Procurar la continuidad operativa a través de la correcta implementación de medidas de seguridad de la información e informática, ha sido vital en los últimos años para Christus Muguerza. Esta institución de salud ha implementado un Sistema de Gestión de Seguridad de la Información enfocado a la protección de datos sensibles como de información médica de pacientes y financiera de clientes y socios de negocio.
“Estamos estables en materia de seguridad informática, a pesar de la pandemia no tuvimos filtraciones y esperamos seguir así. Además la inversión ha sido casi cero”.
Gustavo Adolfo García Arellano, CISO de Christus Muguerza
A decir de Gustavo García, el SGSI es por default lo esperado para mantener la seguridad de la información e informática de una organización. “Es indispensable tener un framework de trabajo sobre el cual poder ceñirte para aplicar controles normativos, políticas, procesos y planes a fin de cuidar la información de la organización. Además se generaron planes de acción a mediano y largo plazo, y planes de mitigación a corto plazo”, expresó.
Para el CISO de Christus Muguerza, el principal reto hasta la fecha ha sido implementar controles sin afectar la operación ya que al ser una industria 7 x 24 la atención de los pacientes es prioritaria. Es un proyecto en constante renovación, por instrucciones de la casa matriz y casas auditoras internas y externas hacen revisión cada tres meses sobre determinada política o proceso.
García Arellano informó que están subiéndose a la nube, por lo que están construyendo nubes privadas y trabajando con casi todas las nubes públicas con la finalidad de mantener la continuidad operativa e incrementar la seguridad. De acuerdo con el directivo, todo esto cambia el paradigma de cómo proteger en casa a cómo proteger en nube, razón por la que están implementando inteligencia artificial.
Al respecto, el CISO opinó: “la seguridad de la nube es responsabilidad de los proveedores de nube, pero la seguridad de lo que se sube, es decir del aplicativo o activo, es responsabilidad nuestra. Si en algo robusto subes algo endeble, por supuesto puede resultar vulnerable; antes de liberar un activo tecnológico nosotros hacemos pruebas de penetración, pruebas de calidad del código. Estamos adquiriendo herramientas inteligentes y contratando servicios para que todas las anomalías se detecten, se detengan y se reporten hasta mitigarlas. Ahora la seguridad se ha robustecido cada vez más”.
