DOI 10.35381/cm.v8i4.860
Norma ISO 9001 del sistema de información del Hospital Cuba Center, Santo Domingo, Ecuador
ISO 9001 standard of the information system of the Cuba Center Hospital, Santo Domingo, Ecuador
Jimena Viviana Elizalde-Vera
ns.jimenavev59@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Santo Domingo, Santo Domingo de los Tsáchilas
Ecuador
https://orcid.org/0000-0003-2707-7844
Miriam Janneth Pantoja-Burbano
ui.miriampantoja@uniandes.edu.ec
Universidad Regional Autónoma de los Andes, Ibarra, Imbabura
Ecuador
https://orcid.org/0000-0002-5643-6511
Recibido: 01 de mayo 2022
Revisado: 25 de junio 2022
Aprobado: 01 de agosto 2022
Publicado: 15 de agosto 2022
RESUMEN
La presente investigación tuvo por objetivo determinar mediante la norma ISO 9001, la fiabilidad que tiene el sistema de seguridad informático, que emplea el hospital Cuba Center. La investigación fue de tipo exploratorio, descriptivo y explicativo, y el método analítico sintético. En este sentido, se planteó la segmentación de la norma ISO 9001, bajo sus tres subcomponentes, los cuales son: Fundamentos y vocabularios; requisitos para conseguir la gestión de calidad y; enfoque sostenido de la gestión de calidad. Los resultados de forma global dan la media de 3,468 la misma que da un sistema de seguridad aceptable, pero con deficiencia, las mismas que están siendo corregidas con la premisa de poseer la certificación ISO 9001 que garantice un proceso de calidad.
Descriptores: Normas; sistema; informática; seguridad; gestión. (Tesauro UNESCO).
ABSTRACT
The objective of this research was to determine, through the ISO 9001 standard, the reliability of the computer security system used by the Cuba Center hospital. The research was of an exploratory, descriptive and explanatory type, and the synthetic analytical method. In this sense, the segmentation of the ISO 9001 standard was proposed, under its three subcomponents, which are: Foundations and vocabularies; requirements to achieve quality management and; sustained approach to quality management. The global results give the average of 3,468, the same as an acceptable security system, but with deficiencies, the same ones that are being corrected with the premise of having the ISO 9001 certification that guarantees a quality process.
Descriptors: Standards; system; computing; security; management. (UNESCO Thesaurus).
INTRODUCCIÓN
En la actualidad, la utilización de las redes informáticas o redes de comunicación han permitido que la sociedad consiga una etapa evolutiva, en la cual se puede compartir información con otra persona o entidad de forma instantánea (Pérez, Rivera, & Trujillo, 2019) .Y es que, el objetivo impulsor para la creación del internet en el año 1969 (Jiménez, 2017; García & Tirado, 2018), fue ese conectar a las personas, empresas o entidades independiente de su ubicación geográfica. Sin embargo, el intercambio o envío de información mediante sistemas informáticos no siempre suele ser impermeable –no puede acceder a dicha información o envío una tercera persona– (Hernández & Ibarra, 2018). Esto se debe, a que los nodos pueden ofrecer un volumen cualitativo de información que mediante el cifrado de la dirección IP (Protocolo de Internet) la información o datos personales quedan expuestos (Muñoz & Rivas, 2015). Por esta razón, los sistemas son vulnerados constantemente; no obstante, desarrolladores en su afán de proveer tranquilad y seguridad a los clientes, se encuentran de forma incesante potenciando los algoritmos de los mismos (Ríos, Morales, & Sandoya, 2017; Vera & Vera, 2017; Suárez & Fontalvo, 2015)
Uno de los ejemplos de mayor relevancia en los últimos años referente a vulneración a la seguridad informática se dio en el periodo de años comprendidos entre 2010 a 2012 por parte de Julian Assange, el cual fue publicado en el sitio web Wikileaks (Quian & Elías, 2018). En el mencionado website se expusieron más de 900.000 correos electrónicos en donde uno de los actores principales, es el Departamento de seguridad de los Estados Unidos; en dicha filtración de e-mails, se vislumbran conversaciones denominadas “confidenciales” (Hunt, 2019). De acuerdo a aquello, se configuró una violación a las normas de privacidad, lo cual ha traído consigo un sin número de acciones legales en contra de Assange (Poynting, 2019; OLIVER, 2018).
Por esta razón, la violación a la privacidad informática, es una constante amenaza (Zallas, Pérez, & Sonora, 2018). En este sentido, Ecuador durante la primera semana de septiembre fue víctima de aquello, cuando se expusieron más de 20 millones de registros informáticos como: número de tarjetas de crédito, número de cuentas bancarias, correos electrónicos, números de teléfonos (Bolaños, 2019). Esta cantidad de filtración tuvo datos de personas fallecidas, así como también de niños. La mencionada información fue extraída de entidades como: Registro Cilvil del Ecuador, Empresas Automotrices del Ecuador (Aeade), Banco del Instituto Ecuatoriano de Seguridad Social (Biess), entre otras (Redacción Web, 2019).
Debido a los antecedentes expuestos y normativas citadas, la presente investigación tiene como objetivo analizar el proceso de calidad que tiene la seguridad informática que posee el hospital Cuba Center, localizado en la ciudad de Santo Domingo mediante la norma ISO 9001. La motivación que se tiene para analizar esta norma en el centro de salud, es que al ser un lugar que presta un servicio (salud) se encuentra sujeto a posibles vulneraciones que puede afectar directamente a los pacientes, sobre todo en sus datos como son nombres, etnia, condición médica y si pagan mediante tarjeta, sus datos económicos pueden estar sujetas a filtraciones.
El hospital Cuba Center que, en su inicio funcionó como clínica se encuentra prestando sus servicios no solo a los ciudadanos del medio, sino que también a los de sectores aledaños desde el 08 de noviembre del 2005 (ACESS, 2020); no obstante, desde el año 2011, este centro médico firmó un convenio con el Instituto Ecuatoriano de Seguridad Social (IESS), para atender a los afiliados de esta entidad (Instituto Ecuatoriano de Seguridad Social, 2012). El centro médico se encuentra ubicado en la Av. Quinindé km 2 ½ y debido a lo antes expuesto, existe gran cantidad de usuarios (pacientes) que se atienden diariamente. En promedio diario se atienden 700 personas, de los cuales 470 son de consulta externa, 150 hospitalización y 80 acceden al área de emergencia. Por su parte, el hospital para cubrir esta demanda cuenta con 80 trabajadores, de los cuales 20 son médicos especialistas, 4 son médicos generales, 30 son enfermeras, 4 son auxiliares de enfermería, 8 son del departamento de informática y 12 son del personal administrativo. El personal que se dedica a la higiene del hospital, es una empresa externa (Sarmiento, 2017).
Resulta oportuno analizar la seguridad y fiabilidad de sistema informático de este centro médico especializado, ya que la misión del mismo esta principalmente en un enfoque al cliente, el cual debe tener un alto índice de compromiso por precautelar la información de sus pacientes, tanto financiera como médica (diagnóstico).
Para realizar un correcto estudio de la norma, se debe entender que, la misma se segmenta en tres subcomponentes, como son: ISO 9000:2015 que se enfoca en los principios y vocabulario en la gestión de calidad, por lo que se emplea para comprender los conceptos en el cual los usuarios puedan cumplir los objetivos (Álvarez, 2016); ISO 9001:2015 los riquitos para conseguir la gestión de calidad (Fontalvo & Hoz, 2018); ISO 9004:2018 que, es el enfoque sostenido de la gestión de calidad. Estos tres subcomponentes, aseguran el éxito y un correcto uso de esta norma.
METODOLOGÍA
Los tipos de investigación fueron exploratorios, descriptivos y explicativo. El exploratorio, permitió familiarizarse con el objeto de estudio además del hospital donde se realizó la investigación. El tipo descriptivo y explicativo se conjugo en aras de detallar los resultados, el método para discretizar la investigación fue analítico sintético. En este sentido, se planteó la segmentación de la norma ISO 9001, bajo sus tres subcomponentes, los cuales son: Fundamentos y vocabularios; Requisitos para conseguir la gestión de calidad y enfoque sostenido de la gestión de calidad.
RESULTADOS
Fundamentos y vocabularios
El diseño de las preguntas tuvo cuatro aristas: compromiso del hospital y sus colaboradores, garantía al sistema informático, parámetros estandarizados con la ISO 9000, innovación. El hospital en sus políticas internas, promulga la participación activa de todo el personal con el objetivo de precautelar la información de los pacientes, uno de los parámetros que tienen, es que solo un grupo selecto de operarios tienen acceso a la base de datos pacientes. Es así como de forma estable se puede garantizar la no vulnerabilidad a la base de datos y por ende adquiere un sistema de calidad, además de actualizar periódicamente el cifrado al algoritmo (criptografía) de entrada al sistema. De esta forma, el hospital cuenta con un sistema de gestión y control que se establece mediante parámetros no solo de calidad, sino también de innovación.
Debido a esto, la norma obtiene una calificación de 3,375, la cual de acuerdo a la escala de clasificación la ubica en el baremo de: aceptable como se presenta en la tabla 2. Ya que se promulgan y realizan muchos procedimientos; sin embargo, falta mayor énfasis al momento de gestionar variables resolubles que tengan como propósito, la homogeneidad de criterios.
Tabla 2.
Evaluación del subcomponente ISO 9000, la misma que fue respondida por el departamento de sistemas del hospital.
|
Subcomponente evaluado |
Pregunta |
Calificación |
Clasificación |
||
|
ISO 9000; Fundamentos y Vocabulario. |
El hospital promulga la participación activa de todo personal para cuidar la información de los pacientes. El hospital tiene como fundamento garantizar la no vulnerabilidad de su base de datos, en la cual está la información de sus pacientes. El hospital cuenta con un sistema de gestión y control que se establece mediante parámetros de calidad. Dentro de las políticas de seguridad que tienen, todas están contempladas mediante la innovación constantemente. |
3,5
3,375
3
3,625 |
Aceptable
Aceptable
Estable
Aceptable |
||
|
Media |
3,375 |
Aceptable |
|||
Fuente: Encuesta aplicada.
Requisitos para conseguir la gestión de calidad
Los parámetros evaluados fueron: evidencias, enfoque al cliente, liderazgo regional.
De acuerdo al responsable del departamento de informática, en el hospital existen evidencias de posibles intentos para vulnerar su seguridad informática, en el cual, se percibieron en contadas ocasiones errores en la gestión de recursos y en los de sistema de validación, con estos dos tipos de errores que ocurrieron ha habido amenazas de Malware. En este sentido, la contrastación de los años 2018 y 2019 se da en aras de conocer los meses, en donde existen mayores intentos de vulneración. En el año 2018 al igual que el año 2019 existieron 12 intentos de vulneración; sin embargo, en diciembre del año 2018 se contabilizaron 7 veces que el sistema del hospital quiso ser permeabilizado por agentes externos; mientras que en el año 2019 en el mes de septiembre se contabilizaron 5 intentos de vulneración; no obstante, desde el mes de Julio de ese mismo año se venían acarreando problemas con la cartografía del sistema como se detalla en la figura 2. Esto, coincide con los hechos acontecidos en el año 2019, cuando existió una vulneración masiva a entidades ecuatorianas y la información de acceso fue publicada en portales internacionales; no obstante, de acuerdo al departamento de informática del hospital, la entidad no fue vulnerada en ningún momento. Desde el 2020 hasta la actualidad, no han registrado intentos de vulneración, una de las razones, es el encriptamiento de la información y la optimización del sistema, mediante el apoyo de una consultora externa.
Figura 2. Configuración de las normas de calidad para evaluar el sistema de seguridad informática que tiene el hospital Cuba Center.
Fuente: Departamento de informática del Hospital Medical Cuba Center.
Por esta razón, todas las decisiones de seguridad informática están enfocadas en el cliente, donde el hospital gestiona alianzas estratégicas con empresas tanto nacionales como internacionales que se dedican a la ciberseguridad. Es así que, uno de los objetivos que tiene el hospital para el año 2025, es ser líder nacional en seguridad informática, lo cual ponderará al hospital entre los mejores hospitales de la región. En este contexto, este objetivo se propone, ya que en el hospital existen pacientes que son diagnosticados con enfermedades catastróficas y el estado ecuatoriano garantiza la privacidad de las personas.
Dado este precepto, la calificación del subcomponente evaluado es de 3,625; la cual es aceptable como se detalla en la tabla 3; ya que a pesar de tener reportes que evidencian que el sistema del hospital ha querido ser vulnerado, según los encargados del departamento de informática, afirman no haber tenido filtración de su información.
Tabla 3.
|
Subcomponente evaluado |
Pregunta |
Calificación |
Clasificación |
|
ISO 9001; Requisitos para conseguir la gestión de calidad. |
¿Las decisiones que toman para cuidar y preservar la información informática que maneja el hospital, está basada en evidencias? Todas las mejoras informáticas para preservar la información, ¿Están enfocada en el cliente? ¿Existe la gestión para entablar relaciones con empresas que prestan servicios para mejorar la seguridad informática? El hospital se esfuerza en ser líder y referente en cuidar la información de sus pacientes. |
4,125
3,375
4
3 |
Optimo
Aceptable
Aceptable
Estable |
|
Media |
|
3,625 |
Aceptable |
Fuente: Encuesta aplicada.
Enfoque sostenido de la gestión de calidad
Los enfoques que tuvieron las preguntas de este indicador fueron: mejora continua, autoevaluación, auditorias informáticas, seguridad y confianza. Las respuestas dadas en la norma del enfoque sostenido para conseguir una gestión de calidad eficiente ya son entendidos como axiomas, ya que los antecedentes los vislumbran de esta forma. Es así que, la retroalimentación que se realiza en el departamento de sistema del hospital se da conjuntamente con las auditorías de calidad que se realizan donde se somete a evaluación los protocolos de seguridad. A pesar, de que el hospital actualmente, no cuenta con la certificación ISO 9000, pero sus esfuerzos se están realizando con el propósito de ser merecedor a una certificación de esta índole. Por esta razón, bajo los parámetros establecidos la calificación de este subcomponente, es de: 3,406; la misma que, es aceptable como se detalla en la tabla 4. Vista desde el punto de requisitos que se están cumpliendo, pero deben mejorar si desean ser merecedores de la certificación.
Tabla 4.
Evaluación del subcomponente ISO 9004, la misma que fue respondida por el departamento de sistemas del hospital.
|
Subcomponente evaluado |
Preguntas |
Calificación |
Clasificación |
|
ISO 9004; Enfoque sostenido de la gestión de calidad. |
Existe una mejora continua en el algoritmo que cuida la información de los pacientes. Existe autoevaluación en el cual someten al sistema de seguridad informática a variables que denoten posibles vulnerabilidades en la base de datos. Se realizan auditorías informáticas periódicamente. Pueden asegurar a sus usuarios que sus datos no están expuestos ante posible vulneración del sistema informático del hospital. |
3,375
3,375
3,25
3,625 |
Aceptable
Aceptable
Aceptable
Aceptable |
|
Media |
|
3,406 |
Aceptable |
Fuente: Encuesta aplicada.
En este sentido, la conjugación de estos tres subcomponentes visualiza que el hospital Cuba Center cuenta con un sistema de seguridad informático aceptable como se precisa en la figura 3, el mismo que se encuentra en una mejora constante, todo esto en aras de obtener la certificación ISO 9000.
Figura 3. Configuración de los subcomponentes que conforman la norma de calidad para evaluar el sistema de seguridad informática que tiene el hospital Cuba Center.
CONCLUSIONES
El análisis mediante la norma ISO 9000 para determinar la fiabilidad que tiene el sistema de seguridad informática que emplea el hospital Cuba Center localizado en la ciudad de Santo Domingo, refleja índices de confianza, sobre todo cuando todos los esfuerzos se dan con un enfoque a los pacientes, en aras de preservar su información tanto financiera como de diagnósticos.
El manejo de los fundamentos y vocabularios de forma general en todo el personal del hospital se han definido de forma simétrica, alcanzado de esta manera una homogeneidad entre todo el personal. Todo esto se da con el objetivo de comprometer a todo el personal operativo que cuide bajo parámetros de calidad la información de sus pacientes. Así mismo, los requisitos que se establecen para cumplir con las normas de calidad se dan a cabalidad, ya que tienen objetivos a mediano plazo y la forma de ir evaluando aquello es mediante la retroalimentación y auditoras frecuentes.
Los intentos de vulneraciones de los cuales está siendo sujeto el hospital se mantienen en el vector de magnitud de forma constante, lo más seguro es que a corto plazo el sistema de seguridad sea permeable, a no ser que, se configure un sistema de encriptamiento de información más solvente.
FINANCIAMIENTO
No monetario.
AGRADECIMIENTO
A la Universidad Regional Autónoma de los Andes; por motivar el desarrollo de la investigación.
REFERENCIAS CONSULTADAS
ACESS. (09 de 11 de 2020). ACESS aprueba unidad de diálisis para Hospital Medical Cuba Center [ACESS approves dialysis unit for Hospital Medical Cuba Center]. https://n9.cl/nxrpxv
Álvarez, J. G. (2016). ISO 9000:2015. Valor estratégico y retos para su implementación. [Strategic value and challenges for its implementation]. Red Internacional de Investigadores en Competitividad, 10.
Bolaños, C. (16 de 09 de 2019). Datos de toda la población ecuatoriana está filtrada en línea. Diario METRO. [Data of the entire Ecuadorian population is filtered online. Journal METRO ].
Fontalvo, T., & Hoz, E. D. (2018). Diseño e Implementación de un Sistema de Gestión de la Calidad ISO 9001:2015 en una Universidad Colombiana. [Design and Implementation of an ISO 9001:2015 Quality Management System in a Colombian University]. Formación universitaria, 11(1). doi: https://n9.cl/efz5u
Hernández, R. V., & Ibarra, C. M. (2018). Concientización y capacitación para incrementar la seguridad informática en estudiantes universitarios. [Awareness and training to increase computer security in university students]. PAAKAT: revista de tecnología y sociedad, 8(14). https://n9.cl/nxtzc
Hunt, E. (2019). The WikiLeaks Cables: How the United States Exploits the World, in Detail, from an Internal Perspective, 2001–2010. Journal Diplomacy & Statecraft, 30, 70-98. doi: https://doi.org/10.1080/09592296.2019.1557416
Jiménez, A. G. (2017). Internet y derechos de autor. [Internet and copyright ]. ALEGATOS, 32(97).
Li, S., Xu, L. D., & Zhao, S. (2018). 5G Internet of Things: A survey. Journal of Industrial Information Integration, 10, 1-9. https://n9.cl/2wyvy
Muñoz, M., & Rivas, L. (2015). Estado actual de equipos de respuesta a incidentes de seguridad informática. RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação, 1-15. https://n9.cl/3rr7m
Oliver, M. C. (2018). ¿ÉTica hacker o protestantismo 2.0? Revista de Estudios Culturales; L'Eliana, 24(2), 55-68.
Pérez, J. C., Rivera, J. M., & Trujillo, E. R. (2019). Redundancia en Redes de Comunicación para la Automatización y Protección de Sistemas de Potencia Eléctrica con IEC 61850. [Redundancy in Communication Networks for the Automation and Protection of Electrical Power Systems with IEC 61850]. Información tecnológica, 30(1). https://n9.cl/qd147
Poynting, S. (2019). Julian Assange and state crime. Australian Socialist, 25(1), 15-17.
Quian, A., & Elías, C. (2018). Estrategias y razones del impacto de WikiLeaks en la opinión pública mundial. [Strategies and reasons for the impact of WikiLeaks on world public opinion]. Reis: Revista española de investigaciones sociológicas, 91-110.
Redacción Web. (16 de 09 de 2019). Millones de datos de ecuatorianos se filtraron de servidor en Miami. [Millions of data from Ecuadorians were leaked from the server in Miami ]. El Telégrafo. https://n9.cl/mpd01
Ríos, N. R., Morales, E. L., & Sandoya, S. D. (2017). Seguridad Informática, un mecanismo para salvaguardar la Información de las empresas. [Computer Security, a mechanism to safeguard company information]. Revista PUBLICANDO, 4(10).
Sanskriti, C., & Astitwa, B. (2018). Significance of ISO/IEC 27001 in the Implementation of Governance, Risk and Compliance. International Journal of Scientific Research in Network Security and Communication, 6(2).
Sarmiento, C. L. (13 de Noviembre de 2017). Medical Cuba center. [Medical Cuba center].
Suárez, D., & Fontalvo, A. Á. (2015). Una forma de interpretar la seguridad informática. [A way to interpret computer security]. Journal of Engineering and Technology, 16-23.
Zallas, E. A., Pérez, R. R., & Sonora, U. E. (2018). Seguridad informática una problemática de las organizaciones en el Sur de Sonora. [Computer security a problem of organizations in the South of Sonora]. Revista De Investigación Académica Sin Frontera: División De Ciencias Económicas Y Sociales, 25
©2022 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0) (https://creativecommons.org/licenses/by-nc-sa/4.0/