La Auditoría General de la Nación reveló que el Sistema Integrado de Información Sanitaria Argentino (SISA), administrado por el Ministerio de Salud, posee serias deficiencias en su seguridad informática. Según el organismo de control, “no se ha aprobado formalmente una política de seguridad de la información que establezca un marco estratégico y operacional para garantizar la confidencialidad, integridad y disponibilidad de los datos”, en el período comprendido entre abril de 2020 y marzo de 2022

Además, en el informe aprobado en 2024 se detectaron debilidades en los mecanismos destinados a gestionar permisos y accesos de usuarios en el sistema, lo cual, según la evaluación, “incrementa la probabilidad de accesos indebidos a datos críticos”. De esta forma, por la falta de protocolos de acceso sólidos, la información sensible que maneja el sistema puede verse fácilmente vulnerada.

El SISA tiene como objetivo la centralización e integración de todos los datos, tanto de las condiciones de salud de la población como de los recursos nacionales y provinciales que se destinan a su atención. De esta manera, se pretende que haya un lugar que mantenga registro del historial sanitario de cada ciudadano y de la circulación de productos y material propio del área de la medicina.

La capacidad de respuesta ante contingencias se ve limitada y la continuidad operacional, amenazada

En el apartado de la seguridad de la información, el documento asegura que “el Ministerio no mantiene copias de respaldo en ubicaciones remotas ni realiza pruebas regulares de recuperación, comprometiendo la integridad y disponibilidad de los datos”. De igual manera, el resguardo de estos datos se ve comprometido por la ausencia de un Plan de Continuidad del Negocio (BCP) que asegure la operación del SISA en caso de eventos adversos.

En la misma línea, el sistema no experimentó pruebas regulares en los procedimientos de recuperación ante desastres (DRP), por lo que “no es posible garantizar la efectividad de las medidas para restablecer los servicios en situaciones críticas”. Es decir, la capacidad de respuesta ante contingencias se ve limitada y la continuidad operacional, amenazada.

El SISA almacena en su sistema el NOMIVAC, dedicado a centralizar los datos de vacunación y registrar aplicaciones, dosis y lotes por persona

Cabe destacar la lista de registros que posee el SISA, entre los que se destacan el Banco Nacional de Drogas Especiales (BNDE), el Registro Nacional de Redes de Servicios de Salud (REDES), la Red Federal de Registros de Profesionales de la Salud (REFEPS), el Sistema de Monitoreo de Insumos Sanitarios (SMIS) y el Sistema Nacional de Vigilancia de la Salud (SNVS 2.0).

El SISA almacena, también, en su sistema el Registro Federal de Vacunación Nominalizado (NOMIVAC), dedicado a centralizar los datos de vacunación y registrar aplicaciones, dosis y lotes por persona. Según el informe, “entre enero de 2021 y septiembre de 2023, se detectaron fallas en el registro de auditoría del NOMIVAC debido a errores en los procedimientos de actualización”, inconvenientes que no fueron detectados ni solucionados por el sistema o sus usuarios. El período en que se dieron estos errores coincide con la campaña de vacunación contra el Covid. 

El registro NOMIVAC permite tener datos actualizados, consistentes y confiables a todos los niveles sanitarios. A partir de este registro, puede llevarse a cabo el cumplimiento de las políticas sanitarias.

El informe destaca que oportunamente la AGN había hecho recomendaciones que no fueron atendidas en su totalidad. Del mismo modo, no se implementó un mecanismo activo para detectar, analizar y administrar los riesgos vinculados a las tecnologías de la información, conforme a las disposiciones establecidas por la Auditoría.

En definitiva, el organismo de control concluyó que el Ministerio de Salud debe priorizar “la implementación de políticas de seguridad robustas, la planificación estratégica en el uso de tecnologías, el desarrollo de mecanismos efectivos de respaldo y recuperación, y un enfoque proactivo en la gestión de riesgos”.

El informe también señaló la ausencia de un comité formal de Gobierno de Tecnologías de la Información (TI). Según la AGN, esta deficiencia “genera una falta de alineación estratégica entre las iniciativas de TI y los objetivos institucionales, afectando la coordinación general del sistema”. Es decir, no hay un equipo dedicado exclusivamente a planificar y controlar el correcto funcionamiento del sistema, lo que puede generar fallas en su operación y mantenimiento.

Otro aspecto sobre el que se alertó fue el incumplimiento del Ministerio de Salud del cupo laboral del 4% para personas con discapacidad, establecido en el artículo 8 de la Ley 22.431.