ONBOARDING CTO · CAROLINA ARAYA · WORKMED

Mapa de incidencias técnicas, de seguridad y gobernanza

22 incidencias concretas identificadas en el levantamiento (11 sesiones · 7-23 abril 2026) · agrupadas en 4 categorías · con responsable funcional + mitigación en el roadmap

RESUMEN

22incidencias totales
6🔴 críticas
10🟠 altas
6🟡 medias
0🟢 bajas
Severidad
Categoría
🔴
Seguridad
6 incidencias · 2 críticas · 2 altas · 2 medias
#IncidenciaSeveridadResponsable · cargoMitigación en roadmap
S1 BD productiva clon expuesta a internet público sin VPN/SSH (acceso confirmado 29-abr-2026 con credenciales del usuario genérico, compartidas entre Eduardo + Rodrigo + Ignacio + ¿otros?, configuradas y administradas por Secall) · expone datos sensibles bajo Ley 19.628 art. 2 letra g) + viola régimen de confidencialidad ocupacional Ley 16.744 / DS 109 / dictámenes SUSESO (el detalle clínico almacenado en FlowMed —diagnósticos, antecedentes, exámenes— no debe ser accesible al empleador ni a terceros) 🔴 Crítica Eduardo González (broker) + Secall (gatekeeper técnico real)Subgerente Proyectos TD + proveedor externo A.4 individualizar credenciales + cerrar cuenta genérica + cerrar exposición pública (negociar con Secall) + B.6 · hito Mes 1
S2 Conexiones MySQL/Postgres no encriptadas en tránsito · credenciales y contenido viajan en claro por internet · expone datos sensibles bajo Ley 19.628 + viola régimen Ley 16.744 (interceptación de tráfico permite reconstruir información médica detallada del trabajador) 🔴 Crítica Eduardo González + Christian Urbina + SecallSubgerente TD + Infraestructura + proveedor externo A.4 + configuración VPN/SSH (requiere coordinación con Secall) como parte de B.6
S3 Script Python (~2.553 líneas, núcleo de pricing) en GitHub personal de Rodrigo · sin gobierno corporativo 🟠 Alta Rodrigo LlancaoJefe Desarrollo BI y Análisis de Datos A.1 migración a GitHub Workmed con Christian Urbina (en curso)
S4 Cuentas únicas compartidas en Power BI Y en BD productiva FlowMed RDS · sin trazabilidad por usuario · "todos entran con la misma cuenta" en BI; en RDS la cuenta genérica la usan Eduardo + Rodrigo + Ignacio + ¿otros? incluyendo potencialmente personal de Secall · imposible cumplir el deber de Ley 19.628 + 16.744 de demostrar quién accedió a qué dato sensible 🟠 Alta Rodrigo Llancao + Eduardo González + SecallBI + Subgerente TD + proveedor externo A.4 individualizar credenciales RDS + cerrar genérica · B.6 log auditable
S5 Supabase plan gratuito · sin VPN · 3 plataformas internas expuestas (Salud Compatible, Salud Mental, agente piloto) 🟡 Media Rodrigo LlancaoJefe Desarrollo BI B.2 plataformas internas migradas a AWS Workmed propia
S6 HubSpot · vulnerabilidades reconocidas en sesión: "tiene vulnerabilidades muy importantes" 🟡 Media Marcela + Rodrigo LlancaoGerencia Comercial + Jefe Desarrollo BI B.5 integración FlowMed↔HubSpot sobre plataforma propia con Identity Service
🟠
Infraestructura
5 incidencias · 1 crítica · 3 altas · 1 media
#IncidenciaSeveridadResponsable · cargoMitigación en roadmap
I1 Secall (proveedor externo) es el gatekeeper técnico real de la BD productiva FlowMed en AWS RDS · Eduardo es interfaz funcional que solicita accesos a Secall · acceso interno se distribuye vía cuenta genérica compartida (Eduardo + Rodrigo + Ignacio + ¿otros?) sin trazabilidad por persona · Workmed depende de un proveedor con "soporte 2 semanas a nunca" para cualquier cambio de IAM, configuración de red o auditoría 🔴 Crítica Secall + Eduardo GonzálezGatekeeper técnico (externo) + interfaz funcional (Subgerente TD) A.4 apretar contrato con Secall (SLA + auditoría) + acceso administrativo paralelo Workmed sobre RDS + individualización de cuentas · B.2 estrangulamiento progresivo del legacy
I2 Sin réplica externa ni servidor interno de contingencia (sólo réplica AWS RDS desfase 5-10 min) · "si se cae Amazon, ahí tenemos otros problemas" (Mónica) 🟠 Alta Eduardo González + Christian UrbinaSubgerente Proyectos TD + Encargado Infraestructura B.2 FlowMed 2.0 con plan multi-region + A.1 ambiente Workmed-Tech
I3 FlowMed legacy administrado por Secall · sin API genérica · sin acceso al código · "lentitud creciente" + soporte errático "2 semanas a nunca" 🟠 Alta Eduardo González (interfaz)+ Secall · proveedor externo B.2 FlowMed 2.0 sobre AWS Workmed propia · estrangulamiento progresivo
I4 Cero capacidad TI interna de desarrollo sobre core FlowMed · "todo contratado con el proveedor" 🟠 Alta Carolina ArayaCTO Workmed A.1 ambiente Workmed-Tech + B.1 Identity Service como primer entregable propio + dupla Eduardo+Rodrigo
I5 On-premise raqueado en Manuel Montt · sin VPN · sin segmentación de red explícita 🟡 Media Christian UrbinaEncargado Infraestructura B.2 migración a AWS Workmed propia + B.6 políticas de red
🟢
Gobernanza · Buenas Prácticas
7 incidencias · 0 críticas · 4 altas · 3 medias
#IncidenciaSeveridadResponsable · cargoMitigación en roadmap
G1 Modelo de datos de FlowMed sin documentar · el conocimiento vive sólo en la cabeza de Eduardo (refuerzo del riesgo SPOF) 🟠 Alta Eduardo González + Rodrigo LlancaoSubgerente Proyectos TD + Jefe Desarrollo BI C.1 documentación del modelo de datos (1-2 sprints)
G2 Cliente y trabajador en 4 sistemas paralelos sin sincronización (FlowMed · HubSpot · Defontana · Power Platform) 🟠 Alta Juan Pablo Coustasse + Eduardo + MarcelaCFO + Subgerente Proyectos TD + Gerencia Comercial B.1 Identity Service como microservicio único de identidad
G3 Catálogo de prestaciones cambia silencioso · detectado a 3-4 meses (incidente real: proveedor renombró + valorizó al doble sin avisar) 🟡 Media Marcela + Eduardo GonzálezGerencia Comercial + Subgerente Proyectos TD C.2 trigger + alerta de cambios + B.6 comité de cambios
G4 HubSpot ↔ FlowMed sin integración desde fracaso 2024 · "no llegó a acuerdo entre las dos partes técnicas" 🟡 Media Eduardo González + Patricia MaturanaSubgerente Proyectos TD + Jefa Agendamiento B.5 integración retomada sobre plataforma propia con Identity Service
G5 Cierre de mes "blando" · producción se mueve retroactivamente · pérdida sistemática 2-3 días/mes para facturar · último EDP sale día 9 vs plazo legal 8 días 🟠 Alta Juan Pablo CoustasseCFO B.8 cierre contractual del mes + A.3.1 valorización nocturna + B.3 pipeline acreditados
G6 Power BI · cuentas paralelas + dashboards "dando vuelta" sin versionado · workaround renombre v2.1, v3.1 🟡 Media Rodrigo LlancaoJefe Desarrollo BI B.6 data steward por vista + log auditable + políticas de versionado
G7 40% atenciones acreditadas con transcripción manual · sin pipeline de digitalización · "los chiquillos se vuelven locos digitando" 🟠 Alta Vicente Rivano + Pablo MartínezSubgerente UCI + Subgerente Operaciones B.3 pipeline de digitalización Workmed-side + B.4 cola dirigida + pre-informe IA
🟣
Compliance · Regulatorio
4 incidencias · 3 críticas · 1 alta
#IncidenciaSeveridadResponsable · cargoMitigación en roadmap
C1 Ley 21.719 (vigencia 1 dic 2026, ~7 meses) · sin DPO designado · sin inventario de tratamientos · sin política de consentimiento granular 🔴 Crítica Juan Pablo Coustasse + DPO por designarCFO (owner compliance contractual) B.6 marco de gobernanza completo con DPO formal
C2 Triple norma ISO (9001 + 14001 + 45001 · junio 2026, ~2 meses) · sin control documental ni trazabilidad formal 🟠 Alta Coustasse + Mónica Pérez + Carolina ArayaCFO + PMO + CTO Workmed B.6 entrega controles documentales y trazabilidad
C3 Réplica caliente AWS RDS con detalle clínico (diagnósticos, antecedentes, exámenes) · administrada por Secall · incumple hoy Ley 19.628 (datos sensibles) + Ley 16.744/DS 109 (régimen ocupacional: el detalle no debe quedar accesible al empleador ni a terceros) · cuenta genérica compartida en la réplica agrava la falta de trazabilidad · adicionalmente quedará bajo régimen sancionatorio Ley 21.719 desde 1-dic-2026 🔴 Crítica Secall + Eduardo González + DPO por designarProveedor externo + Subgerente TD A.4 individualizar credenciales + B.1 Identity Service + B.6 marco gobernanza + B.2 FlowMed 2.0 cifrado at-rest sobre AWS Workmed propia
C4 Secall procesa datos sensibles de Workmed sin contrato formal de encargo verificable · bajo Ley 19.628 + futura Ley 21.719, Secall es "encargado de tratamiento" y exige contrato escrito que especifique finalidades autorizadas, medidas de seguridad, prohibición de subencargados, plazo de conservación, devolución/destrucción al término, y derecho de auditoría por Workmed · sin ese contrato, Workmed (responsable del tratamiento) responde por todas las acciones de Secall 🔴 Crítica Coustasse + Asesoría Legal + DPO por designarCFO (owner contractual) B.6 contrato de encargo de tratamiento de datos con Secall (cláusulas mínimas Ley 19.628 + 21.719) · paralelo a B.2 estrangulamiento
Acción inmediata Mes 1: de las 22 incidencias, 6 son críticas. S1 + S2 + C3 son incumplimientos hoy de Ley 19.628 (datos sensibles) + Ley 16.744/DS 109 (régimen ocupacional); se cierran con el hito A.4 (individualizar credenciales + cerrar exposición pública + cifrado en tránsito y at-rest). I1 (Secall gatekeeper técnico real con soporte errático) cierra con A.4 + apretar contrato Secall. C4 (Secall sin contrato de encargo formal) arranca en Mes 1 con asesoría legal en B.6. C1 (Ley 21.719, vigencia 1-dic-2026) arranca con designación del DPO en B.6. Las 16 restantes están cubiertas por el roadmap de Fase 1-2 sin necesidad de track adicional.