Vulnerabilidad de datos sensibles en sistemas de salud

Abstract

Este proyecto presenta una estrategia integral de seguridad de la información para IPS, una organización del sector salud en Colombia que gestiona datos clínicos y administrativos sensibles. El objetivo fue diagnosticar vulnerabilidades existentes, implementar controles de seguridad y establecer un marco de gobernanza alineado con la norma ISO/IEC 27001:2022 y la Ley 1581 de 2012. Mediante la metodología MAGERIT, se identificaron activos críticos como las historias clínicas físicas, los sistemas de respaldo y la infraestructura de red. A partir de este diagnóstico, se implementaron controles técnicos (firewalls, autenticación multifactor, cifrado), administrativos (políticas de seguridad, protocolos de respuesta a incidentes) y físicos (videovigilancia, control de accesos) para mitigar los riesgos y fortalecer la protección de la información. Además, se definieron recomendaciones estratégicas que incluyen indicadores clave de desempeño, auditorías internas, programas de concienciación y la futura adopción de modelos como Zero Trust. Aunque se lograron avances significativos en la reducción de riesgos críticos y el cumplimiento normativo, persisten desafíos en la estandarización de procedimientos, la evaluación continua de efectividad y la consolidación de una cultura institucional resiliente frente a la ciberseguridad. Este trabajo proporciona a IPS una hoja de ruta escalable y orientada al riesgo, que mejora la confianza institucional y asegura la gestión segura de los datos en un entorno sanitario cada vez más digitalizado y regulado.