Gema Luna: «Siempre me ha apasionado la tecnología, y quería contribuir a la protección de la información y la privacidad de los datos»
24 octubre, 2023
Gema Luna, alumni del máster universitario de Ciberseguridad y Privacidad de la UOC.(Més avall trobareu la versió en català d’aquest contingut: Gema Luna: «Sempre m’ha apassionat la tecnologia i volia contribuir a la protecció de la informació i la privacitat de les dades».)
Gema Luna es una ingeniera en sistemas que, pese a los estigmas sociales, ha logrado abrirse paso en las denominadas carreras STEM (programas de ciencia, tecnología, ingeniería y matemáticas), las cuales, durante mucho tiempo, han sido consideradas como campos donde prevalece la masculinidad.
Esta joven ecuatoriana, motivada por la protección de la información y la privacidad en este mundo que está cada vez más digitalizado y conectado, decidió adentrarse cada vez más en el área de la informática y, luego de superar diferentes retos personales, familiares y laborales, terminó estudiando el máster universitario de Ciberseguridad y Privacidad en la Universitat Oberta de Catalunya (UOC).
Gema recuerda que, cuando ella comunicó a su familia que estudiaría ingeniería en sistemas, hubo personas que le dijeron que ella no podría culminar con éxito esa carrera, situación que la marcó durante un largo tiempo, a tal punto que por su mente pasó la idea de abandonar su sueño. No obstante, tomó fuerza y esta situación la convirtió en un fuerte impulso para continuar y asumir los retos que se dieron en la carrera.
Actualmente trabajo en la empresa farmacéutica Farmacias Santa Martha, como desarrolladora de software. Allí empecé como analista, decidí realizar mi trabajo final de maestría aplicado a esta organización y he ido creciendo poco a poco en la medida que actualizo mis conocimientos.
¿Cómo conociste la UOC y por qué la escogiste?
Conocí la UOC mediante una búsqueda exhaustiva que hice. Decidí buscar las mejores universidades en mi área, y la UOC me apareció en primera fila del listado de universidades del mundo, y por eso la escogí. Incluso vi que tenía convenio con la SENESCYT, lo cual facilitaba el reconocimiento de mi título. Entonces, todos esos factores me ayudaron a escoger la UOC como la universidad donde estudié mi maestría.
¿Cuáles crees que son los desafíos más críticos en el campo de la ciberseguridad en la actualidad?
En la actualidad, los desafíos más críticos en el campo de la ciberseguridad son las amenazas en constante evolución, ya que los ciberdelincuentes siempre están desarrollando tácticas más sofisticadas y ataques cada vez más difíciles de detectar. La escasez de talento exige una gran demanda de profesionales de ciberseguridad calificados, pero hay falta de personal con las habilidades adecuadas. Y la privacidad de los datos, la protección de la privacidad en un mundo cada vez más digitalizado, es un desafío constante, especialmente con las regulaciones que existen, como el Reglamento general de protección de datos personales.
¿Qué áreas específicas de la ciberseguridad te interesan más y por qué?
Una de las áreas que más me interesa, por ejemplo, es el análisis de amenazas, ya que me gusta comprender cómo funcionan y desarrollar estrategias para detectar y mitigar ataques. También me llama la atención lo que es la seguridad en la red para proteger las redes informáticas y los sistemas contra intrusiones y ataques cibernéticos. La gestión de incidentes también me interesa, para coordinar respuestas efectivas ante ciberataques y minimizar su impacto. Y la protección de datos, para garantizar que la información personal se maneje y se almacene de manera segura y se cumplan las regulaciones de privacidad.
¿Cuáles consideras que son las habilidades y los conocimientos fundamentales que un profesional de la ciberseguridad debe poseer?
Un profesional de la ciberseguridad efectivo debe tener una combinación de habilidades técnicas, como conocimiento sólido, comprender los fundamentos de la informática, las redes, los sistemas operativos y las aplicaciones, la gestión de riesgos, evaluar y mitigar riesgos de seguridad de manera efectiva y el análisis de amenazas cibernéticas, para anticiparse y prevenir ataques, entre otras. Y también habilidades blandas, como el trabajo en equipo, la gestión del tiempo y la adaptabilidad, ya que son muy importantes en un entorno de ciberseguridad dinámico, junto con una mentalidad proactiva y ética para abordar los desafíos en constante cambio que hay en el campo de la ciberseguridad.
Cuando ingresé a la universidad a cursar la carrera de ingeniería en sistemas, la mayoría eran hombres, y eso fue un cambio un poco drástico para mí. Pero me fui adaptando a esto y me esforcé para destacar en mi área, aprender y sacar adelante mi carrera.
¿Cómo venciste el miedo y tomaste más confianza?
Cada vez que nos ponían una tarea o un reto, yo buscaba la manera de solucionarlo. Por muy difícil que fuera, yo no me daba por vencida y siempre intentaba buscar una solución. Eso es lo que yo creo que me caracteriza actualmente, que no me rindo tan fácilmente.
¿Cuál es tu opinión sobre la importancia de la privacidad de los datos en el mundo digital actual?
La privacidad de los datos en el mundo digital es esencial para preservar la dignidad y los derechos de las personas, y garantizar la confianza en línea. Promover la innovación y proteger la seguridad es un tema de gran relevancia en el mundo actual y debe ser tratado con la máxima seguridad y responsabilidad por parte de los individuos, las organizaciones y los gobiernos.
Sobre el Plan director de seguridad (SGSI) Farmacias Santa Martha
¿Qué elementos componen la estructura de la empresa Farmacias Santa Martha S. A. en términos de ubicaciones y sucursales?
Santa Martha es una empresa que cuenta actualmente con una oficina matriz ubicada en Manabí, Ecuador. También tiene un centro de distribución y actualmente tiene 670 farmacias en el interior del país.
¿Por qué elaborar e implementar un sistema de gestión de seguridad de la información para la empresa?
En principio, porque es una empresa en crecimiento que no contaba con un sistema de gestión de seguridad de la información, y me parecía que era muy importante poder desarrollarlo.
¿Cómo describirías el proceso de implementación del SGSI basado en la norma ISO 27001 para la organización?
El proceso de implementación del sistema de gestión de seguridad de la información en Farmacias Santa Martha fue un poco complicado, ya que las personas no están acostumbradas a este tipo de procesos, y más cuando en la organización no había una cultura de seguridad de la información. El rechazo al cambio fue el desafío más importante que tuvimos que afrontar. Actualmente seguimos en ese camino, se sigue capacitando y se sigue concientizando al personal para que entiendan que es importante tener un sistema de gestión de seguridad de la información.
¿Cuál fue el paso a paso para elaborar e implementar este sistema?
En primera instancia se identificaron y se analizaron los riesgos de seguridad de la información en la empresa Farmacias Santa Martha S. A. Posterior a esto, se valoraron los riesgos identificados y se estableció su prioridad para determinar los controles adecuados y minimizar dichos riesgos. Luego, se estableció un plan de acción para la implementación de los controles necesarios para minimizar los riesgos identificados. Así, logramos proteger la información crítica y se avanzó hacia la prevención de pérdidas financieras y daños a la reputación de la empresa asociados a la seguridad de la información.
¿Cómo se puede concientizar sobre la importancia de un SGSI?
Considero que para concientizar al personal de una organización se los debe incluir bastante en el proceso y realizar capacitación constante. Se deben realizar prácticas de ataques, es decir, simular los ataques, para que el personal entienda los peligros a los que estamos expuestos. Muchas veces las personas no son conscientes de que en su trabajo manejan información muy importante y que con una pequeña acción, basada quizás en el desconocimiento, pueden poner en peligro dicha información.
¿Qué lecciones valiosas se obtuvieron de los desafíos encontrados durante la implementación?
Una de las lecciones más valiosas es que el apoyo y la participación activa de la alta dirección es fundamental para implementar un sistema de gestión de seguridad de la información o cualquier proyecto en una empresa, porque este es el ejemplo que se requiere para que todo el personal se involucre y participe en los mismos.
¿Qué acciones se sugieren a la organización para enfrentar desafíos futuros y mantener la confianza de las partes interesadas en la seguridad de la información?
Entre las acciones que se sugieren hay el mantenimiento continuo del sistema de gestión de seguridad de la información, una evaluación de riesgos periódica, la capacitación constante del personal, lo cual es muy importante, tanto para nuevos como para antiguos, auditorías y revisiones internas, y, como ya lo mencioné antes, la participación de la alta dirección es fundamental.
¿Tienes alguna meta o proyecto específico que te gustaría alcanzar o que estés llevando a cabo después de completar tu maestría en Ciberseguridad y Privacidad?
Mi enfoque principal después de completar mi maestría en Ciberseguridad y Privacidad es aplicar mis conocimientos y habilidades en este campo para contribuir a la protección de datos y sistemas en entornos digitales. Actualmente lo estoy aplicando en la empresa en la que trabajo. También me gustaría tener certificaciones adicionales en ciberseguridad, así como seguir colaborando con la creación y la mejora de políticas y procedimientos en la seguridad de la información para garantizar el cumplimiento normativo y la protección de datos sensibles.
Gema Luna: «Sempre m’ha apassionat la tecnologia i volia contribuir a la protecció de la informació i la privacitat de les dades»
Gema Luna és una enginyera en sistemes que, malgrat els estigmes socials, ha aconseguit obrir-se pas en les denominades carreres STEM (programes de ciència, tecnologia, enginyeria i matemàtiques), les quals, durant molt de temps, han estat considerades com a camps on preval la masculinitat.
Aquesta jove equatoriana, motivada per la protecció de la informació i la privacitat en aquest món que està cada vegada més digitalitzat i connectat, va decidir endinsar-se cada vegada més en l’àrea de la informàtica i, després de superar diferents reptes personals, familiars i laborals, va acabar estudiant el màster universitari de Ciberseguretat i Privadesa a la Universitat Oberta de Catalunya (UOC).
Gema recorda que, quan ella va comunicar a la seva família que estudiaria enginyeria en sistemes, va haver-hi persones que li van dir que ella no podria culminar amb èxit aquesta carrera, situació que la va marcar durant un llarg temps, fins a tal punt que li va passar pel cap la idea d’abandonar el seu somni. No obstant això, va prendre força i aquesta situació la va convertir en un fort impuls per continuar i assumir els reptes que es va trobar a la carrera.
Actualment treballo a l’empresa farmacèutica Farmacias Santa Martha, com a desenvolupadora de programari. Hi vaig començar com a analista, vaig decidir fer el meu treball final de màster aplicat a aquesta organització i he anat creixent a poc a poc en la mesura que actualitzo els meus coneixements.
Com vas conèixer la UOC i per què la vas triar?
Vaig conèixer la UOC mitjançant una cerca exhaustiva que vaig fer. Vaig decidir buscar les millors universitats en la meva àrea i la UOC em va aparèixer a la primera fila del llistat d’universitats del món, i per això la vaig triar. Fins i tot vaig veure que tenia conveni amb la SENESCYT, la qual cosa em facilitava el reconeixement del títol. Tots aquests factors em van ajudar a triar la UOC com la universitat on vaig estudiar el màster.
Quins creus que són els desafiaments més crítics en el camp de la ciberseguretat en l’actualitat?
En l’actualitat, els desafiaments més crítics en el camp de la ciberseguretat són les amenaces en constant evolució, ja que els ciberdelinqüents desenvolupen tàctiques cada cop més sofisticades i atacs cada vegada més difícils de detectar. L’escassetat de talent exigeix una gran demanda de professionals de ciberseguretat qualificats, però hi ha falta de personal amb les habilitats adequades. I la privacitat de les dades, la protecció de la privacitat en un món cada vegada més digitalitzat, és un desafiament constant, especialment amb les regulacions que existeixen, com el Reglament general de protecció de dades personals.
Quines àrees específiques de la ciberseguretat t’interessen més i per què?
Una de les àrees que més m’interessa, per exemple, és l’anàlisi d’amenaces, ja que m’agrada comprendre com funcionen i desenvolupar estratègies per detectar i mitigar atacs. També em crida l’atenció la seguretat en la xarxa per protegir les xarxes informàtiques i els sistemes contra intrusions i atacs cibernètics. La gestió d’incidents també m’interessa, per coordinar respostes efectives davant de ciberatacs i minimitzar-ne l’impacte. I la protecció de dades, per garantir que la informació personal es manegi i s’emmagatzemi de manera segura i es compleixin les regulacions de privacitat.
Quines consideres que són les habilitats i els coneixements fonamentals que un professional de la ciberseguretat ha de posseir?
Un professional de la ciberseguretat efectiu ha de tenir una combinació d’habilitats tècniques, com ara el coneixement sòlid, comprendre els fonaments de la informàtica, les xarxes, els sistemes operatius i les aplicacions, la gestió de riscos, avaluar i mitigar riscos de seguretat de manera efectiva i l’anàlisi d’amenaces cibernètiques, per anticipar-se i prevenir atacs, entre altres. I també habilitats toves, com el treball en equip, la gestió del temps i l’adaptabilitat, ja que són molt importants en un entorn de ciberseguretat dinàmic, juntament amb una mentalitat proactiva i ètica per abordar els desafiaments en canvi constant que hi ha en el camp de la ciberseguretat.
Quan vaig ingressar a la universitat a cursar la carrera d’enginyeria en sistemes, la majoria eren homes, i això va ser un canvi una mica dràstic per mi. Però m’hi vaig anar adaptant i em vaig esforçar per destacar en la meva àrea, aprendre i tirar endavant la carrera.
Com vas vèncer la por i vas agafar més confiança?
Cada vegada que ens posaven una tasca o un repte, jo buscava la manera de solucionar-lo. Per molt difícil que fos, no em donava per vençuda i sempre intentava buscar una solució. Això és el que crec que em caracteritza actualment, que no em rendeixo tan fàcilment.
Quina és la teva opinió sobre la importància de la privacitat de les dades en el món digital actual?
La privacitat de les dades en el món digital és essencial per preservar la dignitat i els drets de les persones, i garantir la confiança en línia. Promoure la innovació i protegir la seguretat és un tema de gran rellevància en el món actual i s’ha de tractar amb la màxima seguretat i responsabilitat per part dels individus, les organitzacions i els governs.
Sobre el Pla director de seguretat (SGSI) Farmacias Santa Martha
Quins elements componen l’estructura de l’empresa Farmacias Santa Martha S. A. en termes d’ubicacions i sucursals?
Santa Martha és una empresa que compta actualment amb una oficina matriu situada a Manabí, a l’Equador. També té un centre de distribució i actualment té 670 farmàcies a l’interior del país.
Per què cal elaborar i implementar un sistema de gestió de seguretat de la informació per a l’empresa?
En principi, perquè és una empresa en creixement que no comptava amb un sistema de gestió de seguretat de la informació, i em semblava que era molt important poder-lo desenvolupar.
Com descriuries el procés d’implementació de l’SGSI basat en la norma ISO 27001 per a l’organització?
El procés d’implementació del sistema de gestió de seguretat de la informació a Farmacias Santa Martha va ser una mica complicat, ja que les persones no estan acostumades a aquesta mena de processos, i encara més quan a l’organització no hi havia una cultura de seguretat de la informació. El rebuig al canvi va ser el desafiament més important que vam haver d’afrontar. Actualment seguim en aquest camí, es continua capacitant i se segueix conscienciant el personal perquè entenguin que és important tenir un sistema de gestió de seguretat de la informació.
Quin va ser el pas a pas per elaborar i implementar aquest sistema?
En primer lloc, es van identificar i es van analitzar els riscos de seguretat de la informació a l’empresa Farmacias Santa Martha S. A. Posteriorment, es van valorar els riscos identificats i se’n va establir la prioritat per determinar els controls adequats i minimitzar els riscos. Després, es va establir un pla d’acció per a la implementació dels controls necessaris per minimitzar els riscos identificats. Així, vam aconseguir protegir la informació crítica i es va avançar cap a la prevenció de pèrdues financeres i danys a la reputació de l’empresa associats a la seguretat de la informació.
Com es pot conscienciar sobre la importància d’un SGSI?
Considero que per conscienciar el personal d’una organització se’ls ha d’incloure bastant en el procés i realitzar una capacitació constant. S’han de realitzar pràctiques d’atacs, és a dir, simular els atacs, perquè el personal entengui els perills a què estem exposats. Moltes vegades les persones no són conscients que en la seva feina manegen informació molt important i que amb una petita acció, basada potser en el desconeixement, poden posar en perill aquesta informació.
Quines lliçons valuoses es van obtenir dels desafiaments trobats durant la implementació?
Una de les lliçons més valuoses és que el suport i la participació activa de l’alta direcció és fonamental per implementar un sistema de gestió de seguretat de la informació o qualsevol projecte en una empresa, perquè aquest és l’exemple que es requereix perquè tot el personal s’hi involucri i hi participi.
Quines accions se suggereixen a l’organització per afrontar desafiaments futurs i mantenir la confiança de les parts interessades en la seguretat de la informació?
Entre les accions que se suggereixen hi ha el manteniment continu del sistema de gestió de seguretat de la informació, una avaluació de riscos periòdica, la capacitació constant del personal, la qual cosa és molt important, tant per als nous com per als antics, auditories i revisions internes, i, com ja he esmentat abans, la participació de l’alta direcció és fonamental.
Tens alguna meta o projecte específic que t’agradaria aconseguir o que estiguis duent a terme després de completar el teu màster de Ciberseguretat i Privadesa?
El meu enfocament principal després de completar el meu màster de Ciberseguretat i Privadesa és aplicar els meus coneixements i habilitats en aquest camp per contribuir a la protecció de dades i sistemes en entorns digitals. Actualment ho estic aplicant a l’empresa on treballo. També m’agradaria tenir certificacions addicionals en ciberseguretat, així com continuar col·laborant en la creació i la millora de polítiques i procediments en la seguretat de la informació per garantir el compliment normatiu i la protecció de dades sensibles.
