La Contraloría General de la República alertó al Ministerio de Salud (Minsa) sobre riesgos que podrían afectar la seguridad, integridad y confiabilidad del registro de la información relacionada a las personas vacunadas contra el COVID-19 en el Sistema de Salud Asistencial (HISMINSA), en el marco de la campaña de vacunación que se desarrolla en todo el país.
Se pudo verificar que el sistema HISMINSA a cargo del sector Salud, cuenta con diferentes módulos y uno de ellos es el “Módulo de Inmunizaciones”, que permite consultar la información nominal de vacunados a nivel país durante la ejecución de las campañas de vacunación, como es el caso de la jornada nacional contra el COVID-19. De esta manera, el sistema permite contar con la información de inmunizados en tiempo real, brindando apoyo necesario para la toma de decisiones.
De acuerdo con el Informe de Orientación de Oficio 29319-2021-CG/SADEN-SOO tras la intervención preventiva de un equipo de control y cuyo período de evaluación va del 14 al 16 de diciembre del presente año, se revela que usuarios del HISMINSA tienen perfiles de “Administrador” y “Digitador” que han registrado para las contraseñas y códigos de usuarios a sus números de DNI, lo que evidencia que no se ha cumplido con las disposiciones normativas referidas a la seguridad para el uso de contraseñas.
El documento denominado “Registro Nominal de Vacunación Electrónica” de la Organización Panamericana de la Salud (OPS) y la Oficina Regional para las Américas de la Organización Mundial de la Salud (OMS) señala que los sistemas de información del sector salud son clave para producir la información que guiará las decisiones estratégicas, gerenciales y operativas de los programas de inmunizaciones dentro de cada país.
Al digitar un número de DNI como código de usuario y como contraseña, los auditores de la Contraloría pudieron acceder al sistema HISMINSA, y con ello, a las opciones de registro y edición de personas vacunadas, pacientes, entre otros.
“Esta situación contraviene la Norma Técnica Peruana “NTP ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición”, donde se indica que ‘los usuarios deben seleccionar contraseñas de buena calidad y que no estén basadas en algo que cualquiera pueda adivinar u obtener usando información relacionada al usuario’”, señala el comunicado.
En base a las pruebas realizadas por la comisión de control, se pudo verificar que un usuario con perfil de “Digitador” dispone de acciones funciones, dentro del sistema HISMINSA, como registrar vacunas, consultas y descargas de información sobre registro de vacunas, listado de vacunados, ver vacunaciones, ver historiales, búsqueda de vacuna y búsqueda de vacunados.
Mientras que en la revisión del “Manual de Usuario: Módulo de Inmunización en Campañas de Salud” se pudo conocer que los usuarios con perfil de “Digitador” tienen acceso a la opción de inmunizaciones y pueden realizar la búsqueda de un paciente a través de filtros como DNI, apellidos y nombres, descripción o por rango de edad.
En cuanto al registro de personas, en dicho manual de usuario se indica que el “Digitador” tiene acceso a las opciones de registro y edición de pacientes, y de personas vacunadas.
-Recomendaciones-
Ante estos hechos, el informe de control recomienda hacer de conocimiento del ministro de Salud, Hernando Cevallos, todo lo detectado, con la finalidad que se adopten medidas inmediatas para salvaguardar el registro de la información en el sistema informático HISMINSA, con la finalidad de asegurar el logro de objetivos del proceso de personas vacunadas contra la COVID-19.
También se recomienda al titular del Minsa que debe comunicar al Órgano de Control Institucional (OCI) de la entidad, su plan de acción, con las medidas que vayan a ser implementadas.
El informe elaborado por la Subgerencia de Atención de Denuncias de la Contraloría está publicado en el Buscador de Informes de Servicios de Control del portal institucional www.gob.pe/contraloria en aras de la transparencia y acceso a la información.