AUDITORIA

INFORMATICA
ESSALUD RED
ASISTENCIAL
MOQUEGUA

INTRODUCCION
El presente estudio se realiz en el Seguro Social de Salud EsSalud
Red Asistencial Moquegua, con motivo de llevarse a cabo la investigacin
sobre la Seguridad Lgica de los sistemas de Informacin. Sin embargo
se podido apreciar que El Sistema de Gestin Hospitalaria SGH es el
principal sistema de informacin en uso en la mayora de Hospitales de la
Red Asistencial. Este sistema fue desarrollado hace mas de 25 aos y en
el transcurso del tiempo se ha mejorado y fortalecido en sus diferentes
funcionalidades. Tambin, los mecanismos de seguridad son susceptibles
de modificar, alterar o destruir informacin registrada.

Otra debilidad

importante es el mantenimiento y soporte de este sistema, que por su

antigedad y discontinuidad tecnolgica la hace engorrosa y compleja.
Como alternativa al SGH se concibi la construccin de un nuevo sistema
de tecnologa WEB y manejadores de Base de Datos denominado
Sistema de Gestin de Servicios de Salud SGSS. La construccin se
inicio en el 2006, el mismo que enfoco sus tareas en los mdulos de
filiacin, citas medicas y programacin. Sn embargo, este sistema est
enfocado para Hospitales de niveles I y II, denotndose all las carencias
funcionales al implementarse en Hospitales de nivel II y IV.

Seguridad Lgica explora las amenazas lgicas que puede sufrir los
sistemas. Tambin refleja algunos controles que, utilizados de forma
correcta, si no eliminan, al menos, minimizan el impacto causado en la
Funcionalidad de la red Asistencial de Salud.

DEFINICIN
EsSalud se encuentra en pleno proceso de modernizacin de sus
servicios, ampliando la cobertura de atencin (oferta) para cubrir
adecuadamente la demanda creciente de prestaciones. Como parte del
proceso de mejora se han implementado un conjunto de aplicaciones
web, que brindan soporte a los macro procesos institucionales de
Aseguramiento, Prestaciones de Salud y Prestaciones Econmicas y
Sociales. Es as que a travs de su Oficina de Organizacin e Informtica,
en coordinacin con la Gerencia Central de Prestaciones de Salud ha
desarrollado un Sistema de Gestin de Servicios de Salud que permite
coberturar la funcionalidad de las UBAP (Filiacin, Programacin, Citas,
Atencin Mdica y Farmacia). Dicha solucin est basada en una
plataforma de tecnologa actual (entorno web y base de datos
centralizada) y funcionalmente orientada a la historia clnica electrnica,
adems est integrada a los sistemas institucionales.
La seguridad de la informacin es dbil, y est sujeto a ataques de
hackers que pueden traer perjuicio a la institucin. Para ello se requiere
adecuar el MOF y el ROF de la institucin para incorporar tareas y
responsabilidades como: Elaboracin de anlisis de riesgos, pruebas de
penetracin, asignacin de responsabilidades en el sistema de gestin de
la seguridad de la informacin.

RESEA HISTORICA

El Seguro Social de Salud EsSalud, fue creado el 28.Ene.99 por Ley N

27056 como Organismo Descentralizado adscrito al Sector Trabajo y
Promocin Social con personera jurdica de derecho pblico interno, con
autonoma tcnica, administrativa, econmica, financiera, presupuestal y
contable, sobre la base del ex Instituto Peruano de Seguridad Social. Su
finalidad es dar cobertura a los asegurados y sus derechohabientes, a
travs del otorgamiento de prestaciones de prevencin, promocin,
recuperacin, rehabilitacin, prestaciones econmicas y prestaciones
sociales que corresponden al rgimen contributivo de la Seguridad Social
en Salud, as como otros seguros de riesgos humanos. Su sede principal
se encuentra en la ciudad de Lima y desarrolla sus actividades en todo el
territorio nacional a travs de sus rganos Desconcentrados.
EsSalud tiene como objetivo mejorar la calidad de servicios de salud;
ampliar la cobertura de la seguridad social; optimizar la gestin
institucional y, mejorar los niveles de satisfaccin de los asegurados.
La estructura orgnica y las funciones de EsSalud se encuentran
regulados por su Ley de Creacin, la Ley N 27056 y su Reglamento
aprobado por D.S. N002-99-TR del 26.Abril.1999. El Reglamento de
Organizacin y Funciones, vigente a la fecha de nuestro examen,
aprobado mediante Resolucin de Presidencia Ejecutiva N454-PEEsSalud-2001, fue dejado sin efecto con Resolucin de Presidencia
Ejecutiva N088-PE-EsSalud-2002 del 25.Marzo.2002, con la que se puso
en vigencia la estructura orgnica y el Reglamento de Organizacin y
Funciones actuales de la Institucin.

BASE LEGAL

o Ley N 27056, Ley de Creacin del Seguro Social de Salud.

o D.S. N 00299TR, Reglamento de la Ley N 27056, Ley de
Creacin del Seguro Social de Salud.
o Ley N 26771, establecen prohibicin de ejercer la facultad de
nombramiento y contratacin de personal en el Sector Pblico, en
casos de parentesco.
o D.S. N0212000PCM, aprueba Reglamento de la Ley que
establece prohibicin de ejercer la facultad de nombramiento y
contratacin de personal en el Sector Pblico, en casos de
parentesco.
o D.S. N00397TR, Texto nico Ordenado del Decreto Legislativo
N 728, Ley de Productividad y Competitividad Laboral.
o Decreto

Legislativo

N276, Ley de

Bases de

la

Carrera

Administrativa y de Remuneraciones del Sector Pblico.

o D.S. N00590PCM, Reglamento de la Ley de Bases de la
Carrera Administrativa.
o D.S. N 0122001PCM, Texto nico Ordenado de la Ley de
Contrataciones y Adquisiciones del Estado.
o D.S. N 0132001PCM, Texto nico Ordenado del Reglamento de
la Ley de Contrataciones y Adquisiciones del Estado.

o Resolucin

de

Gerencia

General

N 64996GGIPSS96,

aprueba la Clasificacin de las Gerencias Departamentales, su

Estructura Orgnica y Reglamento de Organizacin y Funciones.
o Acuerdo N 3711IPSS97, aprueba la Estructura Orgnica y el
Reglamento de Organizacin y Funciones del Instituto Peruano de
Seguridad Social.
o Resolucin de Presidencia Ejecutiva N 454PEEsSalud2001,
aprueba Estructura Orgnica y Reglamento de Organizacin y
Funciones de EsSalud, vigente hasta el 25.Mar.2002.
o Resolucin de Presidencia Ejecutiva N 139PEEsSalud99,
aprueba el Reglamento Interno de Trabajo para los trabajadores
comprendidos en el rgimen laboral de la actividad privada del
Seguro Social de Salud.

OBJETIVOS DE LA AUDITORIA DE GESTION

La seguridad se puede definir como aquello que esta libre de peligro,

dao o riesgo. Pero lo cierto es que la seguridad plena no existe, por lo
que otro enunciado que podra encajar mejor con la realidad sera calidad
relativa,

resultado

del

equilibrio

entre

el

riesgo

(amenazas,

vulnerabilidades e impacto) y las medidas adoptadas para paliarlo. Una

definicin que se ajusta ms en el mbito informtico es: la seguridad es
la capacidad de las redes o de los sistemas de informacin para resistir,
con un determinado nivel de confianza, los accidentes o acciones ilcitas o

malintencionadas que comprometan la disponibilidad, autenticidad,

integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Esta definicin est incluida en el libro I - Mtodo de MAGERIT versin 2.

EJECUCION
La fase de ejecucin de la Auditoria de Gestin est focalizada
bsicamente, en la obtencin de evidencias suficientes, competentes y
pertinentes sobre los asuntos ms importantes (reas de auditoria)
aprobados en el plan de auditoria. No obstante, algunas veces, como
consecuencia de este proceso se determinan aspectos adicionales por
evaluar, lo que implica la modificacin del plan de auditoria. Toda labor en
la auditoria debe ser controlada a travs de programas de trabajo. Tales
programas definen por anticipado las tareas que deben efectuarse
durante el curso de la auditoria y se sustentan en objetivos incluidos en el
plan de auditoria y en la informacin disponible sobre las actividades y
operaciones de la entidad consignada en el informe de revisin
estratgica.
Una de las actividades ms importantes de la fase de ejecucin, es el
desarrollo de hallazgos. El trmino hallazgo en auditoria tiene un sentido
de recopilacin y sntesis de informacin especfica sobre una actividad u
operacin, que ha sido analizada y evaluada y, que se considera de
inters para los funcionarios a cargo de la entidad examinada.

Usualmente, se utiliza en un sentido crtico, dado que se refiere a

deficiencias que son presentadas en el informe de auditora.
Dentro del proceso de ejecucin de la auditoria, el auditor brinda a los
funcionarios y servidores de la entidad examinada, que estn o podran
estar afectados por el informe, la oportunidad de efectuar comentarios y
aclaraciones en forma escrita (u otra) sobre los hallazgos identificados
antes de presentar el informe. Estos comentarios y cualquier revelacin
importe que se presenten, deben reconocerse y discutirse en el informe
en forma apropiada y objetiva. Ningn informe de auditora debe emitirse
sin escuchar a los funcionarios responsables de la entidad examinada,
quienes tienen la oportunidad de presentar sus comentarios sobre los
hechos que se observan.
Un aspecto importante del desarrollo de las observaciones que en
esencia, involucran los elementos propios del hallazgo de auditoria
(condicin y criterio), es la identificacin de las causas y efectos actuales
o posibles de las deficiencias detectadas durante la fase de ejecucin. La
identificacin oportuna de las razones que ocasionaron la situacin
negativa y por qu se mantiene (causa), as como la cuantificacin de las
consecuencias reales o potenciales (efecto) en trminos financieros,
constituyen una manera efectiva para interesar a los funcionarios de la
entidad responsables de adoptar correctivos en forma oportuna.
En base a la evidencia de auditoria reunida y a travs de la evaluacin de
las opiniones vertidas por los funcionarios de la entidad, el auditor puede
arribar a conclusiones concretas sobre las deficiencias identificadas
durante la fase de ejecucin. Las observaciones y conclusiones, deben
estar acompaadas de recomendaciones para los funcionarios a cargo de

la entidad examinada, a fin de corregir las deficiencias identificadas y

evitar en el futuro su repeticin. Los papeles de trabajo son los
documentos elaborados u obtenidos por el auditor durante las fases de
planeamiento y ejecucin, los cuales sirven como fundamento y respaldo
del informe. Los papeles de trabajo son revisados por el auditor
encargado y el supervisor responsable, con el objeto de establecer si son
pertinentes a la auditoria, documentan en forma adecuada la evidencia
obtenida y guardan consistencia internamente.

OBJETIVO DE LA AUDITORIA INFORMATICA

Es mostrar cmo est funcionando el programa, localizando prcticas y
condiciones que son perjudiciales para la empresa o que no estn
justificando su costo o prcticas y condiciones que deben incrementarse.

VISION DE ESSALUD
Constituirse en una institucin moderna, eficiente y competitiva que
conserva el principio de la solidaridad, y se caracteriza por una alta
especializacin y capacidad de resolucin al costo ms adecuado; que al
entregar en forma amable sus servicios, genere una gran lealtad y
fidelidad en sus usuarios y que cultivando los ms excelsos valores de la
humanidad, vaya creciendo hasta alcanzar el postulado de universalidad
en la atencin de la salud de la poblacin, al cual adherimos.

MISION DE ESSALUD

En EsSalud tenemos el compromiso de contribuir a mejorar la calidad de

vida de las familias peruanas, brindndoles los servicios de salud y las
prestaciones econmicas y sociales que estn comprendidas dentro del
rgimen contributivo de la Seguridad Social de Salud, basados en los
principios de solidaridad, equidad y universalidad para sus asegurados.
Para ello contamos con la calidad, calidez y valores de nuestro personal y
con una red de establecimientos de salud y centros de alta
especializacin adecuadamente equipados.
Consideramos a nuestros asegurados y empresas aportantes como
socios en esta tarea, siendo nuestra responsabilidad la administracin
eficiente de sus aportaciones.

OBJETIVOS ESTRATEGICOS DE ESSALUD

Mejorar la calidad de los servicios.

Ampliar la cobertura de las prestaciones y de la seguridad.

Optimizar la gestin institucional.

SISTEMA DE COMUNICACIONES
SEGURIDAD INFORMATICA
El SAP es el sistema administrativo implementado y en uso en EsSalud,
fue implementado hace ms de 12 aos y carece de mantenimiento y
soporte desde hace 6 aos. El reconocimiento del SAP a nivel

internacional como software de clase mundial lo avala como una

herramienta de gestin administrativa importante para la institucin

Sistema ERP (SAP R/3)

Administra los procesos administrativos en las reas de Logstica,
Finanzas y Recursos Humanos. Abarca a la Sede Central y todos los
rganos desconcentrados a nivel nacional de la Red de ESSALUD. Opera
bajo entorno cliente / servidor.

Sistema de Gestin Hospitalaria (SGH)

Permite el registro de las prestaciones asistenciales otorgadas a las
personas que reciben atencin en los centros de ESSALUD a nivel
nacional. Sus principales mdulos son Admisin, Historia Clnica,
Consulta Externa, Farmacia, Patologa Clnica (Laboratorio),

GESTION HOSPITALARIA

El Sistema de Gestin Hospitalaria SGH es el principal sistema de

informacin en uso en la mayora de Hospitales de la Red
Asistencial.

Este sistema fue desarrollado hace mas de 25 aos y en el

transcurso del tiempo se ha mejorado y fortalecido en sus
diferentes funcionalidades.

Sin embargo, su principal problema es la naturaleza propia de su

construccin, el cual no contempla un manejador de Base de Datos
hacindola desarticulada y difcil de explotar informacin.

Tambin, los mecanismos de seguridad son susceptibles de

modificar, alterar o destruir informacin registrada.

Otra debilidad importante es el mantenimiento y soporte de este

sistema, que por su antigedad y discontinuidad tecnolgica la
hace engorrosa y compleja.

Como alternativa al SGH se concibi la construccin de un nuevo

sistema de tecnologa WEB y manejadores de Base de Datos
denominado Sistema de Gestin de Servicios de Salud SGSS.

La construccin se inicio en el 2006, el mismo que enfoco sus

tareas en los mdulos de filiacin, citas medicas y programacin.

Sn embargo, este sistema est enfocado para Hospitales de

niveles I y II, denotndose all las carencias funcionales al
implementarse en Hospitales de nivel II y IV.

A continuacin se muestran algunas capturas de pantallas del Sistemas

de Gestin Hospitalaria que estn divididos en modulos:

En los terminales se trabaja con el S. O. LINUX y MS-DOS

La Base de Datos est en lenguaje de programacin FOX-PRO.
Este se modifica solo por la jefatura de informtica o red de gestin de
acuerdo a los inconvenientes que se presenta en el momento de la
atencin, no se modifica el sistema en si sino las pantallas para su uso.
En cuanto a la base de datos del CAs, esta informacin si se puede
cambiar de acuerdo a la documentacin respectiva que presenta el
asegurado y al sistema de Host (Base de Datos de EsSalud, es la que se
obtiene cuando el empleador inscribe a sus trabajadores con sus
familiares afilindolos en la seguridad social), y tambin se cuenta con la
informacin que brinda el mdulo de acreditacin que a travs de
Internet tiene acceso a los pagos de los asegurados o empleadores que

hacan a la SUNAT.
se cre la Atencin de Citas a travs de Essalud en Lnea teniendo como
base el mismo SISTEMA DE GESTION HOSPITALARIA, esta vez ya no
sera por atendidos por terminalistas en cada CAs sino por personal de
los services SILSA y SBK.
El sistema de citas Essalud en Lnea, se compone de personal
asistencial (teleoperadoras) que atiende las citas por telfono a travs del
mismo Sistema de Gestin Hospitalaria con nuevas pantallas de
conexin e inicio de sesin solamente pero con las mismas pantallas que
hemos visto anteriormente conectados a la red de cada uno de los
hospitales, policlnicos, ubaps y son ellos ahora lo que manejan ahora las
citas de todas las redes de Lima.

reas de trabajo distribuidos segn el CAs:

Mdulo de Admisin (atendido por terminalistas que daban citas del

da para los consultorios).

Mdulo de Filiacin.(En este mdulo se atenda a los pacientes sin

historia clnica en el Centro Asistencial para que tuvieran una y as
poder atenderse)
Mdulo de Acreditacin. (Terminalistas contratados con acceso a
internet y a informacin confidencial de Essalud como los pagos del
empleador, este sistema que utilizaba estaba en red con las agencias
de la institucin.

Mdulo de Farmacia

Mdulo de Rayos X

Mdulo de Laboratorio

Mdulo de Citas por telfono

Mdulo de Emergencia

Essalud en lnea cuenta con un sistema web llamado ACREDITA (FIG.6) ,

el cual te muestra la vigencia y que clase de asegurado es y donde se
atiende mas los datos del asegurado.
Es el mismo el cual uno puede acceder por el portal web:
http://ww4.essalud.gob.pe:7777/acredita/

SISTEMA WEB ACREDITA (Usado en el Sistema de

Gestin Hospitalaria Antiguo y Actual)

SEGURIDAD
LGICA

CONCEPTO.
La seguridad lgica aplica mecanismos y barreras que mantengan a
salvo la informacin de la organizacin desde su propio medio.
Algunos de los controles utilizados en la seguridad lgica son:

Se limita el acceso a determinados aplicaciones, programas o

archivos mediante claves o a travs de la criptografa.

Se otorgan los privilegios mnimos a los usuarios del sistema

informtico. Es decir, slo se conceden los privilegios que el
personal necesita para desempear su actividad.

Cerciorarse de los archivos, las aplicaciones y programas que

se utilizan en la compaa se adaptan a las necesidades y se
usan de manera adecuada por los empleados.

Controlar que la informacin que entra o sale de la empresa es

ntegra y slo est disponible para los usuarios autorizados.

Amenazas lgicas
Para evitar posibles amenazas lgicas en nuestra organizacin, es
importante

que

todos

los

empleados,

especialmente

los

administradores de los equipos, tomen conciencia del cuidado que

deben poner para que no se materialicen posibles daos en la
compaa. Adems, es fundamental implementar mecanismos de
prevencin, deteccin y recuperacin ante posibles amenazas
lgicas como virus, gusanos, bombas lgicas y otros cdigos
maliciosos.

SEGURIDAD LGICA
1.1 IDENTIFICACIN IDS
Deber existir una herramienta para la administracin y el control de
acceso a los datos. Debe existir una poltica formal de control de acceso a
datos donde se detalle como mnimo:
el nivel de confidencialidad de los datos y su sensibilidad, los
procedimientos de otorgamiento de claves de usuarios para el ingreso a
los sistemas, los estndares fijados para la identificacin y la
autenticacin de usuarios.
Para dar de alta un usuario al sistema debe existir un procedimiento
formal,
Por escrito, que regule y exija el ingreso de los siguientes datos:

Identificacin del usuario, deber ser nica e irrepetible, o

password, debe ser personal e ingresado por el usuario.

nombre y apellido completo

sucursal de la empresa donde trabaja

grupo de usuarios al que pertenece

fecha de expiracin del Password.

fecha de anulacin de la cuenta

contador de intentos fallidos

autorizacin de imprimir

autorizacin de ingreso al rea de usados.

 Deben asignarse los permisos mnimos y necesarios para que cada

usuario desempee su tarea.
Debe existir una manera de auditar (lista de control de acceso) todos los
requerimientos de accesos y los datos que fueron modificados por cada
usuario, y si este tiene los permisos necesarios para hacerlo.
Deber restringirse el acceso al sistema o la utilizacin de recursos en
un rango horario definido, teniendo en cuenta que:

Las cuentas de los usuarios no deben poder acceder al sistema en

horarios no laborales, de acuerdo al grupo al que pertenezcan,

Durante las vacaciones o licencias las cuentas de usuarios deben

desactivarse,

En das feriados las cuentas de usuarios administrativos, a

excepcin de los del departamento de ventas, deben permanecer
desactivadas.

Deben restringirse las conexiones de los usuarios slo a las

estaciones fsicas autorizadas.

El administrador debe poder logearse solamente desde las

terminales que se encuentren en el centro de cmputos y en una
terminal especfica y habilitada por cada sucursal.

El administrador del sistema deber realizar un chequero mensual

de los usuarios del sistema, comprobando que existen solo los
usuarios que son necesarios y que sus permisos sean los
correctos.

El rea de recursos humanos deber comunicar al administrador

los cambios de personal que se produzcan.

Para dar de baja un usuario deber existir un procedimiento formal

por escrito, a travs del cual los datos del usuario no se eliminarn
sino que se actualizar la fecha de anulacin de su cuenta,
quedando estos datos registrados en el histrico.

Adems, se debe llevar a cabo una poltica de desvinculacin del

personal, a travs de la cual se quitan permisos al empleado
paulatinamente, evitando un posible acto de vandalismo por
insatisfaccin con la decisin de la Empresa.

El sistema deber finalizar toda sesin interactiva cuando la

terminal desde donde se est ejecutando no verifique uso durante
un perodo de cinco minutos, deber deslogear al usuario y limpiar
la pantalla.

Las PCs deben tener instalado un protector de pantalla con

contrasea.

Se debe bloquear el perfil de todo usuario que no haya accedido al

sistema durante un perodo razonable de tiempo a determinar por
el Directorio.

Los usuarios del sistema solamente podrn abrir una sesin de

cada aplicacin, y no podrn abrir dos sesiones del mismo men
en diferentes terminales ni en la misma terminal.

Se deber impedir la existencia de perfiles de usuarios genricos,

en todos los sistemas operativos y en el sistema informtico de la
Empresa.

Se deber minimizar la generacin y el uso de perfiles de usuario

con mximos privilegios. Todos los usos de estas clases de perfiles
debern ser registrados y revisados por el administrador de
seguridad.

Deber existir un administrador total del sistema (root), que deber

estar

resguardado en un sobre cerrado bajo adecuadas normas de

seguridad. En caso que sea necesaria su utilizacin se deber
proceder de acuerdo con un procedimiento de autorizacin
estipulado a tal fin.

Un segundo administrador (un sper-usuario) debe ser creado con

privilegios similares al anterior. Se crear un tercer perfil de
administrador del sistema, con los permisos mnimos necesarios
para la realizacin de tareas cotidianas del administrador. Ninguno
de estos usuarios tendr permitida la eliminacin del usuario root.

Los administradores que realizan tareas de mantenimiento,

debern tener otro perfil, con un nivel de acceso menor,
denominado mantenimiento, para ser utilizado en tareas cotidianas
que no requieran privilegios de sper usuario.

Si se realiza mantenimiento externo, deber crearse una cuenta de

usuario especial para esta tarea, con los permisos mnimos
necesarios para desempear las funciones; una vez finalizado el
mantenimiento el administrador del sistema deber modificar la
contrasea de esta cuenta. Cada vez que sea necesario realizar
mantenimiento, el administrador deber proporcionar esta clave al
personal externo.

Peridicamente el administrador del sistema deber chequear las

acciones desempeadas con las cuentas de administradores y de
mantenimiento.

1.2 AUTENTICACIN

La pantalla de logeo del sistema deber mostrar los siguientes datos:

Nombre de usuario, o password, o opcin para cambiar la clave.
Mientras el usuario est ingresando su contrasea, esta no debe ser
mostrada por pantalla.
Cuando el usuario logra logearse al sistema debern mostrase los
siguientes datos:

nombre de usuario,

fecha y hora de la ltima conexin,

cantidad de intentos fallidos de conexin de ese ID de usuario

desde la ltima conexin lograda.

la lista de control de accesos, los passwords y datos de las cuentas

de usuarios, los datos de autenticacin de los usuarios mientras
son transmitidos a travs de la red.

1.3 PASSWORD
Los passwords debern tener las siguientes caractersticas:
Conjunto de caracteres alfa-numrico, o longitud mnima de 6 y mxima
de 10 caracteres.
El password deber inicializarse como expirado para obligar el cambio.

La fecha de expiracin del password deber ser de un ao. El

sistema no exige automticamente el cambio, una vez cumplido el
plazo.

El password no deber contener el nombre de la empresa, el

nombre del usuario, ni palabras reservadas.

Bloquear el perfil de todo usuario que haya intentado acceder al

sistema en forma fallida por ms de cinco veces consecutivas.

Si un usuario olvida el password, la aplicacin no deber mostrarle

el password al administrador, y permitir que el usuario ingrese uno
nuevo desde su terminal, la prxima vez que intente logearse.

1.4 SEGREGACIN DE FUNCIONES

El rea de sistemas debera

encontrarse ubicada en el

organigrama de la empresa en una posicin tal que garantice la

independencia necesaria respecto de las reas usuarias, lo cual
actualmente en la Red Asistencial Moquegua no ocurre.

No existe una rotacin en las tareas del personal Usuario de los

Sistemas de. Solo se establecen perodos de vacaciones anuales
obligatorios para el personal del rea, entre otras pocas medidas.

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

El Sistema de Gestin Hospitalaria SGH es el principal sistema de

informacin en uso en la mayora de Hospitales de la Red
Asistencial.

Este sistema fue desarrollado hace mas de 25 aos y en el

transcurso del tiempo se ha mejorado y fortalecido en sus
diferentes funcionalidades.

Sin embargo, su principal problema es la naturaleza propia de su

construccin, el cual no contempla un manejador de Base de Datos
hacindola desarticulada y difcil de explotar informacin.

Tambin, los mecanismos de seguridad son susceptibles de

modificar, alterar o destruir informacin registrada.

Otra debilidad importante es el mantenimiento y soporte de este

sistema, que por su antigedad y discontinuidad tecnolgica la
hace engorrosa y compleja.

Como alternativa al SGH se concibi la construccin de un nuevo

sistema de tecnologa WEB y manejadores de Base de Datos
denominado Sistema de Gestin de Servicios de Salud SGSS.

La construccin se inicio en el 2006, el mismo que enfoco sus

tareas en los mdulos de filiacin, citas medicas y programacin.

Sn embargo, este sistema esta enfocado para Hospitales de

niveles I y II, denotndose all las carencias funcionales al
implementarse en Hospitales de nivel II y IV.

3. RECOMENDACIONES
a. Las organizaciones como EsSalud tienen tres caractersticas
bsicas. En primer lugar, existen para cumplir un propsito
definido. En segundo lugar, se basan en la informacin. En tercer
lugar, son completamente flexibles y totalmente adaptables.
Reaccionan con rapidez y con eficacia ante los cambios de su
entorno que afecten a su capacidad para cumplir su propsito
definido. En este contexto recomendamos utilizar a la auditoria de
gestin como la mayor fuente de informacin que permitir
flexibilizar y adaptar la organizacin y administracin de acuerdo
con los resultados obtenidos.
b. Que siendo la auditora de gestin una herramienta de la
evaluacin de la efectividad, eficiencia y economa de los recursos
humanos del Area de Recursos Humanos de EsSalud y siendo
stos los ms importantes de la institucin, recomendamos su
aplicacin en forma trimestral, a fin de obtener el mayor provecho
de esta actividad profesional.
c. Dada la importancia de la Auditoria de Gestin y su reciente
aplicacin en nuestro pas, recomendamos se fomente eventos o

seminarios que traten sobre esta actividad y establecer como se

constituye en instrumento importante de evaluacin, con la
finalidad de que el profesional que egrese de las universidades
tenga conocimientos claros y suficientes sobre este tipo de
examen.
d. Recomendamos, que los directivos de las instituciones pblicas y
privadas faciliten la realizacin de este tipo de auditoria porque
permite determinar si estn logrndose los resultados o beneficios
previstos por la normativa institucional y de no ser as aplicar las
medidas correctivas del caso.

BIBLIOGRAFA
1. ARENS, Alvin A. Y LOEBBECKE James K. Auditoria un Enfoque
Integral, 6ta. Edicin, Mxico 1996, 901pp.
2. BLANCO LUNA, Yanet. XXII CIC Trabajos Interamericanos, p.81.
3. BRAVO CERVANTES, Miguel H. Auditoria Integral, Editorial
FECAT, LimaPer, 1998, 759pp.
4. FERNNDEZ,

Jos.

La

Auditoria

Administrativa,

JUSTOS S.A., Mxico 1990, 265pp.

5. HAIMAN, Theo. Direccin y Gerencia, 560pp.

Editorial

6. HELLER, Robert. La Toma de Decisiones, Editorial GRIGALBO,

1ra. Edicin, BarcelonaEspaa, 1998, 72pp.
7. HERNNDEZ RODRGUEZ, Fernando. La Auditoria Operativa:
Como Instrumento en la Decisin Gerencial. Servicio Grfico y
Publicitario San Marcos S.A., LimaPer, 1992, 440pp.
8. HOLMES, Arthur. La Auditoria: Principios y Procedimientos. Unin
Tipogrfica, Editorial Hispanoamrica, Mxico 1993, 870pp.
9. INSTITUTO MEXICANO DE CONTADORES PBLICOS A.C.
Normas y Procedimientos de Auditoria, Mxico 1990, 550pp.
10. LEONARD, William. Auditoria Administrativa: Evaluacin de los
Mtodos y Eficiencia Administrativa, Editorial Diana, Mxico
1993, 630pp.
11. MEJA LOPEZ, Cesar Bernardino. La Auditoria Administrativa
como Instrumentos de Gestin para el Cumplimiento de los
Objetivos Institucionales en la Universidad Inca Garcilaso de la
Vega, Tesis, Maestra en Contabilidad con mencin en Auditoria,
Per1996.
12. MENDOZA CASTRO, Jorge Luis. La Auditoria Operativa en la
Gestin, para la Toma de Decisiones en el Area de Abastecimiento
Hospitalario, Tesis, Contador Pblico, Universidad Inca Garcilaso
de la Vega, Per1998.
13. PEREZ RODRGUEZ, Juan. La Auditoria Operativa como parte de
la Evaluacin del Control Interno de los Procedimientos en una

Empresa

de

Servicios,

Tesis,

Maestra

en

Contabilidad,

Universidad de Lima, Per1998.

14. RODRGUEZ SOSA, Miguel. Investigacin Cientfica: Teora y
Mtodo, LimaPer, 1994, 580pp.
15. ROSEMBERG, Jerry. Diccionario de Administracin y Finanzas,
Editorial Ocano, BarcelonaEspaa, 1993, 390pp.
16. SIERRA BRAVO, Restituto. Tcnicas de Investigacin Social,
Editorial Paraninfo, MadridEspaa, 1995, 620pp.
17. TAFUR PORTILLA, Ral. La Tesis Universitaria, LimaPer,
Editorial Mantaro, 1995, 429pp.
18. THIERAUF, Roberto y otros. Principios y Aplicaciones de
Administracin, Editorial LIMUSA, Mxico 1986, 2da. Edicin,
520pp.
19. TUESTA

RIQUELME,

Yolanda.

El

ABC

de

la

Auditoria

Gubernamental, Tomo I, 590pp.

20. YARASCA RAMOS, Pedro Antonio. Auditoria Fundamento con
un Enfoque Moderno, 2da. Edicin, Lima Per, 1995, 343pp.

ENCUESTA
Instrucciones
La presente encuesta, tiene como finalidad recabar informacin
relacionada con La seguridad Lgica de los sistemas de Informacin de
EsSalud Red Asistencial Moquegua; por lo que se solicita que en las
preguntas que a continuacin se le presenten, marque con un aspa ( X ),
frente a la interrogante que Ud. considere valedera. Se le agradece su
participacin.
1. Es posible acceder al sistema sin Contrasea?
a. Si se puede acceder a cualquier informacin del sitema ( )
b. Solo a servicios que no implican riesgo de acceso a informacin
no permitida( )
c. No ( )
2. Los Usuarios se Identifican Individualmente?

a. Si ( )
b. No ( )
3. Los Usuarios Cambian su contrasea facilitad por defecto?
a. Si ( )
b. No ( )
c. A Los usuarios no se les facilita Contrasea por defecto ( ).
4. La Contrasea contiene Maysculas, minsculas, nmeros y
signos de puntuacin?
a. Si ( )
b. No ( )
5. La Contrasea tienen una longitud mnima de 8 caracteres?
a. Si ( )
b. No ( )
6. Los usuarios utilizan la misma Contrasea para varios Sistemas?
a. Si ( )
b. No ( )
7. Se comprueba que los usuarios no utilizan Contraseas ya
usadas anteriormente tienen una longitud mnima de 8 caracteres?
a. Si ( )
b. No ( )