Tema 4: Seguridad de la Información en Telesalud

Ing. Karem Paola Castillo Urday

Especialista en Seguridad de la Información
Oficina General de Tecnologías de la Información
Ministerio de Salud
 Karem Castillo Urday
Ingeniero de Sistemas, con estudios de Maestría en Administración de Negocios. Oficial de
Seguridad de la Información del Ministerio de Salud. Docente certificado en ciberseguridad
por PECB. Profesional con más de 8 años de experiencia en Seguridad de la Información
realizando implementaciones en entidades públicas y privadas y más de 20 años de
experiencia profesional. Cuenta con experiencia profesional como consultor y auditor en
seguridad de la Información en reconocidas empresas. Cuenta con las certificaciones
internacionales, ISO 27001 Lead Implementer de PECB, ISO 27001 Lead Auditor de PECB,
ISO 27032 Lead Manager de PECB, ISO 22301 foundation, ISO 22301 Auditor, ITIL, entre
otras.

2
 Danny Rojas Becerra
Ingeniero de Sistemas, especialista en ciberseguridad, con experiencia en Administración
de proyectos de Ciberseguridad, Implementación de Servicios de Ciberseguridad,
administración de servicios en plataforma Windows y/o Linux.

Con experiencia en la conformación y ejecución del primer CSIRT del Sistema Electoral
Peruano, conformado por Jurado Nacional de Elecciones, RENIEC, ONPE, Comando
Conjunto de las Fuerzas Armadas y la Presidencia de Concejo de Ministros para la
respuesta y mitigación de incidentes que atenten contra los activos de las entidades que
conforman el Sistema Electoral Peruano.

Así como la implementación del CyberSOC para la realización de los Juegos Panamericanos
y Parapanamericanos Lima2019.

3
 Sistema de Gestión de Seguridad de la
Información - SGSI

El Sistema de Gestión de Seguridad de la Información

(SGSI) es el elemento más importante de la norma
ISO 27001, que unifica los criterios para la evaluación
de los riesgos asociados al manejo de los activos de
información en las organizaciones.

Un SGSI es, por tanto, el conjunto de prácticas

orientadas a garantizar la confidencialidad,
integridad y disponibilidad de la información.
Seguridad de la Información
 CyberThreat / Ciberamenaza

• Es un peligro, ya sea comunicado o percibido, que puede ejercer

una vulnerabilidad cibernética. (Fuente: Critical Terminology Foundations 2, Russia-U.S. Bilateral
on Cybersecurity)

• Una amenaza cibernética se refiere a cualquier cosa que tenga el

potencial de causar daños graves a un sistema informático. (Fuente:
www.techopedia.com)
 Ciberamenazas

No Humanas
• Accidente físico de origen industrial, incendios, explosiones, inundaciones,
contaminación.
• Averías que pueden ser de origen físico o lógico, se debe al el efecto de origen.
• Accidente físico de origen natural, riada, fenómeno sísmico o volcánico.
• Interrupción de servicios o de suministros esenciales: energía, agua, telecomunicaciones,
fluidos y suministros.
• Accidentes mecánicos o electromagnéticos.

Humanas
• Acceso lógico con alteración o sustentación de la información en tránsito, o reducir la
confidencialidad para aprovechar los bienes o servicios.
• Acceso lógico con corrupción o destrucción de información de configuración, o con
reducción de la integridad y la disponibilidad del sistema sin provecho directo.
• Errores de diseño existentes desde los procesos de desarrollo del software.
• Errores de ruta, secuencia o entrega de la información durante el tránsito.
 Principales Ciberamenazas

Las siguientes amenazas, atentan contra el servicio de

Telemedicina:
 Denegación de Servicio.
 Malware (ransomware, troyanos, entre otros).
 Robo de Credenciales.
 Ingeniería Social.
 Seguridad Física (Acceso a personal autorizado).
 Ataques al Hardware (equipamiento médico).
 Desastres Naturales (terremotos, tsunamis, entre otros).
 Vulnerabilidad
La vulnerabilidad de un activo de seguridad es la potencialidad o la posibilidad de que se materialice una
amenaza sobre el activo de información.

Tipos de Vulnerabilidad

• La vulnerabilidad intrínseca del activo respecto del tipo

de amenaza sólo depende de ambas cantidades.
• La vulnerabilidad efectiva del activo tiene en cuenta las
salvaguardas aplicadas en cada momento a
dicho activo, como un factor en el que se estima la
eficacia global de dichas salvaguardas.
 Equipos susceptibles a ciberataques

Equipos Médicos Equipos de Uso Común

• Desfibriladores. • Celulares
• Mamógrafos. • Laptops
• Ecógrafos. • Tablets
• Marcapasos. • Computadoras de Escritorio.
• Respiradores. • Smart TV
• Entre otros. • Cámaras IP
• Entre otros.

A menudo, los mecanismos de autenticación en dispositivos médicos digitales y

de uso común no están suficientemente protegidos y/o las técnicas de cifrado de
datos para la comunicación y el almacenamiento son débiles o, incluso,
inexistentes.
 Ley de Protección de Datos Personales

El objeto de la Ley es garantizar el derecho fundamental a la protección de datos personales, regulando un

adecuado tratamiento, tanto por las entidades públicas, como por las instituciones pertenecientes al sector
privado. Sus disposiciones constituyen normas de orden público y de cumplimiento obligatorio.

Principios Rectores
Principio de Seguridad
En atención al principio de seguridad, en el tratamiento de los
datos personales deben adoptarse las medidas de seguridad que
resulten necesarias a fin de evitar cualquier tratamiento contrario
a la Ley o al presente reglamento, incluyéndose en ellos a la
adulteración, la pérdida, las desviaciones de información,
intencionales o no, ya sea que los riesgos provengan de la acción
humana o del medio técnico utilizado.
 Ley de Protección de Datos Personales

¿Qué debo conocer

al respecto?
Recomendaciones
 Contraseñas

Una contraseña o clave es una forma de autentificación que utiliza información

secreta para controlar el acceso hacia algún recurso.

Requerimientos MÍNIMOS

Las contraseñas te dan acceso total a un servicio: Correo, Facebook, Twitter, Acceso al Banco, entre
otros.

No guardar contraseñas en lugares visibles.

Usar contraseñas robustas: 8 caracteres como mínimo usando combinaciones de minúsculas,
mayúsculas, números y caracteres especiales ( # ! @ . , : ; $ * + & ... ).

Cambia tus contraseñas al menos cuatro veces al año.

Evitar usar una contraseña para todo.
 Contraseñas
Contraseñas más comunes

Una Contraseña
Robusta ayudará a
protegerte mejor…!!!
 Evitar Enlaces Sospechosos

Recuerda que no toda la información en Internet es REAL.

Los ciberatacantes aprovechan las debilidades para delinquir.
 Celulares
Evite pasar malos ratos o ser víctima de fraude por parte de los hackers. Mientras más niveles de seguridad o
protección tenga, será mucho mejor para su celular y su información.

Habilite el doble factor de

Utilice un software antivirus,
autenticación siempre que esté
manténgalo actualizado y revise
disponible (p.e. Facebook, iCloud, Cuando acceda a periódicamente sus dispositivos
Linkedin, entre otros) portales con móviles.
información personal o
transaccional Realice copias de seguridad de su
Utilice siempre software original y
asegúrese de usar información.
manténgalo actualizado.
HTTPS y que aparezca
una barra verde en el
navegador. Encripte sus dispositivos para que
Revise que sus credenciales no nadie pueda acceder a su
hayan sido comprometidas. información y bloquéelo cuando se
aleje de él.
Nunca confíe en correos que pidan
información personal, o usuarios y Use contraseñas robustas y vea que
contraseñas. no se repitan.
 Videos de Concientización
Riesgos en las Redes Sociales

https://www.youtube.com/watch?v=inNJbdp1qh8 https://www.youtube.com/watch?v=e8kls4Oec9k

Fraude Telefónico

https://www.youtube.com/watch?v=dp6bF3DPvN4&feature=youtu.be
 Contacto:
Ing. Karem Paola Castillo Urday
Especialista en Seguridad de la Información
Oficina General de Tecnologías de la

Gracias Información
Ministerio de Salud
kcastillou@minsa.gob.pe
Teléfono: 2321