el numeral
8.1, registro de fallas (MC), la entidad deberá implementar las medidas señaladas en
su respuesta, en conformidad con la letra f) del artículo 37, del decreto N° 83, en
referencia al acápite 10.10.5, de la norma chilena NCh-ISO 27.002, de 2009, sobre
fallas del sistema de información y pérdida del servicio, lo que tendrá que ser
acreditado y documentado a través del Sistema de Seguimiento y Apoyo CGR, y luego
validado por el Auditor Interno de esa entidad, en el plazo de 90 días hábiles, contado
desde la fecha de recepción del presente informe.
7. En relación con el numeral 10.1,
deficiencias en plan de contingencia (MC), la entidad auditada deberá incluir los
aspectos observados en sus planes de contingencia, lo que tendrá que ser acreditado,
a través del Sistema de Seguimiento y Apoyo CGR, y validado por la Auditoría Interna
del servicio en el plazo de 90 días hábiles, contado desde la fecha de recepción del
presente informe.
Finalmente, para aquellas observaciones que
se mantienen, que fueron catalogadas como C, identificadas en el “Informe de Estado
de Observaciones”, de acuerdo al formato adjunto en el anexo N° 3, las medidas que
al efecto implemente el servicio, deberán acreditarse y documentarse en el Sistema
de Seguimiento y Apoyo CGR, que esta Entidad de Control puso a disposición de las
entidades públicas, según lo dispuesto en el oficio N° 14.100, de 6 de junio de 2018,
de este origen en un plazo de 60 días hábiles, o aquel menor que se haya indicado,
contado desde la recepción del presente informe.
Respecto de aquellas observaciones que se
mantienen y que fueron categorizadas como MC en el citado “Informe de Estado de
Observaciones”, el cumplimiento de las acciones correctivas requeridas deberá ser
informado por las unidades responsables al Auditor Interno, a través del Sistema de
Seguimiento y Apoyo CGR, en el plazo de 60 días hábiles, quien a su vez deberá
acreditar y validar en los siguientes 30 días hábiles la información cargada en la ya
mencionada plataforma, de conformidad a lo establecido en el aludido oficio N°
14.100, de 2018.
Remítase al Director y Jefa de Auditoría
Interna del Servicio de Salud Coquimbo.
Nombre: ERIKA VALDEBENITO COLOMA
Cargo: Jefa de Unidad de Control Externo
Fecha: 26/07/2022
18
ANEXO Nº 1: Registro fotográfico sala de procesamiento Servicio de Salud Coquimbo.
Fotografía N° 1 Fotografía N° 2
Fecha 14-03-2022 Fecha 14-03-2022
Acápite 5, “Examen de la Materia Acápite 5, “Examen de la Materia
Observación Observación
Auditada”. Auditada”.
Servicio de Salud Coquimbo, Servicio de Salud Coquimbo,
Lugar Lugar
dirección regional. dirección regional.
Pasillo acceso a sala de
Contenido Contenido Rack N°1
procesamiento.
Fecha 14-03-2022 Fecha 14-03-2022
Lugar Lugar
Conexiones Rack Comunicaciones y
Contenido Rack Comunicaciones y Rack N°2 Contenido
Rack N°2
19
Fecha 14-03-2022 Fecha 14-03-2022
Lugar Lugar
Tablero eléctrico pasillo contiguo
Contenido Acceso a Sala Contenido
fuera de Unidad Informática.
Fecha 14-03-2022 Fecha 14-03-2022
Lugar Lugar
Detalle automatico unidad
Contenido Contenido Bitácora de incidentes.
informática. pasillo contiguo.
20
ANEXO N° 2: Licencias de software no informadas
Nombre Servidor Plataforma Dirección IP Máquina Alcance Ubicación Proveedor Dueños Activo
Fuente: Elaboración propia en base a información proporcionada por Servicio de Salud Coquimbo.
21
Anexo N° 3: Estado de Observaciones de Informe Final N° 204, de 2022
A) OBSERVACIONES QUE VAN A SEGUIMIENTO POR PARTE DE LA CONTRALORÍA GENERAL
MEDIDA FOLIO O OBSERVACIO-

Nº DE IMPLEMENTADA Y NUMERACIÓN NES Y/O
MATERIA DE LA NIVEL DE REQUERIMIENTO PARA SUBSANAR LA OBSERVACIÓN O VERIFICAR
OBSERVACIÓN Y SU DOCUMENTO COMENTARIO
OBSERVACIÓN COMPLEJIDAD MEDIDAS ADOPTADAS
EL ACÁPITE DOCUMENTACIÓN DE S DEL
DE RESPALDO RESPALDO SERVICIO
La entidad deberá implementar medidas para subsanar las situaciones
observadas, en conformidad con lo dispuesto en el artículo 37, letra g) del
Numeral 4.1, del Deficiencias en decreto N° 83, de 2004, del Ministerio de Secretaría General de la
acápite II. seguridad de Presidencia, y lo dispuesto en el numeral 11.4.1 de la NCh ISO 27.002, de
C: Compleja
Examen de la contraseñas. 2009, lo que tendrá que ser acreditado y documentado a través del Sistema
Materia Auditada. de Seguimiento y Apoyo CGR, en el plazo de 60 días hábiles, contado
desde la fecha de recepción del presente informe.
Numeral 6, del El Servicio de Salud Coquimbo deberá implementar medidas y

procedimientos a objeto de dar cumplimiento a lo establecido en el numeral
acápite II.
Seguridad física y 9 de la NCh ISO 27.002, de 2009, lo que tendrá que ser acreditado y
Examen de la
del ambiente. C: Compleja documentado a través del Sistema de Seguimiento y Apoyo CGR, en el
Materia Auditada,
plazo de 60 días hábiles, contado desde la fecha de recepción del presente
letras a), b), c),
e), f) y h). informe.
22
B) OBSERVACIONES QUE SERÁN VALIDADAS POR EL AUDITOR INTERNO DE LA ENTIDAD
Nº DE
MATERIA DE LA NIVEL DE
OBSERVACIÓN Y REQUERIMIENTO PARA SUBSANAR LA OBSERVACIÓN
OBSERVACIÓN COMPLEJIDAD
EL ACÁPITE
El Servicio de Salud Coquimbo deberá realizar una evaluación metódica de
Numeral 3.1, del estos riesgos de seguridad en concordancia a lo establecido en el numeral
acápite II. Examen Ausencia de evaluación de los MC: Medianamente 0.4 de la Nch ISO 27.002 de año 2009, lo que deberá ser acreditado y
de la Materia riesgos. Compleja documentado a través del Sistema de Seguimiento y Apoyo CGR y luego
Auditada. validado por el Auditor Interno de la entidad, en el plazo de 90 días hábiles,
El Servicio de Salud Coquimbo deberá mantener un registro de solicitudes de
Numeral 4.2, del
alta o baja de perfiles, tal como lo comprometió en su oficio de respuesta, lo
acápite II. Examen Ausencia de registro de alta o MC: Medianamente
que acreditará a través del Sistema de Seguimiento y Apoyo CGR , previa
de la Materia baja de perfiles de acceso. Compleja
validación por el Auditor Interno de ese servicio, en el plazo de 90 días
Auditada.
hábiles, contado desde la fecha de recepción del presente informe.
La entidad deberá incluir los aspectos observados de las letras a), b) y c) en
Numeral 5, del
su política de trabajo, lo que tendrá que ser acreditado y documentado a
acápite II. Examen MC: Medianamente
Control de acceso remoto. través del Sistema de Seguimiento y Apoyo CGR y luego validado por la
de la Materia Compleja
unidad de auditoría de la mencionada entidad, en el plazo de 90 días hábiles,
Auditada.
La entidad deberá implementar las medidas señaladas en su respuesta, en
conformidad con la letra f) del artículo 37, del decreto N° 83, en referencia al
Numeral 8.1, del
acápite 10.10.5, de la norma chilena NCh-ISO 27.002, de 2009, sobre fallas
acápite II. Examen MC: Medianamente
Registro de Fallas. del sistema de información y pérdida del servicio, lo que tendrá que ser
de la Materia Compleja
acreditado y documentado a través del Sistema de Seguimiento y Apoyo
Auditada.
CGR, y luego validado por el Auditor Interno de esa entidad, en el plazo de 90
días hábiles, contado desde la fecha de recepción del presente informe.
Numeral 10.1, del El servicio deberá incluir los aspectos observados en sus planes de
acápite II. Examen Deficiencias en plan de MC: Medianamente contingencia, lo que tendrá que ser acreditado, a través del Sistema de
de la Materia Contingencia. Compleja Seguimiento y Apoyo CGR, y validado por la Dirección de Control en el plazo
Auditada. de 90 días hábiles, contado desde la fecha de recepción del presente informe.
23
24

Grupos 2 y 4 - INFORME FINAL #204 - 2022 SERVICIO DE SALUD COQUIMBO AUDITORÍA A LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN - JUL.2022 - Censurado

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Grupos 2 y 4 - INFORME FINAL #204 - 2022 SERVICIO DE SALUD COQUIMBO AUDITORÍA A LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN - JUL.2022 - Censurado

Cargado por

Copyright:

Formatos disponibles

CONTRALORÍA REGIONAL DE COQUIMBO

UNIDAD DE CONTROL EXTERNO

INFORME N° 204 / 2022

PREG. N° 4.002/2022 REMITE INFORME FINAL DE AUDITORÍA

LA SERENA, 26 de julio de 2022

Se remite, para su conocimiento y fines

Sobre el particular, corresponde que esa

Finalmente, cabe recordar que los datos

Saluda atentamente a Ud.,

Firmado electrónicamente por:

PREG. N° 4.002/2022 REMITE INFORME FINAL DE AUDITORÍA

LA SERENA, 26 de julio de 2022

Se remite, para su conocimiento y fines

Cabe recordar que los datos personales,

Saluda atentamente a Ud.,

Firmado electrónicamente por:

PREG. N° 4.002/2022 REMITE INFORME FINAL DE AUDITORÍA

LA SERENA, 26 de julio de 2022

Se remite, para su conocimiento y fines

Cabe recordar que los datos personales,

Saluda atentamente a Ud.,

Firmado electrónicamente por:

RESUMEN EJECUTIVO ............................................................................................ 4

ANTECEDENTES GENERALES ............................................................................... 6

UNIVERSO Y MUESTRA .......................................................................................... 8

RESULTADO DE LA AUDITORÍA ............................................................................. 8

I. ASPECTOS DE CONTROL INTERNO ........................................................... 8

1. Ausencia de un mecanismo de control que permita validar el cumplimiento

II. EXAMEN DE LA MATERIA AUDITADA ......................................................... 9

2. Comité de seguridad. ........................................................................................ 9

2.1 Ausencia de comité de seguridad de la información. ........................................ 9

3. Gestión de riesgos. ........................................................................................... 9

3.1 Ausencia de evaluación de los riesgos. ......................................................... 9

4. Control de acceso. .......................................................................................... 10

4.2 Ausencia de registro de alta o baja de perfiles de acceso. ......................... 11

5. Control de acceso remoto. .............................................................................. 11

6. Seguridad física y del ambiente. ..................................................................... 12

7. Gestión de las operaciones y las comunicaciones. ........................................ 14

7.1 Deficiencias en diccionario de datos. ........................................................... 14

7.2 Licencias de software. ................................................................................... 14

8. Integridad y disponibilidad de la información. ................................................. 15

8.1 Registro de fallas. .......................................................................................... 15

9. Tercerización de servicios TI. ......................................................................... 15

10. Plan de Contingencia. ..................................................................................... 16

10.1 Deficiencias en plan de Contingencia. ......................................................... 16

ANEXO Nº 1: Registro fotográfico sala de procesamiento Servicio de Salud

ANEXO N° 2: Licencias de software no informadas .............................................. 21

Anexo N° 3: Estado de Observaciones de Informe Final N° 204, de 2022 .......... 22

Es un plan que tiene por objetivo proporcionar orientación y apoyo

1 Fuente: Numeral 5.1 de la norma Chilena ISO 27.002.

Informe Final N° 204, de 2022,

Servicio de Salud Coquimbo

Objetivo: Efectuar una auditoría al Macroproceso de Tecnologías de la Información,

• ¿Ha implementado la entidad fiscalizada controles para la gestión de la

En mérito de lo expuesto, el Servicio de Salud Coquimbo deberá implementar medidas

PREG. N° 4.002/2022 INFORME FINAL DE AUDITORÍA N° 204, DE

LA SERENA, 26 de julio de 2022

En cumplimiento del plan anual de

A partir de la ejecución de auditorías de

Además, a través de la presente auditoría

En tal sentido, la revisión de esta Contraloría

El Servicio de Salud Coquimbo es un

La Red Asistencial del SSC comprende las