INFORME DE AUDITORIA Al Señor Ministro Dr. Juan Luis MANZUR Ministerio de Salud de la Nación Av. 9 de Julio 1925 (C1073ABA) Ciudad Autónoma de Buenos Aires. En uso de las facultades conferidas por el artículo 118 de la Ley Nº 24.156, la AUDITORÍA GENERAL DE LA NACIÓN procedió a efectuar un examen en el ámbito del Ministerio de Salud con el objeto que se detalla en el apartado 1. 1.- OBJETO DE AUDITORÍA. Evaluación de los controles de la TI (tecnología de la información) y del nivel de sistematización. 2.- ALCANCE El examen fue realizado de conformidad con las normas de auditoría externa de la Auditoría General de la Nación, aprobadas por la Resolución N° 145/93, dictada en función del artículo 119, inciso d, de la Ley N° 24.156. Ha comprendido la evaluación de: 1) el ambiente de control en el Ministerio en la gestión de la tecnología de la información y comunicaciones (TIC) 2) la gestión en cinco (5) sistemas de información empleados en programas médico-sanitarios (PMS) que se seleccionaron. 3) la gestión de los sitios web del Ministerio y de los programas y subprogramas médicosanitarios a su cargo. 1 La evaluación no comprende a los organismos dependientes del Ministerio. El período evaluado abarcó desde el año 2009 hasta Setiembre de 2011. Se practicaron los siguientes procedimientos: Entrevistas con los siguientes funcionarios: Secretario de Determinantes de la Salud y Relaciones Sanitarias. Secretario de Políticas, Regulación e Institutos. Secretario de Promoción y Programas Sanitarios. Jefe de Gabinete de Asesores (Unidad Ministro). Auditor Interno. Director General de Administración. Director Nacional de Regulación Sanitaria y Calidad en Servicios de Salud. Director Nacional de Registro, Fiscalización y Sanidad de Fronteras. Director Ejecutivo de SIDA y Enfermedades de Transmisión Sexual (ETS). Responsable de la Dirección de Informática. Directora de Estadísticas e Información de Salud. Directora Nacional del Programa Federal Incluir Salud. Coordinador de Adquisiciones y Contrataciones de la Unidad de Financiamiento Internacional - Salud (UFI-S). Coordinador Nacional del Proyecto Funciones Esenciales de Salud Pública (FESP). Coordinadora General del Programa FEAPS -Fortalecimiento de la Estrategia de Atención Primaria de la Salud- más conocido como REMEDIAR + REDES. Coordinadora Técnica de la Comisión Nacional Salud Investiga. Coordinador Responsable del Proyecto Sistema Informático Sanitario Argentino (SISA). Coordinadora de Prensa y Comunicación Social. Coordinador de los Sistemas de Provisión de Medicamentos e Información (REMEDIAR + REDES). Subgerente de los Sistemas de Provisión de Medicamentos e Información (REMEDIAR + REDES). Coordinadora de Logística y Distribución de Vacunas del Subprograma 2 Normatización, Suministro y Supervisión de Vacunaciones. Coordinadora de Medicamentos (Dirección de SIDA y ETS). Coordinador de Estudios y Monitoreo (Dirección de SIDA y ETS). Coordinador del Área de Comunicación (Dirección de SIDA y ETS). Coordinador Informático (Dirección Nacional de Maternidad e Infancia). Coordinador Informático (Programa Federal “Incluir Salud”). Coordinador Administrativo (Programa Federal “Incluir Salud”). Coordinadora de Contenidos (Coordinación de Prensa y Comunicación Social). Responsable del Sistema Nacional de Vigilancia Sanitaria (SNVS). Responsable Informático (Proyecto FESP). Responsable Informático (UFI-S). Responsable de la Unidad de Seguimiento de Auditoría (UFI-S). Responsable del Registro Federal de Establecimientos. Jefe de Tecnología de la Información (REMEDIAR + REDES). Jefe de Desarrollo (REMEDIAR + REDES). Jefa del Registro Único de Profesionales. Responsables de Operaciones (Programa SUMAR). Responsable de Capitas (Programa SUMAR). Asesor de la Secretaría de Coordinación. Asesora Legal (Secretaría de Políticas, Regulación e Institutos). Asesora Letrada (Dirección Nacional de Registro, Fiscalización y Sanidad de Fronteras). Asesor Legal (Programa SUMAR). Webmaster (Coordinación de Prensa y Comunicación Social). Analista Funcional del Sistema de Matriculaciones. Desarrollador (REMEDIAR + REDES). Análisis de: Informes de Auditoría Interna (Período 2010-2011). Disposiciones emitidas en relación a TI (Políticas, Normas y procedimientos). Organigrama del Ministerio. 3 Presupuesto del Ministerio y el presupuesto operativo anual de la función de TI (Período 2009-2011). Metodología adoptada para el desarrollo de sistemas en todo el ciclo de vida. Nomina de los proyectos informáticos concluidos durante 2011 y en curso. Inventario de todas las aplicaciones en uso. Acciones realizadas en el marco del decreto 378/2005 (Gobierno Electrónico). Inventario del hardware, software del sistema operativo y bases de datos. Esquema de la red de comunicaciones implementado. Nomina de los contratos con proveedores de TI. Listado de personal asignado al área de TI. Mesa de Ayuda o Servicio: reglas de su funcionamiento y reportes producidos. Procedimientos de registro y seguimiento para la gestión de Incidentes. Acciones sobre la evaluación de riesgos tecnológicos. Documentación solicitada y no entregada por el organismo auditado: Plan Estratégico Informático para el Ministerio, el modelo de TI y los planes tácticos. Plan de Infraestructura Tecnológica. Modelo de la arquitectura de la información. Diccionario de datos. Programas de capacitación de TI realizados al personal. Plan de Seguridad Informática. Plan de contingencia de TI. Informes o evaluaciones de monitoreo de la infraestructura tecnológica. Informes de gestión producidos por el área de TI. Dependencias del MSAL en la C.A.B.A. donde se desarrollaron las entrevistas y verificaciones. Edificio Central ubicado Av. 9 de Julio 1925. Edificio Av. De Mayo 844 5° piso, asignado al Proyecto FESP. Edificio Rivadavia 875 10° piso, asignado a la Dirección Nacional del Programa Federal “Incluir Salud”. 4 Edificio Rivadavia 875 4° piso, asignado al Área Informática de la UFI-S. Edificio Rivadavia 877 3° piso, asignado a la Comisión Nacional Salud Investiga. Edificio Bernardo de Irigoyen 344 2° piso, asignado al Programa SUMAR. 2.1. Tareas de campo Se desarrollaron entre Julio y Noviembre de 2012. 3.- ACLARACIONES PREVIAS Se agrega como Anexo un glosario de las abreviaturas empleadas 3.1 Sistema Federal de Salud El Ministerio de Salud como órgano rector tiene responsabilidad en la planificación global del sector salud y la implementación de un Sistema Federal de Salud coordinado y consensuado con las autoridades sanitarias de las jurisdicciones provinciales y del Gobierno Autónomo de la Ciudad de Buenos Aires. Producto de ello es el Plan Federal de Salud 2003-2007 que establece como objetivo en materia informática, alcanzar un sistema integrado de información, que permita medir el desempeño de todos los subsistemas, generando transparencia y el soporte necesario para la evaluación y la toma de decisiones. 3.2 Sistematización de la Información Sanitaria (S.U.I.S.) El Ministerio de Salud mediante la Resolución 883/2007 aprueba la creación del sistema nacional único de información sanitaria (SUIS) en el ámbito de la Secretaría de Políticas, Regulación y Relaciones Sanitarias con el objeto de integrar la información existente de sistemas desarrollados por el Ministerio como Remediar, Estadístico de Salud, Nacional de Vigilancia de la Salud (SNVS), Plan Nacer, Médicos Comunitarios, PROFE y otros sistemas de organismos como el INCUCAI -Instituto Nacional Central Único de Ablacion e Implante(el Sistema Nacional de Información de Procuración y Trasplante SINTRA), la Superintendencia de Servicios de Salud y los sistemas sanitarios implementados en las provincias con el objetivo de avanzar hacia un sistema nacional de información integrado para todos los subsectores ya sean públicos, obras sociales o seguros privados. 5 La Resolución mencionada establece las características del proyecto de tecnología de la información –visión, objetivos, etapas y cronograma del plan de ejecución- y la organización para llevarla a cabo por medio de un Comité Técnico integrado por referentes de los sistemas existentes y una Comisión Nacional del S.U.I.S. conformado con representantes provinciales. El marco de referencia para el desarrollo del SUIS deberá ser consensuado con el Consejo Federal de Salud (C.O.F.E.S.A.). La Resolución 1070/ 2009 crea el Registro Federal de Establecimientos de Salud en el ámbito de la Secretaría de Políticas, Regulación e Institutos del Msal, que resulta ser el paso inicial para la sistematización de la información. Historia Clínica Electrónica La Ley N° 26.529 y su modificatoria 26.742 del año 2009 establece los derechos del paciente en relación a la información sanitaria, el consentimiento informado y dispone que el contenido de la historia clínica puede confeccionarse en soporte magnético siempre que se arbitren los medios que aseguren la preservación de su integridad, autenticidad, inalterabilidad, perdurabilidad y recuperabilidad de los datos allí contenidos. A tal fin ”debe adoptarse el uso de accesos restringidos con claves de identificación, medios de almacenamiento no reescribibles, control de modificación de campos u otra técnica que asegure su integridad conservando la documentación respaldatoria”. 3.3 Los Programas médico-sanitarios Como marco para evaluar la TI se consideraron las diferentes acciones en materia médicasanitaria -18 programas- que lleva a cabo el Ministerio. El siguiente cuadro muestra los programas con los montos devengados o asignados en el período auditado. 6 N° DENOMINACIÓN DEL PROGRAMA 2009 2010 2011 17 ATENCION DE LA MADRE Y EL NIÑO 502.999.773 298.219.812 684.476.464 18 FORMACIÓN DE RECURSOS HUMANOS SANITARIOS Y ASISTENCIALES 88.355.226 99.103.962 129.176.182 19 DETERMINANTES DE LA SALUD, RELACIONES SANITARIAS E INVESTIGACIÓN 10.715.841 16.243.477 31.966.145 20 PREVENCIÓN Y CONTROL DE ENFERMEDADES Y RIESGOS ESPECIFICOS 131.538.036 320.855.350 771.143.665 21 PLANIFICACIÓN, CONTROL, REGULACIÓN Y FISCALIZACIÓN DE LA POLÍTICA DE SALUD 24.595.289 32.075.485 37.321.109 22 LUCHA CONTRA EL SIDA Y ENFERMEDADES DE TRANSMISIÓN SEXUAL 244.591.692 275.632.098 381.950.356 24 DETECCIÓN Y TRATAMIENTO DE ENFERMEDADES CRÓNICAS Y FACTORES DE RIESGO PARA LA SALUD 24.840.146 26.544.442 24.195.568 25 ATENCIÓN PRIMARIA DE LA SALUD 111.447.052 45.265.176 22.979.489 26 COBERTURA DE EMERGENCIAS SANITARIAS 6.410.581 7.159.806 8.628.156 29 REFORMA DEL SECTOR SALUD - BID 1903/OC-AR 26.738.464 34.519.568 175.246.949 30 FORTALECIMIENTO DE LA CAPACIDAD DEL SISTEMA PÚBLICO DE SALUD 164.225.029 190.090.478 142.304.549 36 ATENCIÓN MÉDICA A LOS BENEFICIARIOS DE PENSIONES NO CONTRIBUTIVAS 793.952.957 964.510.323 1.238.500.000 37 PREVENCION Y CONTROL DE ENFERMEDADES ENDEMICAS 86.294.805 114.426.813 64.573.260 38 FUNCIONES ESENCIALES DE SALUD PUBLICA (FESP) 41.207.924 124.799.603 171.603.740 39 DESARROLLO DE ESTRATEGIAS EN SALUD FAMILIAR Y COMUNITARIA 130.057.057 200.641.381 289.366.632 40 SANIDAD ESCOLAR 17.520.000 15.061.600 4.894.710 41 ATENCION SANITARIA EN EL TERRITORIO 28.753.392 42 DETECCIÓN TEMPRANA Y TRATAMIENTO DE PATOLOGÍAS ESPECÍFICAS 10.664.223 TOTALES ANUALES 2.405.489.872 2.765.149.374 4.217.744.589 7 3.4 El Relevamiento Se encontró actividad de TI independiente de la Dirección Informática y sobre la cual no existían estudios previos que señalara el nivel de sistematización entre los 18 programas y 61 subprogramas que cuenta el Ministerio. Se realizaron entrevistas con los responsables a nivel de Secretario y de la cual se obtuvo información sobre las principales áreas sanitarias que contaban con cierto grado de informatización. A continuación se muestran los datos obtenidos del relevamiento aunque debe considerarse una aproximación dado que no fue posible evaluar la totalidad de los programas y subprogramas. 3.4.1 La organización y el personal de la TI Los Decretos N° 1343/07 y 357/02 y la DA del Msal N° 24/02 aprueban la estructura a primer nivel operativo del Ministerio de Salud y en particular de la Dirección de Informática (DI) que depende de la Dirección General de Administración. Se relevaron también otras áreas de TI dentro del Ministerio que no tienen supervisión de la DI y que cuentan con especialistas en sistemas o consultores en cantidad de acuerdo al siguiente cuadro: Dirección de Informática Programa SUMAR (Ex Plan NACER) Programa REMEDIAR + REDES Programa UFI – Salud Programa FEASP (SISA+SMIS) 12 (PP) 19 31 (total) 5 11 6 31 Dirección Nacional de Maternidad e Infancia 6 Programa Incluir Salud (Ex PROFE) 5 Prensa -Pagina Web MSAL 4 Comisión Salud Investiga 4 En total se detectaron 103 agentes de los cuales 12 pertenecen a la Planta Permanente (PP) del organismo mientras que los 91 restantes se encuentran bajo régimen de contratos provisorios. Exceptuando a la DI, el trabajo de TI se realiza principalmente en forma remota. 8 3.4.2 Centros de Cómputos y Sistemas Además de la Dirección de Informática, se relevaron 8 áreas, que administran un centro de procesamiento de datos, las comunicaciones y el desarrollo y mantenimiento de sus aplicaciones. Cada una dispone también, de una red de datos propia e independiente de la DI y habitualmente administran sus servidores de correo y sitio web incluso con dominios propios y una central telefónica. La DI además tiene a cargo los sistemas administrativos contables del Msal. El cuadro siguiente muestra el detalle y las aplicaciones relacionadas con las acciones sanitarias. Áreas con Centro de Cómputos Sistemas para la salud a cargo Dirección de Informática. Edificio Msal Registro Único de Profesionales (Matriculaciones) SNVS (Sistema Nacional de Vigilancia Sanitaria) PnSida Sistemas de Stock, carga viral y Epidemiología. Banco General de Drogas Oncológicas Favaloro Salud Mental Salud Ocular, entre lo más relevante Dirección Nacional de Regulación SISA (Sistema Informático Sanitario Argentino) Sanitaria y Calidad en Servicios de Salud. * Los servidores son alojados en el CC de la DI Funciones Esenciales de Salud Pública Monitoreo de Insumos Sanitarios (SMIS) (FESP) Av. de Mayo 844 Administración de Pacientes VIH (SVIH) * Servidores en Datacenter externo FEAPS (Remediar + Redes) Ed.Msal Remediar Dirección de Maternidad e Infancia. Sistema Informativo Perinatal (SIP). Edificio Msal Introducción de Leche y Medicamentos (Access) Cáncer de Cuello de Útero (SITAM). Programa Nacional de Salud Escolar (PROSANE). Aborto (Visual Basic con base de datos Access). Vigilancia de la Mortalidad Materna Sistema Estadístico de Salud (SES) Médicos Comunitarios Programa Federal “Incluir Salud” Carga de Afiliados del Programa (PFIS) (Ex.Profe) Rivadavia 875 Autorizaciones Médicas Programa SUMAR (ex NACER) Gestión de Padrones Bernardo de Irigoyen 344 Medición de Trazadoras UFIS (Unidad de Financiamiento Mesa de Entrada para la Unidad Internacional) Rivadavia 875 Comisión Salud Investiga Rivadavia 877 Datacenter para red propia 9 3.4.3 Inversiones y Gastos en TI El siguiente cuadro se muestran los créditos y gastos con financiamiento del Tesoro Nacional que devenga la TI por programa. Se incluyeron las transferencias a las provincias y los gastos de nacionalización. (Valores expresados en pesos). Programa 17 18 19 20 21 22 24 25 26 29 30 36 37 38 39 40 41 42 2009 9.023.226,24 0 55.934 45.611,81 76.800,50 0 126.206,27 1.764.400,65 2.804 488.744 5.537,15 159 85.000 149.057 9.271,32 Total % Incidencia 11.832.752 0,50 2010 811.182,96 95.756,13 119.965 22.142.629,04 101.156,33 0 82.753,84 2.342.101,75 71.101 0 9.283,72 18.051,25 16.880 0 356.976,75 205.791,25 77.698,13 2011 557.394,44 5.590 101.806,22 16.200.677,96 19.344,15 0 91.926,75 0 9.364,48 53.422 335.000 124.643,97 4.980 500.000 3.166,62 0 220.120,93 0 26.451.327 0,95 18.227.438 0,43 La incidencia de la TI es medida en relación al monto asignado a los programas. El siguiente cuadro presenta los gastos en TI con financiamiento externo PROYECTO UFI-S REMEDIAR FESP Plan SUMAR TOTAL 2009 465.409 265.925 851.486 3.372.362 4.955.182 2010 802.788 686.499 1.958.862 2.172.233 5.620.382 2011 759.646 1.115.263 2.499.837 15.721.164 20.095.910 10 En el año 2011 los gastos TI, incluyendo ambas fuentes de financiamiento, totalizaron 38.323.348 pesos lo que representa un 0,62% de incidencia en relación al devengado presupuestario que tuvo el Ministerio ese año (6.230.024.407). 3.4.4 Sistemas evaluados Se seleccionaron los siguientes sistemas para su evaluación: 3.4.4.1 Remediar REMEDIAR + REDES (actualmente FEAPS -Fortalecimiento de la Estrategia de Atención Primaria de la Salud-) es un subprograma del Programa 39 con financiamiento BID 1903 OC/AR que se creó con el objeto de fortalecer las redes de salud, la provisión de medicamentos esenciales y la capacitación de los recursos humanos en salud. El sistema básicamente gestiona el stock de medicamentos en el ciclo que se inicia con la carga de datos del contrato de provisión, luego el ingreso y almacenamiento y la posterior distribución hacia los 6.600 Centros de Atención Primaria de Salud (CAPS). Además, el sistema gestiona el stock de medicamentos para otros programas actuando como operador logístico de los programas Sida, Salud Sexual, Tuberculosis, Salud Bucal y Salud Ocular. La Subgerencia de Sistemas de FEAPS tiene a su cargo la gestión del sistema en todo su ciclo de vida. 3.4.4.2 Matriculaciones y Expedientes Registra a los profesionales médicos para su habilitación por parte del Ministerio en el ámbito de la CABA. El sistema ha sido desarrollado y mantenido por la Dirección de Informática y tiene como usuario a la Dirección Nacional de Registro, Fiscalización y Sanidad de Fronteras. 3.4.4.3 Sistema Integrado Sanitario Argentino (SISA) Desarrollado en el ámbito de la Secretaría de Políticas, Regulación e Institutos este sistema es parte del proyecto SUIS y en la etapa inicial ha puesto énfasis en integrar la información de los diferentes Registros de Salud como: 11 Registro Federal de Establecimientos de Salud (REFES). Red Federal de Registros de Profesionales de la Salud (REFEPS). Registro Federal del Conjunto Mínimos de Datos Básicos (CMDB). Registro Nacional de Investigaciones en Salud (RENIS). Registro Nacional de Cardiopatías Congénitas (CCC). Registro Nacional del Banco de Drogas Oncológicas (BNDO). Registro Federal de Vacunación Nominalizado (NOMIVAC). Registro Nacional de Donantes de Sangre (REDOS). El proceso iniciado en el año 2009 ha incorporado gran parte de los establecimientos sanitarios a nivel nacional y provincial. El programa FESP financia este proyecto. El sistema ha comenzado a integrar información proveniente de otros sistemas del Ministerio como Estadísticas de Salud, el Sistema Nacional de Vigilancia de la Salud (SNVS), Plan NACER y el Programa REMEDIAR + REDES. 3.4.4.4 Monitoreo de Insumos Sanitarios (SMIS) Este sistema realiza el seguimiento y monitoreo de medicamentos e insumos médicos regulando los movimientos de los depósitos de las diferentes instituciones e identificando los medicamentos de los diferentes programas sanitarios (PRONACEI, SIDA, TUBERCULOSIS Y SANGRE). El proyecto es coordinado por el FESP desde el año 2009 gestiona el stock de 31.860 depósitos. 3.4.4.5 Estadísticas de Salud (SES) Comprende los siguientes subsistemas: Estadísticas Vitales: registra nacimientos, defunciones, defunciones fetales y matrimonios. Estadística de Servicios de Salud: contiene el Conjunto Mínimo de Datos Básicos (CMDB) sobre Pacientes Internados, Movimiento de Pacientes y Utilización de Camas, Consultas Médicas Ambulatorias y Recursos de Salud. Todos ellos referidos al subsistema público nacional, provincial y municipal. Cobertura, demanda, utilización de servicios y gasto directo en salud: basado en encuestas a la población. 12 La Dirección de Estadísticas e Información de Salud (DEIS) es el usuario. 3.4.5 Sitios Web Se evaluaron en su faz informática 33 sitios y páginas web que corresponden a diferentes acciones (planes, programas, investigaciones, campañas) del Ministerio en materia sanitaria. Sitios y Páginas Web 1 Ministerio de Salud de la Nación 2 Unidad de Financiamiento Internacional de Salud (UFI-S) Dirección de Promoción de la Salud y Control de Enfermedades 3 No Transmisibles 4 Dirección Nacional de Maternidad e Infancia 5 Dirección Nacional de Emergencias Sanitarias (DINESA) 6 Dirección de SIDA y Enfermedades de Transmisión Sexual 7 Dirección Nacional de Salud Mental y Adicciones Direcciones (Links) http://www.msal.gov.ar/ http://www.ufisalud.gov.ar/ http://www.msal.gov.ar/ent/ http://www.msal.gov.ar/promin/ http://www.msal.gov.ar/dinesa/ http://www.msal.gov.ar/sida/ http://www.msal.gov.ar/saludmental/ Programas y Planes 8 Programas Médicos Comunitarios (PMC) 9 Programa Nacional de Chagas 10 Programa Nacional de Control del Tabaco 11 Programa Nacional de Detección y Control de Enfermedad 12 Programa Nacional de Gartía de Calidad de la Atención Médica http://www.msal.gov.ar/medicoscomunitarios http://www.msal.gov.ar/chagas/ http://www.msal.gov.ar/tabaco/ http://www.msal.gov.ar/celiacos/ http://www.msal.gov.ar/pngcam/institucional.htm 13 Programa Nacional de Prevención de Cáncer Cervicouterino http://www.msal.gov.ar/cancer-cervico-uterino/ Programa Nacional de Salud Integral en la Adolescencia 14 (PNSIA) 15 Programa Nacional de Salud Sexual y Procreación Responsable 16 Programa Nacional Municipios y Comunidades Saludables 17 Programa VER 18 Programa Remediar + Redes 19 Sistema Integrado de Información Sanitaria Argentino (SISA) http://www.msal.gov.ar/index.php/mapa-del-sitio/52programa-nacional-de-salud-integral-en-la-adolescencia http://www.msal.gov.ar/saludsexual/ http://www.msal.gov.ar/municipios/ http://www.msal.gov.ar/ver/ http://www.remediar.gov.ar/ 21 Plan Para la Reducción de la Mortalidad 22 Plan NACER 23 Programa SUMAR (Ex Plan NACER) https://sisa.msal.gov.ar/ http://www.msal.gov.ar/cuidarse-en-salud/ http://www.msal.gov.ar/plan-reduccion-mortalidad/ http://www.plannacer.msal.gov.ar/ http://www.msal.gov.ar/sumar/ 24 Plan Argentina Saludable http://www.msal.gov.ar/argentina-saludable/ 25 Plan Nacional de Sangre 26 Funciones Esenciales de Salud Público (FESP) http://www.msal.gov.ar/plan-nacional-sangre/ 20 Cuidarse en Salud Campañas 27 Sin Mosquitos No Hay Dengue 28 Campaña Nacional de Vacunación Antigripal 2012 29 Agua Segura 30 Todos por la mañana Virus del Papiloma Humano http://www.msal.gov.ar/fesp/ http://www.msal.gov.ar/dengue/ http://www.msal.gov.ar/gripe/ http://www.msal.gov.ar/aguasegura/ http://www.msal.gov.ar/index.php/component/content/arti cle/48/105-virus-del-papiloma-humano-vph-o-hpv Investigación 31 Comisión Nacional Salud Investiga 32 Sistema Nacional de Residencias del Equipo de Salud 33 Programa Nacional de Control de Enfermedades Zoonoticas http://www.saludinvestiga.org.ar/ http://www.msal.gov.ar/residencias/ http://www.msal.gov.ar/zoonosis/ 13 4. COMENTARIOS Y OBSERVACIONES Por cada objetivo de control se presentan las observaciones o hallazgos correspondientes. Los comentarios se agruparon según se refieran al Ambiente de Control (A) o a los Sistemas Relevados (B). A) AMBIENTE DE CONTROL 4.1 PLANEAR Y ORGANIZAR 4.1.1 Definición del Plan Estratégico de TI El Ministerio no dispone de un Plan Director o estratégico de TI y específico que coordine todas sus actividades en materia de tecnología de la información y las comunicaciones. Se detectaron acciones aisladas en materia de planificación de la TI: 1) Los programas de salud con financiamiento internacional cuentan con un Plan Operativo Anual –POA- donde especifican los requerimientos anuales en hardware y software. Dichos requerimientos no se justifican ni establecen los objetivos a alcanzar. Este tipo de programas carecen de procesos formales de planificación para la TI. 2) Durante el año 2012 se tuvo conocimiento de un Plan Integral de Comunicaciones e Informatización de la Salud (PICIS) con la intención de proveer conectividad a los centros de atención primaria de salud a través de la Red Federal de Fibra Óptica (a cargo de ARSAT S.A.). Sin embargo no se tuvo conocimiento de algún acto formal que asegurara la existencia de un acuerdo. Se encontraron situaciones limitantes para el logro de este proceso: los distintos programas de salud gestionan la informática y las comunicaciones en forma independiente entre si y prescinden, en la mayoría de los casos, de los servicios de la Dirección Informática del Ministerio. un desconocimiento del conjunto de las acciones de TI -y sus capacidades – que se desarrollan en el Msal. no se tuvo conocimiento de acciones conjuntas de la alta gerencia y la gerencia del negocio –nivel de Secretaria y Dirección General- para alinear la gestión de TI del Ministerio con sus necesidades actuales y futuras. 14 a la fecha de este relevamiento, el Plan Federal de Salud 2010-2016 no cuenta con la aprobación formal, marco de referencia necesario para el proceso de planificación. Por último las acciones de TI - proyectos y servicios - que se están llevando a cabo carecen de una metodología que provea el valor óptimo – valor agregado vs costos- de las inversiones y gastos en TI para cumplir con los objetivos del Ministerio. 4.1.2 Definición de la Arquitectura de la Información El Ministerio no dispone de un proceso para crear y actualizar el modelo de información del organismo. Producto de ello es la carencia de un diccionario de datos corporativo lo que limita el uso compartido de los datos entre aplicaciones y sistemas produciendo redundancia, inconsistencias y pérdida de integridad en los datos. La alta fragmentación en la gestión de la TI contribuye a esta situación ya que cada desarrollo de sistemas, en la mayoría de los casos, ha sido concebido para resolver funcionalidades específicas y en un entorno de hardware y software aislado de los restantes entornos existentes en el Ministerio. Los datos de las distintas aplicaciones no disponen de: una clasificación corporativa –a nivel de Ministerio- respecto de su criticidad y/o sensibilidad, la asignación formal de su propiedad y la definición de los niveles apropiados de seguridad. Habitualmente los desarrolladores -personal de los sistemas- disponen de los máximos privilegios de la aplicación. En el caso del sistema SISA si bien dispone de su propio diccionario de datos, la propiedad de los datos no está asignada en modo exclusivo al usuario de la aplicación. 4.1.3 Determinar la Dirección Tecnológica El Ministerio carece de actividades específicas para dirigir la arquitectura de TI del organismo como un Plan de Infraestructura Tecnológica y la definición de sus correspondientes estándares. 15 En materia de estándares de TI para la salud no se tuvo conocimiento de acciones integradores por parte del Ministerio particularmente en relación a la historia clínica digital (HCD) para los sectores públicos y privados. No es posible aprovechar las economías de escala en las inversiones de TI y los recursos humanos así como lograr mejoras en la interoperabilidad de las plataformas y aplicaciones. Se detectaron implementaciones con diferentes direcciones tecnológicas -instalaciones, plataformas y lenguajes de desarrollo- según el programa de salud, esto es, el uso de 6 plataformas de bases de datos diferentes al igual que 8 plataformas de desarrollo -lenguajes de programación- sin interacción y aún de casos con motores de bases de datos iguales contratadas independientemente en dos programas de salud diferentes. 4.1.4 Procesos, organización y relaciones de TI Se detectaron las siguientes debilidades: Comité Estratégico de TI. Entre las misiones y funciones de la Dirección de Informática aprobadas en el año 2002, debe asistir al Comité de Informática del cual no se obtuvo evidencia formal de su constitución, la designación de sus miembros y/o que hubiera desarrollado actividad alguna. Es decir, no hay un cuerpo que asesore a la Alta Dirección del Ministerio, nivel de Secretario y Dirección General, en materia de la dirección estratégica en TI que revise las principales inversiones para ajustarlas a la estrategia del Ministerio, asigne prioridades en los proyectos, realice su seguimiento y monitoree los niveles de servicio y las mejoras en los servicios. Resultado de ello es la reducida capacidad de decisión del organismo en materia de TI que se refleja en problemas sin resolver como: la actualización de la infraestructura tecnológica a cargo de la Dirección Informática ya que la relevada no se encuentra en condiciones de satisfacer la demanda de todo el Ministerio, la cantidad de áreas de TI independientes (nuestro relevamiento detectó 9) que se crean dentro del Ministerio sin una acción centralizada, procesos de negocios –acciones en salud– que no reciben un soporte de TI adecuado 16 como -por ejemplo- la gestión de vacunas que se tramita con la OPS (Organización Panamericana de la Salud) que no dispone de un sistema que brinde trazabilidad a nivel de lote en todo su ciclo (planificación de las compras, adquisición, ingreso al país, almacenamiento, distribución a las provincias y a los centros de atención primaria y la vinculación con los pacientes). Ubicación Organizacional. Además de la Dirección de Informática (DI) se encontraron 8 áreas de TI en el organismo. No se detectó una unidad que asegure la homogeneidad y unicidad de criterios y objetivos entre estas áreas aunque la DI tiene competencia, incumpliendo con lo establecido en el 1.1 de la Resolución SIGEN 48/2005. La Dirección de Informática depende de la Dirección General de Administración (DGA) lo que limita su independencia respecto de las áreas usuarias, particularmente de aquellas que no dependen de la DGA, según lo establece el punto 1.2 de la Resolución SIGEN 48/2005. Estructura Organizacional. La DI tiene definido hasta el nivel de Dirección, es decir, carece de una estructura con aperturas inferiores. Resulta incompatible con la dimensión de la TI en el Ministerio y no brinda un marco apropiado para la adecuada separación de funciones tanto en el ciclo de vida del desarrollo de los sistemas (captura de requerimientos, diseño, desarrollo, testing, puesta en producción y producción) así como de las tareas críticas en la administración del hardware, software y comunicaciones. Se detectó que los responsables de los proyectos SISA y el SMIS podían realizar tareas críticas generando mayor dependencia técnica. Supervisión. No se tuvo evidencia de acciones de supervisión que garanticen que el personal de la TI cuenta con la suficiente autoridad y recursos para ejercer sus roles y responsabilidades. Desde Noviembre del año 2008 las tareas de Director de la DI son ejercidas por un agente sin designación formal del cargo. En la DI operan informalmente dos áreas: Tecnología y Sistemas. Roles y Responsabilidades. En la DI no existe una descripción documentada y aprobada de los puestos de trabajo que la conforman incumpliendo el punto 1.3 de la Resolución SIGEN 48/2005. 17 En el caso del proyecto SISA se tuvo acceso a un documento que establece roles y responsabilidades pero el mismo no está aprobado formalmente. Las restantes áreas de TI relevadas en el Ministerio presentan debilidades similares a las señaladas. Los programas con financiamiento internacional no tenían definidas las misiones y funciones de cada función técnica en los grupos de TI. Personal de la TI. No existen políticas y procedimientos que permitan la evaluación regular de los recursos humanos en cuanto a su adecuación a las necesidades al corto, mediano y largo plazo del Ministerio. Producto de ello es que el 61% del personal de TI en la DI se encontraba en régimen de contrato y en las restantes áreas relevadas de TI esa cifra ascendía al 100%. Propiedad de Datos y Sistemas. No hay políticas y procedimientos para definir responsabilidades en cuanto a la propiedad de los datos y los sistemas de información. Como consecuencia, ambas responsabilidades recaen en el personal de sistemas. Relaciones. Para la comunicación, coordinación y enlace con interesados internos y externos la DI no dispone de una estructura específica. Los programas de salud con financiamiento internacional cuentan con una estructura para las relaciones externas ubicada dentro de la UFIS. 4.1.5 Administrar los Recursos Humanos de TI El ingreso de personal a la DI se ha producido en modo fragmentario y para resolver situaciones de emergencia mediante contratos provisorios. No se tuvo conocimiento de la realización de concursos para el ingreso de personal a la DI ni que se hubieran programado para un futuro cercano. No obstante, la capacidad de retención del personal es alta pues el conjunto de su personal tiene un promedio de 15 años de antigüedad en la Dirección. En el caso del personal de TI en los programas con financiamiento internacional - contratado con locación de servicios o de obra- desempeñan en general su actividad en modo remoto. El Ministerio carece de procesos implementados que le permita disponer la fuerza de trabajo de TI calificada y necesaria para alcanzar las metas del organismo no solo en materia de reclutamiento sino en otros como evaluación de competencias, definición de roles, 18 responsabilidades y compensación del personal, adhesión formal a las políticas y procedimientos administrativos o entrenamiento. Se carece de un plan de carrera para el personal de TI. En el proceso Dependencias Críticas no se encontraron procedimientos de control para casos de agentes –desarrolladores, programadores, administradores, responsables de seguridad, administradores de bases de datos principalmente en los programas de salud con financiamiento internacional- que desarrollan actividades en forma remota y en particular, actualizaciones críticas. 4.1.6 Administrar Calidad El organismo no dispone de un sistema para administrar la calidad de sus servicios y ello era extensible a los servicios de la TI. 4.1.7 Administración de Riesgos El organismo no dispone de un marco para evaluar y administrar riesgos de TI en todo el ciclo del proceso (identificación, evaluación, aceptación, respuesta y monitoreo) y en particular de los servicios de la TI. No se hallaron estudios sobre riesgos de TI. 4.1.8 Administración de la Inversión de TI El Ministerio no dispone un marco apropiado para administrar las inversiones y el costo de los activos y servicios de TI que le permita asegurar que se obtiene el máximo de beneficio de las inversiones. Si bien las inversiones y gastos en TI en los programas arriban al 1% las mismas no están relacionadas a planes de medio y largo plazo. No hay proceso de selección del conjunto de proyectos. Los proyectos - se reducen a compras - no disponen de una evaluación técnico-económica o uso de casos de negocios o de una administración de costos y beneficios. En cuanto al presupuesto, no se han definido procesos para realizar el seguimiento y control regular relativo a las inversiones y gastos en TI en el Ministerio a pesar que los sistemas de gestión presupuestaria pueden brindar la información de los gastos en equipamiento en hardware y software, servicios de internet y en consultores de informática. En los programas 19 de salud con financiamiento internacional el sistema UEPEX permite desagregar esa información a nivel de los sistemas del programa. 4.1.9 Administrar Proyectos Este proceso era débil pues se encontró que: los proyectos de TI no conforman un conjunto dentro de los programas de inversión del Ministerio. no existe una metodología para administrar todos los proyectos de TI en todo el ciclo: identificación, definición, evaluación, priorización, selección, lanzamiento y la administración y control de los proyectos. el Ministerio no cuenta con un plan integrado para la administración de los proyectos de sistemas de información. Tanto la Dirección de Informática como cada una de las restantes áreas de TI relevadas administran sus propios proyectos sin un sistema formal de control. En el caso del proyecto SISA si bien se tuvo acceso a un documento que establece un Plan de trabajo detallado para cada uno de sus integrantes en el periodo 2011 no se tuvo conocimiento de un plan a mediano plazo de las metas a alcanzar a nivel del sistema al igual que el SMIS. 4.2 ADQUIRIR E IMPLEMENTAR 4.2.1 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos El proceso de las compras de equipos y servicios de TI en el Ministerio se inician desde la DI o desde los distintos programas de salud con prescindencia unos de otros por lo que los análisis y diseños están acotados a necesidades específicas y no prevén el interés global del organismo resultando por ello adquisiciones del mismo producto en distintos sectores. En todos los casos no se obtuvo evidencia que se realicen estudios de factibilidad que justifiquen técnica y económicamente la incorporación de un nuevo equipo de TI, sistema, aplicación o función. 20 4.2.2 Ciclo de Vida en el Desarrollo de Sistemas En las distintas áreas de TI relevadas no se encontró un marco de trabajo que permita controlar la inserción de los sistemas previo a su desarrollo o adquisición o la definición formal de una metodología de ciclo de vida desde el análisis, la administración de requerimientos, el diseño, el desarrollo, las pruebas, la puesta en producción, la puesta en servicio hasta su revisión y que considere los aspectos de auditabilidad, seguridad, capacitación, separación de ambientes, configuración y el control de cambios. Se detectó la inexistencia de manuales de procedimientos en los programas médicos activos del Ministerio –a excepción del programa 22 que contaba con borradores- lo que dificulta la etapa de Administración de Requerimientos. El requerimiento por una nueva funcionalidad en los sistemas habitualmente se acuerda informalmente entre el sector usuario y el responsable de la TI con los recursos disponibles. Con igual modalidad se opera para el requerimiento de una nueva aplicación con la eventual intervención de un jerárquico superior. No es práctica en el Ministerio aprobar formalmente las especificaciones del diseño para garantizar que se ajusta a los requerimientos o que los usuarios responsables aprueben formalmente tanto los requerimientos como el producto. El diseño y el desarrollo de las aplicaciones no se rigen por estándares previamente definidos. No es práctica crear un plan de aseguramiento de calidad de software y un plan de mantenimiento para las aplicaciones. Los ambientes para el desarrollo, la realización de pruebas y la producción de las aplicaciones no se encuentran separados y un mismo desarrollador podía acceder a todas esas instancias. En los casos relevados no existe un procedimiento formal que asigne la responsabilidad por la entrega, la calidad del servicio, el control interno y de los procesos administrativos vinculados con la aplicación. El acceso a la aplicación y la administración de privilegios adolece de una adecuada separación de tareas en los sistemas relevados ya que cambios pueden ser realizados los analistas desarrolladores. Se detectaron controles de transacciones importantes que quedan afuera de la aplicación como se detallan en la sección B) Sistemas Relevados. 21 La transferencia del conocimiento a los usuarios finales se dificulta pues en solo tres de las aplicaciones individualizadas se constató la existencia de manuales de usuario- no aprobados formalmente – pero se carecía de ayuda en línea, integrada a la aplicación más versátil y actualizada. No obstante, durante el proceso de incorporación de nuevas entidades (centros de atención primaria de salud) se realizan cursos de entrenamiento a los usuarios sobre las aplicaciones del programa médico correspondiente. En el caso de la transferencia del conocimiento al personal de soporte técnico la falta de documentación completa en la mayoría de los sistemas torna crítica la dependencia de empleados clave. No se tuvo conocimiento de documentación específica para el personal de operaciones. Esta circunstancia provoca riesgos en la entrega, apoyo y mantenimiento de la aplicación y la infraestructura asociada. La administración de los cambios en las aplicaciones y la infraestructura no cuenta en todos los casos relevados de un registro que lo realice automáticamente. El proceso de acreditación e instalación de soluciones y cambios carece de un ambiente exclusivo dedicado a pruebas –testing- y de una metodología formal y operativa para su desarrollo a excepción de SISA, REMEDIAR Y SMIS. 4.2.3 Desarrollo de la Infraestructura Tecnológica El Ministerio no dispone de políticas y procedimientos formalmente aprobados para adquirir, implementar y mantener la infraestructura de TI. La infraestructura de TI de Ministerio se encuentra distribuida en al menos 9 centros de procesamiento de datos, servicios de internet y redes con configuraciones específicas para soportar exclusivamente las aplicaciones y programas que administran cada uno de ellos y no al interés conjunto del Ministerio. En los centros de procesamiento relevados no se encontró un plan de infraestructura de la TI formalmente aprobado. Solo en el caso del proyecto SISA se tuvo acceso a un documento informal que, al menos, describe las características del diseño y los elementos incorporados que constituyen la infraestructura. Durante todo el período de campo de esta Auditoría la respuesta de la red de la DI fue de baja prestación en el lapso entre las 12 y 16 horas y la DI lo atribuía en parte a la obsolescencia de 22 los equipamientos distribuidores de señales (“switches”) de piso –actualmente con un ancho de banda disponible de 100 megabit-. Otro aspecto era al acceso irrestricto a aplicaciones de gran consumo de gran cantidad de ancho de banda como sitios de descarga de videos ó videoconferencias. No se obtuvo la evidencia necesaria que esta red de cableado estructurado tenga algún nivel de certificación de manera de proveer mayor confiabilidad y menores riesgos de baja performance o interrupción del servicio. Se detectó también, ausencia de: estándares de arquitectura y tecnología, un ambiente para realizar pruebas antes de la incorporación de aplicaciones e infraestructura medidas de control en la utilización de componentes de infraestructura sensitivos. Es decir, las diferentes áreas de TI no disponen de una infraestructura integrada y estandarizada necesaria para optimizar y proteger los recursos así como garantizar su disponibilidad e integridad. 4.3 ENTREGAR Y DAR SOPORTE 4.3.1 Definir y administrar los niveles de servicio En todas las áreas de TI relevadas el proceso se encuentra sin definiciones de: los servicios entregados de TI que se brinda a las Áreas Usuarias. acuerdos de servicio (SLA) para todos los procesos críticos de TI y acuerdos de niveles de operación (OLAs) que soportaran los SLA, en particular, con los proveedores. Ello no permite medir la eficacia y/o eficiencia de los servicios provistos de TI así como su alineamiento con las metas del organismo. 4.3.2 Administrar los Servicios de Terceros No se observaron actividades periódicas o regulares para evaluar los servicios de los proveedores de TI, su categorización y establecer la criticidad. No se encontraron evidencias para: 23 asegurar la calidad de las relaciones con los proveedores mediante acuerdos de niveles de servicio (SLA). evaluar los riesgos relativos a la habilidad de los proveedores para el mantenimiento de un efectivo servicio de entrega que afecte la continuidad de servicio. Se encontraron algunos servicios como la mesa de ayuda y soporte técnico de pronta respuesta en la práctica pero sin establecer valores para el tiempo de respuesta o procedimientos para monitorear su desempeño. Al no explicitarse los requerimientos no se pueden establecer los niveles de servicio –en especial los críticos- y por lo tanto no se disponen de escenarios que permitan minimizar los riesgos asociados a los proveedores que no se desempeñan adecuadamente. 4.3.3 Administrar el desempeño y la capacidad No se tuvo la evidencia de mediciones sobre la capacidad y desempeño de los recursos de TI que permitan verificar si resulta suficiente la prestación de los servicios de TI que demanda el organismo. 4.3.4 Garantizar la continuidad del servicio De las áreas de TI relevadas solo el programa FEAPS (Remediar + Redes) contaba con un documento que describe un plan de Contingencia para 6 escenarios relativos a la TI. El documento carecía de aprobación formal y de evidencias de que el Plan se encuentre operativo. El organismo no dispone de un plan de contingencia –CPD y Sistemas- que provea de reaseguros en caso de fallas en los servicios críticos. De este modo, riesgos como: a) El corte total o parcial del suministro eléctrico ya que no cuenta con grupos electrógenos b) La salida de servicio en la plataforma de servidores o en la red de datos afectando sistemas o aplicaciones críticas c) La ausencia de personal de desarrollo u operativo crítico No cuentan con planes de mitigación. Durante el relevamiento, el Ministerio se encontraba instalando el sistema de aire 24 acondicionado sin haber adecuado previamente el sistema eléctrico a la nueva demanda que superaría en más de 1000 amperes la capacidad actual. La DI no dispone de un sitio alternativo de procesamiento ni se encontraba previsto. Las otras áreas de TI relevadas, tampoco. Surge del análisis que no se dispone de un marco de trabajo formal y consistente que defina los procesos para la continuidad de los servicios de TI, como ser: el desarrollo del plan de continuidad con centro en los recursos de TI críticos la realización de pruebas del plan el entrenamiento y la distribución a los involucrados la recuperación y reanudación de servicios el almacenamiento con la copia de los respaldos fuera de las instalaciones del Centro de Cómputos y la revisión posterior a la reanudación del servicio. 4.3.5 Garantizar la seguridad de los sistemas El Msal en el año 2007 crea, mediante la resolución 518, el Comité de seguridad de la información, en cumplimiento de la Disposición 6/2005 de la Oficina Nacional de Tecnologías de la Información -ONTI- “Política de Seguridad de la Información Modelo” que exige a los organismos de la Administración Pública, entre otros, su conformación. No se tuvo evidencia que el mencionado Comité haya emitido acta alguna o que haya realizado alguna actividad desde su creación para administrar la seguridad informática del organismo. A la fecha de nuestro relevamiento, el Ministerio no cumple con la normativa mencionada. Nuestra revisión detectó que: Algunas tareas de seguridad informática en la DI y las áreas de TI detectadas son realizadas por los propios administradores de los sistemas operativos, bases de datos o aplicaciones. Es decir, se carece de un área especializada e independiente de quienes administran los servicios críticos. No se dispone de un plan aprobado formalmente y operativo que abarque la seguridad informática del Ministerio. 25 En el caso de la DI en la Administración de sus Cuentas de Usuario y Autenticación: Las contraseñas para ingresar a la red y los sistemas no tienen fecha de vencimiento y su longitud no asegura una fortaleza mínima. El acceso a los recursos de la red así como las altas, bajas y modificación de usuarios se realizan mediante comunicaciones vía correo electrónico por los responsables sin procedimientos formalmente aprobados. No existe un sistema para la administración de los usuarios en línea por lo que, aunque no se ha definido el rol de propietario de datos, el responsable carece de control sobre los usuarios de la aplicación, en particular para depurar los casos de agentes que no pertenecen al organismo o cambiaron de funciones. No se dispone de un acceso unificado a los servicios y aplicaciones de la red lo que genera duplicaciones, mayor trabajo y falta de coherencia en la asignación de privilegios. No se encontraron procedimientos para la administración de las cuentas de los administradores (usuarios privilegiados), usuarios externos y personal sensible. No se detectaron procedimientos para revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios. No se han realizado evaluaciones de la seguridad informática (redes, sistemas operativos y/o aplicaciones) del Ministerio. En el caso de los sistemas donde la DI no tiene incumbencia y en relación a la administración de usuarios, se detectó que solo SISA y SMIS dispone de un módulo específico aunque su gestión al igual que Remediar, Matriculaciones y Estadísticas, es realizada por el personal del sistema respectivo incluso como usuarios con privilegios sobre los datos. 4.3.6 Identificar y Asignar Costos Este proceso carece de una definición de los servicios de TI así como un modelo de costos asociados que contemple, entre otros, el análisis por centro de costos. La carencia de un proceso que relacione costos, beneficios, estrategia, políticas y niveles de TI no permite asegurar que se pueda mejorar la relación costo-eficiencia. 26 4.3.7 Administrar la Mesa de Servicio, Problemas e Incidentes Dirección de Informática El servicio de asistencia al usuario (aproximadamente 800) dispone de personal de soporte técnico (5) para los problemas de microinformática. Los problemas en los sistemas son administrados por los responsables de las aplicaciones a cargo de la DI y las diferentes áreas de TI. Para la atención a los usuarios se cuenta además de líneas telefónicas, con un sistema de soporte (con desarrollo en lenguaje PHP y base de datos MySql) que registra los incidentes, establece un escalamiento de acuerdo a prioridades y cierra los problemas. No se tuvo evidencia que se realizaran estadísticas para detectar problemas frecuentes a los fines de mejorar los tiempos de respuesta y servicio. La actividad de las mesa de ayuda no se encuentra vinculada a niveles de servicio preestablecidos (SLA) y no se medía la satisfacción del usuario final en relación al servicio. No se tuvo conocimiento de análisis de desempeño del conjunto de las Mesas. 4.3.8 Administrar la configuración Este proceso, en cada una de las áreas de TI relevadas, no dispone de un repositorio central o CMDB -base de datos para la gestión de la configuración- para registrar los activos de TI (hardware y software) y su configuración no existiendo controles adecuados sobre: i) la gestión del inventario de los activos de TI y la detección de software no autorizado ii) el mantenimiento de los elementos de configuración de cada activo de TI iii) la revisión de la integridad de los datos de configuración y la detección de activos no autorizados. iv) la creación de una línea de base con los elementos de la configuración para todos los sistemas y servicios como punto de comprobación al que volver tras la realización de un cambio. 4.3.9 Administrar los datos Todos los centros de procesamiento relevados, carecen de un sitio externo para el 27 almacenamiento de sus respaldos –en cintas u otros- y por lo tanto de alternativa ante situaciones críticas (incendios, inundaciones). Análogamente no existen procedimientos formalmente aprobados que estipulen que los respaldos sean sometidos a pruebas y garanticen la restauración en caso necesario. para el desecho seguro de datos –radicados en cintas u otros medios de almacenamiento- y equipos sensibles. 4.3.10 Administrar el ambiente físico 4.3.10.1. Centro de Procesamiento de Datos -CPD- de la DI: En cuanto a medidas de seguridad se encontraron falencias como: para el acceso físico a las salas se cuenta con un sistema de ingreso electrónico con tarjeta magnética pero el mismo se encontraba fuera de servicio y tampoco se registraba manualmente el ingreso y egreso de las personas. no dispone de detectores de humo el sistema de detección y extinción de incendios se encuentra fuera de servicio una de las 2 UPS existentes se encuentra fuera de servicio (sala de UPS y tableros) carece de un generador de electricidad en base a combustible como contingencia a la falta de suministro eléctrico no se dispone del plano de la red eléctrica de la sala de servidores. no se dispone de un sistema para registrar y monitorear incidentes. 4.3.10.2 CPD Remediar + Redes Se encuentra rodeado de oficinas con material inflamable –papeles- al igual que la propia puerta de acceso al CPD. No dispone de detectores de humo. 4.3.10.3 CPD – Dirección de Maternidad e Infancia Sala de CPD. Se hallaron puertas de acceso y paredes no ignifugas. Carencia de matafuegos del tipo Fm-200 diseñados para CPD. Sin detectores de humo. 28 Se hallaron materiales inflamables tanto en la sala como en proximidades. 4.3.11 Administrar las operaciones No se dispone de procedimientos formales para las operaciones y en particular del proceso de entrega de turno que registre la transferencia formal de actividad entre el personal, los problemas de operación ocurridos y los pendientes con las notificaciones y responsables de resolverlos. En otro orden no se encuentran registros de operación ni de los eventos que permitan monitorear la infraestructura de TI. No se detectó la existencia de procedimientos para facilitar el mantenimiento oportuno de la infraestructura y así reducir la frecuencia y el impacto de las fallas o de la disminución del desempeño. 4.4 MONITOREAR Y EVALUAR 4.4.1 Monitorear y evaluar el desempeño de TI No se detectó la existencia de un marco de trabajo de monitoreo general para medir periódicamente la contribución de TI al Ministerio con definiciones de indicadores de desempeño, reportes sistemáticos y medidas cuando existan desviaciones que aseguren la mejora del desempeño. 4.4.2 Monitorear y Evaluar el Control Interno Durante 2010 y 2011 se realizaron controles sobre aspectos relevantes como Plan Estratégico de TI y Política de Seguridad. La Unidad de Auditoría Interna (UAI) dispone de un agente para realización de auditorías de sistemas, cantidad exigua para la dimensión del Ministerio lo que explicaría en parte la ausencia de: un cuadro de situación de toda la TI en el organismo dada la importante atomización de la actividad revisiones sobre la mayor parte de los controles TI establecidos en la Res. 48/2005 de SIGEN, sobre las aplicaciones vigentes más importantes, la infraestructura y evaluación de las adquisiciones importantes de TI. 29 En el caso de las áreas informáticas de los programas sanitarios no se tuvo conocimiento que se hubieran realizado auditorías informáticas específicas. El proceso requiere de un marco de trabajo de control sobre la TI para satisfacer los objetivos de la organización así como la elaboración de reportes sobre la efectividad de los controles. 4.4.3 Proporcionar Gobierno de TI No se tuvo evidencia de la existencia de informes elaboradas hacia la Alta Dirección del Ministerio sobre la estrategia, el desempeño y los riesgos de la TI con la finalidad de garantizar que las inversiones estén alineadas con las estrategias y objetivos del Ministerio. El MSAL no cuenta con un marco de trabajo para el gobierno de la TI integrado al gobierno corporativo que incluya estructuras, procesos, liderazgo, roles y responsabilidades. B) SISTEMAS RELEVADOS 4.5 Sistemas Evaluados 4.5.1 Remediar 4.5.1.1 Seguridad. El personal de sistemas, además de ocuparse del alta, modificación y baja de los usuarios, dispone de perfiles con amplios derechos. No se tuvo evidencia que se auditaran regularmente los permisos otorgados. 4.5.1.2 Tecnología y Procesamiento Al no ser un sistema en tiempo real –en línea- no se conoce en cada instante que stock de medicamentos se dispone en cada centro de almacenamiento lo que reduce sensiblemente su eficacia. Al no disponer de tecnología apropiada, los formularios confeccionados en los centros de atención primaria – informan los consumos y pacientes - se deben trasladar trimestralmente a la sede central para su carga al sistema. Dado el volumen de formularios para la carga, solo se realiza en un porcentaje que no supera el 5% lo que impide disponer de un control efectivo de los movimientos. La identificación de los medicamentos se realiza por lote lo que no permite el seguimiento por 30 cada paciente aunque se tuvo conocimiento de acciones para la adopción de estándares universales y equipamiento para solucionarlo en el mediano plazo. 4.5.1.3 Funcionalidades Los auditores del programa cargan al sistema el stock encontrado en cada centro de almacenamiento por lo que el sistema no gestiona el stock como simple resultado de los ingresos y egresos. La entrega de medicamentos no exige la identificación del paciente por lo que no se registra en los formularios lo que constituye una limitación al seguimiento clínico y destino de los productos. El sistema permite valores negativos de stock y se producen informes con estos valores. En materia de integración el sistema no actualiza información con el sitio web del programa y tampoco con otros sistemas del Ministerio. No obstante, se tuvo conocimiento de preparativos para interactuar con el sistema SMIS. Funcionalidades como los procesos de licitaciones, generación de modelos de botiquines y la recepción y consumos en los CAPs se realizan manualmente los cuales reducen la confiabilidad de la información del sistema. 4.5.1.4 Diseño No se encuentra vinculado a manuales de procedimientos del programa que fijen un marco para el desarrollo del sistema y la operación del mismo. 4.5.2 Matriculaciones 4.5.2.1 Administración de Usuarios Personal de desarrollo además de administrar el alta, baja y modificación de los usuarios tienen acceso con plenos derechos a la base de datos de producción. 4.5.2.2 Tecnología y Procesamiento No está desarrollado en una plataforma tecnológica apropiada, lo que limita su interacción con los profesionales durante la matriculación, consulta y actualización de datos. La integración con el sistema SISA es de carácter manual (vía CD). 4.5.2.3 Funcionalidades 31 Los registros de los profesionales no contienen datos identificatorios como título, firma y foto No registra la etapa del pago del arancel que realiza Tesorería. 4.5.3 SMIS 4.5.3.1 Administración de Usuarios Personal de desarrollo además de administrar el alta, baja y modificación de los usuarios cuenta con acceso a opciones como generación y recepción de movimientos de stock. Se encontraron dos cuentas genéricas, 6 cuentas con perfil de administrador de las cuales 2 corresponden a personal de Remediar lo que permite hacer ajustes del stock. Se encontró un usuario con el campo apellido en blanco por lo se infiere que no se valida este campo para su ingreso al sistema. 4.5.4 SISA 4.5.4.1 Funcionalidades e Integración El proyecto no dispone de la organización establecida para el SUIS que le permita establecer estándares para la integración de los datos provenientes de los todos los interesados (CAPs, Ministerios de Salud Provinciales, establecimientos médicos entre otros) y así constituirse en la plataforma de integración. Se ha detectado que la codificación adoptada por SISA para algunas tablas no coincide con las empleadas por los sistemas con los que se integra. En otro orden, los datos que provienen de otros sistemas no están protegidos para que SISA no los pueda alterar antes y después de actualizar sus tablas. 4.5.5 Estadístico de Salud 4.5.5.1 Tecnología e Integración Los datos correspondientes a las provincias se transfieren en formatos de archivo sin la adecuada protección. El proceso de integración con la base central es manual y en esta instancia la validación de registros no se realiza en el origen. 32 4.6 Sitios Web La evaluación de los sitios y páginas web (ver listado en 3.4.5) del Ministerio se realizó de acuerdo a la Guía de accesibilidad para sitios web del Sector Público Nacional de la ETAP Versión 18.11--Estándares Tecnológicos para la Administración Pública-, la Resolución 97/97 de la Secretaria de la Función Pública -Pautas para Sitios y Portales de Internet para la Administración Pública- y lineamientos internacionales W3C y WebAnywhere. 4.6.1 Dominios Se encontraron los siguientes dominios exclusivos en el organismo Propietario Ministerio de Salud Remediar + Redes Dirección Nacional de Maternidad e Infancia Salud Investiga Dirección de Estadísticas e Información de Salud Subsecretaría de Salud Comunitaria UFI – Salud Dirección web http://www.msal.gov.ar http://www.remediar.gov.ar/ http://www.dinami.gov.ar/ http://www.saludinvestiga.org.ar/ http://www.deis.gov.ar http://www.sps.gov.ar/ http://www.ufisalud.gov.ar/ 4.6.2 Evaluación Web La Coordinación de Prensa y Comunicación Social administra el sitio y páginas web del Msal. No dispone de una estructura formal con niveles inferiores, en particular no se asignan responsabilidades respecto de la comunicación vía web. No obstante, existe personal que cumple funciones en el marco descripto. Para comunicarse con las distintas áreas durante la administración de contenidos se emplean CDs o memoria USB portable acompañados de notas y direcciones de correo no institucionales. No se dispone de facilidades de red para su trasmisión. El sitio del Msal no dispone de enlaces a los sitios de algunos programas de salud (remediar, plan nacer y ufisalud) durante el período de relevamiento. No se tuvo conocimiento que se evaluaran las estadísticas sobre visitas al sitio. Análogamente se encontraron programas que no publican su actividad en páginas web como Incluir Salud (Ex Profe), PRONACEI y PRONACE. 33 El diseño de los sitios y páginas web correspondientes a los programas y planes carecen de un diseño estandarizado. En la tabla que se presenta en la siguiente página muestra el comportamiento de 33 sitios o páginas web del Msal sobre cada uno de los temas auditados con un indicador de cumplimiento (%). De ello es destacable la ausencia generalizada de: datos sobre las autoridades, datos presupuestarios del programa, plan, campaña o investigación, versión en otros idiomas. En otro orden se encontraron 24 sitios con vínculos a sitios o secciones inexistentes. 34 Si No 32 1 18 15 Nombre 18 15 Foto 0 33 Cargo 17 16 Teléfono 1 32 Dirección 0 32 Correo electrónico 1 32 Organigrama 33 0 Marco Normativo 30 3 Misiones y Funciones (Objetivos) 33 0 Descripción de Proyectos en curso 33 0 Presupuesto Nacional 1 32 Novedades 30 3 Publicaciones 33 0 Versiones en otros idiomas 0 33 Dirección (Postal y Teléfonos) 23 10 Dirección Electrónica Webmaster 25 8 Enlaces a Redes Sociales 1 32 Exploradores básicos 30 3 % 97 55 55 0 52 3 0 3 100 91 100 100 3 91 100 0 70 76 3 91 2) Facilidades Básicas Mapa del Sitio Enlaces Rotos Enlace al inicio Foro Buscador Boletín Informativo Consulta para el ciudadano Documentación Orientación Tamaño de las descargas 3 11 29 0 13 2 26 33 31 19 30 22 4 33 20 31 7 0 2 14 9 33 88 0 39 6 79 100 94 58 3) Accesibilidad Encabezamientos (filas y columnas) Llenado de formularios en línea Marcos con títulos Claridad de Jerarquía Consistencia de elementos visuales Claridad de contenidos 29 29 27 27 33 33 4 4 6 6 0 0 88 88 82 82 100 100 1) Contenidos Básicos Portada Autoridades 35 5. ANÁLISIS DE LA VISTA Con fecha 5 de julio de 2013 el Ministerio de Salud envía su descargo, manifestando coincidir con las observaciones realizadas en el informe. Así mismo, el organismo destaca que ha realizado un convenio de cooperación tecnológica con la Universidad Tecnológica Nacional (UTN) con el objetivo de desarrollar el Plan Estratégico de Sistemas a implementarse en el Ministerio de Salud (Expediente N° 2002-19828-12-5). Las mejoras que de dicho trabajo resulten, se evaluarán en una próxima auditoría. 36 6. RECOMENDACIONES A continuación se sugieren aquellas acciones que permiten mejorar los controles de TI, para cada observación realizada. A) AMBIENTE DE CONTROL 6.1 PLANEAR Y ORGANIZAR 6.1.1 Definición del Plan Estratégico de TI Elaborar un proceso de planificación de la TI comenzando con el Plan Estratégico de Sistemas vinculado con los planes estratégicos del Ministerio –Plan Federal de Salud en primer lugar- que permita de manera sistemática su seguimiento y actualización dentro de un marco que optimice la selección de proyectos y/o acciones al mediano y largo plazo y ensamblado con los planes de infraestructura de TI, programas de salud, presupuesto e inversiones, capacitación y compras, entre otros. La planificación debe considerar la historia clínica digital como un proyecto para su implementación en todo el país tal como lo establece la ley 26529 y su modificatoria 26742 al igual que la estandarización de la información para todos los programas sanitarios en los centros de atención primaria y la asistencia para su procesamiento y trasmisión de datos . Es necesario disponer de una metodología y métricas para medir el logro en los objetivos. 6.1.2 Definición de la Arquitectura de la Información Elaborar un marco (políticas, procedimientos y organización) para la creación y mantenimiento de un modelo de datos que incluya el desarrollo de un diccionario corporativo de datos, un esquema de clasificación, los niveles de seguridad y propiedad según la función a desempeñar. 6.1.3 Determinar la Dirección Tecnológica Elaborar un marco (políticas, procedimientos y organización) que permita: a) establecer un plan de infraestructura técnica equilibrado con los costos, riesgos y requerimientos, 37 b) definir los estándares tecnológicos y de arquitectura de la infraestructura de la TI, c) crear un esquema organizacional que permita orientar la arquitectura (como un comité de arquitectura). d) superar el rezago tecnológico señalado en 4.1.3. 6.1.4 Procesos, organización y relaciones de TI Mejorar la estructura organizacional de TI (organigrama y manual de puestos y perfiles). Definir el marco de trabajo para el proceso de TI. Identificar dueños de sistemas y dueños de datos. Definir procedimientos que permitan segregar funciones en particular definir e identificar al personal clave de TI y minimizar la dependencia excesiva en ellos. Designar formalmente a un responsable dentro del ámbito la DI. Superar las limitaciones señaladas en 4.1.4, en particular asegurar la centralización y coordinación de todas las actividades de TI del ámbito del Ministerio. 6.1.5 Administrar los Recursos Humanos de TI Definir, monitorear y supervisar los marcos de trabajo para los roles, responsabilidades y compensación del personal de TI, incluyendo el requerimiento de adherirse a las políticas del organismo y en particular de seguridad. Establecer un plan anual de capacitación de TI y de estrategia de desarrollo. Mejorar la integración de la información sobre cambios en la situación de revista del personal que permita asegurar el control de la revocación de privilegios y asignación de los perfiles adecuados al rol asignado en los sistemas implementados. 6.1.6 Administrar Calidad Definir la política y un plan de calidad para la TI con un cronograma específico que incluya tanto la infraestructura de TI como el ciclo de vida de los sistemas. 6.1.7 Administración de Riesgos Establecer un marco de trabajo para la administración de riesgos de TI integrado con el marco 38 respectivo del organismo que establezca el contexto, la identificación, la aceptación, el análisis, la evaluación y el tratamiento (respuesta y monitoreo) de los riesgos tanto de la infraestructura de TI como en el ciclo de vida de los sistemas. Se sugiere tomar como referencia la norma IRAM 17550 “Sistema de Gestión de Riesgos”. 6.1.8 Administración de la Inversión de TI Establecer un marco financiero apropiado para administrar las inversiones, los costos de los activos y servicios de TI. Implementar un proceso de toma de decisiones para dar prioridades a la asignación de recursos a TI para operaciones, proyectos y mantenimiento; maximizando la contribución de TI y optimizando el retorno del portfolio de programas de inversión en TI. Establecer un proceso para elaborar y administrar un presupuesto que refleje las prioridades establecidas en el portafolio de programas de inversión en TI, incluyendo los costos recurrentes de operación y de infraestructura. Implementar un proceso de administración que compare los costos reales con los presupuestados. 6.1.9 Administrar Proyectos Para el desarrollo del marco de trabajo se sugiere elaborar controles para asegurar: a) su relación con el programa de inversión del organismo, b) un enfoque para la administración de los proyectos con la asignación de roles, responsabilidades y rendición de cuentas de todos involucrados, c) el compromiso formal y la participación de los interesados, d) la aprobación formal del alcance del proyecto, e) la aprobación formal de la fase inicial, f) un plan integrado para la administración de los proyectos de TI y sus modificaciones, g) la administración de los riesgos, h) un plan de calidad, i) un sistema de control de cambios, j) la acreditación de los sistemas, 39 k) la medición del desempeño y monitoreo del proyecto y l) un cierre del proyecto con los resultados esperados. 6.2 ADQUIRIR E IMPLEMENTAR 6.2.1 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos Elaborar e implementar el proceso estudio de factibilidad técnico-económico previa a toda incorporación funcional o sistémica que cubra los siguientes aspectos: a) la definición de las necesidades, b) generación de alternativas, c) revisión de la factibilidad tecnológica y económica, d) el análisis de riesgos y de costo-beneficio e) la decisión final de “desarrollar” o “comprar”. Para asegurar el éxito del proyecto es necesario considerar esta instancia dado que el Ministerio debe interactuar -al menos- con las 24 provincias y sus 13 organismos descentralizados y debe prever los aspectos de la organización y de comunicación más apropiada así como el desarrollo de definiciones previas como ser la estandarización de procesos en la administración de los programas médico sanitarios. 6.2.2 Ciclo de Vida en el Desarrollo de Sistemas Elaborar e implementar formalmente una metodología del ciclo de vida para el desarrollo de los sistemas tanto propios como adquiridos y para todo el ámbito del Ministerio que establezca los estándares de desarrollo para todas las modificaciones y que deberá, además, 1) Facilitar la operación y uso de las aplicaciones asegurando la transferencia del conocimiento a las secretarías y direcciones usuarias, los usuarios finales y al personal de soporte técnico y de operaciones con el entrenamiento inicial y continuo, el desarrollo de las habilidades, los materiales de entrenamiento, los manuales de operación, los manuales de procedimientos y escenarios de atención al usuario. 2) Establecer procedimientos formales de administración de los cambios –incluidos los de emergencia– a aplicaciones, procesos, parámetros de sistema y servicio. La administración debe contemplar el seguimiento y reporte así como el cierre del cambio. 40 3) Desarrollar e implementar una metodología para realización de pruebas con datos que contemple la creación de un ambiente de prueba, el entrenamiento, plan de pruebas, pruebas de los cambios, plan de implementación y prueba de aceptación final por las secretarías y direcciones usuarias. 6.2.3 Desarrollo de la Infraestructura Tecnológica Desarrollar la estrategia para infraestructura de hardware y software de base. Configurar un ambiente de pruebas para la incorporación de componentes de infraestructura o aplicaciones. Implementar medidas de control interno, seguridad y auditoría para proteger los recursos y garantizar su disponibilidad e integridad. 6.3 ENTREGAR Y DAR SOPORTE 6.3.1 Definir y administrar los niveles de servicio Para mantener relaciones objetivas entre los clientes (la Gerencia del Negocio o Coordinadores o Responsables de los Programas Médicos) y prestadores de servicio (el área de TI o sus terceros proveedores) es necesario definir un marco de trabajo que definan los procesos para la administración de los niveles de servicio: creación de requerimientos de servicio, definición de niveles de servicio, acuerdo de niveles de servicio (SLAs) acuerdo de niveles de operación (OLAs) el financiamiento el monitoreo y reporte de cumplimiento y la organización para gestionarla. 6.3.2 Administrar los Servicios de Terceros Para transparentar los beneficios, riesgos y costos de los proveedores es necesario: identificar y categorizar los servicios que prestan 41 identificar y mitigar sus riesgos monitorear y medir su desempeño 6.3.3 Administrar el desempeño y la capacidad Para optimizar el desempeño de la infraestructura, los recursos y capacidades de TI se estima necesario establecer un proceso de planeación para la revisión del desempeño y la capacidad de los recursos de TI así como su monitoreo y arribar a pronósticos de comportamiento. 6.3.4 Garantizar la continuidad del servicio Elaborar e implementar un marco de trabajo para la administración de niveles de servicio entre las áreas usuarias y aquellos que lo proveen –DI y proveedores– que contemple procesos para: la creación de requerimientos de servicios, la definición de los servicios, los acuerdos de niveles de servicio y acuerdos de niveles de operación y las fuentes de financiamiento, el monitoreo y reporte del cumplimiento de los SLA (acuerdos de nivel de servicios) y la revisión de los SLA y los contratos de apoyo con los proveedores internos y externos. 6.3.5 Garantizar la seguridad de los sistemas Establecer un área específica y centralizada que lleve a cabo las tareas de seguridad a través de un Plan de Seguridad de TI en el que se incluyan políticas y procedimientos (como por ejemplo el cambio periódico de las claves de acceso de los usuarios a la red), asegurando que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicaciones, entornos de TI, operación de sistemas, desarrollo y mantenimiento) sean identificables de manera única. 42 6.3.6 Identificar y Asignar Costos El proceso requiere: Desarrollar una definición de los costos y servicios de TI Registrar los costos de los servicios de TI. Asignar los costos de TI a los consumidores de servicios de TI. 6.3.7 Administrar la Mesa de Servicio, Problemas e Incidentes Mejorar el proceso de administración de incidentes: a) Con una gestión centralizada de las mesas b) Estandarizando e implementando en todas las mesas procedimientos para registrar, comunicar, atender y analizar las llamadas, los incidentes reportados, los requerimientos de servicio y las solicitudes de información. c) Definiendo y acordando niveles de servicio –SLA–. d) Definiendo y aprobando los procedimientos de monitoreo –con análisis de tendencias y resolución– y escalamiento basados en el SLA. 6.3.8 Administrar la configuración Crear un repositorio central que contenga toda la información relevante sobre los elementos de configuración. Establecer procedimientos de configuración –integrados con la gestión de cambios y de los incidentes– para soportar la gestión y seguimiento de todos los cambios al repositorio de configuración. Revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual e histórica. 6.3.9 Administrar los datos Completar este proceso definiendo procedimientos para mejorar el control de: los datos que se reciben y procesan para preservar su completitud, precisión y oportunidad el archivo, almacenamiento y retención de datos 43 el inventario de medios almacenados y archivados respaldo y restauración de los sistemas, aplicaciones, datos y documentación la seguridad en el desecho de medios. 6.3.10 Administrar el ambiente físico Definir, aprobar e implementar políticas y procedimientos que garanticen que: Los servicios y la infraestructura de TI pueda resistir y recuperarse de forma apropiada de fallas ocasionadas por un error, ataque deliberado o desastre. La información crítica y confidencial esté resguardada de quienes no deben tener acceso a ella. El mínimo impacto al negocio en caso de un cambio o interrupción de un servicio de TI. Todos los activos de TI estén protegidos y registrados. 6.3.11 Administrar las operaciones Mejorar el proceso definiendo políticas y procedimientos que permitan: Alinear los procedimientos de operación y monitoreo de la infraestructura con niveles de servicio acordados. Realizar el procesamiento de solicitudes especiales de acuerdo al nivel de servicio acordado. Brindar resguardos físicos para la información sensible. De manera específica, proveer auditoría (reconstrucción, revisión y análisis de las secuencias de tiempo de las operaciones y actividades conexas). Por lo que es necesario que el registro de las operaciones almacene suficiente información histórica. 6.4 MONITOREAR Y EVALUAR 6.4.1 Monitorear y evaluar el desempeño de TI Elaborar e implementar un enfoque de trabajo para el monitoreo del desempeño de la TI que prevea: 44 Definir y aprobar formalmente un conjunto de objetivos de desempeño, indicadores claves de desempeño y de performance y establecer los procesos para recolectar información para medir los objetivos y para reportar el avance contra las metas. Un método de monitoreo que brinde una visión compacta y completa del desempeño de TI. La evaluación del desempeño contra las metas mediante el análisis de las causas y acciones correctivas. Producir reportes de avance para la alta dirección en términos del desempeño del portafolio de programas de inversión en TI, niveles de servicio y la contribución de TI. Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes. Esto incluye el seguimiento de todo el monitoreo, de los reportes y de las evaluaciones. 6.4.2 Monitorear y Evaluar el Control Interno Dotar a la UAI en cantidad adecuada de especialistas informáticos a la dimensión del control de la TI en el Ministerio. Elaborar y ejecutar un Plan para cubrir un porcentaje aceptable de controles TI basado en que se logre: garantizar que los servicios y la infraestructura de TI puedan resistir y recuperarse apropiadamente de errores, desastre o ataques. proteger el logro de los objetivos de TI proteger y registrar todos los activos de TI garantizar el cumplimiento de de TI con las obligaciones externas. 6.4.3 Proporcionar Gobierno de TI Lograr que las actividades de la TI tengan visibilidad para la Alta Dirección. Extraer los hallazgos de evaluaciones independientes y garantizar que sean implementadas. 45 Generar reportes de gobierno de TI. B) SISTEMAS RELEVADOS 6.5 Sistemas Evaluados Realizar una reingeniería de todos los sistemas considerando en primer lugar los procesos en los programas médico-sanitarios y actividades conexas del Ministerio. Se deben considerar a todos los actores que interactuaran con los programas y el Msal. Se estima conveniente estandarizar los procesos de los programas y que cada uno cuente con metas cuantitativas e indicadores de gestión y el sistema deberá reflejar en tableros de control como resultado de administrar el flujo de la información de los procesos desde la toma en el origen de las transacciones. En cuanto al proceso administración de stock debe evaluarse la conveniencia técnica y económica de disponer un único sistema que integre a Remediar, SMIS y realice la gestión de vacunas que se compra a la OPS. Mejorar las fallas de control señalados en 4.5.1 Remediar, 4.5.2 Matriculaciones, 4.5.3 SMIS, 4.5.4 SISA y 4.5.5 Estadístico de Salud. 6.6 Sitios Web del Ministerio de Salud Ante el cuadro de fragmentación descripto en 4.6 resulta necesario asegurar un formato de comunicación estandarizado y coherente para todos los sitios y páginas de incumbencia que presente un mensaje e imagen unificada del Ministerio. La intervención en todo el ciclo de vida del sitio web, creación, diseño, desarrollo, procesamiento, administración de contenidos y seguimiento de las prestaciones incluyendo mediciones de audiencia, se considera necesaria en un marco que incorpore mejoras tecnológicas, recursos humanos y organización apropiados. 46 7. CONCLUSIONES Se evaluó el estado del control interno existente en la gestión de la TI en programas y actividades médicos-sanitarios del Ministerio de Salud: ambiente de control, los principales sistemas informáticos detectados así como los sitios y páginas web. Se encontró que la actividad de TI se despliega en al menos 9 centros con infraestructuras virtualmente independientes y sin estándares comunes dedicados al procesamiento, desarrollo y mantenimiento de aplicaciones específicas, sitios web y “call centers”. Este esquema ha prevalecido por sobre una visión estratégica común para el Ministerio. El ambiente de control es débil por las significativas carencias en materia de organización, planificación, políticas y procedimientos – para el desarrollo de los sistemas, su mantenimiento y procesamiento así como el desarrollo de la infraestructura tecnológica, la administración de proyectos de la TI y la seguridad- , así como el soporte, el monitoreo y la evaluación de la gestión de la TI. Contribuyen también, la falta de utilización de las buenas prácticas establecidas en la Resolución SIGEN 48/2005 y la poca actividad de la UAI en la materia. Los sistemas evaluados no cuentan con un modelo de datos corporativo que aseguren integridad y seguridad en lugar de multiplicación de datos y esfuerzos. Los miles de centros de atención primaria no cuentan con aplicaciones que permitieran la captura de datos en su origen y evitar un tráfico sin control y pérdida de calidad. Con escasa documentación técnica y falta de una metodología de ciclo de vida no es posible ejercer un adecuado control y una producción más intensa y estandarizada de los sistemas de información. Los sitios web como medios de comunicación, no proveen una imagen uniforme del Organismo: seis dominios conviven con el del Ministerio, sin estándares comunes en su diseño y administración. Se recomienda la intervención de la Alta Dirección en materia de reorganización, planificación e inversiones en especialistas y equipamiento de la TI, que facilite tanto la gestión de un sistema integrado de información médico-sanitario donde todos los programas interactúen bajo patrones comunes como la necesaria actualización tecnológica. La comunicación digital entre todos los actores de la salud en el país es un tema pendiente que requiere definiciones en materia de estándares de TI para la salud lo que permitirá mejorar la 47 interoperabilidad y, en particular, la implementación de la historia clínica digital. 8. LUGAR Y FECHA BUENOS AIRES, Julio de 2013. 9. FIRMA 48 Anexo Glosario Siglas FESP UFI-S DEIS FEAPS (REMEDIAR + REDES) PROFE (Incluir Salud) SISA SNVS SMIS ETS SVIH SIP SITAM PROSANE SES PFIS Descripción Proyecto Funciones Esenciales de Salud Pública Unidad de Financiamiento Internacional Dirección de Estadísticas e Información de Salud Fortalecimiento de la Estrategia de Atención Primaria de la Salud Programa Federal de Salud Sistema Informático Sanitario Argentino Sistema Nacional de Vigilancia Sanitaria Monitoreo de Insumos Sanitarios Enfermedades de Transmisión Sexual Sistema de Administración de Pacientes con VIH Sistema Informativo Perinatal Sistema Cáncer Cuello de Útero Programa Nacional de Salud Escolar Sistema Estadístico de Salud Sistema de Carga de Afiliados del Programa Federal Incluir Salud 49 ANEXO II RESPUESTA DEL ORGANISMO A continuación se detalla la respuesta efectuada por el Ministerio de Salud, en la que manifiesta coincidir con todas las observaciones que se señalaron en el presente informe. 50 51 52 53 54 55 56