Madrid, 28 al 30 de Marzo de 2001
[OBJETIVO] [COMITÉS] [PARTICIPANTES] [ÁREAS] [ACTIV.INTERNACIONALES] [PROGRAMA] [MESAS REDONDAS] [S.CIENTÍFICAS] [S.TECNOLÓGICAS] [PÓSTERS] [INSCRIPCIÓN]
Coltell O*, Guillén M#,
Corella D#.
*: Grupo de Integración y
Re-Ingeniería de Sistemas. Universitat Jaume I, Castellón.
#:
Unidad de Epidemiología Genética y Molecular. Universitat de València,
Valencia.
ResumenÀ
La incorporación de las nuevas tecnologías de información en el ámbito de los sistemas de información sanitarios y, más concretamente, hospitalarios, ha provocado la aparición de nuevas posibilidades de proceso de la información y de nuevos flujos de información entre las distintas estructuras organizativas de un hospital. Si n embargo, esto también ha provocado la aparición de nuevos riesgos y amenazas con respecto a la información y a los activos de TI. Por tanto, es necesario considerar las particularidades de dichas tecnologías y del contexto hospitalario para construir nuevos enfoques de auditoría de sistemas de información sanitarios. Se presenta un Modelo General basado en el marco formal de Auditoría denominado COBIT, que consiste en la adaptación y aplicación concreta del mismo en el caso de la implantación de intranets y otros servicios de Internet en hospitales.
Palabras Clave
Auditoría de Sistemas Informáticos Sanitarios, Tecnologías de la Información, COBIT, Auditoría Informática en Internet Hospitalaria, Controles informáticos en sistemas hospitalarios.
1. Antecedentes
La implantación espectacular de las tecnologías de Internet ha alcanzado también al ámbito de la Salud. Concretamente, se han creado sitios web asociados a los sistemas de información en gestión sanitaria y hospitalaria. Sin embargo, el proceso de incorporación de estas soluciones no se ha realizado en general con criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Estos servicios ahora no se pueden eliminar por su utilidad demostrada, pero se pueden auditar para mejorar en calidad, nivel de servicio y seguridad.
1.1. Los Sistemas de Información Hospitalarios
El hospital es una de las organizaciones de mayor complejidad por su característica multidisciplinar (Blum, 1984) (Cuervo et al., 1994). En el hospital se reúnen profesionales que realizan su tarea según el Método Científico interaccionando con otros profesionales que están en contacto con el cliente/paciente. Todos ellos ofrecen servicios de Valor Añadido en Salud. Pero actualmente, este tipo de organizaciones no puede funcionar dentro de unos límites de rendimiento, operatividad y calidad, sin que haya sistemas que permitan la adquisición, almacenamiento, tratamiento y salvaguardia de toda la información generada por la propia organización o introducida desde el exterior. Estos son los Sistemas de Información Hospitalarios que son casos particulares de un sistema de información sanitario (véase la Figura 2).
Los Sistemas de Información Hospitalarios elaboran el "producto" según va atravesando las diferentes secciones de "acabado" (S.I. de producción). Los S.I. Hospitalarios son susceptibles de información utilizando la metodología TQC (Total Quality Concept) que contempla la revisión de los procesos afectados, y la automatización/mecanización de los procesos (Rondel et al., 1993). Por tanto, podemos considerar la TQC como una filosofía de gestión y metodología de actuación, que se basa en la mejora continuada de los procesos, a través de la participación de todos, para mejorar el nivel de satisfacción de los clientes/pacientes.
Figura 1. Areas conceptuales en un Sistema de Información Sanitaria
El concepto clásico de sistema de información soportado por un sistema informático, está basado en la existencia de un departamento o sección de informática que se responsabiliza del desarrollo, explotación y mantenimiento de equipos informáticos centralizados y las aplicaciones informáticas instaladas. Adicionalmente, y según las atribuciones definidas en el contexto oficial, estos departamentos también pueden efectuar adquisiciones de material inventariable (la adquisición del material fungible suele estar asociado a las atribuciones normales). Este enfoque hace que los distintos sistemas de información que componen la función de información de un hospital estén jerarquizados y sean estancos unos de otros, a modo y semejanza de la propia estructura del hospital (véase la Figura 2).
Figura 2. Arquitectura y tipos de Sistemas de Información
hospitalarios
según el enfoque clásico
Sin embargo, con la incorporación de las nuevas tecnologías a las organizaciones sanitarias, y en particular a los hospitales, surgen nuevas posibilidades para el tratamiento y el flujo de la información (Gallegos, 1998). Las tecnologías de Internet, World Wide Web (WWW), E-Mail, File Transfer Protocol (FTP), redes de Área Local (LAN), redes de Área Ancha (WAM), tecnología de fibra óptica (OPF), etc., facilitan la instalación de redes internas basadas en el protocolo IP (Internet Protocol) que se denominan Intranets (Jones, 1998). Y además, se contempla la conexión de éstas con el exterior, es decir, con Internet (véase la Figura 3).
Figura 3. Incorporación de Internet e Intranets en el hospital
Estas tecnologías han abierto nuevas posibilidades de interacción entre las distintas unidades organizativas y entre los usuarios y la organización hospitalaria. Por ejemplo, como es el caso del Hospital de la Ribera en Alzira (Valencia), una exploración radiológica genera un conjunto de placas radiográficas que no se pasan a soporte físico sino que se almacenan digitalmente, directamente desde el instrumento de exploración. Cuando se produce una actuación clínica que necesita dichas "placas", se recuperan de la base de datos y se muestran en un monitor de alta resolución. Por otra parte, los usuarios pueden acceder a la Web del hospital para comprobar, por ejemplo, el día y la hora de la próxima cita, o la lista de citas y visitas ya realizadas, contactar con uno de los facultativos, etc. Además, el personal clínico e investigador puede acceder a bases de datos clínicas y científicas en lugar de hacer peticiones bibliográficas o acudir a bibliotecas en horario laboral. Por ejemplo, el Proyecto Genoma Humano ha puesto a disposición de la comunidad científica en general (no sólo médica) los resultados obtenidos hasta ahora. Entonces, un investigador genetista puede obtener la información relativa a los genes y polimorfismos con los que está trabajando.
1.2. Aspectos gestión y seguridad de las intranets hospitalarias
Se está dando el caso de que los servicios centrales de informática en los hospitales no pueden resolver todas las necesidades de información de sus unidades orgánicas y departamentos. Así, parte de estas necesidades se han resuelto con la instalación y puesta en marcha de intranets con salida a Internet. Esto hace que el hospital se adscriba a redes afines oficiales o privadas.
Sin embargo, se plantean al mismo tiempo un conjunto de problemas de seguridad y gestión de los nuevos flujos de información y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad técnica del personal de informática. Y en la mayoría de ocasiones, superan la carga de trabajo de dicho personal (Rindfleish, 1997).
Estos problemas suelen venir provocados por la falta de planificación previa a la incorporación de nuevas tecnologías de la información. Los factores que determinan los problemas son los siguientes (Bernal-Coltell, 1996) :
Como se puede ver después de haber revisado la relación de factores anterior, no es suficiente la aplicación de la metodología TQC, sino que es preciso aplicar procedimientos de auditoría específicos del entorno y de las tecnologías implicadas (Lambert, 1998). Por ejemplo, Internet y los servicios que presta se ven todos los días atacados por hackers y crackers, que buscan los "agujeros de seguridad" que presentan estas tecnologías. También está muy presente el problema del ataque por virus a través de los servicios de correo electrónico. Pero también un mantenimiento lento o defectuoso de la intranet y de sus contenidos puede hacer que esta caiga en desuso por falta de interés. Y la inversión económica realizada se pierde sin remedio.
2. Objetivo
El objetivo de este trabajo es el de presentar una propuesta de un modelo para la auditoría de servicios de Internet en sistemas de información hospitalaria, teniendo en cuenta los factores y riesgos específicos de este ámbito, que está basado en un marco metodológico formal denominado COBIT (Control Objectives for Information and related Technology: Objetivos de Control para la Información y Tecnologías Afines) de la ISACA (Information Systems Audit and Control).
3. Metodología
Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Todo ello se ha realizado aplicando el marco metodológico de auditoría denominado COBIT (Control Objectives for Information and related Technology) de la Information Systems Audit and Control Asociation (ISACA), que está ampliamente aceptado por la comunidad internacional de auditores de sistemas de información como una norma estándar.
3.1. Breve introducción a COBIT
La Misión de COBIT es la siguiente: "Investigar, desarrollar, publicar y promover un conjunto de objetivos de controlen tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores." (ISACAF-EXS, 2000).
COBIT está diseñado como un estándar aplicable y aceptable en general para la buena práctica de la auditoría de las tecnologías de la Información en todo el mundo. El producto COBIT utiliza los Objetivos de Control de ISACA, mejorados con estándares específicos de tipo técnico, profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han desarrollado para su aplicación en el amplio espectro de sistemas de información en la empresa. Estos objetivos de control tienen en cuenta lo siguiente:
El sistema consiste en objetivos de control de TI de alto nivel y una estructura global para su clasificación y funcionamiento. La teoría subyacente para la clasificación elegida, en línea con las experiencias de Re-Ingeniería, es que hay, en esencia tres niveles de esfuerzos en TI cuando se considera la gestión de los recursos de TI:
Planificación y Organización :Conduce la estrategia y las tácticas y corresponde a la identificación de la forma en que la información tecnológica puede contribuir mejor a alcanzar los objetivos de gestión. |
Distribución y Soporte :Corresponde con la distribución normal de los servicios requeridos, que van desde las tradicionales operaciones sobre seguridad y continuidad hasta la formación. |
Adquisición e Implementación :Para llevar a cabo la estrategia es necesario identificar, desarrollar y adquirir soluciones de TI apropiadas, así como implementarlas e integrarlas en los procesos de gestión. |
Monitorización :Todos los procesos de TI deben evaluarse regularmente en el tiempo para comprobar su calidad. |
El marco conceptual se enfoca desde tres puntos de vista distintos: criterios de gestión para la información, recursos de TI y procesos de TI. Estos tres puntos de vista se ensamblan en un formato cúbico y permiten que se obtengan referencias cruzadas en dicho marco y se pueda acceder a él eficientemente (véase la Figura 5).
Los objetivos de control de TI están organizados inicialmente por proceso/actividad, pero las ayudas para la navegación que se aportan, facilitan la entrada desde cualquier punto estratégico. También facilitan la adopción de enfoques combinados o globales, tal como la instalación/implementación de un proceso, responsabilidades de gestión global para un proceso, y el uso de los recursos de TI por un proceso.
La información que los procesos de gestión necesitan está proporcionada por el uso de los recursos de TI. Para asegurar que los requisitos de gestión para la información se aplican, se tiene que definir medidas de control adecuadas, se tiene que implementarlas y monitorizarlas sobre estos recursos. Está claro que no todas las medidas de control satisfarán los requisitos de gestión en el mismo grado, así que se hace una distinción en COBIT contemplando el cumplimiento:
Figura 4. Recursos de TI, Objetivos de Negocio y Dominios de COBIT |
Figura 5. El Cubo COBIT |
"Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reprinted with the permission of the Information Systems Audit and Control Foundation and IT Governance Institute." |
3.2. Descripción del estudio
Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Dada la limitación en extensión del trabajo por el contexto científico en el que se enmarca, no se pretende describir exhaustivamente todo el proceso, sino dar los resultados más destacables.
El contexto del problema es la implantación de una red IP en una organización hospitalaria para dar servicios generales de información a las distintas unidades clínicas de dicho hospital. Estos servicios deben tener distintos niveles de privilegio en función del tipo de información que proporcionan o recogen. Por ejemplo, los datos privados de los pacientes y el personal de plantilla deben tener las máximas restricciones. Los datos que describen la organización, estructura, servicios proporcionados y puntos de contacto, deben ofrecerse públicamente y, por tanto, su nivel de restricción de acceso debe ser el mínimo.
El alcance del estudio consiste en la adquisición, instalación, explotación y mantenimiento de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales del sector, sean estatales, sean regionales. Los elementos que componen el sistema se resumen en la Tabla 1. En el estudio se ha tenido en cuenta todo tipo de elementos que pueden interactuar con el sistema, incluyendo usuarios/pacientes y personal interno.
Elementos |
Planificación |
Adquisición |
Manteni-miento |
Seguridad |
Servicio |
Gerencia |
4 |
4 |
|||
Responsable Informática |
4 |
4 |
|||
Técnicos Informática |
4 |
4 |
4 |
||
Webmaster |
4 |
4 |
4 |
4 |
|
Administrador Seguridad |
4 |
4 |
|||
Personal clínico (med., enfer.) |
4 |
||||
Personal auxiliar (celad., etc.) |
4 |
||||
Pacientes / usuarios |
4 |
||||
Tecnologías |
4 |
4 |
4 |
||
Mercado |
4 |
||||
Marco Legal |
4 |
4 |
4 |
4 |
4 |
Marco Normativo Estándares |
4 |
4 |
4 |
4 |
4 |
Proveedores |
4 |
4 |
4 |
||
Hw base: servidores |
4 |
4 |
4 |
||
Hw redes |
4 |
4 |
4 |
||
Sw base: sis. op., ser. Web |
4 |
4 |
4 |
||
Sw redes |
4 |
4 |
4 |
||
Sw Info: BD, etc. |
4 |
4 |
4 |
||
Sw. aplicación |
4 |
4 |
4 |
Tabla 1. Elementos del sistema en estudio
Elementos |
Eficiencia y Efectividad |
Integri-dad |
Confiden-cialidad |
Dsiponi-bilidad |
Cumpli-miento |
Fiabi-lidad |
Gerencia |
4 |
4 |
||||
Responsable Informática |
4 |
4 |
||||
Técnicos Informática |
4 |
4 |
4 |
|||
Webmaster |
4 |
4 |
4 |
4 |
||
Administrador Seguridad |
4 |
4 |
4 |
4 |
4 |
4 |
Personal clínico (med., enfer.) |
4 |
4 |
4 |
|||
Personal auxiliar (celad., etc.) |
4 |
4 |
4 |
|||
Pacientes / usuarios |
4 |
|||||
Tecnologías |
4 |
4 |
4 |
4 |
4 |
|
Mercado |
||||||
Marco Legal |
||||||
Marco Normativo Estándares |
4 |
4 |
4 |
4 |
4 |
4 |
Proveedores |
4 |
4 |
4 |
4 |
4 |
|
Hw base: servidores |
4 |
4 |
4 |
|||
Hw redes |
4 |
4 |
4 |
|||
Sw base: sis. op., ser. Web |
4 |
4 |
4 |
4 |
||
Sw redes |
4 |
4 |
4 |
|||
Sw Info: BD, etc. |
4 |
4 |
4 |
4 |
||
Sw. aplicación |
4 |
4 |
4 |
4 |
Tabla 2. Riesgos Asociados
Los riesgos asociados se relacionan en la Tabla 2. Por supuesto, por razones de espacio no están todos los que deberían figurar.
4. Resultados
Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos.
En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporación de una intranet: Planificación, Adquisición, Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase la Tabla 3) (ISACA-FMWK, 2000).
A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000):
En tercer lugar, el modelo desglosa los Objetivos de Control de Alto Nivel en Objetivos de Control Concretos a los que se aplica las pautas y procedimientos de Auditoría que se detallan en el COBIT Audit Guidelines (ISACAF-AG), 2000).
Por ejemplo, para el Proceso P01.1, el objetivo de control concreto indicará que el auditor debe comprobar si existen planes a largo y corto plazo desarrollados por la Gerencia para la implantación de una intranet.
Por supuesto, este modelo no es sencillo sino bastante complejo y debe estar apoyado por la utilización de distintas herramientas informáticas que proporciona el mismo COBIT (ISACAF-ITOOL, 2000), o que proporcionan otros proveedores.
De una forma rudimentaria, el modelo se puede aplicar por medio de un conjunto de hojas de cálculo relacionadas entre sí para poder desglosar los Procesos, Objetivos Generales, Objetivos Concretos y Procedimientos de Auditoría.
ESTRUCTURA DE COBIT |
INCORPORACIÓN INTRANET |
||||||
DOMINIO |
PRO-CESO |
DENOMINACIÓN PROCESO |
Planifi-cación |
Adqui-sición |
Manteni-miento |
Seguir-dad |
Servi-cios |
Planeación |
PO1 |
Definir un plan estratégico de sistema |
P |
||||
y |
PO2 |
Definir la arquitectura de información |
P |
P |
|||
Organiza- |
PO3 |
Determinar la dirección tecnológica |
S |
P |
|||
ción |
PO4 |
Definir la organización y sus relaciones |
S |
P |
|||
PO5 |
Administrar las inversiones (en TI) |
P |
P |
P |
S |
||
PO6 |
Comunicar la dirección y objetivos de la gerencia |
S |
P |
P |
|||
PO7 |
Administrar los recursos humanos |
P |
S |
P |
|||
PO8 |
Asegurar el apego a disposiciones externas |
P |
P |
P |
P |
||
PO9 |
Evaluar riesgo |
S |
P |
P |
P |
||
PO10 |
Administrar proyecto |
S |
P |
P |
|||
PO11 |
Administrar calidad |
S |
P |
P |
P |
||
Adquisición e |
AI1 |
Identificar soluciones de automatización |
P |
P |
|||
Implemen- |
AI2 |
Adquirir y mantener software de aplicación |
P |
P |
S |
S |
|
tación |
AI3 |
Adquirir y mantener la arquitectura tecnológica |
P |
P |
S |
S |
|
AI4 |
Desarrollar y mantener procedimiento |
P |
P |
S |
S |
||
AI5 |
Instalar y acreditar sistemas de información |
P |
P |
||||
AI6 |
Administrar cambio |
P |
P |
S |
S |
||
Entrega de |
DS1 |
Definir niveles de servicio |
P |
||||
servicios y |
DS2 |
Administrar servicios de tercero |
|||||
Soporte |
DS3 |
Administrar desempeño y capacidad |
|||||
DS4 |
Asegurar continuidad de servicio |
P |
P |
P |
|||
DS5 |
Garantizar la seguridad de sistema |
P |
|||||
DS6 |
Identificar y asignar costo |
P |
|||||
DS7 |
Educar y capacitar a usuario |
P |
P |
S |
|||
DS8 |
Apoyar y orientar a clientes |
S |
|||||
DS9 |
Administrar la configuración |
P |
P |
||||
DS10 |
Administrar problemas e incidente |
P |
P |
P |
|||
DS11 |
Administrar la información |
S |
P |
P |
|||
DS12 |
Administrar las instalaciones |
P |
|||||
DS13 |
Administrar la operación |
P |
P |
||||
Monitoreo |
M1 |
Monitorear el proceso |
P |
||||
M2 |
Evaluar lo adecuado del control interno |
P |
S |
S |
P |
P |
|
M3 |
Obtener aseguramiento independiente |
P |
P |
P |
|||
M4 |
Proporcionar auditoría independiente |
S |
S |
P |
P |
P |
Tabla 3. Dominios y Procesos de COBIT que intervienen
sobre las funciones del sistema en estudio
5. Conclusiones
El COBIT es un marco metodológico de auditoría de sistemas de información que se puede adaptar al ámbito sanitario y, por ejemplo, permite elaborar modelos de auditoría específicos para el conjunto de problemas asociados a la implantación, gestión y uso de soluciones web en estructuras organizativas hospitalarias.
Se ha presentado el diseño general de un Modelo de Auditoría basado en COBIT para la implantación de una intranet en una organización hospitalaria. La complejidad de las funciones asociadas a dicha implantación hace que el modelo propuesto sea también complejo. Sin embargo, con la ayuda de herrramientas informáticas, se pueden automatizar determinadas tareas básicas.
La extensión, complejidad y completitud de COBIT, añadido a la ausencia de herramientas que soportaran esta metodología en sus primeras versiones, ha hecho que los auditores no se plantearan hasta ahora la aplicación de COBIT en sus proyectos de auditoría.
Bibliografía
Benal R., Coltell O. Auditoría de los Sistemas de Información. Servicio de Publicaciones de la Universidad Politécnica de Valencia, Valencia, 1996.
Blum B.I.(ed) Information Systems for Patient Care. Springer-Verlag, New York, 1984.
Cuervo J. L., Varela J., Belenes R. Gestión de Hospitales. Nuevos instrumentos y tendencias. Vicens Vives, Barcelona, 1994.
Gallegos F. "Telemedicine and its Place in medical systems For The Next Millennium". IS Audit & Control Journal, I; 1998: 17-20.
ISACAF. COBIT. Audit Guidelines. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000.
ISACAF. COBIT. Control Objectives. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000.
ISACAF. COBIT. Executive Summary. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000.
ISACAF. COBIT. Framework. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000.
ISACAF. COBIT. Implementation Tool Set. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000.
ISACAF. COBIT. Management Guidelines. 3rd ed. ISACA, Rolling Meadows, IL (USA), 2000.
Jones R.L. "The Internet and Healthcare Information Systems: How Safe Will Patient Data Be?". IS Audit & Control Journal, I; 1998: 25-30.
Lambert M. "Rx for Healthcare Crime". IS Audit & Control Journal, I; 1998: 7-7.
Rindfleisch T.C. "Privacy, Information Technology, and Health Care". Communications of the ACM, 40-8; 1997: 93-100.
Rondel R. K., Varley S. A., Webb C. (eds.) Clinical Data Management. John Wiley, New York, 1993.
À
Este tratabajo ha sido financiado parcialmente por CICYT y por la FUNDACIÓ BANCAIXA – CAIXA DE CASTELLÓ
[OBJETIVO] [COMITÉS] [PARTICIPANTES] [ÁREAS] [ACTIV.INTERNACIONALES] [PROGRAMA] [MESAS REDONDAS] [S. CIENTÍFICAS] [S. TECNOLÓGICAS] [PÓSTERS] [INSCRIPCIÓN]
Última actualización: miércoles, 04 de abril de 2001