Subdirección de las Tecnologías de la Información y Comunicaciones

Área de Gobernanza y Calidad

Contenido


Resumen
  • Versión: v01r00
  • Fecha publicación:  
  • Entrada en vigor desde: 

Cumplimiento normativo

Las normas expuestas son de obligado cumplimiento. La STIC podrá estudiar los casos excepcionales los cuales serán gestionados a través de los responsables del proyecto correspondiente y autorizados por el Área de Gobernanza de la STIC. Asimismo cualquier aspecto no recogido en estas normas deberá regirse en primera instancia por las guías técnicas correspondientes al esquema nacional de seguridad y esquema nacional de interoperabilidad según correspondencia y en su defecto a los marcos normativos y de desarrollo software establecidos por la Junta de Andalucía, debiendo ser puesto de manifiesto ante la STIC.

La STIC se reserva el derecho a la modificación de la norma sin previo aviso, tras lo cual, notificará del cambio a los actores implicados para su adopción inmediata según la planificación de cada proyecto.

En el caso de que algún actor considere conveniente y/o necesario el incumplimiento de alguna de las normas y/o recomendaciones, deberá aportar previamente la correspondiente justificación fehaciente documentada de la solución alternativa propuesta, así como toda aquella documentación que le sea requerida por la STIC para proceder a su validación técnica.

Contacto Arquitectura: l-arquitectura.stic@juntadeandalucia.es

Histórico de cambios

Los cambios en la normativa vendrán acompañados de un registro de las modificaciones. De este modo se podrá realizar un seguimiento y consultar su evolución. Ordenándose de mas recientes a menos recientes, prestando especial cuidado a las cabezeras de la tablas dónde se indican las fechas de entrada en vigor y versión.

Versiónv01r00Fecha publicación

 

Fecha entrada en vigor

 

Alcance
  • Versión inicial sobre normativa de auditoría de sistemas de información


1. Normativa sobre auditoria de aplicaciones

1.1 Introducción

En cumplimiento de la LOPD, los sistemas de información realizados en el contexto del Servicio Andaluz de Salud están obligadas a realizar una serie de tareas de auditoría que deben ser implementadas por la totalidad de los productos realizados en la organización.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar el fallo, o dicho en otras palabras, con frecuencia se ha denominado Auditoría al proceso de registro de eventos que sucede en una aplicación con el fin de poder depurarla para detectar errores.

El sistema de registro de Auditoría de un sistema de información debe ir encaminado a registrar la activdad del sistema con el fin de poder analizar la información en una fase posterior, pudiendo evaluar la calidad del dato y actuando en consecuencia para mejorar la eficacia y eficiencia de un sistema.

Dicho esto, podemos decir que la Auditoría Informática de Sistemas de Información es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

¿Qué se debe auditar en el SAS?

Partiendo de las definiciones anteriormente mencionadas, los sistemas de información deben centrarse en auditar las operaciones que se solicitan al sistema, es decir, acciones que realiza el usuario directamente desde la interfaz de usuario, peticiones a servicios por parte de terceras aplicaciones, etc. No siendo necesario auditar las operaciones internas que el sistema informático pueda realizar para llevar cabo la auditoria (Llamadas a base de datos, llamadas entre capas internas, accesos a serivcios web externos, etc.)

De esta forma, se definen los siguientes datos básicos que deben ser auditados cada vez que el usuario realiza una acción sobre el sistema:

  • IDENTIFICADOR: Id único del registro
  • FECHA: Cuándo se produce el evento
  • APLICACION: Identificador de la aplicación que está realizando la auditoría
  • OPERADOR: Login del operador que realiza la acción
  • PERFIL OPERADOR: Perfil del operador que realiza la acción
  • UNIDAD OPERADOR: Unidad funcional del operador que realiza la acción
  • OBJETO: Objeto que se está auditando
  • ACCION: Acción que se está realizando sobre el objeto auditado
  • RESULTADO: Indica si la operación se ha realizado con éxito (0 Correcto / 1 Incorrecto)

Adicionalmente, se definen una serie de parámetros a auditar que, no siendo básicos en un sistema de auditoría tradicional, están presentes en la mayoría de los sistemas del SAS, por lo que se han tomados como básicos para la organización.

  • PACIENTE: Identificación del paciente sobre el que se está realizando la acción
  • EPISODIO: Identificador del episodio sobre el que se está operando
  • UNIDAD PACIENTE: Unidad a la que pertenece paciente o episodio

Finalmente, dependiendo de la acción concreta que se esté auditando, se deberán registrar también aquella información adicional que se considere clave para identificar la operación que se está auditando.
Un ejemplo de información adicional a auditar podría ser el caso de una búsqueda de pacientes donde el usuario puede realizar una consulta por apellidos y edad. En este caso los campos a auditar serían, además de los mencionados previamente, el apellido introducido y la edad buscada.


Referencias