2013_194info.pdf

INFORME DE AUDITORIA
Al Señor Ministro
Dr. Juan Luis MANZUR
Ministerio de Salud de la Nación
Av. 9 de Julio 1925
(C1073ABA) Ciudad Autónoma de Buenos Aires.
En uso de las facultades conferidas por el artículo 118 de la Ley Nº 24.156, la AUDITORÍA
GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de
Salud con el objeto que se detalla en el apartado 1.
1.- OBJETO DE AUDITORÍA.
Evaluación de los controles de la TI (tecnología de la información) y del nivel de
sistematización.
2.- ALCANCE
El examen fue realizado de conformidad con las normas de auditoría externa de la Auditoría
General de la Nación, aprobadas por la Resolución N° 145/93, dictada en función del artículo
119, inciso d, de la Ley N° 24.156.
Ha comprendido la evaluación de:
1) el ambiente de control en el Ministerio en la gestión de la tecnología de la información y
comunicaciones (TIC)
2) la gestión en cinco (5) sistemas de información empleados en programas médico-sanitarios
(PMS) que se seleccionaron.
3) la gestión de los sitios web del Ministerio y de los programas y subprogramas médicosanitarios a su cargo.
1
La evaluación no comprende a los organismos dependientes del Ministerio.
El período evaluado abarcó desde el año 2009 hasta Setiembre de 2011.
Se practicaron los siguientes procedimientos:

Entrevistas con los siguientes funcionarios:
 Secretario de Determinantes de la Salud y Relaciones Sanitarias.
 Secretario de Políticas, Regulación e Institutos.
 Secretario de Promoción y Programas Sanitarios.
 Jefe de Gabinete de Asesores (Unidad Ministro).
 Auditor Interno.
 Director General de Administración.
 Director Nacional de Regulación Sanitaria y Calidad en Servicios de Salud.
 Director Nacional de Registro, Fiscalización y Sanidad de Fronteras.
 Director Ejecutivo de SIDA y Enfermedades de Transmisión Sexual (ETS).
 Responsable de la Dirección de Informática.
 Directora de Estadísticas e Información de Salud.
 Directora Nacional del Programa Federal Incluir Salud.
 Coordinador de Adquisiciones y Contrataciones de la Unidad de Financiamiento
Internacional - Salud (UFI-S).
 Coordinador Nacional del Proyecto Funciones Esenciales de Salud Pública (FESP).
 Coordinadora General del Programa FEAPS -Fortalecimiento de la Estrategia de
Atención Primaria de la Salud- más conocido como REMEDIAR + REDES.
 Coordinadora Técnica de la Comisión Nacional Salud Investiga.
 Coordinador Responsable del Proyecto Sistema Informático Sanitario Argentino
(SISA).
 Coordinadora de Prensa y Comunicación Social.
 Coordinador de los Sistemas de Provisión de Medicamentos e Información
(REMEDIAR + REDES).
 Subgerente de los Sistemas de Provisión de Medicamentos e Información
(REMEDIAR + REDES).
 Coordinadora
de
Logística
y
Distribución
de
Vacunas
del
Subprograma
2
Normatización, Suministro y Supervisión de Vacunaciones.
 Coordinadora de Medicamentos (Dirección de SIDA y ETS).
 Coordinador de Estudios y Monitoreo (Dirección de SIDA y ETS).
 Coordinador del Área de Comunicación (Dirección de SIDA y ETS).
 Coordinador Informático (Dirección Nacional de Maternidad e Infancia).
 Coordinador Informático (Programa Federal “Incluir Salud”).
 Coordinador Administrativo (Programa Federal “Incluir Salud”).
 Coordinadora de Contenidos (Coordinación de Prensa y Comunicación Social).
 Responsable del Sistema Nacional de Vigilancia Sanitaria (SNVS).
 Responsable Informático (Proyecto FESP).
 Responsable Informático (UFI-S).
 Responsable de la Unidad de Seguimiento de Auditoría (UFI-S).
 Responsable del Registro Federal de Establecimientos.
 Jefe de Tecnología de la Información (REMEDIAR + REDES).
 Jefe de Desarrollo (REMEDIAR + REDES).
 Jefa del Registro Único de Profesionales.
 Responsables de Operaciones (Programa SUMAR).
 Responsable de Capitas (Programa SUMAR).
 Asesor de la Secretaría de Coordinación.
 Asesora Legal (Secretaría de Políticas, Regulación e Institutos).
 Asesora Letrada (Dirección Nacional de Registro, Fiscalización y Sanidad de
Fronteras).
 Asesor Legal (Programa SUMAR).
 Webmaster (Coordinación de Prensa y Comunicación Social).
 Analista Funcional del Sistema de Matriculaciones.
 Desarrollador (REMEDIAR + REDES).

Análisis de:
 Informes de Auditoría Interna (Período 2010-2011).
 Disposiciones emitidas en relación a TI (Políticas, Normas y procedimientos).
 Organigrama del Ministerio.
3
 Presupuesto del Ministerio y el presupuesto operativo anual de la función de TI
(Período 2009-2011).
 Metodología adoptada para el desarrollo de sistemas en todo el ciclo de vida.
 Nomina de los proyectos informáticos concluidos durante 2011 y en curso.
 Inventario de todas las aplicaciones en uso.
 Acciones realizadas en el marco del decreto 378/2005 (Gobierno Electrónico).
 Inventario del hardware, software del sistema operativo y bases de datos.
 Esquema de la red de comunicaciones implementado.
 Nomina de los contratos con proveedores de TI.
 Listado de personal asignado al área de TI.
 Mesa de Ayuda o Servicio: reglas de su funcionamiento y reportes producidos.
 Procedimientos de registro y seguimiento para la gestión de Incidentes.
 Acciones sobre la evaluación de riesgos tecnológicos.

Documentación solicitada y no entregada por el organismo auditado:
 Plan Estratégico Informático para el Ministerio, el modelo de TI y los planes tácticos.
 Plan de Infraestructura Tecnológica.
 Modelo de la arquitectura de la información.
 Diccionario de datos.
 Programas de capacitación de TI realizados al personal.
 Plan de Seguridad Informática.
 Plan de contingencia de TI.
 Informes o evaluaciones de monitoreo de la infraestructura tecnológica.
 Informes de gestión producidos por el área de TI.

Dependencias del MSAL en la C.A.B.A. donde se desarrollaron las entrevistas y
verificaciones.
 Edificio Central ubicado Av. 9 de Julio 1925.
 Edificio Av. De Mayo 844 5° piso, asignado al Proyecto FESP.
 Edificio Rivadavia 875 10° piso, asignado a la Dirección Nacional del Programa
Federal “Incluir Salud”.
4
 Edificio Rivadavia 875 4° piso, asignado al Área Informática de la UFI-S.
 Edificio Rivadavia 877 3° piso, asignado a la Comisión Nacional Salud Investiga.
 Edificio Bernardo de Irigoyen 344 2° piso, asignado al Programa SUMAR.
2.1. Tareas de campo
Se desarrollaron entre Julio y Noviembre de 2012.
3.- ACLARACIONES PREVIAS
Se agrega como Anexo un glosario de las abreviaturas empleadas
3.1 Sistema Federal de Salud
El Ministerio de Salud como órgano rector tiene responsabilidad en la planificación global del
sector salud y la implementación de un Sistema Federal de Salud coordinado y consensuado
con las autoridades sanitarias de las jurisdicciones provinciales y del Gobierno Autónomo de
la Ciudad de Buenos Aires. Producto de ello es el Plan Federal de Salud 2003-2007 que
establece como objetivo en materia informática, alcanzar un sistema integrado de
información, que permita medir el desempeño de todos los subsistemas, generando
transparencia y el soporte necesario para la evaluación y la toma de decisiones.
3.2 Sistematización de la Información Sanitaria (S.U.I.S.)
El Ministerio de Salud mediante la Resolución 883/2007 aprueba la creación del sistema
nacional único de información sanitaria (SUIS) en el ámbito de la Secretaría de Políticas,
Regulación y Relaciones Sanitarias con el objeto de integrar la información existente de
sistemas desarrollados por el Ministerio como Remediar, Estadístico de Salud, Nacional de
Vigilancia de la Salud (SNVS), Plan Nacer, Médicos Comunitarios, PROFE y otros sistemas
de organismos como el INCUCAI -Instituto Nacional Central Único de Ablacion e Implante(el Sistema Nacional de Información de Procuración y Trasplante SINTRA), la
Superintendencia de Servicios de Salud y los sistemas sanitarios implementados en las
provincias con el objetivo de avanzar hacia un sistema nacional de información integrado para
todos los subsectores ya sean públicos, obras sociales o seguros privados.
5
La Resolución mencionada establece las características del proyecto de tecnología de la
información –visión, objetivos, etapas y cronograma del plan de ejecución- y la organización
para llevarla a cabo por medio de un Comité Técnico integrado por referentes de los sistemas
existentes y una Comisión Nacional del S.U.I.S. conformado con representantes provinciales.
El marco de referencia para el desarrollo del SUIS deberá ser consensuado con el Consejo
Federal de Salud (C.O.F.E.S.A.).
La Resolución 1070/ 2009 crea el Registro Federal de Establecimientos de Salud en el ámbito
de la Secretaría de Políticas, Regulación e Institutos del Msal, que resulta ser el paso inicial
para la sistematización de la información.
Historia Clínica Electrónica
La Ley N° 26.529 y su modificatoria 26.742 del año 2009 establece los derechos del paciente
en relación a la información sanitaria, el consentimiento informado y dispone que el
contenido de la historia clínica puede confeccionarse en soporte magnético siempre que se
arbitren los medios que aseguren la preservación de su integridad, autenticidad,
inalterabilidad, perdurabilidad y recuperabilidad de los datos allí contenidos.
A tal fin ”debe adoptarse el uso de accesos restringidos con claves de identificación, medios
de almacenamiento no reescribibles, control de modificación de campos u otra técnica que
asegure su integridad conservando la documentación respaldatoria”.
3.3 Los Programas médico-sanitarios
Como marco para evaluar la TI se consideraron las diferentes acciones en materia médicasanitaria -18 programas- que lleva a cabo el Ministerio. El siguiente cuadro muestra los
programas con los montos devengados o asignados en el período auditado.
6
N°
DENOMINACIÓN DEL PROGRAMA
2009
2010
2011
17 ATENCION DE LA MADRE Y EL NIÑO
502.999.773 298.219.812 684.476.464
18 FORMACIÓN DE RECURSOS HUMANOS
SANITARIOS Y ASISTENCIALES
88.355.226
99.103.962 129.176.182
19 DETERMINANTES DE LA SALUD,
RELACIONES SANITARIAS E
INVESTIGACIÓN
10.715.841
16.243.477
31.966.145
20 PREVENCIÓN Y CONTROL DE
ENFERMEDADES Y RIESGOS
ESPECIFICOS
131.538.036 320.855.350 771.143.665
21 PLANIFICACIÓN, CONTROL,
REGULACIÓN Y FISCALIZACIÓN DE LA
POLÍTICA DE SALUD
24.595.289
32.075.485
37.321.109
22 LUCHA CONTRA EL SIDA Y
ENFERMEDADES DE TRANSMISIÓN
SEXUAL
244.591.692 275.632.098 381.950.356
24 DETECCIÓN Y TRATAMIENTO DE
ENFERMEDADES CRÓNICAS Y
FACTORES DE RIESGO PARA LA SALUD
24.840.146
26.544.442
24.195.568
25 ATENCIÓN PRIMARIA DE LA SALUD
111.447.052
45.265.176
22.979.489
26 COBERTURA DE EMERGENCIAS
SANITARIAS
6.410.581
7.159.806
8.628.156
29 REFORMA DEL SECTOR SALUD - BID
1903/OC-AR
26.738.464
34.519.568 175.246.949
30 FORTALECIMIENTO DE LA CAPACIDAD
DEL SISTEMA PÚBLICO DE SALUD
164.225.029 190.090.478 142.304.549
36 ATENCIÓN MÉDICA A LOS
BENEFICIARIOS DE PENSIONES NO
CONTRIBUTIVAS
793.952.957 964.510.323 1.238.500.000
37 PREVENCION Y CONTROL DE
ENFERMEDADES ENDEMICAS
86.294.805 114.426.813
64.573.260
38 FUNCIONES ESENCIALES DE SALUD
PUBLICA (FESP)
41.207.924 124.799.603 171.603.740
39 DESARROLLO DE ESTRATEGIAS EN
SALUD FAMILIAR Y COMUNITARIA
130.057.057 200.641.381 289.366.632
40 SANIDAD ESCOLAR
17.520.000
15.061.600
4.894.710
41 ATENCION SANITARIA EN EL
TERRITORIO
28.753.392
42 DETECCIÓN TEMPRANA Y
TRATAMIENTO DE PATOLOGÍAS
ESPECÍFICAS
10.664.223
TOTALES ANUALES
2.405.489.872 2.765.149.374 4.217.744.589
7
3.4 El Relevamiento
Se encontró actividad de TI independiente de la Dirección Informática y sobre la cual no
existían estudios previos que señalara el nivel de sistematización entre los 18 programas y 61
subprogramas que cuenta el Ministerio. Se realizaron entrevistas con los responsables a nivel
de Secretario y de la cual se obtuvo información sobre las principales áreas sanitarias que
contaban con cierto grado de informatización. A continuación se muestran los datos obtenidos
del relevamiento aunque debe considerarse una aproximación dado que no fue posible evaluar
la totalidad de los programas y subprogramas.
3.4.1 La organización y el personal de la TI
Los Decretos N° 1343/07 y 357/02 y la DA del Msal N° 24/02 aprueban la estructura a primer
nivel operativo del Ministerio de Salud y en particular de la Dirección de Informática (DI) que
depende de la Dirección General de Administración.
Se relevaron también otras áreas de TI dentro del Ministerio que no tienen supervisión de la
DI y que cuentan con especialistas en sistemas o consultores en cantidad de acuerdo al
siguiente cuadro:
Dirección de Informática
Programa SUMAR (Ex Plan NACER)
Programa REMEDIAR + REDES
Programa UFI – Salud
Programa FEASP (SISA+SMIS)
12 (PP)
19
31 (total)
5
11
6
31
Dirección Nacional de Maternidad e Infancia
6
Programa Incluir Salud (Ex PROFE)
5
Prensa -Pagina Web MSAL
4
Comisión Salud Investiga
4
En total se detectaron 103 agentes de los cuales 12 pertenecen a la Planta Permanente (PP) del
organismo mientras que los 91 restantes se encuentran bajo régimen de contratos provisorios.
Exceptuando a la DI, el trabajo de TI se realiza principalmente en forma remota.
8
3.4.2 Centros de Cómputos y Sistemas
Además de la Dirección de Informática, se relevaron 8 áreas, que administran un centro de
procesamiento de datos, las comunicaciones y el desarrollo y mantenimiento de sus
aplicaciones. Cada una dispone también, de una red de datos propia e independiente de la DI
y habitualmente administran sus servidores de correo y sitio web incluso con dominios
propios y una central telefónica. La DI además tiene a cargo los sistemas administrativos
contables del Msal. El cuadro siguiente muestra el detalle y las aplicaciones relacionadas con
las acciones sanitarias.
Áreas con Centro de Cómputos
Sistemas para la salud a cargo
Dirección de Informática. Edificio Msal
Registro Único de Profesionales (Matriculaciones)
SNVS (Sistema Nacional de Vigilancia Sanitaria)
PnSida Sistemas de Stock, carga viral y
Epidemiología.
Banco General de Drogas Oncológicas
Favaloro
Salud Mental
Salud Ocular, entre lo más relevante
Dirección Nacional de Regulación SISA (Sistema Informático Sanitario Argentino)
Sanitaria y Calidad en Servicios de Salud.
* Los servidores son alojados en el CC de
la DI
Funciones Esenciales de Salud Pública
Monitoreo de Insumos Sanitarios (SMIS)
(FESP) Av. de Mayo 844
Administración de Pacientes VIH (SVIH)
* Servidores en Datacenter externo
FEAPS (Remediar + Redes) Ed.Msal
Remediar
Dirección de Maternidad e Infancia.
Sistema Informativo Perinatal (SIP).
Edificio Msal
Introducción de Leche y Medicamentos (Access)
Cáncer de Cuello de Útero (SITAM).
Programa Nacional de Salud Escolar (PROSANE).
Aborto (Visual Basic con base de datos Access).
Vigilancia de la Mortalidad Materna
Sistema Estadístico de Salud (SES)
Médicos Comunitarios
Programa Federal “Incluir Salud”
Carga de Afiliados del Programa (PFIS)
(Ex.Profe) Rivadavia 875
Autorizaciones Médicas
Programa SUMAR (ex NACER)
Gestión de Padrones
Bernardo de Irigoyen 344
Medición de Trazadoras
UFIS (Unidad de Financiamiento
Mesa de Entrada para la Unidad
Internacional) Rivadavia 875
Comisión Salud Investiga Rivadavia 877
Datacenter para red propia
9
3.4.3 Inversiones y Gastos en TI
El siguiente cuadro se muestran los créditos y gastos con financiamiento del Tesoro Nacional
que devenga la TI por programa. Se incluyeron las transferencias a las provincias y los gastos
de nacionalización. (Valores expresados en pesos).
Programa
17
18
19
20
21
22
24
25
26
29
30
36
37
38
39
40
41
42
2009
9.023.226,24
0
55.934
45.611,81
76.800,50
0
126.206,27
1.764.400,65
2.804
488.744
5.537,15
159
85.000
149.057
9.271,32
Total
% Incidencia
11.832.752
0,50
2010
811.182,96
95.756,13
119.965
22.142.629,04
101.156,33
0
82.753,84
2.342.101,75
71.101
0
9.283,72
18.051,25
16.880
0
356.976,75
205.791,25
77.698,13
2011
557.394,44
5.590
101.806,22
16.200.677,96
19.344,15
0
91.926,75
0
9.364,48
53.422
335.000
124.643,97
4.980
500.000
3.166,62
0
220.120,93
0
26.451.327
0,95
18.227.438
0,43
La incidencia de la TI es medida en relación al monto asignado a los programas.
El siguiente cuadro presenta los gastos en TI con financiamiento externo
PROYECTO
UFI-S
REMEDIAR
FESP
Plan SUMAR
TOTAL
2009
465.409
265.925
851.486
3.372.362
4.955.182
2010
802.788
686.499
1.958.862
2.172.233
5.620.382
2011
759.646
1.115.263
2.499.837
15.721.164
20.095.910
10
En el año 2011 los gastos TI, incluyendo ambas fuentes de financiamiento, totalizaron
38.323.348 pesos lo que representa un 0,62% de incidencia en relación al devengado
presupuestario que tuvo el Ministerio ese año (6.230.024.407).
3.4.4 Sistemas evaluados
Se seleccionaron los siguientes sistemas para su evaluación:
3.4.4.1 Remediar
REMEDIAR + REDES (actualmente FEAPS -Fortalecimiento de la Estrategia de Atención
Primaria de la Salud-) es un subprograma del Programa 39 con financiamiento BID 1903
OC/AR que se creó con el objeto de fortalecer las redes de salud, la provisión de
medicamentos esenciales y la capacitación de los recursos humanos en salud.
El sistema básicamente gestiona el stock de medicamentos en el ciclo que se inicia con la
carga de datos del contrato de provisión, luego el ingreso y almacenamiento y la posterior
distribución hacia los 6.600 Centros de Atención Primaria de Salud (CAPS).
Además, el sistema gestiona el stock de medicamentos para otros programas actuando como
operador logístico de los programas Sida, Salud Sexual, Tuberculosis, Salud Bucal y Salud
Ocular.
La Subgerencia de Sistemas de FEAPS tiene a su cargo la gestión del sistema en todo su ciclo
de vida.
3.4.4.2 Matriculaciones y Expedientes
Registra a los profesionales médicos para su habilitación por parte del Ministerio en el ámbito
de la CABA.
El sistema ha sido desarrollado y mantenido por la Dirección de Informática y tiene como
usuario a la Dirección Nacional de Registro, Fiscalización y Sanidad de Fronteras.
3.4.4.3 Sistema Integrado Sanitario Argentino (SISA)
Desarrollado en el ámbito de la Secretaría de Políticas, Regulación e Institutos este sistema es
parte del proyecto SUIS y en la etapa inicial ha puesto énfasis en integrar la información de
los diferentes Registros de Salud como:
11

Registro Federal de Establecimientos de Salud (REFES).

Red Federal de Registros de Profesionales de la Salud (REFEPS).

Registro Federal del Conjunto Mínimos de Datos Básicos (CMDB).

Registro Nacional de Investigaciones en Salud (RENIS).

Registro Nacional de Cardiopatías Congénitas (CCC).

Registro Nacional del Banco de Drogas Oncológicas (BNDO).

Registro Federal de Vacunación Nominalizado (NOMIVAC).

Registro Nacional de Donantes de Sangre (REDOS).
El proceso iniciado en el año 2009 ha incorporado gran parte de los establecimientos
sanitarios a nivel nacional y provincial. El programa FESP financia este proyecto.
El sistema ha comenzado a integrar información proveniente de otros sistemas del Ministerio
como Estadísticas de Salud, el Sistema Nacional de Vigilancia de la Salud (SNVS), Plan
NACER y el Programa REMEDIAR + REDES.
3.4.4.4 Monitoreo de Insumos Sanitarios (SMIS)
Este sistema realiza el seguimiento y monitoreo de medicamentos e insumos médicos
regulando los movimientos de los depósitos de las diferentes instituciones e identificando los
medicamentos de los diferentes programas sanitarios (PRONACEI, SIDA, TUBERCULOSIS
Y SANGRE). El proyecto es coordinado por el FESP desde el año 2009 gestiona el stock de
31.860 depósitos.
3.4.4.5 Estadísticas de Salud (SES)
Comprende los siguientes subsistemas:
Estadísticas Vitales: registra nacimientos, defunciones, defunciones fetales y matrimonios.
Estadística de Servicios de Salud: contiene el Conjunto Mínimo de Datos Básicos (CMDB)
sobre Pacientes Internados, Movimiento de Pacientes y Utilización de Camas, Consultas
Médicas Ambulatorias y Recursos de Salud. Todos ellos referidos al subsistema público
nacional, provincial y municipal.
Cobertura, demanda, utilización de servicios y gasto directo en salud: basado en encuestas a la
población.
12
La Dirección de Estadísticas e Información de Salud (DEIS) es el usuario.
3.4.5 Sitios Web
Se evaluaron en su faz informática 33 sitios y páginas web que corresponden a diferentes
acciones (planes, programas, investigaciones, campañas) del Ministerio en materia sanitaria.
Sitios y Páginas Web
1 Ministerio de Salud de la Nación
2 Unidad de Financiamiento Internacional de Salud (UFI-S)
Dirección de Promoción de la Salud y Control de Enfermedades
3 No Transmisibles
4 Dirección Nacional de Maternidad e Infancia
5 Dirección Nacional de Emergencias Sanitarias (DINESA)
6 Dirección de SIDA y Enfermedades de Transmisión Sexual
7 Dirección Nacional de Salud Mental y Adicciones
Direcciones (Links)
http://www.msal.gov.ar/
http://www.ufisalud.gov.ar/
http://www.msal.gov.ar/ent/
http://www.msal.gov.ar/promin/
http://www.msal.gov.ar/dinesa/
http://www.msal.gov.ar/sida/
http://www.msal.gov.ar/saludmental/
Programas y Planes
8 Programas Médicos Comunitarios (PMC)
9 Programa Nacional de Chagas
10 Programa Nacional de Control del Tabaco
11 Programa Nacional de Detección y Control de Enfermedad
12 Programa Nacional de Gartía de Calidad de la Atención Médica
http://www.msal.gov.ar/medicoscomunitarios
http://www.msal.gov.ar/chagas/
http://www.msal.gov.ar/tabaco/
http://www.msal.gov.ar/celiacos/
http://www.msal.gov.ar/pngcam/institucional.htm
13 Programa Nacional de Prevención de Cáncer Cervicouterino
http://www.msal.gov.ar/cancer-cervico-uterino/
Programa Nacional de Salud Integral en la Adolescencia
14 (PNSIA)
15 Programa Nacional de Salud Sexual y Procreación Responsable
16 Programa Nacional Municipios y Comunidades Saludables
17 Programa VER
18 Programa Remediar + Redes
19 Sistema Integrado de Información Sanitaria Argentino (SISA)
http://www.msal.gov.ar/index.php/mapa-del-sitio/52programa-nacional-de-salud-integral-en-la-adolescencia
http://www.msal.gov.ar/saludsexual/
http://www.msal.gov.ar/municipios/
http://www.msal.gov.ar/ver/
http://www.remediar.gov.ar/
21 Plan Para la Reducción de la Mortalidad
22 Plan NACER
23 Programa SUMAR (Ex Plan NACER)
https://sisa.msal.gov.ar/
http://www.msal.gov.ar/cuidarse-en-salud/
http://www.msal.gov.ar/plan-reduccion-mortalidad/
http://www.plannacer.msal.gov.ar/
http://www.msal.gov.ar/sumar/
24 Plan Argentina Saludable
http://www.msal.gov.ar/argentina-saludable/
25 Plan Nacional de Sangre
26 Funciones Esenciales de Salud Público (FESP)
http://www.msal.gov.ar/plan-nacional-sangre/
20 Cuidarse en Salud
Campañas
27 Sin Mosquitos No Hay Dengue
28 Campaña Nacional de Vacunación Antigripal 2012
29 Agua Segura
30 Todos por la mañana Virus del Papiloma Humano
http://www.msal.gov.ar/fesp/
http://www.msal.gov.ar/dengue/
http://www.msal.gov.ar/gripe/
http://www.msal.gov.ar/aguasegura/
http://www.msal.gov.ar/index.php/component/content/arti
cle/48/105-virus-del-papiloma-humano-vph-o-hpv
Investigación
31 Comisión Nacional Salud Investiga
32 Sistema Nacional de Residencias del Equipo de Salud
33 Programa Nacional de Control de Enfermedades Zoonoticas
http://www.saludinvestiga.org.ar/
http://www.msal.gov.ar/residencias/
http://www.msal.gov.ar/zoonosis/
13
4. COMENTARIOS Y OBSERVACIONES
Por cada objetivo de control se presentan las observaciones o hallazgos correspondientes. Los
comentarios se agruparon según se refieran al Ambiente de Control (A) o a los Sistemas
Relevados (B).
A) AMBIENTE DE CONTROL
4.1 PLANEAR Y ORGANIZAR
4.1.1 Definición del Plan Estratégico de TI
El Ministerio no dispone de un Plan Director o estratégico de TI y específico que coordine
todas sus actividades en materia de tecnología de la información y las comunicaciones.
Se detectaron acciones aisladas en materia de planificación de la TI:
1) Los programas de salud con financiamiento internacional cuentan con un Plan
Operativo Anual –POA- donde especifican los requerimientos anuales en hardware y
software. Dichos requerimientos no se justifican ni establecen los objetivos a alcanzar.
Este tipo de programas carecen de procesos formales de planificación para la TI.
2) Durante el año 2012 se tuvo conocimiento de un Plan Integral de Comunicaciones e
Informatización de la Salud (PICIS) con la intención de proveer conectividad a los
centros de atención primaria de salud a través de la Red Federal de Fibra Óptica (a
cargo de ARSAT S.A.). Sin embargo no se tuvo conocimiento de algún acto formal
que asegurara la existencia de un acuerdo.
Se encontraron situaciones limitantes para el logro de este proceso:
 los distintos programas de salud gestionan la informática y las comunicaciones en
forma independiente entre si y prescinden, en la mayoría de los casos, de los servicios
de la Dirección Informática del Ministerio.
 un desconocimiento del conjunto de las acciones de TI -y sus capacidades – que se
desarrollan en el Msal.
 no se tuvo conocimiento de acciones conjuntas de la alta gerencia y la gerencia del
negocio –nivel de Secretaria y Dirección General- para alinear la gestión de TI del
Ministerio con sus necesidades actuales y futuras.
14
 a la fecha de este relevamiento, el Plan Federal de Salud 2010-2016 no cuenta con la
aprobación formal, marco de referencia necesario para el proceso de planificación.
Por último las acciones de TI - proyectos y servicios - que se están llevando a cabo carecen de
una metodología que provea el valor óptimo – valor agregado vs costos- de las inversiones y
gastos en TI para cumplir con los objetivos del Ministerio.
4.1.2 Definición de la Arquitectura de la Información
El Ministerio no dispone de un proceso para crear y actualizar el modelo de información del
organismo.
Producto de ello es la carencia de un diccionario de datos corporativo lo que limita el uso
compartido de los datos entre aplicaciones y sistemas produciendo redundancia,
inconsistencias y pérdida de integridad en los datos. La alta fragmentación en la gestión de la
TI contribuye a esta situación ya que cada desarrollo de sistemas, en la mayoría de los casos,
ha sido concebido para resolver funcionalidades específicas y en un entorno de hardware y
software aislado de los restantes entornos existentes en el Ministerio.
Los datos de las distintas aplicaciones no disponen de:
 una clasificación corporativa –a nivel de Ministerio- respecto de su criticidad y/o
sensibilidad,
 la asignación formal de su propiedad y la definición de los niveles apropiados de
seguridad. Habitualmente los desarrolladores -personal de los sistemas- disponen de
los máximos privilegios de la aplicación.
En el caso del sistema SISA si bien dispone de su propio diccionario de datos, la propiedad
de los datos no está asignada en modo exclusivo al usuario de la aplicación.
4.1.3 Determinar la Dirección Tecnológica
El Ministerio carece de actividades específicas para dirigir la arquitectura de TI del organismo
como un Plan de Infraestructura Tecnológica y la definición de sus correspondientes
estándares.
15
En materia de estándares de TI para la salud no se tuvo conocimiento de acciones integradores
por parte del Ministerio particularmente en relación a la historia clínica digital (HCD) para los
sectores públicos y privados.
No es posible aprovechar las economías de escala en las inversiones de TI y los recursos
humanos así como lograr mejoras en la interoperabilidad de las plataformas y aplicaciones.
Se detectaron implementaciones con diferentes direcciones tecnológicas -instalaciones,
plataformas y lenguajes de desarrollo- según el programa de salud, esto es, el uso de 6
plataformas de bases de datos diferentes al igual que 8 plataformas de desarrollo -lenguajes de
programación-
sin interacción y aún de casos con motores de bases de datos iguales
contratadas independientemente en dos programas de salud diferentes.
4.1.4 Procesos, organización y relaciones de TI
Se detectaron las siguientes debilidades:
Comité Estratégico de TI. Entre las misiones y funciones de la Dirección de Informática
aprobadas en el año 2002, debe asistir al Comité de Informática del cual no se obtuvo
evidencia formal de su constitución, la designación de sus miembros y/o que hubiera
desarrollado actividad alguna.
Es decir, no hay un cuerpo que asesore a la Alta Dirección del Ministerio, nivel de Secretario
y Dirección General, en materia de la dirección estratégica en TI que revise las principales
inversiones para ajustarlas a la estrategia del Ministerio, asigne prioridades en los proyectos,
realice su seguimiento y monitoree los niveles de servicio y las mejoras en los servicios.
Resultado de ello es la reducida capacidad de decisión del organismo en materia de TI que se
refleja en problemas sin resolver como:
 la actualización de la infraestructura tecnológica a cargo de la Dirección Informática
ya que la relevada no se encuentra en condiciones de satisfacer la demanda de todo el
Ministerio,
 la cantidad de áreas de TI independientes (nuestro relevamiento detectó 9) que se
crean dentro del Ministerio sin una acción centralizada,
 procesos de negocios –acciones en salud– que no reciben un soporte de TI adecuado
16
como -por ejemplo- la gestión de vacunas que se tramita con la OPS (Organización
Panamericana de la Salud) que no dispone de un sistema que brinde trazabilidad a
nivel de lote en todo su ciclo (planificación de las compras, adquisición, ingreso al
país, almacenamiento, distribución a las provincias y a los centros de atención
primaria y la vinculación con los pacientes).
Ubicación Organizacional. Además de la Dirección de Informática (DI) se encontraron 8
áreas de TI en el organismo. No se detectó una unidad que asegure la homogeneidad y
unicidad de criterios y objetivos entre estas áreas aunque la DI tiene competencia,
incumpliendo con lo establecido en el 1.1 de la Resolución SIGEN 48/2005.
La Dirección de Informática depende de la Dirección General de Administración (DGA) lo
que limita su independencia respecto de las áreas usuarias, particularmente de aquellas que no
dependen de la DGA, según lo establece el punto 1.2 de la Resolución SIGEN 48/2005.
Estructura Organizacional. La DI tiene definido hasta el nivel de Dirección, es decir, carece
de una estructura con aperturas inferiores. Resulta incompatible con la dimensión de la TI en
el Ministerio y no brinda un marco apropiado para la adecuada separación de funciones tanto
en el ciclo de vida del desarrollo de los sistemas (captura de requerimientos, diseño,
desarrollo, testing, puesta en producción y producción) así como de las tareas críticas en la
administración del hardware, software y comunicaciones.
Se detectó que los responsables de los proyectos SISA y el SMIS podían realizar tareas
críticas generando mayor dependencia técnica.
Supervisión. No se tuvo evidencia de acciones de supervisión que garanticen que el personal
de la TI cuenta con la suficiente autoridad y recursos para ejercer sus roles y
responsabilidades.
Desde Noviembre del año 2008 las tareas de Director de la DI son ejercidas por un agente sin
designación formal del cargo.
En la DI operan informalmente dos áreas: Tecnología y Sistemas.
Roles y Responsabilidades. En la DI no existe una descripción documentada y aprobada de
los puestos de trabajo que la conforman incumpliendo el punto 1.3 de la Resolución SIGEN
48/2005.
17
En el caso del proyecto SISA se tuvo acceso a un documento que establece roles y
responsabilidades pero el mismo no está aprobado formalmente.
Las restantes áreas de TI relevadas en el Ministerio presentan debilidades similares a las
señaladas. Los programas con financiamiento internacional no tenían definidas las misiones y
funciones de cada función técnica en los grupos de TI.
Personal de la TI. No existen políticas y procedimientos que permitan la evaluación regular
de los recursos humanos en cuanto a su adecuación a las necesidades al corto, mediano y
largo plazo del Ministerio. Producto de ello es que el 61% del personal de TI en la DI se
encontraba en régimen de contrato y en las restantes áreas relevadas de TI esa cifra ascendía
al 100%.
Propiedad de Datos y Sistemas. No hay políticas y procedimientos para definir
responsabilidades en cuanto a la propiedad de los datos y los sistemas de información. Como
consecuencia, ambas responsabilidades recaen en el personal de sistemas.
Relaciones. Para la comunicación, coordinación y enlace con interesados internos y externos
la DI no dispone de una estructura específica.
Los programas de salud con financiamiento internacional cuentan con una estructura para las
relaciones externas ubicada dentro de la UFIS.
4.1.5 Administrar los Recursos Humanos de TI
El ingreso de personal a la DI se ha producido en modo fragmentario y para resolver
situaciones de emergencia mediante contratos provisorios. No se tuvo conocimiento de la
realización de concursos para el ingreso de personal a la DI ni que se hubieran programado
para un futuro cercano.
No obstante, la capacidad de retención del personal es alta pues el conjunto de su personal
tiene un promedio de 15 años de antigüedad en la Dirección.
En el caso del personal de TI en los programas con financiamiento internacional - contratado
con locación de servicios o de obra- desempeñan en general su actividad en modo remoto.
El Ministerio carece de procesos implementados que le permita disponer la fuerza de trabajo
de TI calificada y necesaria para alcanzar las metas del organismo no solo en materia de
reclutamiento sino en otros como evaluación de competencias, definición de roles,
18
responsabilidades y compensación del personal, adhesión formal a las políticas y
procedimientos administrativos o entrenamiento. Se carece de un plan de carrera para el
personal de TI.
En el proceso Dependencias Críticas no se encontraron procedimientos de control para casos
de agentes –desarrolladores, programadores, administradores, responsables de seguridad,
administradores de bases de datos principalmente en los programas de salud con
financiamiento internacional- que desarrollan actividades en forma remota y en particular,
actualizaciones críticas.
4.1.6 Administrar Calidad
El organismo no dispone de un sistema para administrar la calidad de sus servicios y ello era
extensible a los servicios de la TI.
4.1.7 Administración de Riesgos
El organismo no dispone de un marco para evaluar y administrar riesgos de TI en todo el ciclo
del proceso (identificación, evaluación, aceptación, respuesta y monitoreo) y en particular de
los servicios de la TI. No se hallaron estudios sobre riesgos de TI.
4.1.8 Administración de la Inversión de TI
El Ministerio no dispone un marco apropiado para administrar las inversiones y el costo de los
activos y servicios de TI que le permita asegurar que se obtiene el máximo de beneficio de las
inversiones. Si bien las inversiones y gastos en TI en los programas arriban al 1% las mismas
no están relacionadas a planes de medio y largo plazo.
No hay proceso de selección del conjunto de proyectos. Los proyectos - se reducen a compras
- no disponen de una evaluación técnico-económica o uso de casos de negocios o de una
administración de costos y beneficios.
En cuanto al presupuesto, no se han definido procesos para realizar el seguimiento y control
regular relativo a las inversiones y gastos en TI en el Ministerio a pesar que los sistemas de
gestión presupuestaria pueden brindar la información de los gastos en equipamiento en
hardware y software, servicios de internet y en consultores de informática. En los programas
19
de salud con financiamiento internacional el sistema UEPEX permite desagregar esa
información a nivel de los sistemas del programa.
4.1.9 Administrar Proyectos
Este proceso era débil pues se encontró que:
 los proyectos de TI no conforman un conjunto dentro de los programas de inversión
del Ministerio.
 no existe una metodología para administrar todos los proyectos de TI en todo el ciclo:
identificación, definición, evaluación, priorización, selección, lanzamiento y la
administración y control de los proyectos.
 el Ministerio no cuenta con un plan integrado para la administración de los proyectos
de sistemas de información.
Tanto la Dirección de Informática como cada una de las restantes áreas de TI relevadas
administran sus propios proyectos sin un sistema formal de control.
En el caso del proyecto SISA si bien se tuvo acceso a un documento que establece un Plan de
trabajo detallado para cada uno de sus integrantes en el periodo 2011 no se tuvo conocimiento
de un plan a mediano plazo de las metas a alcanzar a nivel del sistema al igual que el SMIS.
4.2 ADQUIRIR E IMPLEMENTAR
4.2.1 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos
El proceso de las compras de equipos y servicios de TI en el Ministerio se inician desde la DI
o desde los distintos programas de salud con prescindencia unos de otros por lo que los
análisis y diseños están acotados a necesidades específicas y no prevén el interés global del
organismo resultando por ello adquisiciones del mismo producto en distintos sectores.
En todos los casos no se obtuvo evidencia que se realicen estudios de factibilidad que
justifiquen técnica y económicamente la incorporación de un nuevo equipo de TI, sistema,
aplicación o función.
20
4.2.2 Ciclo de Vida en el Desarrollo de Sistemas
En las distintas áreas de TI relevadas no se encontró un marco de trabajo que permita
controlar la inserción de los sistemas previo a su desarrollo o adquisición o la definición
formal de una metodología de ciclo de vida desde el análisis, la administración de
requerimientos, el diseño, el desarrollo, las pruebas, la puesta en producción, la puesta en
servicio hasta su revisión y que considere los aspectos de auditabilidad, seguridad,
capacitación, separación de ambientes, configuración y el control de cambios.
Se detectó la inexistencia de manuales de procedimientos en los programas médicos activos
del Ministerio –a excepción del programa 22 que contaba con borradores- lo que dificulta la
etapa de Administración de Requerimientos.
El requerimiento por una nueva funcionalidad en los sistemas habitualmente se acuerda
informalmente entre el sector usuario y el responsable de la TI con los recursos disponibles.
Con igual modalidad se opera para el requerimiento de una nueva aplicación con la eventual
intervención de un jerárquico superior.
No es práctica en el Ministerio aprobar formalmente las especificaciones del diseño para
garantizar que se ajusta a los requerimientos o que los usuarios responsables aprueben
formalmente tanto los requerimientos como el producto.
El diseño y el desarrollo de las aplicaciones no se rigen por estándares previamente definidos.
No es práctica crear un plan de aseguramiento de calidad de software y un plan de
mantenimiento para las aplicaciones.
Los ambientes para el desarrollo, la realización de pruebas y la producción de las aplicaciones
no se encuentran separados y un mismo desarrollador podía acceder a todas esas instancias.
En los casos relevados no existe un procedimiento formal que asigne la responsabilidad por la
entrega, la calidad del servicio, el control interno y de los procesos administrativos vinculados
con la aplicación.
El acceso a la aplicación y la administración de privilegios adolece de una adecuada
separación de tareas en los sistemas relevados ya que cambios pueden ser realizados los
analistas desarrolladores.
Se detectaron controles de transacciones importantes que quedan afuera de la aplicación como
se detallan en la sección B) Sistemas Relevados.
21
La transferencia del conocimiento a los usuarios finales se dificulta pues en solo tres de las
aplicaciones individualizadas se constató la existencia de manuales de usuario- no aprobados
formalmente – pero se carecía de ayuda en línea, integrada a la aplicación más versátil y
actualizada. No obstante, durante el proceso de incorporación de nuevas entidades (centros de
atención primaria de salud) se realizan cursos de entrenamiento a los usuarios sobre las
aplicaciones del programa médico correspondiente.
En el caso de la transferencia del conocimiento al personal de soporte técnico la falta de
documentación completa en la mayoría de los sistemas torna crítica la dependencia de
empleados clave. No se tuvo conocimiento de documentación específica para el personal de
operaciones.
Esta circunstancia provoca riesgos en la entrega, apoyo y mantenimiento de la aplicación y la
infraestructura asociada.
La administración de los cambios en las aplicaciones y la infraestructura no cuenta en todos
los casos relevados de un registro que lo realice automáticamente.
El proceso de acreditación e instalación de soluciones y cambios carece de un ambiente
exclusivo dedicado a pruebas –testing- y de una metodología formal y operativa para su
desarrollo a excepción de SISA, REMEDIAR Y SMIS.
4.2.3 Desarrollo de la Infraestructura Tecnológica
El Ministerio no dispone de políticas y procedimientos formalmente aprobados para adquirir,
implementar y mantener la infraestructura de TI.
La infraestructura de TI de Ministerio se encuentra distribuida en al menos 9 centros de
procesamiento de datos, servicios de internet y redes con configuraciones específicas para
soportar exclusivamente las aplicaciones y programas que administran cada uno de ellos y no
al interés conjunto del Ministerio. En los centros de procesamiento relevados no se encontró
un plan de infraestructura de la TI formalmente aprobado. Solo en el caso del proyecto SISA
se tuvo acceso a un documento informal que, al menos, describe las características del diseño
y los elementos incorporados que constituyen la infraestructura.
Durante todo el período de campo de esta Auditoría la respuesta de la red de la DI fue de baja
prestación en el lapso entre las 12 y 16 horas y la DI lo atribuía en parte a la obsolescencia de
22
los equipamientos distribuidores de señales (“switches”) de piso –actualmente con un ancho
de banda disponible de 100 megabit-. Otro aspecto era al acceso irrestricto a aplicaciones de
gran consumo de gran cantidad de ancho de banda como sitios de descarga de videos ó
videoconferencias. No se obtuvo la evidencia necesaria que esta red de cableado estructurado
tenga algún nivel de certificación de manera de proveer mayor confiabilidad y menores
riesgos de baja performance o interrupción del servicio.
Se detectó también, ausencia de:
 estándares de arquitectura y tecnología,
 un ambiente para realizar pruebas antes de la incorporación de aplicaciones e
infraestructura
 medidas de control en la utilización de componentes de infraestructura sensitivos.
Es decir, las diferentes áreas de TI no disponen de una infraestructura integrada y
estandarizada necesaria para optimizar y proteger los recursos así como garantizar su
disponibilidad e integridad.
4.3 ENTREGAR Y DAR SOPORTE
4.3.1 Definir y administrar los niveles de servicio
En todas las áreas de TI relevadas el proceso se encuentra sin definiciones de:
 los servicios entregados de TI que se brinda a las Áreas Usuarias.
 acuerdos de servicio (SLA) para todos los procesos críticos de TI y
 acuerdos de niveles de operación (OLAs) que soportaran los SLA, en particular, con
los proveedores.
Ello no permite medir la eficacia y/o eficiencia de los servicios provistos de TI así como su
alineamiento con las metas del organismo.
4.3.2 Administrar los Servicios de Terceros
No se observaron actividades periódicas o regulares para evaluar los servicios de los
proveedores de TI, su categorización y establecer la criticidad.
No se encontraron evidencias para:
23

asegurar la calidad de las relaciones con los proveedores mediante acuerdos de niveles
de servicio (SLA).

evaluar los riesgos relativos a la habilidad de los proveedores para el mantenimiento
de un efectivo servicio de entrega que afecte la continuidad de servicio.
Se encontraron algunos servicios como la mesa de ayuda y soporte técnico de pronta
respuesta en la práctica pero sin establecer valores para el tiempo de respuesta o
procedimientos para monitorear su desempeño.
Al no explicitarse los requerimientos no se pueden establecer los niveles de servicio –en
especial los críticos- y por lo tanto no se disponen de escenarios que permitan minimizar los
riesgos asociados a los proveedores que no se desempeñan adecuadamente.
4.3.3 Administrar el desempeño y la capacidad
No se tuvo la evidencia de mediciones sobre la capacidad y desempeño de los recursos de TI
que permitan verificar si resulta suficiente la prestación de los servicios de TI que demanda el
organismo.
4.3.4 Garantizar la continuidad del servicio
De las áreas de TI relevadas solo el programa FEAPS (Remediar + Redes) contaba con un
documento que describe un plan de Contingencia para 6 escenarios relativos a la TI. El
documento carecía de aprobación formal y de evidencias de que el Plan se encuentre
operativo.
El organismo no dispone de un plan de contingencia –CPD y Sistemas- que provea de
reaseguros en caso de fallas en los servicios críticos. De este modo, riesgos como:
a) El corte total o parcial del suministro eléctrico ya que no cuenta con grupos
electrógenos
b) La salida de servicio en la plataforma de servidores o en la red de datos
afectando sistemas o aplicaciones críticas
c) La ausencia de personal de desarrollo u operativo crítico
No cuentan con planes de mitigación.
Durante el relevamiento, el Ministerio se encontraba instalando el sistema de aire
24
acondicionado sin haber adecuado previamente el sistema eléctrico a la nueva demanda que
superaría en más de 1000 amperes la capacidad actual.
La DI no dispone de un sitio alternativo de procesamiento ni se encontraba previsto. Las otras
áreas de TI relevadas, tampoco.
Surge del análisis que no se dispone de un marco de trabajo formal y consistente que defina
los procesos para la continuidad de los servicios de TI, como ser:

el desarrollo del plan de continuidad con centro en los recursos de TI críticos

la realización de pruebas del plan

el entrenamiento y la distribución a los involucrados

la recuperación y reanudación de servicios

el almacenamiento con la copia de los respaldos fuera de las instalaciones del Centro
de Cómputos y

la revisión posterior a la reanudación del servicio.
4.3.5 Garantizar la seguridad de los sistemas
El Msal en el año 2007 crea, mediante la resolución 518, el Comité de seguridad de la
información, en cumplimiento de la Disposición 6/2005 de la Oficina Nacional de
Tecnologías de la Información -ONTI- “Política de Seguridad de la Información Modelo” que
exige a los organismos de la Administración Pública, entre otros, su conformación.
No se tuvo evidencia que el mencionado Comité haya emitido acta alguna o que haya
realizado alguna actividad desde su creación para administrar la seguridad informática del
organismo.
A la fecha de nuestro relevamiento, el Ministerio no cumple con la normativa mencionada.
Nuestra revisión detectó que:
 Algunas tareas de seguridad informática en la DI y las áreas de TI detectadas son
realizadas por los propios administradores de los sistemas operativos, bases de datos o
aplicaciones. Es decir, se carece de un área especializada e independiente de quienes
administran los servicios críticos.
 No se dispone de un plan aprobado formalmente y operativo que abarque la seguridad
informática del Ministerio.
25
En el caso de la DI en la Administración de sus Cuentas de Usuario y Autenticación:

Las contraseñas para ingresar a la
red y los sistemas no tienen fecha de
vencimiento y su longitud no asegura una fortaleza mínima.

El acceso a los recursos de la red así como las altas, bajas y modificación de
usuarios se realizan mediante comunicaciones vía correo electrónico por los
responsables sin procedimientos formalmente aprobados.

No existe un sistema para la administración de los usuarios en línea por lo que,
aunque no se ha definido el rol de propietario de datos, el responsable carece de
control sobre los usuarios de la aplicación, en particular para depurar los casos de
agentes que no pertenecen al organismo o cambiaron de funciones.

No se dispone de un acceso unificado a los servicios y aplicaciones de la red lo
que genera duplicaciones, mayor trabajo y falta de coherencia en la asignación de
privilegios.

No se encontraron procedimientos para la administración de las cuentas de los
administradores (usuarios privilegiados), usuarios externos y personal sensible.

No se detectaron procedimientos para revisar y validar periódicamente los
privilegios y derechos de acceso de los usuarios.
No se han realizado evaluaciones de la seguridad informática (redes, sistemas operativos y/o
aplicaciones) del Ministerio.
En el caso de los sistemas donde la DI no tiene incumbencia y en relación a la administración
de usuarios, se detectó que solo SISA y SMIS dispone de un módulo específico aunque su
gestión al igual que Remediar, Matriculaciones y Estadísticas, es realizada por el personal del
sistema respectivo incluso como usuarios con privilegios sobre los datos.
4.3.6 Identificar y Asignar Costos
Este proceso carece de una definición de los servicios de TI así como un modelo de costos
asociados que contemple, entre otros, el análisis por centro de costos.
La carencia de un proceso que relacione costos, beneficios, estrategia, políticas y niveles de
TI no permite asegurar que se pueda mejorar la relación costo-eficiencia.
26
4.3.7 Administrar la Mesa de Servicio, Problemas e Incidentes
Dirección de Informática
El servicio de asistencia al usuario (aproximadamente 800) dispone de personal de soporte
técnico (5) para los problemas de microinformática. Los problemas en los sistemas son
administrados por los responsables de las aplicaciones a cargo de la DI y las diferentes áreas
de TI.
Para la atención a los usuarios se cuenta además de líneas telefónicas, con un sistema de
soporte (con desarrollo en lenguaje PHP y base de datos MySql) que registra los incidentes,
establece un escalamiento de acuerdo a prioridades y cierra los problemas. No se tuvo
evidencia que se realizaran estadísticas para detectar problemas frecuentes a los fines de
mejorar los tiempos de respuesta y servicio.
La actividad de las mesa de ayuda no se encuentra vinculada a niveles de servicio
preestablecidos (SLA) y no se medía la satisfacción del usuario final en relación al servicio.
No se tuvo conocimiento de análisis de desempeño del conjunto de las Mesas.
4.3.8 Administrar la configuración
Este proceso, en cada una de las áreas de TI relevadas, no dispone de un repositorio central o
CMDB -base de datos para la gestión de la configuración- para registrar los activos de TI
(hardware y software) y su configuración no existiendo controles adecuados sobre:
i)
la gestión del inventario de los activos de TI y la detección de software no
autorizado
ii)
el mantenimiento de los elementos de configuración de cada activo de TI
iii)
la revisión de la integridad de los datos de configuración y la detección de activos
no autorizados.
iv)
la creación de una línea de base con los elementos de la configuración para todos
los sistemas y servicios como punto de comprobación al que volver tras la
realización de un cambio.
4.3.9 Administrar los datos
Todos los centros de procesamiento relevados, carecen de un sitio externo para el
27
almacenamiento de sus respaldos –en cintas u otros- y por lo tanto de alternativa ante
situaciones críticas (incendios, inundaciones).
Análogamente no existen procedimientos formalmente aprobados

que estipulen que los respaldos sean sometidos a pruebas y garanticen la restauración
en caso necesario.

para el desecho seguro de datos –radicados en cintas u otros medios de
almacenamiento- y equipos sensibles.
4.3.10 Administrar el ambiente físico
4.3.10.1. Centro de Procesamiento de Datos -CPD- de la DI:
En cuanto a medidas de seguridad se encontraron falencias como:

para el acceso físico a las salas se cuenta con un sistema de ingreso electrónico con
tarjeta
magnética pero el mismo se encontraba fuera de servicio y tampoco se
registraba manualmente el ingreso y egreso de las personas.

no dispone de detectores de humo

el sistema de detección y extinción de incendios se encuentra fuera de servicio

una de las 2 UPS existentes se encuentra fuera de servicio (sala de UPS y tableros)

carece de un generador de electricidad en base a combustible como contingencia a la
falta de suministro eléctrico

no se dispone del plano de la red eléctrica de la sala de servidores.

no se dispone de un sistema para registrar y monitorear incidentes.
4.3.10.2 CPD Remediar + Redes

Se encuentra rodeado de oficinas con material inflamable –papeles- al igual que la
propia puerta de acceso al CPD.

No dispone de detectores de humo.
4.3.10.3 CPD – Dirección de Maternidad e Infancia

Sala de CPD. Se hallaron puertas de acceso y paredes no ignifugas.

Carencia de matafuegos del tipo Fm-200 diseñados para CPD.

Sin detectores de humo.
28

Se hallaron materiales inflamables tanto en la sala como en proximidades.
4.3.11 Administrar las operaciones
No se dispone de procedimientos formales para las operaciones y en particular del proceso de
entrega de turno que registre la transferencia formal de actividad entre el personal, los
problemas de operación ocurridos y los pendientes con las notificaciones y responsables de
resolverlos.
En otro orden no se encuentran registros de operación ni de los eventos que permitan
monitorear la infraestructura de TI. No se detectó la existencia de procedimientos para
facilitar el mantenimiento oportuno de la infraestructura y así reducir la frecuencia y el
impacto de las fallas o de la disminución del desempeño.
4.4 MONITOREAR Y EVALUAR
4.4.1 Monitorear y evaluar el desempeño de TI
No se detectó la existencia de un marco de trabajo de monitoreo general para medir
periódicamente la contribución de TI al Ministerio con definiciones de indicadores de
desempeño, reportes sistemáticos y medidas cuando existan desviaciones que aseguren la
mejora del desempeño.
4.4.2 Monitorear y Evaluar el Control Interno
Durante 2010 y 2011 se realizaron controles sobre aspectos relevantes como Plan Estratégico
de TI y Política de Seguridad.
La Unidad de Auditoría Interna (UAI) dispone de un agente para realización de auditorías de
sistemas, cantidad exigua para la dimensión del Ministerio lo que explicaría en parte la
ausencia de:

un cuadro de situación de toda la TI en el organismo dada la importante atomización
de la actividad

revisiones sobre la mayor parte de los controles TI establecidos en la Res. 48/2005 de
SIGEN, sobre las aplicaciones vigentes más importantes, la infraestructura y
evaluación de las adquisiciones importantes de TI.
29
En el caso de las áreas informáticas de los programas sanitarios no se tuvo conocimiento que
se hubieran realizado auditorías informáticas específicas.
El proceso requiere de un marco de trabajo de control sobre la TI para satisfacer los objetivos
de la organización así como la elaboración de reportes sobre la efectividad de los controles.
4.4.3 Proporcionar Gobierno de TI
No se tuvo evidencia de la existencia de informes elaboradas hacia la Alta Dirección del
Ministerio sobre la estrategia, el desempeño y los riesgos de la TI con la finalidad de
garantizar que las inversiones estén alineadas con las estrategias y objetivos del Ministerio.
El MSAL no cuenta con un marco de trabajo para el gobierno de la TI integrado al gobierno
corporativo que incluya estructuras, procesos, liderazgo, roles y responsabilidades.
B) SISTEMAS RELEVADOS
4.5 Sistemas Evaluados
4.5.1 Remediar
4.5.1.1 Seguridad.
El personal de sistemas, además de ocuparse del alta, modificación y baja de los usuarios,
dispone de perfiles con amplios derechos. No se tuvo evidencia que se auditaran regularmente
los permisos otorgados.
4.5.1.2 Tecnología y Procesamiento
Al no ser un sistema en tiempo real –en línea- no se conoce en cada instante que stock de
medicamentos se dispone en cada centro de almacenamiento lo que reduce sensiblemente su
eficacia.
Al no disponer de tecnología apropiada, los formularios confeccionados en los centros de
atención primaria – informan los consumos y pacientes - se deben trasladar trimestralmente a
la sede central para su carga al sistema. Dado el volumen de formularios para la carga, solo se
realiza en un porcentaje que no supera el 5% lo que impide disponer de un control efectivo de
los movimientos.
La identificación de los medicamentos se realiza por lote lo que no permite el seguimiento por
30
cada paciente aunque se tuvo conocimiento de acciones para la adopción de estándares
universales y equipamiento para solucionarlo en el mediano plazo.
4.5.1.3 Funcionalidades
Los auditores del programa cargan al sistema el stock encontrado en cada centro de
almacenamiento por lo que el sistema no gestiona el stock como simple resultado de los
ingresos y egresos.
La entrega de medicamentos no exige la identificación del paciente por lo que no se registra
en los formularios lo que constituye una limitación al seguimiento clínico y destino de los
productos.
El sistema permite valores negativos de stock y se producen informes con estos valores.
En materia de integración el sistema no actualiza información con el sitio web del programa y
tampoco con otros sistemas del Ministerio. No obstante, se tuvo conocimiento de preparativos
para interactuar con el sistema SMIS.
Funcionalidades como los procesos de licitaciones, generación de modelos de botiquines y la
recepción y consumos en los CAPs se realizan manualmente los cuales reducen la
confiabilidad de la información del sistema.
4.5.1.4 Diseño
No se encuentra vinculado a manuales de procedimientos del programa que fijen un marco
para el desarrollo del sistema y la operación del mismo.
4.5.2 Matriculaciones
4.5.2.1 Administración de Usuarios
Personal de desarrollo además de administrar el alta, baja y modificación de los usuarios
tienen acceso con plenos derechos a la base de datos de producción.
4.5.2.2 Tecnología y Procesamiento
No está desarrollado en una plataforma tecnológica apropiada, lo que limita su interacción
con los profesionales durante la matriculación, consulta y actualización de datos.
La integración con el sistema SISA es de carácter manual (vía CD).
4.5.2.3 Funcionalidades
31
Los registros de los profesionales no contienen datos identificatorios como título, firma y foto
No registra la etapa del pago del arancel que realiza Tesorería.
4.5.3 SMIS
4.5.3.1 Administración de Usuarios
Personal de desarrollo además de administrar el alta, baja y modificación de los usuarios
cuenta con acceso a opciones como generación y recepción de movimientos de stock.
Se encontraron dos cuentas genéricas, 6 cuentas con perfil de administrador de las cuales 2
corresponden a personal de Remediar lo que permite hacer ajustes del stock.
Se encontró un usuario con el campo apellido en blanco por lo se infiere que no se valida este
campo para su ingreso al sistema.
4.5.4 SISA
4.5.4.1 Funcionalidades e Integración
El proyecto no dispone de la organización establecida para el SUIS que le permita establecer
estándares para la integración de los datos provenientes de los todos los interesados (CAPs,
Ministerios de Salud Provinciales, establecimientos médicos entre otros) y así constituirse en
la plataforma de integración.
Se ha detectado que la codificación adoptada por SISA para algunas tablas no coincide con las
empleadas por los sistemas con los que se integra.
En otro orden, los datos que provienen de otros sistemas no están protegidos para que SISA
no los pueda alterar antes y después de actualizar sus tablas.
4.5.5 Estadístico de Salud
4.5.5.1 Tecnología e Integración
Los datos correspondientes a las provincias se transfieren en formatos de archivo sin la
adecuada protección. El proceso de integración con la base central es manual y en esta
instancia la validación de registros no se realiza en el origen.
32
4.6 Sitios Web
La evaluación de los sitios y páginas web (ver listado en 3.4.5) del Ministerio se realizó de
acuerdo a la Guía de accesibilidad para sitios web del Sector Público Nacional de la ETAP
Versión 18.11--Estándares Tecnológicos para la Administración Pública-, la Resolución 97/97
de la Secretaria de la Función Pública -Pautas para Sitios y Portales de Internet para la
Administración Pública- y lineamientos internacionales W3C y WebAnywhere.
4.6.1 Dominios
Se encontraron los siguientes dominios exclusivos en el organismo
Propietario
Ministerio de Salud
Remediar + Redes
Dirección Nacional de Maternidad e Infancia
Salud Investiga
Dirección de Estadísticas e Información de
Salud
Subsecretaría de Salud Comunitaria
UFI – Salud
Dirección web
http://www.msal.gov.ar
http://www.remediar.gov.ar/
http://www.dinami.gov.ar/
http://www.saludinvestiga.org.ar/
http://www.deis.gov.ar
http://www.sps.gov.ar/
http://www.ufisalud.gov.ar/
4.6.2 Evaluación Web
La Coordinación de Prensa y Comunicación Social administra el sitio y páginas web del Msal.
No dispone de una estructura formal con niveles inferiores, en particular no se asignan
responsabilidades respecto de la comunicación vía web. No obstante, existe personal que
cumple funciones en el marco descripto.
Para comunicarse con las distintas áreas durante la administración de contenidos se emplean
CDs o memoria USB portable acompañados de notas y direcciones de correo no
institucionales. No se dispone de facilidades de red para su trasmisión.
El sitio del Msal no dispone de enlaces a los sitios de algunos programas de salud (remediar,
plan nacer y ufisalud) durante el período de relevamiento.
No se tuvo conocimiento que se evaluaran las estadísticas sobre visitas al sitio.
Análogamente se encontraron programas que no publican su actividad en páginas web como
Incluir Salud (Ex Profe), PRONACEI y PRONACE.
33
El diseño de los sitios y páginas web correspondientes a los programas y planes carecen de un
diseño estandarizado.
En la tabla que se presenta en la siguiente página muestra el comportamiento de 33 sitios o
páginas web del Msal sobre cada uno de los temas auditados con un indicador de
cumplimiento (%).
De ello es destacable la ausencia generalizada de:
 datos sobre las autoridades,
 datos presupuestarios del programa, plan, campaña o investigación,
 versión en otros idiomas.
En otro orden se encontraron 24 sitios con vínculos a sitios o secciones inexistentes.
34
Si No
32
1
18 15
Nombre 18 15
Foto 0 33
Cargo 17 16
Teléfono 1 32
Dirección 0 32
Correo electrónico 1 32
Organigrama
33
0
Marco Normativo
30
3
Misiones y Funciones (Objetivos)
33
0
Descripción de Proyectos en curso 33
0
Presupuesto Nacional
1 32
Novedades
30
3
Publicaciones
33
0
Versiones en otros idiomas
0 33
Dirección (Postal y Teléfonos)
23 10
Dirección Electrónica Webmaster
25
8
Enlaces a Redes Sociales
1 32
Exploradores básicos
30
3
%
97
55
55
0
52
3
0
3
100
91
100
100
3
91
100
0
70
76
3
91
2) Facilidades Básicas
Mapa del Sitio
Enlaces Rotos
Enlace al inicio
Foro
Buscador
Boletín Informativo
Consulta para el ciudadano
Documentación
Orientación
Tamaño de las descargas
3
11
29
0
13
2
26
33
31
19
30
22
4
33
20
31
7
0
2
14
9
33
88
0
39
6
79
100
94
58
3) Accesibilidad
Encabezamientos (filas y columnas)
Llenado de formularios en línea
Marcos con títulos
Claridad de Jerarquía
Consistencia de elementos visuales
Claridad de contenidos
29
29
27
27
33
33
4
4
6
6
0
0
88
88
82
82
100
100
1) Contenidos Básicos
Portada
Autoridades
35
5. ANÁLISIS DE LA VISTA
Con fecha 5 de julio de 2013 el Ministerio de Salud envía su descargo, manifestando coincidir
con las observaciones realizadas en el informe. Así mismo, el organismo destaca que ha
realizado un convenio de cooperación tecnológica con la Universidad Tecnológica Nacional
(UTN) con el objetivo de desarrollar el Plan Estratégico de Sistemas a implementarse en el
Ministerio de Salud (Expediente N° 2002-19828-12-5). Las mejoras que de dicho trabajo
resulten, se evaluarán en una próxima auditoría.
36
6. RECOMENDACIONES
A continuación se sugieren aquellas acciones que permiten mejorar los controles de TI, para
cada observación realizada.
A) AMBIENTE DE CONTROL
6.1 PLANEAR Y ORGANIZAR
6.1.1 Definición del Plan Estratégico de TI
Elaborar un proceso de planificación de la TI comenzando con el Plan Estratégico de
Sistemas vinculado con los planes estratégicos del Ministerio –Plan Federal de Salud en
primer lugar- que permita de manera sistemática su seguimiento y actualización dentro de un
marco que optimice la selección de proyectos y/o acciones al mediano y largo plazo y
ensamblado con los planes de infraestructura de TI, programas de salud, presupuesto e
inversiones, capacitación y compras, entre otros.
La planificación debe considerar la historia clínica digital como un proyecto para su
implementación en todo el país tal como lo establece la ley 26529 y su modificatoria 26742 al
igual que la estandarización de la información para todos los programas sanitarios en los
centros de atención primaria y la asistencia para su procesamiento y trasmisión de datos .
Es necesario disponer de una metodología y métricas para medir el logro en los objetivos.
6.1.2 Definición de la Arquitectura de la Información
Elaborar un marco (políticas, procedimientos y organización) para la creación y
mantenimiento de un modelo de datos que incluya el desarrollo de un diccionario corporativo
de datos, un esquema de clasificación, los niveles de seguridad y propiedad según la función a
desempeñar.
6.1.3 Determinar la Dirección Tecnológica
Elaborar un marco (políticas, procedimientos y organización) que permita:
a) establecer un plan de infraestructura técnica equilibrado con los costos, riesgos y
requerimientos,
37
b) definir los estándares tecnológicos y de arquitectura de la infraestructura de la TI,
c) crear un esquema organizacional que permita orientar la arquitectura (como un comité
de arquitectura).
d) superar el rezago tecnológico señalado en 4.1.3.
6.1.4 Procesos, organización y relaciones de TI
Mejorar la estructura organizacional de TI (organigrama y manual de puestos y perfiles).
Definir el marco de trabajo para el proceso de TI.
Identificar dueños de sistemas y dueños de datos.
Definir procedimientos que permitan segregar funciones en particular definir e identificar al
personal clave de TI y minimizar la dependencia excesiva en ellos.
Designar formalmente a un responsable dentro del ámbito la DI.
Superar las limitaciones señaladas en 4.1.4, en particular asegurar la centralización y
coordinación de todas las actividades de TI del ámbito del Ministerio.
6.1.5 Administrar los Recursos Humanos de TI
Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y
compensación del personal de TI, incluyendo el requerimiento de adherirse a las políticas del
organismo y en particular de seguridad.
Establecer un plan anual de capacitación de TI y de estrategia de desarrollo.
Mejorar la integración de la información sobre cambios en la situación de revista del personal
que permita asegurar el control de la revocación de privilegios y asignación de los perfiles
adecuados al rol asignado en los sistemas implementados.
6.1.6 Administrar Calidad
Definir la política y un plan de calidad para la TI con un cronograma específico que incluya
tanto la infraestructura de TI como el ciclo de vida de los sistemas.
6.1.7 Administración de Riesgos
Establecer un marco de trabajo para la administración de riesgos de TI integrado con el marco
38
respectivo del organismo que establezca el contexto, la identificación, la aceptación, el
análisis, la evaluación y el tratamiento (respuesta y monitoreo) de los riesgos tanto de la
infraestructura de TI como en el ciclo de vida de los sistemas.
Se sugiere tomar como referencia la norma IRAM 17550 “Sistema de Gestión de Riesgos”.
6.1.8 Administración de la Inversión de TI
Establecer un marco financiero apropiado para administrar las inversiones, los costos de los
activos y servicios de TI.
Implementar un proceso de toma de decisiones para dar prioridades a la asignación de
recursos a TI para operaciones, proyectos y mantenimiento; maximizando la contribución de
TI y optimizando el retorno del portfolio de programas de inversión en TI.
Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades
establecidas en el portafolio de programas de inversión en TI, incluyendo los costos
recurrentes de operación y de infraestructura.
Implementar un proceso de administración que compare los costos reales con los
presupuestados.
6.1.9 Administrar Proyectos
Para el desarrollo del marco de trabajo se sugiere elaborar controles para asegurar:
a) su relación con el programa de inversión del organismo,
b) un enfoque para la administración de los proyectos con la asignación de roles,
responsabilidades y rendición de cuentas de todos involucrados,
c) el compromiso formal y la participación de los interesados,
d) la aprobación formal del alcance del proyecto,
e) la aprobación formal de la fase inicial,
f) un plan integrado para la administración de los proyectos de TI y sus modificaciones,
g) la administración de los riesgos,
h) un plan de calidad,
i) un sistema de control de cambios,
j) la acreditación de los sistemas,
39
k) la medición del desempeño y monitoreo del proyecto y
l) un cierre del proyecto con los resultados esperados.
6.2 ADQUIRIR E IMPLEMENTAR
6.2.1 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos
Elaborar e implementar el proceso estudio de factibilidad técnico-económico previa a toda
incorporación funcional o sistémica que cubra los siguientes aspectos: a) la definición de las
necesidades, b) generación de alternativas, c) revisión de la factibilidad tecnológica y
económica, d) el análisis de riesgos y de costo-beneficio e) la decisión final de “desarrollar” o
“comprar”.
Para asegurar el éxito del proyecto es necesario considerar esta instancia dado que el
Ministerio debe interactuar -al menos- con las 24 provincias y sus 13 organismos
descentralizados y debe prever los aspectos de la organización y de comunicación más
apropiada así como el desarrollo de definiciones previas como ser la estandarización de
procesos en la administración de los programas médico sanitarios.
6.2.2 Ciclo de Vida en el Desarrollo de Sistemas
Elaborar e implementar formalmente una metodología del ciclo de vida para el desarrollo de
los sistemas tanto propios como adquiridos y para todo el ámbito del Ministerio que
establezca los estándares de desarrollo para todas las modificaciones y que deberá, además,
1) Facilitar la operación y uso de las aplicaciones asegurando la transferencia del
conocimiento a las secretarías y direcciones usuarias, los usuarios finales y al personal
de soporte técnico y de operaciones con el entrenamiento inicial y continuo, el
desarrollo de las habilidades, los materiales de entrenamiento, los manuales de
operación, los manuales de procedimientos y escenarios de atención al usuario.
2) Establecer procedimientos formales de administración de los cambios –incluidos los
de emergencia– a aplicaciones, procesos, parámetros de sistema y servicio. La
administración debe contemplar el seguimiento y reporte así como el cierre del
cambio.
40
3) Desarrollar e implementar una metodología para realización de pruebas con datos que
contemple la creación de un ambiente de prueba, el entrenamiento, plan de pruebas,
pruebas de los cambios, plan de implementación y prueba de aceptación final por las
secretarías y direcciones usuarias.
6.2.3 Desarrollo de la Infraestructura Tecnológica
Desarrollar la estrategia para infraestructura de hardware y software de base.
Configurar un ambiente de pruebas para la incorporación de componentes de infraestructura o
aplicaciones.
Implementar medidas de control interno, seguridad y auditoría para proteger los recursos y
garantizar su disponibilidad e integridad.
6.3 ENTREGAR Y DAR SOPORTE
6.3.1 Definir y administrar los niveles de servicio
Para mantener relaciones objetivas entre los clientes (la Gerencia del Negocio o
Coordinadores o Responsables de los Programas Médicos) y prestadores de servicio (el área
de TI o sus terceros proveedores) es necesario definir un marco de trabajo que definan los
procesos para la administración de los niveles de servicio:

creación de requerimientos de servicio,

definición de niveles de servicio,

acuerdo de niveles de servicio (SLAs)

acuerdo de niveles de operación (OLAs)

el financiamiento

el monitoreo y reporte de cumplimiento y

la organización para gestionarla.
6.3.2 Administrar los Servicios de Terceros
Para transparentar los beneficios, riesgos y costos de los proveedores es necesario:

identificar y categorizar los servicios que prestan
41

identificar y mitigar sus riesgos

monitorear y medir su desempeño
6.3.3 Administrar el desempeño y la capacidad

Para optimizar el desempeño de la infraestructura, los recursos y capacidades de TI se
estima necesario establecer un proceso de planeación para la revisión del desempeño y
la capacidad de los recursos de TI así como su monitoreo y arribar a pronósticos de
comportamiento.
6.3.4 Garantizar la continuidad del servicio
Elaborar e implementar un marco de trabajo para la administración de niveles de servicio
entre las áreas usuarias y aquellos que lo proveen –DI y proveedores– que contemple procesos
para:
 la creación de requerimientos de servicios,
 la definición de los servicios,
 los acuerdos de niveles de servicio y acuerdos de niveles de operación y las fuentes de
financiamiento,
 el monitoreo y reporte del cumplimiento de los SLA (acuerdos de nivel de servicios) y
 la revisión de los SLA y los contratos de apoyo con los proveedores internos y
externos.
6.3.5 Garantizar la seguridad de los sistemas
Establecer un área específica y centralizada que lleve a cabo las tareas de seguridad a través
de un Plan de Seguridad de TI en el que se incluyan políticas y procedimientos (como por
ejemplo el cambio periódico de las claves de acceso de los usuarios a la red), asegurando que
todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI
(aplicaciones, entornos de TI, operación de sistemas, desarrollo y mantenimiento) sean
identificables de manera única.
42
6.3.6 Identificar y Asignar Costos
El proceso requiere:

Desarrollar una definición de los costos y servicios de TI

Registrar los costos de los servicios de TI.

Asignar los costos de TI a los consumidores de servicios de TI.
6.3.7 Administrar la Mesa de Servicio, Problemas e Incidentes
Mejorar el proceso de administración de incidentes:
a) Con una gestión centralizada de las mesas
b) Estandarizando e implementando en todas las mesas procedimientos para registrar,
comunicar, atender y analizar las llamadas, los incidentes reportados, los
requerimientos de servicio y las solicitudes de información.
c) Definiendo y acordando niveles de servicio –SLA–.
d) Definiendo y aprobando los procedimientos de monitoreo –con análisis de tendencias
y resolución– y escalamiento basados en el SLA.
6.3.8 Administrar la configuración
Crear un repositorio central que contenga toda la información relevante sobre los elementos
de configuración.
Establecer procedimientos de configuración –integrados con la gestión de cambios y de los
incidentes– para soportar la gestión y seguimiento de todos los cambios al repositorio de
configuración.
Revisar periódicamente los datos de configuración para verificar y confirmar la integridad de
la configuración actual e histórica.
6.3.9 Administrar los datos
Completar este proceso definiendo procedimientos para mejorar el control de:

los datos que se reciben y procesan para preservar su completitud, precisión y
oportunidad

el archivo, almacenamiento y retención de datos
43

el inventario de medios almacenados y archivados

respaldo y restauración de los sistemas, aplicaciones, datos y documentación

la seguridad en el desecho de medios.
6.3.10 Administrar el ambiente físico
Definir, aprobar e implementar políticas y procedimientos que garanticen que:

Los servicios y la infraestructura de TI pueda resistir y recuperarse de forma apropiada
de fallas ocasionadas por un error, ataque deliberado o desastre.

La información crítica y confidencial esté resguardada de quienes no deben tener
acceso a ella.

El mínimo impacto al negocio en caso de un cambio o interrupción de un servicio de
TI.

Todos los activos de TI estén protegidos y registrados.
6.3.11 Administrar las operaciones
Mejorar el proceso definiendo políticas y procedimientos que permitan:

Alinear los procedimientos de operación y monitoreo de la infraestructura con niveles
de servicio acordados.

Realizar el procesamiento de solicitudes especiales de acuerdo al nivel de servicio
acordado.

Brindar resguardos físicos para la información sensible.
De manera específica, proveer auditoría (reconstrucción, revisión y análisis de las secuencias
de tiempo de las operaciones y actividades conexas). Por lo que es necesario que el registro
de las operaciones almacene suficiente información histórica.
6.4 MONITOREAR Y EVALUAR
6.4.1 Monitorear y evaluar el desempeño de TI
Elaborar e implementar un enfoque de trabajo para el monitoreo del desempeño de la TI que
prevea:
44

Definir y aprobar formalmente un conjunto de objetivos de desempeño,
indicadores claves de desempeño y de performance y establecer los procesos para
recolectar información para medir los objetivos y para reportar el avance contra las
metas.

Un método de monitoreo que brinde una visión compacta y completa del
desempeño de TI.

La evaluación del desempeño contra las metas mediante el análisis de las causas y
acciones correctivas.

Producir reportes de avance para la alta dirección en términos del desempeño del
portafolio de programas de inversión en TI, niveles de servicio y la contribución de
TI.
Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y
reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las
evaluaciones.
6.4.2 Monitorear y Evaluar el Control Interno
Dotar a la UAI en cantidad adecuada de especialistas informáticos a la dimensión del control
de la TI en el Ministerio.
Elaborar y ejecutar un Plan para cubrir un porcentaje aceptable de controles TI basado en que
se logre:

garantizar que los servicios y la infraestructura de TI puedan resistir y recuperarse
apropiadamente de errores, desastre o ataques.

proteger el logro de los objetivos de TI

proteger y registrar todos los activos de TI

garantizar el cumplimiento de de TI con las obligaciones externas.
6.4.3 Proporcionar Gobierno de TI
Lograr que las actividades de la TI tengan visibilidad para la Alta Dirección.
Extraer los hallazgos de evaluaciones independientes y garantizar que sean implementadas.
45
Generar reportes de gobierno de TI.
B) SISTEMAS RELEVADOS
6.5 Sistemas Evaluados
Realizar una reingeniería de todos los sistemas considerando en primer lugar los procesos en
los programas médico-sanitarios y actividades conexas del Ministerio. Se deben considerar a
todos los actores que interactuaran con los programas y el Msal.
Se estima conveniente estandarizar los procesos de los programas y que cada uno cuente con
metas cuantitativas e indicadores de gestión y el sistema deberá reflejar en tableros de control
como resultado de administrar el flujo de la información de los procesos desde la toma en el
origen de las transacciones.
En cuanto al proceso administración de stock debe evaluarse la conveniencia técnica y
económica de disponer un único sistema que integre a Remediar, SMIS y realice la gestión de
vacunas que se compra a la OPS.
Mejorar las fallas de control señalados en 4.5.1 Remediar, 4.5.2 Matriculaciones, 4.5.3 SMIS,
4.5.4 SISA y 4.5.5 Estadístico de Salud.
6.6 Sitios Web del Ministerio de Salud
Ante el cuadro de fragmentación descripto en 4.6 resulta necesario asegurar un formato de
comunicación estandarizado y coherente para todos los sitios y páginas de incumbencia que
presente un mensaje e imagen unificada del Ministerio.
La intervención en todo el ciclo de vida del sitio web, creación, diseño, desarrollo,
procesamiento, administración de contenidos y seguimiento de las prestaciones incluyendo
mediciones de audiencia, se considera necesaria en un marco que incorpore mejoras
tecnológicas, recursos humanos y organización apropiados.
46
7. CONCLUSIONES
Se evaluó el estado del control interno existente en la gestión de la TI en programas y
actividades médicos-sanitarios del Ministerio de Salud: ambiente de control, los principales
sistemas informáticos detectados así como los sitios y páginas web.
Se encontró que la actividad de TI se despliega en al menos 9 centros con infraestructuras
virtualmente independientes y sin estándares comunes dedicados al procesamiento, desarrollo
y mantenimiento de aplicaciones específicas, sitios web y “call centers”. Este esquema ha
prevalecido por sobre una visión estratégica común para el Ministerio.
El ambiente de control es débil por las significativas carencias en materia de organización,
planificación, políticas y procedimientos – para el desarrollo de los sistemas, su
mantenimiento y procesamiento así como el desarrollo de la infraestructura tecnológica, la
administración de proyectos de la TI y la seguridad- , así como el soporte, el monitoreo y la
evaluación de la gestión de la TI. Contribuyen también, la falta de utilización de las buenas
prácticas establecidas en la Resolución SIGEN 48/2005 y la poca actividad de la UAI en la
materia.
Los sistemas evaluados no cuentan con un modelo de datos corporativo que aseguren
integridad y seguridad en lugar de multiplicación de datos y esfuerzos. Los miles de centros
de atención primaria no cuentan con aplicaciones que permitieran la captura de datos en su
origen y evitar un tráfico sin control y pérdida de calidad. Con escasa documentación técnica
y falta de una metodología de ciclo de vida no es posible ejercer un adecuado control y una
producción más intensa y estandarizada de los sistemas de información.
Los sitios web como medios de comunicación, no proveen una imagen uniforme del
Organismo: seis dominios conviven con el del Ministerio, sin estándares comunes en su
diseño y administración.
Se recomienda la intervención de la Alta Dirección en materia de reorganización,
planificación e inversiones en especialistas y equipamiento de la TI, que facilite tanto la
gestión de un sistema integrado de información médico-sanitario donde todos los programas
interactúen bajo patrones comunes como la necesaria actualización tecnológica.
La comunicación digital entre todos los actores de la salud en el país es un tema pendiente que
requiere definiciones en materia de estándares de TI para la salud lo que permitirá mejorar la
47
interoperabilidad y, en particular, la implementación de la historia clínica digital.
8. LUGAR Y FECHA
BUENOS AIRES, Julio de 2013.
9. FIRMA
48
Anexo
Glosario
Siglas
FESP
UFI-S
DEIS
FEAPS (REMEDIAR +
REDES)
PROFE (Incluir Salud)
SISA
SNVS
SMIS
ETS
SVIH
SIP
SITAM
PROSANE
SES
PFIS
Descripción
Proyecto Funciones Esenciales de Salud Pública
Unidad de Financiamiento Internacional
Dirección de Estadísticas e Información de Salud
Fortalecimiento de la Estrategia de Atención Primaria de la Salud
Programa Federal de Salud
Sistema Informático Sanitario Argentino
Sistema Nacional de Vigilancia Sanitaria
Monitoreo de Insumos Sanitarios
Enfermedades de Transmisión Sexual
Sistema de Administración de Pacientes con VIH
Sistema Informativo Perinatal
Sistema Cáncer Cuello de Útero
Programa Nacional de Salud Escolar
Sistema Estadístico de Salud
Sistema de Carga de Afiliados del Programa Federal Incluir Salud
49
ANEXO II
RESPUESTA DEL ORGANISMO
A continuación se detalla la respuesta efectuada por el Ministerio de Salud, en la que
manifiesta coincidir con todas las observaciones que se señalaron en el presente informe.
50
51
52
53
54
55
56