Auditoria

de
Sistemas Essalud

INTRODUCCIN
A travs del trabajo que ponemos en
conocimiento, damos inicio a una serie de
evaluaciones, que tenemos previsto realizar,
de los sistemas de aseguramiento en
EsSalud, reconociendo las limitaciones de
desarrollar un estudio de manera interna a
la institucin estudiada.

HISTORIA
El instituto peruano de seguridad social
El 29 de diciembre de 1987 se promulg la ley 24786, ley general del
instituto peruano de seguridad social. En esta norma se establece que
el IPSS es una institucin autnoma y descentralizada, con
personera jurdica de derecho pblico interno, con autonoma tcnica,
administrativa, econmica, financiera, presupuestal y contable.
En la dcada de los 90, el estado, a travs del decreto ley n. 25897,
crea el sistema privado de pensiones y, posteriormente, el 6 de
diciembre de 1992, crea por decreto legislativo la oficina de
normalizacin previsional, como entidad encargada de administrar
todos los regmenes de pensiones, quedando el ipss solamente a
cargo de las prestaciones de salud, las prestaciones sociales y las
prestaciones econmicas.

CREACIN DEL SEGURO SOCIAL DE

SALUD
El 15 de mayo de 1997 se dicta la ley n. 26790, ley de
modernizacin de la seguridad social. El 30 de enero de 1999 se
promulga la ley n. 27056, ley de creacin del seguro social de
salud, que precisa sus funciones, organizacin, administracin y
prestaciones.
El artculo 3. de la citada ley establece que son de prevencin,
promocin y recuperacin de la salud, maternidad, prestaciones
de bienestar y promocin social, prestaciones econmicas, as
como programas de extensin social y planes de salud especiales
a favor de la poblacin no asegurada y de escasos recursos y otras
prestaciones derivadas de los seguros de riesgos humanos

VISIN
ser una institucin que lidere el proceso de
universalizacin de la seguridad social, en el marco de la
poltica de inclusin social del estado.

MISIN
somos una institucin de seguridad social de salud que
persigue el bienestar de los asegurados y su acceso
oportuno a prestaciones de salud, econmicas y sociales,
integrales y de calidad, mediante una gestin transparente
y eficiente.

PRINCIPIOS
SOCIAL

DE

LA

SEGURIDAD

SOLIDARIDAD
Cada cual debe aportar al sistema segn su capacidad y
recibir segn su necesidad.

UNIVERSALIDAD
Todas las personas deben participar de los beneficios de la
seguridad social, sin distincin ni limitacin alguna.

IGUALDAD
La seguridad social ampara igualitariamente a todas las
personas. Se prohbe toda forma de discriminacin.

UNIDAD
Todas las prestaciones deben ser suministradas por una
sola entidad o por un sistema de entidades entrelazadas
orgnicamente y vinculadas a un sistema nico de
financiamiento.

INTEGRALIDAD
El sistema cubre en forma plena y oportuna
contingencias a las que estn expuestas las personas.

las

AUTONOMA
La seguridad social tiene autonoma administrativa,
tcnica y financiera (sus fondos no provienen del
presupuesto pblico, sino de las contribuciones de sus
aportantes).

MACRO PROCESOS GENERALES DE

ESSALUD
Esquema del proceso de aseguramiento a
entidades empleadoras

ema del proceso de aseguramiento en el seguro potes

ORGANIGRAMA INSTITUCIONAL

STRUCTURA ORGNICA EsSalud

Essalud
Organos
Organos de
de
direccion
direccion

Consejo
Consejo directivo
directivo

Presidencia
Presidencia
ejecutiva
ejecutiva

Organos
Organos de
de control
control

Organo
Organo de
de control
control
intitucional
intitucional

De
De apoyo
apoyo de
de la
la
presidencia
presidencia
ejecutiva
ejecutiva

Secretaria
Secretaria general
general

Oficina
Oficina de
de defensa
defensa
nacional
nacional

Oficina
Oficina de
de
relaciones
relaciones
intitucionales
intitucionales

Defensoria
Defensoria del
del
asegurado
asegurado

Oficina
Oficina sentral
sentral de
de
cordinacion
cordinacion Y
Y
apoyo
apoyo al
al desarrollo
desarrollo
de
de la
la gestion
gestion

Organo
Organo ejecutivo
ejecutivo

Gerencia
Gerencia general
general

O
O de
de
asesoramiento
asesoramiento
dew
la
gerencia
dew la gerencia
general
general

O
O de
de linea
linea

O
O
desconcentrados
desconcentrados

Oficina
Oficina central
central de
de
planeamiento
planeamiento Y
Y
desarrollo
desarrollo

Gerencia
Gerencia central
central
de
de aseguramiento
aseguramiento

Redes
Redes
asistenciales
asistenciales

Oficina
central de
Oficina central
de
TIC
TIC

Gerenciqa
Gerenciqa central
central
de
de prestaciones
prestaciones
essalud
essalud

Instituto
Instituto nacional
nacional
cardiovascular(inic
cardiovascular(inic
or)
or)

Gerencia
Gerencia central
central
de
de prestaciones
prestaciones
economicas
economicas Y
Y
sociales
sociales

Instituto
Instituto nacional
nacional
de
de salud
salud renal
renal

Gerencia
Gerencia de
de oferta
oferta
flexible
flexible

CONSEJO DIRECTIVO ESSALUD

REPRESENTANTES DEL ESTADO

Presidenta del consejo directivo y
presidenta ejecutiva
Representante del ministerio de trabajo y
promocin del empleo
Representante del ministerio de salud

Dra. Virginia baffigo torr de pinillos

Sr. Oscar miguel graham yamahuchi
Dra. Mara Paulina Esther Giusti Hundskopf

REPRESENTANTES DE LOS EMPLEADORES

Representante de la gran empresa
Representante de la mediana empresa
Representante del sector de la pequea
y microempresa

Sra. Mara Soledad Melania Guiulfo Surez

Durand
Sr. Rafael Guillermo Ferreyros Cannock
Sr. Jos Luis Balta Chirinos

REPRESENTANTES DE LOS ASEGURADOS

Representante de los
rgimen laboral de la
Representante de los
rgimen laboral de la
Representante de los

trabajadores del
actividad pblica
trabajadores del
actividad privada
pensionistas

Sr. Oscar Alarcn delgado.

Sr. Guillermo Onofre delgado
Sr. Jorge Alberto Cristbal Prraga

ANALISIS DE FODA
AMENAZAS

Promueven dispositivos de ley sin

respaldo tcnico que afectan
financieramente a ESSALUD

El crecimiento de la poblacin de
asegurados adultos mayores y una
mayor carga por enfermedades crnicas
no transmisibles, incrementa la
utilizacin de servicios y los costos.

Prdida de capital humano y posibles

conflictos laborales por deterioro de
capacidad adquisitiva acumulada en los
ltimos 20 aos.

DEBILIDADES

Dificultad para mantener y captar a personal

asistencial y administrativo calificado por
falta de incentivos econmicos,
especialmente en el primer nivel de
atencin.

Personal desmotivado por desactualizacin

de los niveles salariales.

Inexistencia de una carrera pblica

asistencial y administrativa basada en la
meritocracia, sobre la base de concursos
pblicos para seleccin del personal por
competencias.

OPORTUNIDADES

Apoyo poltico del gobierno para los cambios

en la salud y la seguridad social.

Crecimiento econmico sostenido, que

impulsa la expansin del empleo.

Aumento de la remuneracin mnima vital.

Resultados del estudio financiero actuarial de

la OIT

Existencia de convenios con organismo de

apoyo tcnico y cooperacin nacional e
internacional

Convenios interinstitucionales con el MINSA

permite el intercambio y complementariedad
de servicios.

FORTALEZAS

Somos una institucin basada en los

principios de la seguridad social: solidaridad,
universalidad e integralidad.

Capacidad de extender la seguridad social a

la poblacin no asegurada e incrementar su
cobertura a sectores que hoy no acceden a
los servicios de salud.

Estrategia basada en los principios de

solidaridad, universalidad, integralidad y
autonoma, desarrollar acciones, alianzas
estratgicas, planes y estudios para ampliar
la cobertura de la seguridad social.

OBJETIVOS ESTRATGICOS 2012-2016

DE ESSALUD

Tomando como punto de partida la visin, la misin y los

valores institucionales.
Se procedi a formular los siguientes objetivos estratgicos
que son aplicables a toda la institucin y sus sistemas
institucionales; su realizacin se plantea en el mediano
plazo. Por estas caractersticas, son los objetivos centrales
de la institucin en este periodo estratgico.

OFICINA CENTRAL DE TECNOLOGAS DE LA INFORMACIN Y

COMUNICACIONES DE ESSALUD

MISIN

Atender las necesidades de capacitacin, acompaamiento,

soporte tecnolgico e investigacin en el mbito de las
Tecnologas de la Informacin y la Comunicacin (TIC), y su
aplicacin especializadaa en la organizacin.

VISIN

Ser el rea en constante desarrollo y crecimiento que brinde

seguridad y confianza con el uso de la tecnologas de informacin
y telecomunicaciones en Essalud y brindar los mejores procesos
para gestin de la aplicaciones utilizadas

OBJETIVOS ESTRATGICOS

Formular las directivas que permiten establecer los procesos,

mtodos y procedimientos para una adecuada administracin,
seguridad y gestin de los recursos informativos.

Homogenizar y consolidar las necesidades de los usuarios para el

desarrollo informtico institucional, a fin de proponer a la gerencia
general las prioridades y los recursos necesarios para su atencin e
implementacin.

Establecer los lineamientos y normas de seguridad informtica

institucional a fin de proteger los recursos informticos, con la
finalidad de alcanzar la integracin, Confidencialidad y disponibilidad
de la informacin de nuestro institucin.

Evaluar y determinar conjuntamente con la gerencia de desarrollo de

sistemas, los modelos, arquitectura y tecnologa de la base de datos
institucional.

Elaborar, coordinar, supervisar y controlar los programas de trabajo

ORGANIGRAMA DE TIC ESSALUD

Oficina central de
tecnologias de la
informacion y
comunicaciones

Gerencia de
organizacin

Oficina de
seguridad
informatica

Gerencia de
desarrollo de
sistemas

Gerencia de
produccion

Sub gerencia de
normativa,
proccesos y
metodos
administrativo

Subgerencia de
desarrollo de
sistemas
aseguradores y
administrativos

Subgerencia de
operaciones

Subgerencia de
proyectos
tecnicos
administrativos

Sub gerencia de
desarrollo de
sistemas
asistenciales

Sub gerencia de
comunicaciones

Sub gerencia de
soporte al usuario

Cant.
Piezas

Nombre del Cargo

OFICINA CENTRAL DE ORGANIZACIN E INFORMATICA
Jefe de Oficina III

Asesor II

Jefe de Division

Profesional

Bachiller profesional calificado

Bachiller profesional

Tcnico de servicio administrativo y apoyo

Tcnico de procesamiento automatico de datos

Secretaria tcnica

1
Subtotal 11
OFICINA DE SEGURIDAD INFORMTICA

Jefe de oficina

Profesional altamente especializado

Bachiller profesional

1
Sub total 3
GERENCIA DE ORGANIZACIN

Gerente

Profesional

SUB GERENCIA DE NORMATIVA, PROCESOS Y MTODOS ADMINISTRATIVOS

Sub gerente

Profesional altamente especializado

Bachiller Profesional

Analista programador

Secretaria

1
Sub total
SUB GERENCIA DE PROYECTOS TCNICOS ADMINISTRATIVOS

Sub gerente

Profesional altamente especializado

Profesional

Bachiller profesional

Analista programador

SECRETARIA

Sub total

Gerencia de desarrollo de sistemas

Gerente

Profesional altamente especializado

Secretaria

Digitador

Sub total

4
SUB GERENCIA DE DESARROLLO DE SISTEMAS ASISTENCIALES

Sub gerente

Jefe de divisin

Bachiller profesional calificado

Bachiller profesional

Analista programamador

Tcnico de procesamiento automatico de datos

Secretaria

Secretaria auxiliar

Sub total

10

SUB GERENCIA DE DESARROLLO DE SISTEMAS ASEGURADORES Y ADMINISTRATIVOS

Sub gerente

Jefe de unidad

Profesional

Analista programador

Asistente de gerencia

Tcnico de procesamiento automatico de datos

Sub total

9
GERENCIA DE PRODUCCIN

Gerente

Profesional

Tcnico de procesamiento automatico de datos

Tcnico operador de computadora y consola

Auxiliar administrativo

SUB TOTAL

5
SUB GERENCIA DE OPERACINES

Sub gerente

Jwefe de divisin

Profesional altamente especializado

Bachiller profesional

Analista programador

Tcnico de procesamiento automatico de datos

10

Secretaria

Sub total

16

SUB GERENCIA DE COMUNICACIONES

Sub gerente

Profesional altamente especializado

Bachiller profesional

Analista programador

Asistencia de gerencia

Tcnico de servicio administrativo y apoyo

Tcnico de procesamiento automatico de datos

Operador de computadora y consola

Secretaria

Sub total

17
SUB GERENCIA DE SOPORTE AL USUARIO

Sub gerente

Jefe de unidad

Profesional

Bachiller profesional

Analista programador

Tcnico de servicio administrativo y apoyo

Tcnico de procesamiento automatico de datos

Secretaria tcnica

Operador de computadora y consola

Sub total

19

Total

108

Modelo de Arquitectura y
seguridad TI

TECNOLOGIA

PROCESADOR

RAM

HDD

Intel Pentium 4

1.7 GHz

1.5 Gb

80 Gb

Windows xp professional desktop

Intel pentium Dual Core

E5300

2,6 Ghz

2 Gb

80 Gb

Windows xp professional desktop

73

3 GHz

4 Gb

160 Gb

Windows 7 enterprise

desktop

11

3.2 GHz

4 Gb

250 Gb

Windows 7 enterprise

desktop

15

Intel Core 2 Duo Processor

E8400
Intel Core i3-4360T

SISTEMA OPERATIVO

Total

TIPO

CANTIDAD

108

Software de terceros

versin

N/Licencia

Windows Office 2007

2007

Corporativa

Windows xp sp3

Profesional

82

Oracle

10g

Java EE

6.0

14

Fox pro

6.0

14

Symantec protection suite

enterprise edition

12

27

Eset nod 32

108

Software
SIA (Sistema
integral de
Aseguramiento):
Sistema Acredita
(Artemisa):
Sistema de Gestin
Hospitalaria (SGH).
Sistemas usados en
Admisin

Lenguaje de
desarrollo
Power Builder

Java

FOXPRO

Descripcion
usa para el registro de los asegurados,
modificacin de sus datos, evaluacin de la
acreditacin
Extrae dados del SIA, y es usado en los centros de
atencin para evaluar la acreditacin de
asegurados
Usado para dar citas, ingresar las atenciones,
medicamentos, etc.
verificacin de derecho del asegurado
y su respectiva acreditacin, como la apertura de
su historia
clnica y poder filiar al paciente.

Sistema de Gestin Hospitalaria (SGH)

Sistema de Referencias y Contra referencias

(ARTEMISA)

INFORME DE
AUDITORIA
OFICINA CENTRAL
DE INFORMATICA
DE ESSALUD

Objetivos:
Realizar un anlisis de los Sistemas de Informacin a la
Oficina Central de tecnologas de la informacin y
comunicaciones de la entidad Essalud
Alcance de auditoria
Procedimientos realizados en el rea de tic de Essalud
con respecto al uso de la informacin, servidores
Normas de accesos a zonas restringidas
Inventario de hardware y software

Metodologas Usadas
Tcnica ocular
Tcnica documental
Tcnica de auditoria asistida por
computadora
Tcnica escrita

Diagrama de Gant
Actividades
Fase 1
Bsqueda de Informacin
Anlisis de la informacin
Clasificacin de la informacin

Fase 2
Tratamiento de la informacin
Anlisis y evaluacin del uso de
servidores
Anlisis y evaluacin de hardware y
software
Anlisis y evaluacin de acceso a
zonas restringidas
Anlisis y evaluacin de la Seguridad
de la informac ion
Anlisis y evaluacion de la informacion
en la base de datos

Fase 3
Determinacion de hallazgos
Evaluacion de hallazgos en
referencias a las normas INEI

Horas Programadas

Total de Horas

17/11/2014 al
29/12/2014

56 horas

Luis Negron Navarro

Lizzet Primo Albornoz
Hider Sanchez Sanchez

Hider Sanchez Sanchez

Luis Negron Navarro
Lizzet Primo Albornoz

01/12/2014 al
22/12/2014

84 horas

Luis Negron Navarro

23/12/2014 al
03/01/2015

60 horas

Fase 4
Elavoracion de Informe
Presentacion de informe

Encargados

04/01/2015 a l
09/01/2015

20 horas

Lizzet Primo Albornoz

Hider Sanchez Sanchez

Hider Sanchez Sanchez

Luis Negron Navarro
Lizzet Primo Albornoz

INFORME DE AUDITORIA
Hallazgo N 1
Condicin.
Se evidencio que en su gran mayora las estaciones de trabajo cuentan
con un sistema operativo ( Windows xp no tiene soporte por parte de
Microsoft)el cual lo hace vulnerable a un ataque informtico.

Criterio:
Segn la norma INEI RECOMENDACIONES TECNICAS PARA LA
SEGURIDAD E INTEGRIDAD DE LA INFORMACION QUE SE PROCESA EN
LA ADMINISTRACION PUBLICA capitulo 5.1.1.4 anexo a , b y c.
Causa:
Sucedi por la falta de apoyo econmico por parte del gobierno, adems de
utilizar aplicaciones soportadas nicamente para Windows XP.
efecto:
Vulnerabilidad en el sistema permitiendo accesos no autorizados al sistema y
por ende riesgos con la informacin

INFORME DE AUDITORIA
Hallazgo N 1
Recomendacin:
Se sugiere la renovacin hardware de los equipos de computo para
luego establecer una estrategia de compatibilidad de aplicaciones
para realizar una migracin a un sistema operativo con soporte por
parte del proveedor.
Para utilizar los recursos de hardware en su mximo nivel de
productividad.

INFORME DE AUDITORIA
Hallazgo N 2
Condicin:
Se encontr en las visitas realizas que los backup de Base de Datos programados
no se realizan respetando los cronogramas establecidos adems de no llevar un
checklist
de control adecuado.
Criterio:
Segn las normas INEI NORMAS TECNICAS PARA EL ALMACENAMIENTO Y
RESPALDO DE LA INFORMACION QUE SE PROCESAN EN LAS ENTIDADES
DEL ESTADO en la que nos dice:
Salvaguardar la integridad y seguridad de los datos, adoptndose las
precauciones
tcnicas para su almacenamiento y
recuperacin. En el capitulo 5.1, 5.4, 5.5, 6.5, 6.6.

INFORME DE AUDITORIA
Hallazgo N 2
Causa:
Personal a cargo de realizar esta tarea no cuenta con la capacitacin
necesaria y un desconocimiento de los cronogramas de backup y
documentacin.
Efecto:
Perdida de informacin considerable y muchas veces las
recuperaciones demanda mas tiempo para realizar las mismas.
Recomendacin:
Se recomienda realizar una capacitaciones constantes para todos los
involucrados concientizando al personal para cada una de sus
funciones, haciendo hincapi al uso de checklist para cada tarea
realizada

INFORME DE AUDITORIA
Hallazgo N 3
Condicin: Se evidencio que la calidad de informacin
guardada en la base de datos de Essalud con respecto a los
asegurados nos es la mejor ya que se encuentran registros de
personas fallecidas que aun permanecen activas ante el
sistema.

Criterio: Segn las normas RECOMENDACIONES TECNICAS PARA

LA SEGURIDAD E INTEGRIDAD DE LA INFORMACION QUE SE
PROCESA EN LA ADMINISTRACION PUBLICA en la que nos dice en
el capitulo 5.3

Causa: Esto sucede por la falta de actualizacin de los registros de los

asegurados y por no tener una gestin externa con la entidad
encargada de validar dichos registros de identificacin(RENIEC).

INFORME DE AUDITORIA
Hallazgo N 3

Efecto : suplantacin de identidad al momento de gestionar citas,

al ser atendidos personas con una identidad falsa, ocasionara
perdidas significativas en la entidad(ESSALUD).

Recomendacin: Se recomienda establecer una lazo de

comunicacin informtica con la RENIEC con el fin de tener
actualizada la base de datos de los usuarios de ESSALUD activos.
Se sugiere el consumos mas fluido de web services de la RENIEC.

INFORME DE AUDITORIA
Hallazgo N 4
Condicin: Se evidencio que las zonas restringidas no se encuentran
con la sealizacin y medidas de seguridad correspondiente
permitiendo muchas veces el ingreso de personal no autorizados a esta
reas, adems de falta de seguridad para resguardar estas zonas.
Criterio: segn las normas del INEI RECOMENDACIONES TECNICAS
PARA LA PROTECCION FISICA DE LOS EQUIPOS Y MEDIOS DE
PROCESAMIENTO DE LA INFORMACION EN LA ADMINISTRACION
PUBLICA
en la que se recomienda Garantizar la seguridad de la informacin
disponible en medios de almacenamiento, ante contingencias
naturales, siniestros o sabotaje.
segn los prrafos : 6.1 y 6.6

INFORME DE AUDITORIA
Hallazgo N 4

Causa: Sucede por la falta de sealizacin y la falta de seguridad

en las instalaciones para el control de acceso de personal
restringido. Falta de conocimiento del personal con respecto de las
zonas restringidas.

Efecto: Esto causara que los equipos estn expuestos a un

sabotaje, o que sea alterado algn equipo, produciendo fallas
catastrficas con la informacin y perdidas econmicas para la
entidad.

Recomendacin: Se recomienda sealizar las zonas de extremo

cuidado y establecer polticas de seguridad para el ingreso de
personal, y capacitaciones constantes para no incurrir en
equivocaciones.

INFORME DE AUDITORIA
Hallazgo N 5

Condicin: Se evidencio en cuanto a la administracin del

servicio web y en cuanto a los servidores de base de datos, que
las aplicaciones diseadas para la acreditacin y las citas, carecen
de validaciones haciendo el consumo innecesario de los procesos
de servidores.

Criterio: Segn las normas INEI NORMAS Y PROCEDIMIENTOS

TCNICOS SOBRE CONTENIDOS DE LAS PGINAS WEB DE
LAS ENTIDADES DE LA ADMINISTRACIN PBLICA en el
prrafo 5.5.

Causa: Esto sucede por no seguir las buenas practicas de

programacin, en validar datos antes de enviar a los procesos de
los servidores.

INFORME DE AUDITORIA
Hallazgo N 5
efecto: esto afecta al consumo de los recursos del servidor ya que
cuando no se envan correctamente los datos (no validados) generan
consumo de memoria.
Recomendacin: se recomienda al momento de implementar
aplicaciones web u otras aplicaciones validar los campos
exclusivamente para el dato requerido adems de implementar
validacin capcha para evitar consultas haciendo un consumo de
http://ww1.essalud.gob.pe/citas/
recursos innecesario y liberar el trafico de red.

CONCLUSIONES

Con el desarrollo de esta auditoria la OFICINA CENTRAL DE

TECNOLOGIA Y INFORMATICA DE ESSALUD, concluimos que la
oficina cuenta con sistemas operativos sin soporte los mismos que
son propensos ataques informticos, poniendo en riesgo la
seguridad de la informacin y a la calidad de servicio que se brinda
Se observa de acuerdo al anlisis desarrollado que se debe poner
mas inters en cuanto a la actualizacin constaste de registros de
los asegurados con el fin de evitar delitos como de suplantacin de
identidad.
Adems se observa la falta de buenas prcticas en cuanto a la
programacin de sitos web ya que se evidencio el uso innecesario
de los recursos de los servidores (memoria) por no usar validacin
de campos.
Existen dependencias por la utilizacin de aplicaciones antiguas,
que no permiten la libre migracin de sistema operativo ya que
estas aplicaciones no estn soportadas en las nuevas versiones de
los mismos.