Roberto Rubiano, CISO de Osigu, explicó en una entrevista con InnovaciónDigital360 cómo la empresa fortaleció la ciberseguridad y la privacidad en un negocio como la salud. con datos sensibles, operaciones críticas y demanda de escalabilidad regional.
OSIGU es una plataforma tecnológica que conecta todos los actores del ecosistema de salud, permitiendo automatización de procesos, analítica de datos, y prevención de fraudes. Por ejemplo, ayuda a las aseguradoras médicas y a los proveedores de servicios de salud con la optimización de tiempos y costos.
Durante la charla, Rubiano detalló avances en la modernización de sistemas clave, la implementación de una estrategia Zero Trust, el despliegue de una solución unificada de Identity Access Management y el uso de Threat Intelligence en endpoints, todo orientado a mejorar la autenticación y ordenar accesos en entornos complejos.
Además, explicó cómo diseñaron un programa anual de concientización que incluye simulaciones de phishing, capacitaciones, charlas y un canal para compartir casos reales. También avanzaron en seguridad en desarrollo, observabilidad profunda y análisis ofensivo constante sobre la superficie expuesta.
En materia de disponibilidad, Osigu opera en la nube con múltiples zonas y regiones, lo que permite alcanzar un uptime del 99,98%. Su estrategia de ciberresiliencia parte de asumir que los ataques pueden ocurrir en cualquier momento, por eso refuerzan backups, segmentan entornos y realizan pruebas completas con playbooks para recuperar servicios con rapidez y reducir el impacto.
El uso de IA y LLM se basa en los lineamientos del Top Ten LLM de OWASP, con medidas como la anonimización de datos y la evaluación de soluciones de Agentic AI para automatizar y controlar modelos. Todo dentro de un marco alineado con ISO 27001 y en colaboración con organizaciones como Health-ISAC.
Índice de temas
Osigu se especializa en automatizar procesos y prevenir fraudes en el sector salud. ¿Cuáles fueron las principales iniciativas que lideraste para fortalecer la seguridad de la información en un entorno con datos tan sensibles?
A partir de un Análisis de Riesgos que nos permitió identificar las principales amenazas, trabajamos en la implementación de una herramienta de Threat Intelligence a nivel de endpoints (servers y workstations), que nos sirve como primer frente de defensa.
Además, desplegamos una solución de Identity Access Management, que consolida y refuerza la fortaleza de la autenticación en todo el parque de aplicaciones, apostando a una postura Zero Trust como horizonte final.
También, actualizamos los controles y el marco normativo relacionado con la privacidad de datos personales, un frente que está creciendo mucho a nivel regional.
A nivel de concientización, trazamos un plan de awareness anual, que incluye ejercicios de phishing dirigidos, cursos y herramientas de aprendizaje, actividades lúdicas, charlas generales y particulares y un canal de comunicación continua donde se van informando y debatiendo casos de interés, así como compartiendo tips de ciberseguridad.
Ahora, estamos trabajando en reforzar la Seguridad en el Ciclo de Desarrollo de Software, mejorar la observabilidad en los niveles más bajos y en tratar de optimizar el frente de seguridad ofensiva, analizando la incorporación de herramientas que nos permitan tener una postura de análisis continuo sobre nuestra superficie expuesta.
La compañía utiliza inteligencia artificial para optimizar operaciones y detectar irregularidades. ¿Cómo garantizan que los modelos de IA cumplan con los estándares de privacidad y no generen sesgos que puedan afectar a los pacientes o proveedores?
Si bien la incorporación de soluciones LLM representa un gran desafío a nivel de seguridad, las mejoras y ventajas a nivel operativo son concretas y significativas.
Para asegurar un uso adecuado, tomamos como referencia las amenazas del Top Ten LLM de OWASP, que exploran varios posibles escenarios de riesgos, incluyendo los sesgos y afectaciones a la privacidad. Como principal medida de protección, nos aseguramos de que toda la información que trafican los modelos de IA esté siempre anonimizada, es decir, que no incluya datos personales, lo cual reduce el riesgo ante posibles escenarios de fuga de información.
Para optimizar esta dinámica, estamos evaluando la incorporación de herramientas que utilicen modelos de Agentic AI aplicados a seguridad, las cuales permitan automatizar y gobernar a los distintos modelos LLM, incorporando reglas de negocio y controles de seguridad en la misma lógica de los agentes. Es un trabajo en progreso y -nuevamente- representa un gran desafío, por la propia naturaleza de este tipo de soluciones, pero estamos convencidos de que es el camino que debemos seguir.
En un contexto donde los ciberataques contra el sector salud aumentaron, ¿qué estrategias adoptaron para reducir riesgos y asegurar la continuidad de los servicios críticos que ofrece la plataforma?
En relación a disponibilidad, los sistemas de Osigu aprovechan las ventajas del modelo cloud siempre que sea posible, ya que a través de un esquema de múltiples zonas y regiones nos aseguran niveles de disponibilidad mayores al 99,98%.
De todas formas, como estrategia general adoptamos una visión de Ciberesiliencia, es decir, asumimos que podemos ser víctimas de un ciberataque en cualquier momento, y en consecuencia pensamos en controles que nos permitan recuperar la operación en el plazo más corto posible.
Para esto reforzamos las medidas de resguardo y backup, trabajamos en la separación de ambientes y estamos programando pruebas de recuperación integrales, que incluyen varios playbooks con el fin de validar la efectividad de esta estrategia.
¿De qué manera colaboran con los proveedores de salud y pagadores para asegurar que todas las partes involucradas mantengan un nivel adecuado de protección de la información?
Desde Osigu, abordamos la relación con el ecosistema desde varios frentes: a nivel técnico, establecemos controles mandatorios básicos (por ejemplo: en la complejidad de contraseñas y en el uso de mecanismos de cifrado tanto en tránsito como en reposo) y a nivel comunicacional, trabajando en distintos espacios desde donde difundimos buenas prácticas en el manejo seguro de la información.
Además, llevamos un registro de los riesgos derivados de las relaciones con terceras partes, aplicando medidas mitigatorias cuando es necesario. Tomando las palabras del senador chileno Kenneth Pugh (impulsor de la flamante Ley de Ciberseguridad del país trasandino): apoyamos la idea de que “en Ciberseguridad no se compite, se colabora”, y con esa premisa, fomentamos la participación activa en espacios de colaboración entre colegas del rubro, donde se discuten riesgos emergentes, tanto a nivel global como regional, como por ejemplo el CISO Circle de AWS, la comunidad RSA y la red CISO LATAM de la Digi Americas Alliance.
También hemos establecido relaciones con entidades especializadas en Ciberseguridad & Salud, como Health-ISAC y el Cybersecurity Working Group del Health Sector Coordinating Council, lo cual nos permite mantenernos actualizados en las últimas tendencias que afectan a nuestra industria específica.
¿Qué tecnologías o prácticas de seguridad considerás prioritarias para acompañar el crecimiento de Osigu y sostener la confianza de los clientes en la región?
Aún tenemos un camino a recorrer en pos de optimizar la observabilidad orientada a InfoSec en todas las capas de nuestra infraestructura y servicios, considerando que siempre se puede mejorar el nivel de inspección, ya sea granuralizando o explotando los eventos de interés.
Creo que cualquier tecnología o solución que permita automatizar estos controles marcará lo prioritario en la agenda, incorporando mecanismos ágiles, que permitan un escalamiento sencillo, sostenible y que a la vez soporte enfrentar la demanda y exigencias del mercado.
Por otro lado, hemos elegido al framework ISO 27001 como marco director de toda nuestra estrategia InfoSec, con lo cual ya estamos pensando en una eventual certificación, un proyecto que venimos trabajando desde el inicio, con el fin de consolidar nuestro compromiso y sustentar la confianza de nuestros clientes.
Mirando los próximos años, ¿cuáles creés que serán los desafíos más importantes para proteger los datos de salud en Latinoamérica y qué oportunidades ves para innovar en materia de ciberseguridad?
Lamentablemente, la industria de la Salud no ha seguido el mismo ciclo de crecimiento, cuidado y madurez a nivel Ciberseguridad que tuvieron otros nichos, como el Financiero (tanto en la banca tradicional como en las Fintech), el Retail o incluso el Industrial (es decir, las denominadas Infraestructuras Críticas).
Esto hace que hoy, a nivel general, en las instituciones de salud “la vara esté más baja” en lo que respecta a controles InfoSec, si lo comparamos con la media de otras industrias.
Los atacantes han tomado nota de estas falencias, y es por eso que los datos de salud se han vuelto las nuevas “joyas de la corona” del cibercrimen a nivel global, con un incremento notable y exponencial de ciberataques a empresas de todas las envergaduras, que van desde casos emblemáticos como el de United Health, hasta otras decenas de ejemplos que se van sucediendo casi todas las semanas en los países de nuestra región.
Recién este año, regulaciones como HIPPA decidieron reforzar sus requisitos, haciendo mandatorio controles básicos como un doble factor de autenticación y el uso de certificados digitales, en una reacción un tanto tardía frente a la realidad que viven sus instituciones reguladas.
En este contexto, ante la falta de una regulación fuerte y el creciente interés de los atacantes en la industria, creo que el mayor desafío será poder lograr que la vara regional de InfoSec se levante y nivele “para arriba”, poniendo el debate Cyber a nivel organizacional como parte de las agendas ejecutivas, instalando la figura del CISO en los Board y la agenda de riesgos tecnológicos, sin que sea algo extraordinario o forzado.
Lo bueno es que todo indica que la rueda ya comenzó a girar: cada vez son más los espacios donde se trata el tema, hay iniciativas en varios países con el fin de generar nuevos marcos regulatorios. Aparecieron y siguen apareciendo múltiples espacios académicos de formación. El apoyo de la prensa se hace sentir; esta misma nota es una muestra de ello, y las comunidades de interés, como las que mencioné más arriba, suman cada vez más miembros.
Desde el punto en el que estamos, hoy veo muchas más oportunidades que amenazas, ya que paradójicamente es la misma coyuntura la que nos termina ayudando: hoy todo CEO conoce algún colega que fue víctima de un ciberataque, lo cual facilita las charlas y agiliza conversaciones que un tiempo atrás eran muy difíciles de llevar adelante.
Si logramos instalar el tema en nuestra organización, nuestro grano de arena ya está puesto, solo hay que sostener el esfuerzo como ejemplo, y el resto llegará con el paso del tiempo.
