Salud

Hospital de Niños desoyó desde 2015 alertas sobre pérdida de datos

Informes de Auditoría Interna advirtieron de riesgos informáticos; el último fue en setiembre pasado. Desaparición de datos se materializó en marzo de 2021

La pérdida de miles de radiografías y tomografías de pacientes del Hospital Nacional de Niños, ocurrida en marzo, no era un asunto imprevisible.

En los últimos seis años, la Auditoría Interna de la Caja Costarricense de Seguro Social (CCSS) advirtió, en al menos dos ocasiones, del riesgo de extraviar datos de los menores debido a deficiencias en la administración de tecnologías de información y comunicación.

La primera alerta de los auditores llegó el 18 de julio de 2015 por medio del informe ATIC-133-2015. La segunda ingresó el 18 de setiembre del 2020 a través del reporte ATIC-091-2020, es decir, seis meses antes de que se perdieran las imágenes.

Tal y como lo ha informado La Nación, el extravío de esas radiografías y tomografías implica que los médicos no podrán determinar el avance o retroceso de una enfermedad y, los padres de los niños, menos podrán buscar ayuda médica en otro hospital porque el registro no aparece.

Documentos en poder de este diario señalan “vulnerabilidades en la seguridad informática” y reprochan al hospital haberse apartado de las regulaciones de la CCSS en materia de resguardo de datos.

“(...) Preocupa a este Órgano Fiscalizador la persistencia de debilidades asociadas a este tópico, por cuanto este fue evidenciado desde hace más de 5 años, comprometiendo el funcionamiento adecuado del Sistema de Control Interno de ese hospital”, apuntó la Auditoría Interna en el informe de setiembre del año pasado.

Entre los problemas apuntados por la Auditoría están servidores sin mantenimiento preventivo y correctivo, equipos obsoletos, uso de sistemas paralelos al Expediente Digital Único en Salud (EDUS) e incumplimientos de la normativa institucional para el manejo de sistemas de información.

Al momento de la inspección, seis servidores del Hospital de Niños no tenían mantenimiento.

La Auditoría no encontró explicación para ese hecho, pues desde 2016 la entidad paga a la empresa Sonda por la vigilancia de los equipos. En los últimos años, la compañía suscribió contratos por $460.000 (¢286 millones) con el centro de salud.

“La situación descrita podría ocasionar fallas en los equipos”, recriminó.

La Auditoría también llamó la atención en el hecho de que el centro médico maneje su información fuera de la red de datos institucional. Incluso, posee el dominio hnn-sa.cr, el cual es ajeno a la Caja.

La Auditoría manifestó que ese punto “podría materializar riesgos vinculados a la seguridad informática y de la información de ese centro de salud”, advertencia que se hizo realidad en marzo al perder las radiografías y tomografías, esenciales para precisar el avance o retroceso de un padecimiento.

A la fecha, la institución desconoce cuántos pacientes fueron afectados por la situación. También ignora cuántas imágenes se perdieron.

La Dirección Médica del Hospital alegó el 6 de julio anterior que el problema respondía a una falla en un disco duro. Incluso, aseguró que recuperaría los datos en tres semanas. Sin embargo, el 15 de julio cambió el discurso y reconoció que no dispone de respaldos de las imágenes y que es probable que no se rescaten nunca.

¿Los responsables?

¿Quiénes son los responsables por el desorden informático?

Olga Arguedas, directora del hospital pediátrico, dijo: “Para la determinación de responsabilidades, eso siempre debe ser antecedido de investigaciones. Entonces, cada evento que sucede en un hospital debe investigarse con profundidad cuando así lo requiere y los responsables tienen que asumir las consecuencias.

“Cuando uno está en un cargo como el que yo tengo, soy consciente de que hay algunas de estas responsabilidades que yo debo asumir y hay otras responsabilidades que deben asumirlas las jefaturas respectivas”.

La jefatura del Centro de Gestión Informática está a cargo de Isabel Yock, profesional en Estadística.

Yock reconoció que no estudió Ingeniería en Sistemas o alguna carrera afín, pero argumentó que posee una maestría en Administración de Tecnologías de la Información.

Para remediar los problemas, la Auditoría Interna definió siete recomendaciones que el Hospital debía cumplir en seis meses.

Entre ellas, destacaba migrar todos los datos hacia el EDUS, alinear los sistemas de información del centro de salud con las políticas de la CCSS y asegurar que todos los equipos tengan mantenimiento preventivo y correctivo.

‘La gente no está obligada a lo imposible’

“Ese informe de la Auditoría, como todos, lo tomamos con absoluta seriedad y cada una de las recomendaciones han sido implementadas. Lo que pasa es que las soluciones, lamentablemente, no se materializan de un día para otro, pero cada una de las indicaciones hemos ido cumpliéndolas.

“Acabamos de enviar el informe de seguimiento a la Auditoría, estamos aún en proceso de cumplimiento”, insistió Arguedas.

Adriana Romero, directora Administrativa del Hospital de Niños, mencionó aspectos que, según ella, les impide cumplir de inmediato con lo dispuesto por la Auditoría.

“Hay cosas en la Administración Pública a las que usted no puede reaccionar de manera inmediata. ¿Por qué? Porque no tiene presupuesto. Porque los procesos llevan contrataciones administrativas que requieren de meses para llevarse a cabo.

“Entonces, yo no puedo decirle que voy a cumplir una recomendación de la Auditoría un mes o dos meses después, porque eso es materialmente imposible. La gente no está obligada a lo imposible”, justificó la funcionaria.

Al cuestionarle por qué no se acataron las advertencias de la Auditoría si fueron planteadas hace más de cinco años, respondió que deben analizarse muchas variables para emitir un criterio.

“No se puede ver solamente un aspecto, hay que ver todos los aspectos que están alrededor. En este caso es el tema de la red. Los cambios que el Hospital viene haciendo durante años, no es buscar responsables por buscarlos, tampoco señalarlos, solamente los que trabajamos aquí podemos darnos cuenta cómo es el día a día, no es fácil, es un tema sumamente complejo”, enfatizó Romero.

Agregó que el Centro de Gestión Informática carece de personal. Según datos oficiales, esa área dispone de 15 plazas.

“En ninguna organización se pueden tener condiciones óptimas en todo, tratamos de hacer administración de riesgo, pero no podemos tener un control total o absoluto”, alegó la directora administrativa.

Diego Bosque

Diego Bosque

Periodista en la sección Sociedad y Servicios de La Nación. Graduado de Periodismo en la Universidad Latina. Escribe sobre infraestructura y transportes.