Este documento habla sobre conceptos básicos de seguridad informática como autenticación, integridad, confidencialidad, disponibilidad y control de acceso. También describe los objetivos de la seguridad informática, como diseñar estándares y minimizar riesgos. Además, explica elementos como políticas de seguridad, administración de riesgos, amenazas comunes como ataques informáticos y malware.
1. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
SEGURIDAD Y
AUDITORÍA
INFORMÁTICA
2. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
SEGURIDAD Y AUDITORIA INFORMÁTICA
Concepto de Seguridad Informática:
.Área de la Seguridad informática que se enfoca
en la protección de la infraestructura computacional y
todo lo relacionado con esta y, especialmente, la
información contenida o circulante. Garantizando que
los recursos informáticos de una compañía estén
disponibles para cumplir sus propósitos, es decir, que no
estén dañados o alterados por circunstancias o factores
externos. Jeffrey l. Whiten (1997).
La seguridad informática comprende
software (bases de datos, metadatos,
archivos), hardware y todo lo que la
organización valore y signifique un riesgo
si esta información confidencial llega a
manos de otras personas, convirtiéndose,
por ejemplo, en información privilegiada
3. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Objetivos
Diseñar una serie de
estándares, protocolos,
métodos, técnicas, reglas,
herramientas y leyes
concebidas para conseguir
un sistema de información
seguro y confiable
.
La seguridad informática
está concebida para
proteger los activos
informáticos
(infraestructura
Computacional, Datos y
Usuarios).
Minimizar los posibles
riesgos y amenazas a
la infraestructura o a la
información.
Garantizar la confidencialidad,
integridad, disponibilidad y
autenticidad de los datos e
informaciones,
Implementar un
Política de Seguridad y
Admón. de Riesgos
SEGURIDAD Y AUDITORIA INFORMÁTICA
4. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
SEGURIDAD Y AUDITORIA INFORMÁTICA
Política de
Seguridad
Plan de Seguridad
Normas y Procedimientos
Medidas Tecnológicas implantadas
Formación y Mentalización
5. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fundamentos Básicos
Autenticación. Garantizar que quién solicita un acceso
es quién dice ser:
• Manejo de Passwords (Algo que se conoce)
• Estáticos
• Dinámicos (cambio periódico),
• Reglas de Inducción (Algo que se sabe generar),
• Token Cards, SmartCards (Algo que se tiene),
• Biométricos (Algo propio de un ente).
SEGURIDAD Y AUDITORIA INFORMÁTICA
6. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fundamentos Básicos
Integridad. Garantizar que la información es la
misma de origen a destino:
• Huella digital de los datos - Hash (Checksum),
SEGURIDAD Y AUDITORIA INFORMÁTICA
7. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fundamentos Básicos
Confidencialidad. Garantizar que nadie
pueda entender la información que fluye:
• Software y Hardware (combinaciones),
• Encripción Simétrica y Asimétrica,
• DES, TripleDES, AES(Seleccionado RIJNDAEL),RSA.
SEGURIDAD Y AUDITORIA INFORMÁTICA
8. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fundamentos Básicos
Disponibilidad. Garantizar que los servicios
estén activos en todo momento:
• Plan de Continuidad: Planes de Contingencia, Operativa y
Tecnológica, Pruebas Periódicas, Talleres Prácticos,
Compromiso de los Clientes (Nivel de Acuerdo).
SEGURIDAD Y AUDITORIA INFORMÁTICA
9. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fundamentos Básicos
Control de Acceso: Permitir que algo o alguien
acceda sólo lo que le es permitido:
•Políticas de Acceso,
•Asociación usuarios y recursos,
•Administración de recursos,
o Periféricos,
o Directorios,
o Archivos, etc,
o Horarios
o Disponibilidad
SEGURIDAD Y AUDITORIA INFORMÁTICA
10. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fundamentos Básicos
No-Repudiación. Garantizar que quién genere
un evento válidamente, no pueda retractarse:
•Certificados Digitales,
•Firmas Digitales,
•Integridad,
•No copias de la llave privada para firmar.
SEGURIDAD Y AUDITORIA INFORMÁTICA
11. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Política de Seguridad
La política de seguridad en la organización debe incluir:
• Alcance y ámbito de la Política de Seguridad.
• Responsabilidades y Organización de la Seguridad de la
Información
• Establecimiento de Controles (Preventivos, defectivos y correctivos)
• Seguridad del personal
• Seguridad de los datos
• Seguridad física
• Seguridad en las comunicaciones
• Control de los accesos a los sistemas de información
• Mantenimiento de las aplicaciones:
• Contingencia y Continuidad del negocio
• Plan de auditorias
SEGURIDAD Y AUDITORIA INFORMÁTICA
12. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Administración de Riesgos
• Riesgo: Probabilidad de ocurrencia de un evento
adverso (DOS).
• Amenaza: Causante de un evento adverso (Virus).
• Vulnerabilidad: Debilidad frente a una amenaza(No
tener AntiVirus).
• Incidente: Materialización de un riesgo
• Impactos: Imagen, dinero, mercado, etc.
SEGURIDAD Y AUDITORIA INFORMÁTICA
13. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Amenazas y Tipos de Amenazas
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o
acción que puede producir un daño (material o inmaterial) sobre los
elementos de un sistema. Tipos de Amenazas:
SEGURIDAD Y AUDITORIA INFORMÁTICA
14. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Los tipos de amenazas más comunes:
• Ataques Informáticos
• Robo de información.
• Destrucción de información.
• Anulación del funcionamiento de los sistemas o efectos que
tiendan a ello.
• Suplantación de la identidad, publicidad de datos personales
o confidenciales, cambio de información, venta de datos
personales, etc.
• Robo de dinero, estafas
• Daños a la Infraestructura por desastres naturales ,
intencionales y no intencionales( por falta de conocimiento)
• Fallos electronicos
SEGURIDAD Y AUDITORIA INFORMÁTICA
15. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Los tipos de amenazas según su intensión:
• Interrupción o denegación: Un recurso del sistema o de la red, deja de estar
disponible, colapsar total o parcialmente a un servidor para que éste no pueda dar
respuesta a los comandos.
• Modificación: La información de la que se dispone, es modificada sin autorización y
por lo tanto deja de ser válida.
• Intercepción: El intruso accede a la información de nuestros equipos, o a la
información que enviamos por la red.
• Fabricación: Consiste en crear un producto que sea difícil de distinguir del autentico y
que es utilizado para hacerse con la información confidencial de los usuarios.
• repetición: ocurre cuando un pirata informático copia una secuencia de mensajes
entre dos usuarios y envía tal secuencia a uno o más usuarios.
• Diccionario: En este caso, el pirata informático obtiene distintos nombres de usuarios
y con ellos, desde un ordenador, empieza a adivinar las contraseñas con base en
palabras de diccionarios en distintos idiomas.
SEGURIDAD Y AUDITORIA INFORMÁTICA
16. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Los tipos de ataques informáticos más comunes:
Malware. Es el acrónimo, en inglés, de las palabras ‘malicious’ y ‘software’, por lo
que se conoce como software malicioso. En este grupo se encuentran los virus
clásicos.
Virus. Es un programa informático creado para producir algún daño en el
computador. Posee dos características particulares: pretende actuar de forma
transparente al usuario y tiene la capacidad de reproducirse a sí mismo
Spam. Es el correo electrónico no deseado o correo basura, que se envía sin ser
solicitado, de manera masiva, por parte de un tercero. Aunque en un principio se
utilizaba para envío de publicidad, se ha visto un creciente uso con el fin de
propagar códigos maliciosos.
Spyware. Los programas espía son aplicaciones que recopilan información del
usuario sin su consentimiento. Su objetivo más común es obtener datos sobre los
hábitos de navegación o comportamiento en la web del usuario atacado y enviarlos
a entes externo
SEGURIDAD Y AUDITORIA INFORMÁTICA
17. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Phishing. Consiste en el robo de información personal y financiera del usuario, a través de la
falsificación de un ente de confianza. El usuario recibe un correo electrónico simulando la
identidad de una organización de confianza, por lo que este, al confiar en el remitente, envía
sus datos directamente al atacante.
Virus.
Ingeniería social. Es una acción o conducta social destinada a conseguir información de las
personas cercanas a un sistema por medio de habilidades sociales.
Adware. Programa malicioso que se instala en el computador sin que el usuario lo note, y
cuya función es descargar y mostrar anuncios publicitarios en la pantalla de la víctima y
disminuye el rendimiento del equipo y de la navegación por la Red ya que utiliza recursos del
procesador, la memoria y el ancho de banda. Por lo general, el adware utiliza información
recopilada por algún spyware para decidir qué publicidad mostrar.
Botnets. Es una red de equipos infectados (robot o zombi) por códigos maliciosos, los cuales
son controlados por un delicuente informático el cual, de manera remota, envía órdenes a
los equipos zombis haciendo uso de sus recursos.
SEGURIDAD Y AUDITORIA INFORMÁTICA
18. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Gusanos. Son un sub-conjunto de malware. Su principal diferencia con los virus tradicionales es
que no necesitan de un archivo anfitrión para seguir vivos, por lo que se reproducen utilizando
diferentes medios como las redes locales o el correo electrónico.
Troyanos. Su nombre proviene de la leyenda del caballo de Troya, pues se disfraza para
engañar al usuario: Los archivos que simulan ser normales e indefensos, como pueden ser
juegos o programas, provocan al usuario para que los ejecute y así logran instalarse en los
sistemas.
Scam. Es el nombre utilizado para las estafas a través de medios tecnológicos. Los medios
utilizados por el scam son similares a los que utiliza el phishing, si bien su objetivo no es
obtener datos sino lucrar de forma directa a través del engaño. Las técnicas más comunes son
el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa.
Rootkit. Son herramientas como programas, archivos, procesos, puertos o cualquier
componente lógico diseñadas para mantener en forma encubierta el control de un computador.
SEGURIDAD Y AUDITORIA INFORMÁTICA
19. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Los tipos de Atacantes:
• Hackers: Son normalmente informáticos, que quieren descubrir vulnerabilidades
de los sistemas por gusto, sin motivación económica ni dañina.
• Crackers: Son las personas que rompen la seguridad del sistema con intención
maliciosa, para dañarla u obtener beneficios económicos.
• Sniffers: Son expertos en redes que analizan el trafico de la red, para obtener
información extrayéndola de los paquetes que se transmiten por la red.
• Ciberterrorista: Son expertos informáticos que trabajan para países u
organizaciones como espías si saboteadores informáticos.
• Programadores de virus: Estas personas deben ser expertos en programación
redes y sistemas., que crean programas dañinos que afectan a aplicaciones y a
sistemas.
• Carders: Son personas que se dedican a ataques de sistemas de tarjetas como
cajeros automáticos.
• Pirata Informático: El que vende Software ilegal
• Insider: Usuario Interno de la organización que hace daño
SEGURIDAD Y AUDITORIA INFORMÁTICA
20. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Una auditoría informática o auditoría de seguridad de sistemas de información
(SI) es el estudio que comprende el análisis y gestión de sistemas llevado a
cabo por profesionales para identificar, enumerar y posteriormente describir
las diversas vulnerabilidades que pudieran presentarse en una revisión
exhaustiva de la infraestructura tecnológica y lo datos de una organización.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los
responsables quienes deberán establecer medidas preventivas de refuerzo
y/o corrección siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas aprendiendo de los
errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su
realización cuál es la situación exacta de sus activos de información en
cuanto a protección, control y medidas de seguridad.
Concepto de Auditoria Informática:
SEGURIDAD Y AUDITORIA INFORMÁTICA
21. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fases de la Auditoria Informática:
Fase I: Conocimientos del Sistema
Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo tanto
constituyen el marco de referencia para su evaluación.
Características del Sistema Operativo.
Organigrama del área que participa en el sistema
Manual de funciones de las personas que participan en los procesos del
sistema
Informes de auditoría realizadas anteriormente
Características de la aplicación de computadora
Manual técnico de la aplicación del sistema
Funcionarios (usuarios) autorizados para administrar la aplicación
Equipos utilizados en la aplicación de computadora
Seguridad de la aplicación (claves de acceso)
Procedimientos para generación y almacenamiento de los archivos de la
aplicación.
SEGURIDAD Y AUDITORIA INFORMÁTICA
22. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fase II: Análisis de transacciones y recursos
Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en
procesos y estos en subprocesos. La importancia de las transacciones
deberá ser asignada con los administradores.
Análisis de las transacciones
• Establecer el flujo de los documentos
En esta etapa se hace uso de los flujo gramas ya que facilita la visualización
del funcionamiento y recorrido de los procesos.
Análisis de los recursos
• Identificar y codificar los recursos que participan en el sistemas
Relación entre transacciones y recursos
SEGURIDAD Y AUDITORIA INFORMÁTICA
23. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fase III: Análisis de riesgos y amenazas
Identificación de riesgos
• Daños físicos o destrucción de los recursos
• Pérdida por fraude o desfalco
• Extravío de documentos fuente, archivos o informes
• Robo de dispositivos o medios de almacenamiento
• Interrupción de las operaciones del negocio
• Pérdida de integridad de los datos
• Ineficiencia de operaciones
• Errores
Identificación de las amenazas
• Amenazas sobre los equipos:
• Amenazas sobre documentos fuente
• Amenazas sobre programas de aplicaciones
Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la
observación de los recursos en su ambiente real de funcionamiento.
SEGURIDAD Y AUDITORIA INFORMÁTICA
24. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fase IV: Análisis de controles
Codificación de controles
Los controles se aplican a los diferentes grupos utilizadores de
recursos, luego la identificación de los controles deben contener
una codificación la cual identifique el grupo al cual pertenece el
recurso protegido.
Relación entre recursos/amenazas/riesgos
La relación con los controles debe establecerse para cada tema
(Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno
o más controles
Análisis de cobertura de los controles requeridos
Este análisis tiene como propósito determinar si los controles que
el auditor identificó como necesarios proveen una protección
adecuada de los recursos.
SEGURIDAD Y AUDITORIA INFORMÁTICA
25. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fase V: Evaluación de Controles
Objetivos de la evaluación
• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles
existentes
Plan de pruebas de los controles
• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos
necesarios de prueba.
Pruebas de controles
SEGURIDAD Y AUDITORIA INFORMÁTICA
26. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Fase VI: Informe de Auditoria
Informe detallado de recomendaciones
• Evaluación de las respuestas
• Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las
respuestas de compromiso de las áreas.
Introducción: objetivo y contenido del informe de auditoria
• Objetivos de la auditoría
• Alcance: cobertura de la evaluación realizada
• Opinión: con relación a la suficiencia del control interno del sistema
evaluado
• Hallazgos
Fase VII: Seguimiento de Recomendaciones
Informes del seguimiento
Evaluación de los controles implantados
SEGURIDAD Y AUDITORIA INFORMÁTICA
27. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Según investigación realizada por Oscar Bernal-Acevedo y Juan Camilo Forero-Camacho
sobre Sistemas de información en el sector salud en Colombia, el sector de la salud en
Colombia cuenta con varios sistemas de información, los cuales frecuentemente no se
encuentran integrados; esta situación ha llevado a una duplicación de esfuerzos para la
generación de los reportes, y por tanto, a la baja calidad de la información recogida
El Sistema de Vigilancia en Salud Pública (Sivigila) es un sistema de reporte de eventos de
interés en salud pública, gestionado por el Instituto Nacional de Salud, que reporta
especialmente patologías infecciosas, aunque recientemente se ha adicionado un
módulo de mortalidad materna.
El Ministerio de la Protección Social también cuenta con el Centro Nacional de Enlace, el
cual utiliza principalmente la información producida por el Sivigila para reportar
amenazas a la salud pública a organizaciones internacionales.
La estrategia gubernamental en torno a las TIC en salud se centra en la implementación
de telemedicina y del Sispro. Esta bodega de datos es gestionada por el Ministerio de la
Protección Social e integra la información de salud, pensiones, riesgos profesionales,
trabajo, empleo y asistencia social
Componentes del sistema
de información en salud
28. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Registro Único de Afiliados (Ruaf): maneja información de afiliación a todos los
componentes de la protección social (salud, pensiones, riesgos profesionales, etc.). La
información es reportada directamente por las administradoras al Ruaf, excepto salud
que tiene un mecanismo de reporte diferente a través del Fondo de Solidaridad y
Garantía (Fosyga). El Ruaf tiene un módulo llamado ND-Ruaf que registra la información
de nacidos vivos y defunciones; este módulo es la fuente de información utilizada por el
Departamento Nacional de Estadística (DANE) para la publicación de información
poblacional
Planilla Integrada de Liquidación de Aportes (PILA): la PILA es la base de datos que
maneja información de empleo, cotizantes y aportantes a los diferentes módulos de la
protección social
Planilla Integrada de Liquidación de Aportes (PILA): la PILA es la base de datos que
maneja información de empleo, cotizantes y aportantes a los diferentes módulos de la
protección social
Cuentas maestras: contiene información de la distribución de recursos del sistema
general de participaciones.
Componentes del sistema
de información en salud
29. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Registro de personas con discapacidad: en esta base de datos se encuentran registradas
personas con algún tipo de discapacidad que son reportadas por las gobernaciones. Esta base
de datos tiene una baja cobertura, dada la dificultad para la identificación y el registro de ésta
población
Registro Individual de Prestación de Servicios (RIPS): recoge la información de los servicios de
salud prestados en el país. Estos registros son generados por las IPS, las cuales los envían a la
administradora correspondiente, la que a su vez los envía al Ministerio de Protección Social. En
años anteriores han tenido algunos problemas de calidad y cobertura; sin embargo, desde
2009 se ha venido realizando un trabajo con las administradoras de planes de beneficios para
mejorar la calidad y la cantidad de reportes.
Vacunación: contiene información de vacunación enviada por las direcciones territoriales de
salud. Hacia el futuro este módulo se plantea como un sistema de seguimiento para cada
individuo vacunado, con el objeto de supervisar el cumplimiento de planes de vacunación.
Sistema de Gestión de Hospitales Públicos (SIHO): recoge información de gestión, capacidad
instalada y funcionamiento de los hospitales públicos. No tiene alta cobertura
Registro Especial de Prestadores de Servicios (REPS): registra la información de los
prestadores habilitados para la prestación de servicio. Es responsabilidad de los entes
territoriales.
Componentes del sistema
de información en salud
30. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
Para la planificación y desarrollo del sistema de información en salud debe partirse de la
identificación de necesidades de información de los diferentes actores involucrados.
Para el desarrollo del grupo de indicadores se deben tener en cuenta tres grandes divisiones:
• Determinantes de la salud: aspectos socioeconómicos, ambientales, comportamentales y
factores de riesgo.
• Sistema de Salud: políticas de salud, aspectos organizacionales, recursos humanos y financieros,
infraestructura, suministros, calidad, acceso, aseguramiento, etc.
• Estado de salud: mortalidad, morbilidad, discapacidad, etc.
La Organización Mundial de la Salud (OMS) recomienda 40 indicadores básicos en cinco aspectos:
• Indicadores de mortalidad,
• Indicadores de morbilidad,
• Estadísticas de cubrimiento del sistema de salud,
• Factores de riesgo, y
• Estadísticas del sistema de salud.
Necesidad de información
e indicadores
31. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
El sistema de información debe soportarse en un marco jurídico y de principios de gobierno que
lleven a su desarrollo. Hasta ahora, a pesar del contexto legal que define el funcionamiento, las
instituciones no han tenido la fortaleza para hacer entrar en vigor lo contenido en la Ley.
Un actuar organizacional orientado hacia la generación e intercambio de información es vital para el
desarrollo de un sistema de información integral. Para lograr los objetivos y cumplir con los aspectos
dispuestos por la Ley se deben desarrollar proyectos conjuntos que integren los datos de las
diferentes organizaciones.
El sistema de información en salud en Colombia, a pesar de ser una necesidad para la toma de
decisiones informadas y el diseño de políticas, ha sido una de las grandes deficiencias del sector. Los
planes gubernamentales no se han puesto en práctica y los proyectos que se están ejecutando para
la implementación son muy recientes. Hay que aprovechar el momento de cambio para plantear y
desarrollar un sistema que responda a las necesidades de información de los diferentes actores. En
este contexto, se necesita una regulación gubernamental fuerte y efectiva, con un diseño y una
aplicación adecuada de incentivos que lleven a un cambio organizacional, orientado hacia una
cultura de información e interacción entre las diferentes organizaciones con intereses en el sector.
Este cambio cultural es probablemente el mayor desafío del sistema de información en salud
colombiano y el liderazgo es el factor clave de éxito en el proceso
Recomendaciones
32. Ing. Jaider Quintero Mendoza,Dr en Gestión de la Ciencia y la Tecnología
El momento de cambio por el que está atravesando el sistema de salud colombiano representa una
oportunidad para corregir los errores y debilidades del sistema de información en salud,
capitalizándolos en la búsqueda de la interoperabilidad y mejoramiento de la calidad.
El Gobierno es un actor clave para el desarrollo del sistema; debe ejercer un rol de liderazgo,
mediante le definición de requisitos técnicos y operativos, a través de la expedición de normas
pertinentes.
La Ley 1438 de 2011 genera una carga adicional para el desarrollo del sistema, con la creación de
nuevas instituciones que requieren grandes cantidades de información y la digitalización de historias
clínicas, lo que significa un gran esfuerzo económico, técnico y operativo. Es esencial la toma de
decisiones participativas y la definición de estándares, así como el diseño de incentivos que permitan
la adopción de tecnologías de información pertinentes por parte de las organizaciones.
Los sistemas de información de países con el mismo nivel de ingresos de Colombia muestran
debilidades y fortalezas similares. Mediante la identificación de éstas se generan nuevas
posibilidades de crecimiento y desarrollo del sistema de información nacional en salud.
La estandarización y simplificación del mecanismo de captura de información es un paso clave para
el mejoramiento de la cobertura y calidad de los reportes recogidos.
Conclusiones