Informe técnico - Análisis de ciberseguridad en IPS Salud Abierta

Abstract

El presente informe se centra en el análisis de ciberseguridad de una Institución Prestadora de Salud (IPS) llamada Salud Abierta, una empresa de pequeña escala, la cual cuenta con una nómina de 20 trabajadores y opera como una infraestructura crítica debido al manejo de datos sensibles. El propósito de este trabajo es diagnosticar el estado actual de la organización, la cual presenta un bajo nivel de madurez digital, evidenciado en la ausencia de controles básicos como la autenticación de usuarios, la protección de puntos finales (antivirus rigurosos) y el uso de canales de comunicación corporativos. El enfoque aplicado se basa en la ciberseguridad organizacional, priorizando la tríada de la información la cual nos habla de la confidencialidad, integridad y disponibilidad. En este contexto, se desarrollaron actividades clave, iniciando con la identificación de activos, donde se determinó que las historias clínicas y los datos de afiliación son los activos de mayor valor. Posteriormente, se realizó un análisis de amenazas y vulnerabilidades, identificando que el uso de cuentas genéricas, la navegación sin restricciones y el uso de correos personales incrementan la superficie de ataque, facilitando incidentes como la fuga de datos no autorizada, en incumplimiento de la Ley 1581 de 2012. Asimismo, se plantea un proceso de análisis y gestión de riesgos, con el fin de identificar posibles escenarios adversos, evaluar su probabilidad de ocurrencia y establecer medidas preventivas que reduzcan la exposición a ciberataques. Finalmente, se aborda la cultura organizacional como el pilar preventivo más relevante, promoviendo buenas prácticas en el manejo de contraseñas, la higiene digital y el uso adecuado de canales de comunicación corporativos. De esta manera, la IPS no solo cumple con la normativa legal vigente, sino que también fortalece la seguridad del paciente mediante la protección de su información personal.