¿Están las empresas concienciadas sobre la importancia de la seguridad de la información?

2015-junio-Mesa-Stratic-Gabriel-Sotoca-Stratic

Gabriel Sotoca (Stratic)

Gabriel Sotoca (Stratic).- Vamos con una segunda ronda, concretando las preguntas en función de la actividad de cada uno. José, como consultor de empresas, ¿hay conciencia en las compañías del problema de la seguridad de la información, hasta el punto de cuantificar las posibles pérdidas por la fuga de la misma?

José Alamar (Resultae).- Caso real: una empresa de alimentación que factura unos 18 millones de euros. Salió una persona de la empresa no muy bien y esta, por razón de la responsabilidad que ejercía, tenía contraseñas vitales para la organización y, por tanto, la posibilidad de presionar a la empresa en las negociaciones del despido.

[mepr-rule id=”598″ ifallowed=”show”]

¿Quién es el responsable de esta situación? El propio empresario o el propietario, que es quien se tiene que hacer cargo de estas situaciones. ¿Cómo protegerse? No había un procedimiento específico ni una política definida para afrontar la situación planteada, no se hacían auditorías internas y no se cambiaban las contraseñas. Se despide a una persona clave y todo sigue igual, confiando en que no pase nada. Desde luego, ese no es el mejor modelo.

Gabriel Sotoca (Stratic).- Raúl, en su opinión como letrado, ¿cuáles son los retos legislativos en materia de seguridad?

Raúl Costa (Agrupa Consultores).- Europa ya está tomando cartas en el asunto. Hay reglamentos o directivas que se van a negociar, como el reglamento europeo de Protección de Datos, que ha sido aprobado por el Parlamento y ahora está en el Consejo. Como en 2014 hubo elecciones europeas, no se llegó a aprobar, pero en breve tendremos un marco legislativo europeo de directa aplicación en cada uno de los países. El reto es legislar de forma más global, para que haya más seguridad jurídica. Nos viene muy bien tener un marco legal uniforme, sobre todo para los abogados, que no tendremos que complicarnos la vida interpretando diferentes normas. El marco regulatorio actual es del 95 y el objetivo es actualizarlo conforme avanzan las condiciones del mercado.

Gabriel Sotoca (Stratic).- ¿Podemos decir que hay vacíos legales?

2015-junio-Mesa-Stratic-Raúl-Costa-Agrupa-Consultores

Raúl Costa (Agrupa Consultores)

Raúl Costa (Agrupa Consultores).- Hay muchos temas nuevos que regular: los drones, los coches que se conducen solos, el “big data”, etc. Tenemos que pensar qué normas son aplicables a según qué fenómenos. ¿Qué normativa se aplica a un vehículo que circula sin conductor? No lo sé, pero ese vehículo ya existe. Un dron, ¿es un aparato teledirigido o una nave?, ¿se aplica una norma o se aplica otra?

La responsabilidad de los CIO

Gabriel Sotoca (Stratic).- El 60% de los empleados cree que la responsabilidad en materia de seguridad de la información recae en el responsable de Sistemas de Información (CIO). Enrique, en tanto que CIO de su empresa, ¿cómo un responsable de Sistemas de Información traslada a Dirección General que este tema no es solo responsabilidad suya?

Enrique Ferré (GD Energy Services).- El 60% me parece un porcentaje bajísimo; en la práctica es el 100% de la plantilla quien piensa así. Si sale un directivo de la compañía, estoy seguro que el director financiero anula su Visa de empresa antes de que cruzar la puerta pero si son temas tecnológicos, la cosa cambia. En mi opinión, la solución pasa por convertir el tema de la seguridad en un tema de negocio, no de tecnología. El problema es que aprendemos a base de incidentes: una vez planteado el incidente, es cuando gerencia reacciona.

En nuestro caso, como responsables de Sistemas trabajamos en la concienciación, que es lo que mejor funciona; sobre todo si es informal. Lo formal funciona avisando a la gente de posibles incidentes y lo informal aprovechando cualquier oportunidad que surja con cualquier persona de la organización, dejando caer lo que podríamos llamar “píldoras de seguridad”, para que ellos lo perciban como un tema real.

Gabriel Sotoca (Stratic).- Además de CIO en el Palau de les Arts, también es perito judicial informático. Óscar, ¿cómo ve usted este tema?

2015-junio-Mesa-Stratic-Óscar-Padial-Palau-de-les-Arts

Óscar Padial (Palau de les Arts)

Óscar Padial (Palau de les Arts y Perito Judicial Informático).- Como acaba de decir Enrique, es muy importante la concienciación, convencer a la Dirección de que un problema de seguridad acabará en pérdida de dinero; convencerles de que invertir en seguridad sirve para evitar pérdida de dinero, de imagen…

Y no es solo un tema de la dirección general. Tenemos que concienciar también a la gente de Recursos Humanos de que, antes de que se firme el finiquito, hay que resolver temas como el móvil, la lista de contactos, el correo corporativo, etc.

Gabriel Sotoca.- Y en tanto que perito judicial, ¿a qué retos se enfrenta desempeñando esta labor?

Óscar Padial (Palau de les Arts y Perito Judicial Informático).- En materia pericial hay que distinguir entre un informe a instancias de parte o por designación judicial. Cuando es por designación judicial, ya existe causa por la que se te requiere un dictamen. Cuando es a petición de parte, el trabajo previo es investigar los motivos de la petición; ¿por qué me llaman?

Los últimos dictámenes periciales que he hecho han sido relativos a divorcios, porque hemos llegado al extremo de que en un divorcio, se quiere aportar como prueba cualquier mensaje, correo o “whatsapp”. Nuestro trabajo es demostrar la veracidad y/o fiabilidad de esas evidencias. En estos casos de particulares o de empresas muy pequeñas, es muy difícil cumplir con la cadena de custodia, ¿cómo demostrar que esa supuesta prueba no ha sido modificada? Un “whatsapp” no puede ser utilizado como única prueba pericial; hay que aportar más cosas, porque se ha demostrado que se pueden modificar.

Gabriel Sotoca (Stratic).- Pasamos a lo que se ha llamado generación Z, la nativa digital. Juan, ¿qué problemas encuentran en la Universidad en materia de protección de datos, de privacidad de la información, cuando todos los alumnos van con sus dispositivos móviles por el campus?

Generación Z o nativos digitales

Juan Pardo (Universidad CEU Cardenal Herrera).- Cuando hablamos de alumnos, no tenemos perímetro. Estos vienen con su tableta, su portátil o su smartphone, se conectan al wifi de la Universidad y desde gerencia se quiere que el acceso sea barra libre. La cantidad de dispositivos es tan grande que no podemos monitorizarlos ni controlar el flujo de datos que se genera.

Además, yo llamaría la atención sobre un aspecto que nos va a cambiar algunos paradigmas en poco tiempo: los jóvenes no tienen el mismo concepto de privacidad que nosotros y ellos van a ser los próximos legisladores. Cuelgan todo en la red y ni les suena qué es un metadato. Suben fotos, etiquetan a los que aparecen y encima cuentan cómo acabó la fiesta. Nos les preocupa en absoluto la privacidad.

Este es el entorno en el que tenemos que desarrollar nuestra actividad. El Departamento de Informática está optando por cubrir los riesgos a través de la contratación de seguros, porque desconocemos nuestro parque de dispositivos.

Uno de los problemas más graves que vamos a tener en los próximos años es el del chantaje. Las empresas no declaran que han sufrido ataques y violaciones de seguridad porque es algo que perjudica la imagen de marca y su reputación, pero está pasando en bastantes empresas. Y siempre estamos con actitud reactiva: cuando pasa algo es cuando nos concienciamos y desarrollamos medidas preventivas y de protección.

Seguridad y gestión documental

Gabriel Sotoca (Stratic).- Por último, Antonio, parece que la seguridad asociada a la gestión documental es algo a lo que no se da importancia. ¿Qué experiencias tiene al respecto?, ¿hay sistemas capaces de interpretar y seguir la documentación que se escanea o digitaliza?

Antonio Ramírez (Konica Minolta).- Es muy difícil poner impedimentos a un empleado para que acceda a aquello que necesita para hacer su trabajo, pero hay que poner mecanismos de control y conseguir que cualquier acción de digitalización y copiado quede registrada. La primera línea de defensa es el requerimiento de identificación, y puede ser de muchas maneras: personal, huella biométrica, iris del ojo, etc.

Por otra parte, en los equipos de ofimática (fotocopiadoras, escáneres, faxes, etc.), hay discos duros donde se puede guardar información. Muchos departamentos de Sistemas no se enteran de esto. ¿Por qué cerrar el acceso USB de un ordenador y no hacerlo en un equipo que está en medio de un pasillo?

Se precisan y hay mecanismos capaces de interpretar lo que está pasando en el dispositivo o en las comunicaciones con ese dispositivo. Esos mecanismos te permiten saber quién ha sido el que ha hecho qué cosa en cada momento.

Luego está la seguridad de la confidencialidad de la información. El alojamiento en la nube está muy bien, pero no son solo notas de gastos lo que subimos a la nube. A veces son contratos, denuncias, partes de accidentes. Esa información no puede estar en cualquier sitio y hay que garantizar la comunicación entre el usuario y el punto de alojamiento. Hay que garantizar que la información va encriptada o codificada, y queda alojada en sitio seguro.

Hoy la información se comparte y no solo la generación Z. El valor está en compartir la información, porque quien no la comparte está out. Como fabricantes, como CIO o como responsables de la ley, tenemos que asumir que la sociedad va a compartir la información, pero podemos poner mecanismos para saber a qué información, documento o dato se ha accedido, quién lo ha hecho y con quién lo ha compartido. Hasta es posible hacer un seguimiento de la información cuando sale de la organización, porque se pueden incorporar en el documento físico o en el archivo digital elementos de control que el ojo humano es incapaz de ver. 

[/mepr-rule]
[mepr-rule id=”598″ ifallowed=”hide”]

Para leer el artículo completo:
Suscríbase a la la edición digital de Economía 3;
con su cuenta de suscriptor

[/mepr-rule]

Suscríbete a nuestra newsletter