Publication: Informe técnico de ciberseguridad : filtración de registros clínicos. Caso: Clínica Santa Rosa — Amenaza de Origen Interno (Insider Threat)
Loading...
Date
Journal Title
Journal ISSN
Volume Title
Publisher
Corporación Universitaria Remington
Abstract
El presente informe analiza un incidente de seguridad de la información ocurrido en la Clínica Santa Rosa, una institución prestadora de servicios de salud de segundo nivel ubicada en Colombia. A diferencia de las amenazas externas que habitualmente acaparan la atención mediática, este caso tuvo su origen dentro de la propia organización: una colaboradora con acceso legítimo al sistema de información y conocimiento del entorno laboral extrajo y comercializó registros clínicos sensibles durante aproximadamente cuatro meses, sin que ningún mecanismo institucional detectara la actividad. La situación puso en evidencia ausencias fundamentales en el gobierno de seguridad: falta de segmentación de permisos por rol, inexistencia de registros de auditoría y carencia de herramientas de prevención de pérdida de datos. Esas omisiones convirtieron una vulnerabilidad organizacional en un incidente con consecuencias jurídicas, reputacionales y operativas de considerable magnitud. El análisis se desarrolla a partir del inventario y valoración de activos críticos, la identificación de amenazas y vulnerabilidades, y la evaluación de riesgos bajo la metodología ISO 27001:2022. Se reconstruye cronológicamente el incidente mediante la técnica de los cinco por qué, y se propone un conjunto de controles preventivos, detectivos y correctivos articulados en un cronograma de implementación por fases. Además, se profundiza en tres dimensiones que el análisis técnico tradicional suele dejar en segundo plano: las políticas de seguridad organizacional, la respuesta estructurada a incidentes y continuidad operacional, y el factor humano como variable determinante en la materialización del riesgo. Las conclusiones señalan que la causa raíz del incidente no fue de naturaleza técnica sino directiva, y que los controles requeridos para haberlo prevenido eran accesibles y de bajo costo relativo en comparación con el daño ocasionado.