La incorporación de las nuevas tecnologías de información en el ámbito de los sistemas de información sanitarios y, más concretamente, hospitalarios, ha provocado la aparición de nuevas posibilidades de proceso de la información y de nuevos flujos de información entre las distintas estructuras organizativas de un hospital. Si n embargo, esto también ha provocado la aparición de nuevos riesgos y amenazas con respecto a la información y a los activos de TI. Por tanto, es necesario considerar las particularidades de dichas tecnologías y del contexto hospitalario para construir nuevos enfoques de auditoría de sistemas de información sanitarios. Se presenta un Modelo General basado en el marco formal de Auditoría denominado COBIT, que consiste en la adaptación y aplicación concreta del mismo en el caso de la implantación de intranets y otros servicios de Internet en hospitales.

Auditoría de Sistemas Informáticos Sanitarios, Tecnologías de la Información, COBIT, Auditoría Informática en Internet Hospitalaria, Controles informáticos en sistemas hospitalarios.

La implantación espectacular de las tecnologías de Internet ha alcanzado también al ámbito de la Salud. Concretamente, se han creado sitios web asociados a los sistemas de información en gestión sanitaria y hospitalaria. Sin embargo, el proceso de incorporación de estas soluciones no se ha realizado en general con criterios rigurosos de eficiencia, robustez, operatividad y seguridad. Estos servicios ahora no se pueden eliminar por su utilidad demostrada, pero se pueden auditar para mejorar en calidad, nivel de servicio y seguridad.

El hospital es una de las organizaciones de mayor complejidad por su característica multidisciplinar (Blum, 1984) (Cuervo et al., 1994). En el hospital se reúnen profesionales que realizan su tarea según el Método Científico interaccionando con otros profesionales que están en contacto con el cliente/paciente. Todos ellos ofrecen servicios de Valor Añadido en Salud. Pero actualmente, este tipo de organizaciones no puede funcionar dentro de unos límites de rendimiento, operatividad y calidad, sin que haya sistemas que permitan la adquisición, almacenamiento, tratamiento y salvaguardia de toda la información generada por la propia organización o introducida desde el exterior. Estos son los Sistemas de Información Hospitalarios que son casos particulares de un sistema de información sanitario (véase la Figura 2).

Los Sistemas de Información Hospitalarios elaboran el "producto" según va atravesando las diferentes secciones de "acabado" (S.I. de producción). Los S.I. Hospitalarios son susceptibles de información utilizando la metodología TQC (Total Quality Concept) que contempla la revisión de los procesos afectados, y la automatización/mecanización de los procesos (Rondel et al., 1993). Por tanto, podemos considerar la TQC como una filosofía de gestión y metodología de actuación, que se basa en la mejora continuada de los procesos, a través de la participación de todos, para mejorar el nivel de satisfacción de los clientes/pacientes.

El concepto clásico de sistema de información soportado por un sistema informático, está basado en la existencia de un departamento o sección de informática que se responsabiliza del desarrollo, explotación y mantenimiento de equipos informáticos centralizados y las aplicaciones informáticas instaladas. Adicionalmente, y según las atribuciones definidas en el contexto oficial, estos departamentos también pueden efectuar adquisiciones de material inventariable (la adquisición del material fungible suele estar asociado a las atribuciones normales). Este enfoque hace que los distintos sistemas de información que componen la función de información de un hospital estén jerarquizados y sean estancos unos de otros, a modo y semejanza de la propia estructura del hospital (véase la Figura 2).

Sin embargo, con la incorporación de las nuevas tecnologías a las organizaciones sanitarias, y en particular a los hospitales, surgen nuevas posibilidades para el tratamiento y el flujo de la información (Gallegos, 1998). Las tecnologías de Internet, World Wide Web (WWW), E-Mail, File Transfer Protocol (FTP), redes de Área Local (LAN), redes de Área Ancha (WAM), tecnología de fibra óptica (OPF), etc., facilitan la instalación de redes internas basadas en el protocolo IP (Internet Protocol) que se denominan Intranets (Jones, 1998). Y además, se contempla la conexión de éstas con el exterior, es decir, con Internet (véase la Figura 3).

Estas tecnologías han abierto nuevas posibilidades de interacción entre las distintas unidades organizativas y entre los usuarios y la organización hospitalaria. Por ejemplo, como es el caso del Hospital de la Ribera en Alzira (Valencia), una exploración radiológica genera un conjunto de placas radiográficas que no se pasan a soporte físico sino que se almacenan digitalmente, directamente desde el instrumento de exploración. Cuando se produce una actuación clínica que necesita dichas "placas", se recuperan de la base de datos y se muestran en un monitor de alta resolución. Por otra parte, los usuarios pueden acceder a la Web del hospital para comprobar, por ejemplo, el día y la hora de la próxima cita, o la lista de citas y visitas ya realizadas, contactar con uno de los facultativos, etc. Además, el personal clínico e investigador puede acceder a bases de datos clínicas y científicas en lugar de hacer peticiones bibliográficas o acudir a bibliotecas en horario laboral. Por ejemplo, el Proyecto Genoma Humano ha puesto a disposición de la comunidad científica en general (no sólo médica) los resultados obtenidos hasta ahora. Entonces, un investigador genetista puede obtener la información relativa a los genes y polimorfismos con los que está trabajando.

Se está dando el caso de que los servicios centrales de informática en los hospitales no pueden resolver todas las necesidades de información de sus unidades orgánicas y departamentos. Así, parte de estas necesidades se han resuelto con la instalación y puesta en marcha de intranets con salida a Internet. Esto hace que el hospital se adscriba a redes afines oficiales o privadas.

Sin embargo, se plantean al mismo tiempo un conjunto de problemas de seguridad y gestión de los nuevos flujos de información y elementos constitutivos de la red que, en algunas ocasiones, superan la capacidad técnica del personal de informática. Y en la mayoría de ocasiones, superan la carga de trabajo de dicho personal (Rindfleish, 1997).

Estos problemas suelen venir provocados por la falta de planificación previa a la incorporación de nuevas tecnologías de la información. Los factores que determinan los problemas son los siguientes (Bernal-Coltell, 1996) :

• Planificación: ¿Existe un Plan Director de Sistemas de Información? Existe un Plan Estratégico de Sistemas Informáticos? ¿Existe un Plan Estratégico del hospital al cual se supediten los otros dos?
• Organización: ¿Se han definido puestos y perfiles para la gestión y el mantenimiento de las redes IP? Por ejemplo, webmaster, administrador de seguridad, etc.
• Seguridad: ¿Existen normas de uso y seguridad de las redes IP y de su contenido y se aplican éstas? ¿Existe un Plan de Contingencia? ¿Existen medidas de seguridad dentro de un sistema de control interno?
• Adquisición: ¿Se han definido las responsabilidades de adquisición (prospección del mercado, toma de decisiones, capacidad negociadora con proveedores)? ¿Se han definido las directrices generales para el proceso de adquisición si éste no está sujeto exclusivamente al marco legal público (concursos de adquisición)?
• Mantenimiento: ¿Se han definido los procedimientos de mantenimiento? ¿Existe un stock de repuestos de elementos hardware? ¿Se han firmado contratos de mantenimiento con proveedores externos y bajo qué condiciones (servicio 24 horas, 12 horas, etc.)?
• Servicios: ¿Se han definido con precisión los servicios que van a prestar las redes IP y los que NO van a prestar? ¿Se ha hecho una encuesta para detectar las necesidades de los distintos departamentos y servicios médicos? ¿Existen o se han definido indicadores de rendimiento, satisfacción de uso, operatividad, etc.?

Como se puede ver después de haber revisado la relación de factores anterior, no es suficiente la aplicación de la metodología TQC, sino que es preciso aplicar procedimientos de auditoría específicos del entorno y de las tecnologías implicadas (Lambert, 1998). Por ejemplo, Internet y los servicios que presta se ven todos los días atacados por hackers y crackers, que buscan los "agujeros de seguridad" que presentan estas tecnologías. También está muy presente el problema del ataque por virus a través de los servicios de correo electrónico. Pero también un mantenimiento lento o defectuoso de la intranet y de sus contenidos puede hacer que esta caiga en desuso por falta de interés. Y la inversión económica realizada se pierde sin remedio.

El objetivo de este trabajo es el de presentar una propuesta de un modelo para la auditoría de servicios de Internet en sistemas de información hospitalaria, teniendo en cuenta los factores y riesgos específicos de este ámbito, que está basado en un marco metodológico formal denominado COBIT (Control Objectives for Information and related Technology: Objetivos de Control para la Información y Tecnologías Afines) de la ISACA (Information Systems Audit and Control).

Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Todo ello se ha realizado aplicando el marco metodológico de auditoría denominado COBIT (Control Objectives for Information and related Technology) de la Information Systems Audit and Control Asociation (ISACA), que está ampliamente aceptado por la comunidad internacional de auditores de sistemas de información como una norma estándar.

La Misión de COBIT es la siguiente: "Investigar, desarrollar, publicar y promover un conjunto de objetivos de controlen tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores." (ISACAF-EXS, 2000).

COBIT está diseñado como un estándar aplicable y aceptable en general para la buena práctica de la auditoría de las tecnologías de la Información en todo el mundo. El producto COBIT utiliza los Objetivos de Control de ISACA, mejorados con estándares específicos de tipo técnico, profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han desarrollado para su aplicación en el amplio espectro de sistemas de información en la empresa. Estos objetivos de control tienen en cuenta lo siguiente:

El sistema consiste en objetivos de control de TI de alto nivel y una estructura global para su clasificación y funcionamiento. La teoría subyacente para la clasificación elegida, en línea con las experiencias de Re-Ingeniería, es que hay, en esencia tres niveles de esfuerzos en TI cuando se considera la gestión de los recursos de TI:

• Actividades: las actividades, junto con las tareas están en el nivel inferior. Las actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran discretas en el tiempo.
• Procesos: se definen en un nivel superior como series de actividades unidas con puntos de control naturales.
• Dominios: correspondientes al nivel superior, son agrupaciones de procesos. COBIT distingue cuatro dominios en línea con el ciclo de gestión o el ciclo de vida aplicables a los procesos de TI (véase la Figura 4):

El marco conceptual se enfoca desde tres puntos de vista distintos: criterios de gestión para la información, recursos de TI y procesos de TI. Estos tres puntos de vista se ensamblan en un formato cúbico y permiten que se obtengan referencias cruzadas en dicho marco y se pueda acceder a él eficientemente (véase la Figura 5).

Los objetivos de control de TI están organizados inicialmente por proceso/actividad, pero las ayudas para la navegación que se aportan, facilitan la entrada desde cualquier punto estratégico. También facilitan la adopción de enfoques combinados o globales, tal como la instalación/implementación de un proceso, responsabilidades de gestión global para un proceso, y el uso de los recursos de TI por un proceso.

La información que los procesos de gestión necesitan está proporcionada por el uso de los recursos de TI. Para asegurar que los requisitos de gestión para la información se aplican, se tiene que definir medidas de control adecuadas, se tiene que implementarlas y monitorizarlas sobre estos recursos. Está claro que no todas las medidas de control satisfarán los requisitos de gestión en el mismo grado, así que se hace una distinción en COBIT contemplando el cumplimiento:

• Primario (P): grado en que el objetivo de control satisface completamente el requisito de información correspondiente.
• Secundario (S): grado en que el objetivo de control satisface solamente en menor extensión o indirectamente el requisito de información correspondiente.

Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y caracterizado los elementos y los riesgos asociados. Mediante un análisis de riesgos, se han obtenido las posibles soluciones de control y objetivos de auditoría. Dada la limitación en extensión del trabajo por el contexto científico en el que se enmarca, no se pretende describir exhaustivamente todo el proceso, sino dar los resultados más destacables.

El contexto del problema es la implantación de una red IP en una organización hospitalaria para dar servicios generales de información a las distintas unidades clínicas de dicho hospital. Estos servicios deben tener distintos niveles de privilegio en función del tipo de información que proporcionan o recogen. Por ejemplo, los datos privados de los pacientes y el personal de plantilla deben tener las máximas restricciones. Los datos que describen la organización, estructura, servicios proporcionados y puntos de contacto, deben ofrecerse públicamente y, por tanto, su nivel de restricción de acceso debe ser el mínimo.

El alcance del estudio consiste en la adquisición, instalación, explotación y mantenimiento de una intranet con salida al exterior para conectarse a Internet a través de redes oficiales del sector, sean estatales, sean regionales. Los elementos que componen el sistema se resumen en la Tabla 1. En el estudio se ha tenido en cuenta todo tipo de elementos que pueden interactuar con el sistema, incluyendo usuarios/pacientes y personal interno.

Los riesgos asociados se relacionan en la Tabla 2. Por supuesto, por razones de espacio no están todos los que deberían figurar.

Se presenta y discute un modelo de desarrollo de auditoría para soluciones de Internet en los sistemas de información sanitarios del ámbito hospitalario basado en el COBIT. El modelo consiste en un subconjunto de objetivos de control y de guías de auditoría para auditar dichos objetivos.

En primer lugar, se construye el modelo en función de los dominios y los procesos de cada dominio. En este modelo se busca la adscripción a un dominio y un proceso determinado de cada una de las funciones identificadas en la incorporación de una intranet: Planificación, Adquisición, Mantenimiento, Seguridad, y Servicios (oferta y explotación de los servicios). Para cada función se determina el grado de cumplimiento de los objetivos de gestión: P, Primario; y S, Secundario (véase la Tabla 3) (ISACA-FMWK, 2000).

A continuación, para cada uno de los procesos que se relacionan con las funciones identificadas, con un grado de cumplimiento P o S, se obtienen los Objetivos de Control de Alto Nivel (ISACA-COB, 2000). Por ejemplo, para el proceso P01, Definir un plan estratégico de sistema, la función de Planificación debe auditarse con los siguientes objetivos de control para cada uno de los aspectos de este proceso (ISACAF-COB, 2000):

1. P01.1. Tecnología de Información como parte del Plan de la Organización a corto y largo plazo: La gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas de la organización.
2. ......
3. P01.6. Evaluación de Sistemas Existentes: La Gerencia de servicios informáticos debe evaluar los sistemas existentes en términos de nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades.

En tercer lugar, el modelo desglosa los Objetivos de Control de Alto Nivel en Objetivos de Control Concretos a los que se aplica las pautas y procedimientos de Auditoría que se detallan en el COBIT Audit Guidelines (ISACAF-AG), 2000).

Por ejemplo, para el Proceso P01.1, el objetivo de control concreto indicará que el auditor debe comprobar si existen planes a largo y corto plazo desarrollados por la Gerencia para la implantación de una intranet.

Por supuesto, este modelo no es sencillo sino bastante complejo y debe estar apoyado por la utilización de distintas herramientas informáticas que proporciona el mismo COBIT (ISACAF-ITOOL, 2000), o que proporcionan otros proveedores.

De una forma rudimentaria, el modelo se puede aplicar por medio de un conjunto de hojas de cálculo relacionadas entre sí para poder desglosar los Procesos, Objetivos Generales, Objetivos Concretos y Procedimientos de Auditoría.

El COBIT es un marco metodológico de auditoría de sistemas de información que se puede adaptar al ámbito sanitario y, por ejemplo, permite elaborar modelos de auditoría específicos para el conjunto de problemas asociados a la implantación, gestión y uso de soluciones web en estructuras organizativas hospitalarias.

Se ha presentado el diseño general de un Modelo de Auditoría basado en COBIT para la implantación de una intranet en una organización hospitalaria. La complejidad de las funciones asociadas a dicha implantación hace que el modelo propuesto sea también complejo. Sin embargo, con la ayuda de herrramientas informáticas, se pueden automatizar determinadas tareas básicas.

La extensión, complejidad y completitud de COBIT, añadido a la ausencia de herramientas que soportaran esta metodología en sus primeras versiones, ha hecho que los auditores no se plantearan hasta ahora la aplicación de COBIT en sus proyectos de auditoría.

Benal R., Coltell O. Auditoría de los Sistemas de Información. Servicio de Publicaciones de la Universidad Politécnica de Valencia, Valencia, 1996.

Blum B.I.(ed) Information Systems for Patient Care. Springer-Verlag, New York, 1984.

Cuervo J. L., Varela J., Belenes R. Gestión de Hospitales. Nuevos instrumentos y tendencias. Vicens Vives, Barcelona, 1994.

Gallegos F. "Telemedicine and its Place in medical systems For The Next Millennium". IS Audit & Control Journal, I; 1998: 17-20.

ISACAF. COBIT. Audit Guidelines. 3^rd ed. ISACA, Rolling Meadows, IL (USA), 2000.

ISACAF. COBIT. Control Objectives. 3^rd ed. ISACA, Rolling Meadows, IL (USA), 2000.

ISACAF. COBIT. Executive Summary. 3^rd ed. ISACA, Rolling Meadows, IL (USA), 2000.

ISACAF. COBIT. Framework. 3^rd ed. ISACA, Rolling Meadows, IL (USA), 2000.

ISACAF. COBIT. Implementation Tool Set. 3^rd ed. ISACA, Rolling Meadows, IL (USA), 2000.

ISACAF. COBIT. Management Guidelines. 3^rd ed. ISACA, Rolling Meadows, IL (USA), 2000.

Jones R.L. "The Internet and Healthcare Information Systems: How Safe Will Patient Data Be?". IS Audit & Control Journal, I; 1998: 25-30.

Lambert M. "Rx for Healthcare Crime". IS Audit & Control Journal, I; 1998: 7-7.

Rindfleisch T.C. "Privacy, Information Technology, and Health Care". Communications of the ACM, 40-8; 1997: 93-100.

Rondel R. K., Varley S. A., Webb C. (eds.) Clinical Data Management. John Wiley, New York, 1993.