La digitalización del sector salud ha elevado la importancia de la ciberseguridad como un componente estratégico del negocio. En Bupa Chile, la protección de la información, la resiliencia operacional y la cultura organizacional son pilares clave para resguardar la confianza de pacientes y colaboradores frente a un entorno digital donde los riesgos evolucionan constantemente. Pablo Belmar, CIO, y Jocelyn Arteaga, CISO, profundizan en esta visión.
Índice de temas
¿Cómo ha evolucionado la visión de Bupa sobre ciberseguridad?

J. Arteaga: En Bupa venimos trabajando este tema desde hace varios años, impulsados por las directrices que tenemos desde nuestro corporativo global. Al principio era un enfoque mucho más tecnológico, basado principalmente en implementar soluciones y herramientas de seguridad, pero hoy la ciberseguridad pasó a ser algo mucho más estratégico y arraigado en el negocio.
Nuestro foco siempre es proteger a la compañía y, especialmente, la información que manejamos. Trabajamos con datos altamente sensibles, como fichas clínicas e información de salud, por lo tanto, resguardar esa información es clave para mantener la confianza de nuestros pacientes y clientes.

P. Belmar: El enfoque no viene solo desde la tecnología. Bupa a nivel global entiende este riesgo y lo impulsa desde una mirada organizacional, donde la ciberseguridad es responsabilidad de todos. Este enfoque basado en riesgo y cultura nos ha permitido instalarla como un tema transversal dentro de la compañía.
¿Por qué la ciberseguridad es clave para la continuidad operacional en el sector salud?
J. Arteaga: Porque nuestro “core” está directamente relacionado con el bienestar y la salud de las personas. Nosotros no podemos simplemente dejar de operar frente a un incidente; tenemos que mantener disponibles servicios críticos como urgencias, atención clínica y la información necesaria para los profesionales de salud.
No se trata solo de proteger sistemas, sino de asegurar que los médicos puedan acceder a resultados, diagnósticos y datos clínicos para entregar atención. Por eso hablamos de disponibilidad, confidencialidad e integridad de la información.
Además, estamos trabajando fuertemente en la nueva Ley de Protección de Datos Personales, porque más allá de cumplir una regulación, nuestro objetivo es proteger esa información sensible y asegurar que solo quienes corresponden puedan acceder a ella. Al principio estas exigencias pueden verse como una carga regulatoria, pero hoy también representan una oportunidad estratégica, porque nos permiten fortalecer la confianza de pacientes, clientes y colaboradores, demostrando que hacemos todo lo necesario para proteger sus datos y resguardar su información.
¿Cuáles son las principales amenazas para el sector?
P. Belmar: Las amenazas son similares a las de otras industrias, porque vivimos en un mundo tecnológico y globalizado. La diferencia está en el impacto. Cuando hablamos de salud, una filtración de una ficha médica o la interrupción de un servicio clínico afecta directamente a las personas. Es una industria crítica para la población -clasificada así también por la ANCI-, por lo que una amenaza digital puede tener consecuencias mucho más relevantes.
Hoy una amenaza importante es la Inteligencia Artificial. Es una gran herramienta, pero también potencia las capacidades de quienes buscan atacar, incluso de personas sin tanto conocimiento técnico. A eso se suman amenazas conocidas como phishing, ransomware o ingeniería social, donde el factor humano sigue siendo clave. Por eso es tan importante generar conciencia y preparar a las personas para reconocer riesgos y saber cómo actuar.
¿Qué impacto podría tener un incidente de seguridad?
J. Arteaga: Puede ser devastador. Estamos hablando de sistemas clínicos, disponibilidad de información y decisiones que impactan directamente en la atención de una persona. Un médico necesita contar con información correcta y disponible para definir un diagnóstico o tratamiento.
Más allá de un problema técnico o de que puedan secuestrar información, estamos tratando con vidas y eso cambia completamente la dimensión del riesgo.
P. Belmar: Los impactos pueden cruzar muchas barreras. Hoy existen desde intentos de extorsión con información sensible hasta tecnologías médicas conectadas, como equipos o incluso cirugía robótica. Por eso es clave contar con controles adecuados y protegerse frente a estas amenazas.
¿Cómo trabajan la resiliencia operacional?
J. Arteaga: De manera integral, no solo desde tecnología o seguridad. Participan áreas de riesgo, cumplimiento, auditoría, gobierno corporativo, operación e incluso infraestructura y seguridad física. Todos tienen que estar en la mesa. Contamos con monitoreo continuo, detección temprana, gestión de vulnerabilidades, control de acceso y planes de continuidad.
Además, avanzamos hacia ejercicios más periódicos y cercanos a escenarios reales, enfocados en los roles de las personas. Nadie quiere enfrentar una crisis, pero si ocurre, cada persona debe saber exactamente qué hacer y cómo mantener la operación.
¿Cómo equilibran innovación y seguridad?
P. Belmar: Bupa hace mucho trabaja en la cultura de seguridad y esta debe estar desde el diseño. Cualquier iniciativa o proyecto parte pensando en cómo protegemos al paciente, su privacidad y todos los atributos necesarios desde el punto de vista clínico y regulatorio. La innovación y digitalización deben incorporar estos elementos desde el inicio. Así podemos aprovechar todos los beneficios tecnológicos, siempre manteniendo la seguridad y cuidado de las personas en el centro.
¿Qué rol juega la cultura organizacional y capacitación de los colaboradores?
J. Arteaga: A mí no me gusta decir que las personas son el eslabón más débil; al contrario, deben ser nuestra primera barrera de defensa. Podemos tener todas las herramientas tecnológicas, pero necesitamos que las personas sepan reconocer riesgos y actuar correctamente.

Las amenazas de ingeniería social son cada vez más sofisticadas: pueden imitar imágenes, voces o formas de comunicación. Por eso tenemos que acercar la ciberseguridad a las personas, explicarla de manera simple, con ejemplos cotidianos y generar conciencia constante. En una compañía grande necesitamos evangelizadores que nos ayuden a multiplicar este mensaje.
P. Belmar: Es incorporarlo como un hábito, no solo en el trabajo, sino también en la vida diaria. En el sector salud, la cultura de ciberseguridad debe trascender la organización.
¿Qué desafíos marcarán el futuro de la ciberseguridad en salud?
J. Arteaga: Uno de los grandes retos será la sofisticación de los ataques con Inteligencia Artificial. Si nos atacan con IA, también tendremos que defendernos con IA. No bastará solamente con sumar más personas; tendremos que incorporar nuevas capacidades, aprender rápido y prepararnos.
Además, hoy los riesgos ya no están solo dentro de nuestros perímetros; también pueden venir desde terceros e incluso cuartas partes, como los proveedores de nuestros proveedores. Por eso estamos elevando nuestros niveles de exigencia con terceros, pero también acompañándolos, porque sabemos que no vivimos aislados. Necesitamos que todo el ecosistema avance hacia mayores estándares de ciberseguridad y resiliencia.
P. Belmar: También debemos considerar el contexto global y la velocidad con que evolucionan las amenazas. Algo que ocurre en cualquier parte del mundo puede impactarnos, por lo que tenemos que mantenernos siempre atentos y preparados.



