PLAN DE GESTIÓN DE CALIDAD

Nombre ítem

Descripción

Fecha:

01-06-2022

Autor:

Servicios Tecnológicos Digitales LTDA.

Nombre del Proyecto:

Creación de Sistema Centralizado Online de Fichas Clínicas Digitales

Gerencia responsable:

Gerencia de Proyectos

Centro de Costo:

1000432 - CECO Proyectos TI

Monto estimado:

$5.000.000 USD ($ 4.121.750.000 CLP) Valor dólar al 01 de junio 2022.

Sponsor:

Ministerio de Salud, Gobierno de Chile.

Jefe de Proyecto (Nombre, cargo, unidad):

Ricardo Bravo Picero. Jefe de Proyectos Senior TI, Gerencia de Proyectos.

Revisado por:

Aprobado por:

Gestión de la Calidad

Planificar la Calidad

El objetivo de la planificación de calidad de este proyecto se basará en establecer de qué forma la empresa Servicios Tecnológicos Digitales LTDA. aplicará las normativas de calidad internas y externas vigentes en este rubro para poder asegurar que los procesos de este proyecto se desarrollen acorde a éstas y lograr la satisfacción del cliente (Ministerio de Salud).

Dentro de las normativas transversales y estándares existentes en las cuales se basará la planificación de calidad de este proyecto podemos mencionar:

• Norma chilena NCh-ISO 27001 de tecnología, seguridad y calidad de la información
• NCh Elec 4/2003 Instalaciones eléctricas de consumo en baja tensión

Objetivos de calidad del proyecto: los objetivos generales de calidad serán realizar las diferentes etapas del proyecto basándose en la legislación y reglamentación vigente, para lograr la satisfacción del cliente y asegurar que los procesos seleccionados cumplen con los estándares de calidad óptimos.

Las etapas del proyecto seleccionadas para realizar los procesos de calidad serán:

• Instalación de firewall, servidores y storages en DC de cliente
• Habilitación de ciberseguridad
• Desarrollo de FrontEnd (página web)

Los principales objetivos de calidad auditables del proyecto según las etapas seleccionadas serán:

• Cumplir con requisitos de NCh 4/2003 de instalaciones eléctricas de baja tensión respecto de los rangos máximos de voltaje (220VDC) en las instalaciones de cliente.
• Garantizar la prevención de ataques cibernéticos de agentes externos
• Desarrollar una página web amigable para los usuarios, que posea una óptima navegabilidad y actualización automatizada de base de datos de los pacientes

Designación de responsables de calidad:

Se designarán un total de 3 inspectores de calidad QA los cuales tendrán la función de asegurar la calidad en los diferentes procesos antes mencionados, los cuales deberán reportar de forma directa al jefe de Proyecto Ricardo Bravo Picero. Este equipo de inspectores de calidad estará constituido por:

• Pedro González, Ingeniero informático.
• German Arce, Ingeniero eléctrico.
• Roberto Herrera, Ingeniero de redes.
• Inspector de SEC (apoyo específico en la etapa final, una vez instalados los componentes en la central DC de cliente)

El equipo de inspectores de calidad elaborará informes internos con las observaciones de calidad detectadas y utilizaran metodología de ciclo Deming y Kaizen para la gestión de la mejora continua. A su vez utilizarán listas de chequeo y encuestas de satisfacción para los procesos de aseguramiento de calidad. Dentro de los entregables podemos mencionar:

• Informe de variables eléctricas de consumo en central de cliente
• Informe de ciberseguridad y estado de protección de base de datos de cliente.
• Encuestas de satisfacción de usuarios.

Las actividades de control de calidad y de gestión de calidad previstas en el proyecto: se provee según carta Gantt realizar tomas de muestras cada 10 horas en la estructuración del proceso de Ciberseguridad y desarrollo de página, este se realizará en el hito desarrollo del proyecto y se utilizaran 180 horas. Los procedimientos implementados, al enfrentar la no conformidad de ellos es decir la no validación de la toma de muestras, tiene como acción la reestructuración de esta, y para el proceso de Instalación de firewall, servidores y storages en DC de cliente, se provee una toma de muestra al final del montaje del sistema asegurando que la instalación cumple con los requisitos de la   NCh Elec 4/2003 Instalaciones eléctricas de consumo en baja tensión.

Aseguramiento de la Calidad

Las actividades de aseguramiento de calidad son fundamentales para garantizar los procesos y que estos se realicen bajo los estándares de calidad y normativa vigente. Los responsables de este aseguramiento serán los inspectores QA designados mencionados anteriormente sumado a 2 apoyos finales, un inspector de la Superintendencia de electricidad y combustibles además de un auditor acreditado por la ANAB/UKAS, los cuales garantizaran que los procesos ya terminados cumplen con los estándares vigentes en sus respectivas normativas.

Las herramientas de calidad seleccionadas serán listas de chequeos y encuestas de satisfacción del usuario apoyadas con auditorías internas, las cuales serán plasmadas en los entregables mencionados anteriormente, los cuales a su vez aportarán a los planes de acción de la etapa de mejora continua.

Las etapas que pasarán por los procesos de aseguramiento de calidad se describen a continuación:

Instalación de firewall, servidores y storages en DC de cliente: con el objetivo de asegurar la calidad, una vez finalizada la instalación de este proceso, se solicitará un inspector con autorización de la SEC (Superintendencia de electricidad y combustibles) para auditar la aplicación de la

NCh Elec 4/2003 Instalaciones eléctricas de consumo en baja tensión. Entre las actividades a realizar destacan:

• Medición de niveles de voltaje y consumo de equipos
• Verificación de unidades de seguridad, tales como estabilizadores de voltaje, gabinetes de fusibles y circuit breaker.
• verificación de utilización de códigos de colores en líneas eléctricas.
• Exposición de líneas eléctricas a manipulación externa y correcto ruteo de estas.

Habilitación de ciberseguridad y desarrollo de FrontEnd (página web): Para asegurar la calidad, se realizará una inspección a los parámetros obtenidos en implementación de estos procesos, esto lo realizará un organismo de certificación acreditado por ANAB/UKAS(United Kingdom Accreditation Service), con el objetivo de asegurar que los procesos de ciberseguridad cumplen con los requisitos de seguridad de la base de datos de los pacientes.  Los ciclos de la inspección destacan 2 partes principales:

1. Evaluación y tratamiento de riesgos
2. Aplicar las medidas de seguridad

En la siguiente tabla resumen, se describen las evaluaciones internas de calidad que serán realizadas por los inspectores QA designados:

Control de Calidad

Para el control de calidad se disponen los siguientes responsables de calidad los cuales deberán velar por el cumplimiento de los estándares de calidad óptimos para lograr procesos bien ejecutados y cumplir con la satisfacción del cliente (Ministerio de salud). A su vez se determina la realización de auditorías internas a los procesos seleccionados con una frecuencia de cada 30 días las cuales serán realizadas por el equipo de inspectores QA asignados en el siguiente organigrama:

[pic 2]

Las diferentes etapas de control de calidad según los procesos seleccionados se describen a continuación:

Instalación de firewall, servidores y storages en DC de cliente: el control de calidad será realizado por el Ingeniero eléctrico German Arce, el cual considerará durante el proceso de instalación de los equipos el cumplimiento de la NCh 4/2003 de instalaciones eléctricas de baja tensión, utilizando como herramienta una planilla de verificación o lista de chequeos elaborada previamente en base a los requisitos de instalaciones eléctricas descritos en la norma NCh 4/2003. Además, utilizará herramientas de medición tales como multímetro para verificar los consumos y tensión de cada componente del circuito eléctrico según el manual de fabricante y la norma TIA 942 asegurando que estos no presentan desviaciones especificadas en la norma, además deberá asegurar que la sala eléctrica se encuentre bajo las condiciones de temperatura y humedad apropiadas para el correcto funcionamiento de los equipos eléctricos. Todos estos chequeos quedarán registrados y serán entregados al inspector de la SEC al momento de realizar la auditoría por parte del organismo estatal.

Implementación de ciberseguridad y desarrollo de página web: el control de calidad de la ciberseguridad será realizado por el ingeniero de redes Roberto Herrera y el Ingeniero informático Pedro González, quienes deberán asegurar la correcta elaboración de los documentos auditables de carácter obligatorio según la norma NCh ISO 27001 de tecnologías, seguridad y calidad de la información. Además, deberá realizar pruebas de seguridad simulando ataques cibernéticos a la base de datos verificando el correcto funcionamiento de los sistemas de protección de malware como también comprobar la estabilidad del sitio web ante un posible ingreso masivo de datos médicos de los pacientes. Deberá generar una base de datos de todos los intentos de violación de seguridad para generar los planes de acción y verificar las actualizaciones de software pertinentes para controlar las amenazas de seguridad existentes, con el objetivo de resguardar la base de datos de los pacientes bajo toda circunstancia. Deberá mantener actualizados todos los documentos obligatorios según la norma requeridos al momento de realizar la auditoría por parte del organismo certificado (ANAB/UKAS) los cuales se describen a continuación:

-Alcance

-Política de seguridad de la información

-Proceso de evaluación de riesgos de seguridad de la información

-Proceso de tratamiento de riesgos de seguridad de la información

-Declaración de Aplicabilidad

-Objetivos de seguridad de la información

-Evidencia de competencia

-Documentación necesaria para la efectividad del SGSI

-Documentación necesaria para confiar en que los procesos requeridos para la planificación y el -control operativo se han llevado a cabo según lo previsto

-Resultado de las evaluaciones de riesgos de seguridad de la información

-Resultado de tratamiento de riesgos de seguridad de la información

-Evidencia de los resultados de monitoreo y medición del desempeño de la seguridad de la información

-Programa (s) de auditoría interna y resultados de las auditorías

-Evidencia de los resultados de las revisiones de gestión

-Evidencia de no conformidades y cualquier acción posterior tomada, y los resultados de cualquier acción correctiva

-Definición de roles y responsabilidades de seguridad

-Inventario de activos

-Reglas para el uso aceptable de activos

-Esquema de clasificación de información

-Política de control de acceso

-Procedimientos operativos para la gestión de TI

-Registros de actividades de usuarios, excepciones y eventos de la seguridad

-Principios de ingeniería de sistemas seguros

-Política de seguridad del proveedor

-Procedimiento de gestión de incidentes

-Procedimientos de continuidad comercial

-Requisitos legales, reglamentarios y contractuales

Mejora Continua

Los procesos de mejora continua de este proyecto serán basados en los resultados de las auditorías internas y tomas de muestra acordadas por la organización, para lo cual se establecen las siguientes metodologías:

• Método de Deming
• Metodología Kaizen

A través de estas herramientas metodológicas de gestión de la mejora continua se abordarán los planes de acción pertinentes para mitigar las desviaciones detectadas en los procesos seleccionados como también poder obtener las lecciones aprendidas pertinentes para mejorar permanentemente los procesos de la organización y los proyectos futuros.

A continuación, se describen posibles desviaciones y escenarios desfavorables en los cuales utilizaremos las metodologías de mejora continúa señaladas para las etapas del proyecto seleccionadas:

Instalación de firewall, servidores y storages en DC de cliente: ante alguna eventual desviación, se utilizará el ciclo de Deming para abordar la solución a la desviación detectada, para este caso ejemplificamos la situación de un corte de energía eléctrica, el cual, aplicando el ciclo de Deming actuaremos de la siguiente manera:

Planificar: en esta etapa se establecerá la posible problemática de corte de energía eléctrica y se elaborará el plan de acción a realizar y los recursos necesarios para mitigar la eventual nueva ocurrencia de esta desviación. En este caso se debe contar con un generador de energía eléctrica, un estabilizador de voltaje y un servidor de respaldo con su respectivo backup de base de datos almacenados en una nube. Estas medidas deberán ser implementadas en un plazo no superior a 10 días.

Hacer: en esta etapa se deberá llevar a cabo lo acordado en la etapa anterior, realizar la compra e instalación de un generador de energía eléctrica y su estabilizador de voltaje, como también la implementación de un servidor de respaldo con su nube backup de base de datos.

Verificar: en esta etapa se realizarán las pruebas a las medidas de control implementadas con el objetivo de comprobar la efectividad de estas.

Actuar: una vez comprobada la efectividad de las medidas de control implementadas, se establecerá como estándar la existencia de estas medidas de control para proyectos futuros tomando en consideración los resultados de la etapa de verificación y su efectividad ante la problemática presentada.

Implementación de ciberseguridad y desarrollo de página web:  En estos procesos se utilizó la norma ISO 27001 y como método de mejora continua se utilizó Lean kaizen. Para poder ejemplificar se utilizará el siguiente caso considerando una condición de saturación de la página web desarrollada:

 Clasificar (Seiri): Se debe clasificar la información ingresada por los usuarios para poder identificar los datos innecesarios que son incluidos en las fichas de atención de los pacientes

Ordenar(seiton): se debe clasificar la información de manera clara y que se pueda encontrar con facilidad, estableciendo el orden secuencial de llenado de fichas de atención, estableciendo un máximo de palabras por cada ítem como también la obligatoriedad del llenado de todos los campos de información de cada ficha y que estos sean reales.

Limpiar (seiso): se debe sistematizar la limpieza de la base de datos y depuración del llenado de las fichas de atención de los pacientes eliminando la información irrelevante ya existente en la base de datos.

Estandarizar(seiketsu): una vez finalizada las etapas anteriores de kaizen, se elaborará un procedimiento que indique el correcto y óptimo llenado de fichas de atención, el cual será distribuido a todos los recintos de atención incluidos en este proyecto quedando como normativa transversal y vigente.

Autodisciplina (shitsuke): se pedirá el compromiso a los altos mandos de cada centro de atención para que generen la cultura kaizen en sus colaboradores y esta pueda ser sustentable en el tiempo, adquiriendo una cultura organizacional basada en este método de mejora continua el cual aportará al cumplimiento de los objetivos y éxito del proyecto.