“Se requiere una educación continua y un compromiso constante para asegurarse de la que la seguridad de la información sea una prioridad”
Nota de prensaEntrevista al Lic. Jaime Barrantes Centurión, Oficial de Seguridad y Confianza Digital del INS
14 de octubre de 2023 - 11:40 a. m.
1.- El campo de la seguridad de la información ha crecido y evolucionado considerablemente a tal punto que hoy en día es una carrera acreditada a nivel mundial. ¿Cómo surge es Ud. esa inclinación por esta especialización en su profesión?
Mi interés en la seguridad de la información surgió de la creciente conciencia de la importancia de proteger los datos en un mundo cada vez más digitalizado. La evolución de la ciberdelincuencia y la necesidad de salvaguardar información valiosa me motivaron a especializarme en esta área. Además, la oportunidad de contribuir a la protección de la información crítica para organizaciones y la sociedad en general, me impulsó a seguir esta carrera. El INS debe estar a la vanguardia de las tecnologías teniendo en cuenta la enorme información que maneja a través de investigaciones, resultados de laboratorios, expedientes de ensayos clínicos, fórmulas para la elaboración de vacunas, informes nutricionales, así como informes confidenciales sobre temas de calidad. Todo ello hace que la protección de estos activos sea muy importante como para dejarlo de lado o descuidarnos en ese sentido.
2.- ¿Ha tenido alguna mala experiencia en temas de seguridad de la información y que tipo de acciones correctivas tuvo que aplicar?
Sí, he enfrentado incidentes de seguridad, como intentos de acceso no autorizado y malware. En respuesta, implementé medidas correctivas que incluyeron la mejora de la detección y prevención de amenazas, la revisión de políticas de seguridad y la concientización del personal sobre las mejores prácticas de seguridad. Constantemente realizamos charlas y capacitaciones al personal, con la finalidad de que identifiquen claramente el nivel de importancia respecto a estos temas de ciberseguridad.
3.- El concepto de seguridad de la información suele ser confundido con el de seguridad informática, ¿estamos hablando de lo mismo o en que difieren uno de otro?
3.- El concepto de seguridad de la información suele ser confundido con el de seguridad informática, ¿estamos hablando de lo mismo o en que difieren uno de otro?
La seguridad de la información y la seguridad informática están relacionadas, pero difieren en enfoque. La seguridad de la información se centra en la protección de la confidencialidad, integridad y disponibilidad de los datos, mientras que la seguridad informática se concentra en la protección de sistemas y redes. Ambos son vitales y trabajan en conjunto para garantizar la seguridad digital. La seguridad de la Información es más trasversal y dentro de ellas, hay controles que deben ser aplicados en los temas de Tecnologías de Información, ya sea en la parte de infraestructura, como en la parte de desarrollo de sistemas. Es muy importante saber identificar la diferencia entre ambas.
4.-Temas como la confidencialidad, la disponibilidad e integridad de datos, es algo que la mayoría de la población ha ido conociendo en los últimos años, ¿considera que se ha llegado a comprender su importancia y rol a nivel de instituciones, empresas?
Aunque la conciencia sobre la importancia de la seguridad de la información ha aumentado, aún hay margen para una comprensión más profunda. Las instituciones y empresas están avanzando en la implementación de políticas de seguridad, pero se requiere una educación continua y un compromiso constante para asegurarse de que la seguridad de la información sea una prioridad. Es importante tener en claro que los activos de información no son solo aquellos que se encuentran a través de un sistema, también se refiere a los activos físicos, tales como los legajos, los resultados de laboratorio impresos, los informes médicos o historias clínicas en papel, etc.
5.-Desde el INS ¿Qué tanto hemos evolucionado con respecto a la seguridad de la información frente a las amenazas de robo cibernético de información u otros tipos de delitos?
A nivel del INS, hemos experimentado una notable evolución en cuanto a seguridad de la información. Hemos implementado tecnologías avanzadas y medidas de seguridad para enfrentar amenazas cibernéticas. Además, hemos fortalecido la capacitación y la concientización de los empleados para mejorar la seguridad en toda la organización. El personal de la OTIC viene actualizándose constantemente, sin embargo, los ciberataques no se detienen en cuanto a las formas de querer hacer daño, es por ello que el personal de Seguridad de la Información siempre mantiene constante comunicación con la Secretaría de Gobierno y Transformación Digital de la PCM con la finalidad de manejar directrices homogéneas en todas las entidades públicas y ellos nos apoyan con un monitoreo constante de nuestros sistemas en línea.
6.- ¿Cómo podemos clasificar la información? ¿Se aplica las mismas medidas de seguridad para cada una de ellas?
La clasificación de información se basa en su nivel de sensibilidad. No se aplican las mismas medidas de seguridad a todos los datos. Los datos altamente confidenciales requieren un nivel más alto de protección, incluyendo encriptación, controles de acceso y auditorías, mientras que los datos públicos pueden requerir menos seguridad. Es muy importante que cada Centro, Unidad, Dirección, o Área identifique claramente aquellos activos de información que son considerados como confidenciales con la finalidad de darle un tratamiento diferente respecto a la protección, para ello deben seguir con los pasos de acuerdo a los procedimientos aprobados en el INS. “Es muy importante realizar copias de respaldo o backup de forma constante, sobre todo en la información crítica y de esta forma reducir el riesgo al mínimo”
7.- La seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial, ¿en qué consisten estas estrategias?
Las estrategias de seguridad de la información comprenden políticas, procedimientos y tecnologías que protegen los activos de información crítica. Esto incluye la gestión de accesos, la encriptación, la monitorización constante, la gestión de contraseñas seguras y planes de respuesta a incidentes.
8.-El costo de programas originales informáticos, así como de los antivirusorigina muchas veces que las personas opten por usar programas poco confiables para resguardar su información ¿De qué manera cree que podemos revertir esta situación?
Para revertir la tendencia de utilizar software no confiable, se debe educar a los usuarios sobre los riesgos asociados. También se pueden buscar soluciones asequibles de software legítimo y promover políticas de cumplimiento. La concientización es clave para cambiar esta situación. De igual modo es muy importante que la Alta Dirección asuma un compromiso de seguir apoyando en la actualización de estas tecnologías ya que finalmente sobre ellas se apoyan todos los sistemas existentes de la institución, existiendo en cada uno de ellos millones de registros de usuarios que confían en nosotros, respecto a la protección de sus datos. El fortalecimiento del INS nos obliga a tener un mayor grado de responsabilidad sobre esta información crítica y sensible, que finalmente se forja en mantener una buena imagen dentro de las entidades del sector público.
9.-La información que es robada o adulterada en este tipo de sistemas, ¿se puede recuperar o ya no tiene la misma exactitud?
La recuperación de información robada o adulterada puede ser desafiante. La información robada puede haber perdido su exactitud o lo que llamamos INTEGRIDAD, y puede requerir una reconstrucción cuidadosa. La prevención y la respuesta inmediata son esenciales para minimizar daños. Por ellos es muy importante realizar copias de respaldo o backup de forma constante, sobre todo en la información crítica y de esta forma reducir el riesgo al mínimo. “En el INS, hemos experimentado una notable evolución en cuanto a seguridad de la información”
10.- ¿Qué se entiende por bloqueo de datos personales y cancelación de datos?
El bloqueo de datos personales implica la restricción del acceso a la información personal, mientras que la cancelación de datos implica su eliminación completa. Estas acciones son necesarias para cumplir con regulaciones de privacidad y protección de datos. Todo ello se encuentra enmarcado en los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que derivan de la Ley de Protección de Datos Personales, que busca garantizar a las personas el poder de controlar sus datos personales.
11.-En la vida cotidiana, ¿cómo podemos aplicar conceptos de seguridad de la información y para que nos sirve? ¿Qué recomendaciones finales nos puede brindar para el uso diario?
En la vida cotidiana, podemos aplicar la seguridad de la información mediante el uso de contraseñas seguras, autenticación de dos factores, actualización de software, y precaución al compartir información en línea. “El uso de contraseñas seguras, autenticación de dos factores, actualización de software, y precaución al compartir información en línea”. Recomiendo mantenerse al día con las últimas amenazas, educar a las personas a su alrededor y seguir buenas prácticas de seguridad en todo momento. Sin bien es cierto las redes sociales te abren al mundo, pero hay que saber cómo administrarlas o gestionarlas de forma adecuada, que tipo de información debo compartir y con quienes. Finalmente, cada uno sabe qué tipo de información comparte y es precisamente ahí donde uno mismo permite la divulgación y vulneración de información tan delicada a la hora de compartirlas. Una sola foto en el estado de alguien puede decir muchas cosas, incluso hacer ver que no se encuentra en casa en ese momento y termine siendo asaltado en su hogar.
Entrevista realizada por:
Lic. Milagros Serrano Mestanza
Unidad de Comunicación e Imagen Institucional del INS
comunicadora1@ins.gob.pe
Lic. Milagros Serrano Mestanza
Unidad de Comunicación e Imagen Institucional del INS
comunicadora1@ins.gob.pe