IESS estructura la seguridad de la información como parte de su operación institucional 

Anavela Herrrera
Share

La creación de la Dirección Nacional de Seguridad de la Información y Protección de Datos permitió al IESS organizar la gestión de riesgos, incidentes y datos bajo un modelo institucional, con procesos definidos y participación de las áreas de negocio. 

Puntos de interés

  • Implementación del modelo: procesos, control y cultura 
  • Seguridad como parte de la operación institucional 

La creación del área de Seguridad de la Información en el IESS se da en un proceso institucional marcado por la digitalización de servicios y la necesidad de ordenar la gestión de riesgos asociados a la información. A partir de requerimientos regulatorios y la adopción de buenas prácticas, la entidad formalizó una unidad especializada que hoy opera como Dirección Nacional de Seguridad de la Información y Protección de Datos.  

“Previo a la consolidación del modelo, la gestión de seguridad se abordaba desde distintas capacidades institucionales, principalmente asociadas a tecnología y gestión de riesgos”, explica Fernando Coral Robalino, director del área. 

El modelo vigente se organiza en dos niveles. Por un lado, el Comité de Seguridad de la Información define lineamientos y decisiones estratégicas. Por otro, la Dirección Nacional ejecuta la estrategia y coordina con Tecnología, Riesgos y unidades de negocio. 

“Este esquema permite una articulación con áreas críticas como Tecnología, Riesgos y las unidades de negocio, integrando la seguridad como un componente transversal en los procesos institucionales”, señala Coral Robalino. 

El modelo se organizó en seis líneas de trabajo que ordenan la gestión: 

  • Gobernanza de seguridad y datos  
  • Gestión de riesgos  
  • Gestión de incidentes  
  • Protección de datos personales  
  • Seguridad informática y ciberseguridad  
  • Cultura y concienciación  

“Estos ejes permiten estructurar la gestión desde una visión integral, alineando procesos, capacidades y actores dentro de la institución”, indica Coral Robalino.  

Implementación del modelo: procesos, control y cultura 

Durante los últimos dos años, el IESS ha trabajado en la definición de normativa, así como en la asignación de roles y responsabilidades respaldadas por el Consejo Directivo y el Comité de Seguridad de la Información. 

En paralelo, se han implementado procesos de gestión de activos, riesgos e incidentes, junto con controles técnicos y organizativos orientados a proteger la confidencialidad, integridad y disponibilidad de la información.  

En ciberseguridad, las acciones se han concentrado en el monitoreo de eventos, la gestión de vulnerabilidades, el fortalecimiento de controles de acceso y la protección de servicios críticos. 

“Las acciones han permitido pasar de una gestión reactiva a una gestión estructurada, con mayor capacidad de prevención, detección y respuesta”, afirma Coral Robalino. 

Coral Robalino explica que a lo largo de la implementación del modelo, se abordaron algunos desafíos organizacionales asociados con el tamaño y criticidad de información que resguarda la institución, pues al no contar con una gobernanza, procesos, herramientas, pero sobre todo, con una estructura con perfiles especializados, la institución tenía una capacidad limitada para levantar un inventario estructurado y detallado de los activos de información de la entidad y gestionar de manera oportuna los riesgos asociados con el ámbito de seguridad de la información y protección de datos.  

Uno de los frentes de trabajo se centró en la gestión del cambio. Con más de 35.000 colaboradores, fue necesario fortalecer la cultura de seguridad de la información y protección de datos, así como el conocimiento y las capacidades de quienes gestionan riesgos en los distintos procesos institucionales. Estas acciones, comenta Coral Robalino, permitieron integrar la seguridad como parte de la gestión y avanzar hacia un mayor nivel de madurez organizacional. 

Seguridad como parte de la operación institucional 

Coral Robalino señala que la Dirección Nacional de Seguridad de la Información y Protección de Datos participa en las iniciativas tecnológicas desde sus etapas iniciales, definiendo controles alineados a los procesos del negocio. 

Además, en el ámbito de protección de datos personales, el IESS ha desarrollado un proyecto orientado al cumplimiento de la normativa vigente, incorporando lineamientos internos, definición de roles y levantamiento de registros de tratamiento. 

Señala que desde la puesta en marcha de este gran proyecto estratégico, la institución ha logrado mejorar el control y la trazabilidad en la gestión de riesgos de seguridad, así como optimizar la atención de incidentes y la generación de información para la toma de decisiones. 

“Hoy contamos con mayor control sobre la gestión de riesgos de seguridad y una capacidad más ágil para atender incidentes, lo que permite evolucionar hacia un modelo donde la seguridad anticipa y gestiona, no solo reacciona”, señala Coral Robalino. 

La experiencia evidencia que la seguridad de la información requiere un modelo de gobernanza, procesos definidos y gestión del cambio organizacional. 

“Las acciones que hemos emprendido demuestran que también en el sector público es posible contar con una estrategia de seguridad metodológica, consistente y transparente, cuando existe visión institucional y ejecución técnica”, concluye Coral Robalino.  

You Might also Like

Banco del Austro integra la seguridad en su transformación digital 
Anavela Herrrera mayo 5, 2026
Unidad Educativa Mariscal Sucre integra la seguridad en su operación académica y administrativa 
Anavela Herrrera mayo 5, 2026
La seguridad integral como pilar estratégico en el proceso de transformación 
Anavela Herrrera mayo 5, 2026
Post Comment