Panel de Expertos en TIC convocado por Stratic y ECONOMÍA 3 sobre Seguridad de la Información
Stratic, consultora valenciana especializada en el desarrollo e implementación de estrategias TIC en las empresas, junto con ECONOMÍA 3, convocó, el pasado mayo, a un grupo multidisciplinar de expertos en tecnologías de la información, para debatir sobre la seguridad de la información en el mundo digital. Además de Gabriel Sotoca, socio-director de Stratic, en la sesión participaron José Alamar, director general de la consultora Resultae; Raúl Costa, abogado experto en el área de Tecnologías de la Información en Agrupa Consultores; Enrique Ferré, director de Sistemas de Información en GD Energy Services (Grupo Dominguis); Juan Carlos Lombardía, responsable de Sistemas de Información en la mutua Umivale; Juan Pardo, director del Dpto. de Computación en la Universidad CEU Cardenal Herrera; Óscar Padial, perito judicial informático y jefe de Sistemas de Información en Palau de les Arts; y Antonio Ramírez, gerente de Marketing en Konica Minolta España. Este es un resumen de lo tratado en la sesión.
Gabriel Sotoca (Stratic).- El objetivo de este primer Panel de Expertos es conocer sus opiniones sobre la problemática de la seguridad de la información en la era digital. Aproximadamente, el 90 % de los proyectos digitales que hoy se ejecutan en las empresas incorporan tecnologías que implican el alojamiento de la información en la nube y la movilidad de los usuarios y dispositivos. ¿Cómo afecta a la seguridad de la información y las comunicaciones el uso de estas nuevas tecnologías?
José Alamar (Resultae).- En nuestra compañía ayudamos a nuestros clientes a transformar sus negocios y mejorar sus resultados a través de la ejecución de proyectos de estrategia, procesos, operaciones, organización, finanzas y cambios en los sistemas tecnológicos y al trabajar sobre todo con empresas familiares pequeñas y medianas, hemos comprobado que menos de la mitad de estas utilizan medidas de seguridad eficientes para controlar las amenazas en la nube. Por otra parte, aproximadamente la mitad de las personas responsables del área de SI de esas empresas, está preparada para hacer frente a esas amenazas. Por lo tanto, hay importantes posibilidades de mejora.
Raul Costa (Agrupa Consultores).- Como abogado, tengo una visión sobre este tema distinta a la puramente técnica. Cuando hablamos del «cloud” (la nube), no tengo muy claro que la gente sea consciente de los riesgos legales que asume: ¿dónde está la nube?, ¿quién la controla? Esto del «cloud” no es etéreo. El alojamiento de la información y los datos debería estar localizado y bajo una reglas del juego que todos conozcamos. ¿Qué pasa cuando la información migra a Estados Unidos? ¿La empresa americana tiene o no protocolos de seguridad equivalentes a la normativa europea? Por nuestra experiencia, estas cosas las empresas no se las plantean.
Patriot Act
Por otra parte, en Estados Unidos hay una ley, la Patriot Act, que permite al Gobierno de Estados Unidos apropiarse de cualquier información que considera que amenaza su seguridad nacional. Las universidades generan estudios, patentes, información muy útil… No estamos hablando de cuestiones políticas, estamos hablando de negocios, que pueden interesar a cualquier operador del mercado. ¿En qué manos dejamos la información?, ¿por qué consideramos que la información de salud es más sensible que la económica o comercial?
Hay otros aspectos relacionados con la transparencia: ¿qué pasa con mi información si quiero cambiar de proveedor de «cloud”? Las condiciones contractuales del servicio deberían estar bien atadas, aunque ya sabemos que es difícil negociar con Amazon o Microsoft. Estas cuestiones son las que deberían, como mínimo, ser analizadas antes de decidir subir o no la información y los datos a la nube.
Enrique Ferré (GD Energy Services).- Centrándonos en el fenómeno «cloud”, estas estrategias se adoptan para incrementar la disponibilidad de recursos, pero cuando analizas la cuestión desde la perspectiva de la seguridad, entra cierta inquietud al sentir esa pérdida de control que supone depositar nuestros datos en manos de un tercero.
Por otra parte, en relación con el tema de la seguridad, va a mucha más velocidad que cualquier cosa que podamos hacer, el uso por los empleados de dispositivos no controlados por el departamento de Sistemas de Información. No tenemos capacidad operativa para analizar, desplegar, implantar y afinar soluciones de seguridad en tiempo y forma. Y hacerlo, además, equilibrando la seguridad corporativa y la libertad personal; y la seguridad y la productividad. Es muy difícil que el usuario entienda que hay que dar muchísima importancia a la seguridad, porque él sobre todo piensa en la usabilidad.
Datos «sensibles”
Juan Carlos Lombardía (Umivale).- Nosotros gestionamos datos muy sensibles, relacionados con la salud. Tenemos una legislación muy estricta que cumplir, por lo que no sacamos fuera esos datos. Si están alojados fuera, ¿quién tiene el control? y ¿quién accede?
En cuanto a la movilidad para nuestros usuarios es bastante reducida, puesto que no distribuimos productos. Nuestros centros de trabajo son clínicas y nos dedicamos a cuidar de nuestros trabajadores protegidos, por lo que no hemos abordado ese tema.
Juan Pardo (Universidad CEU Cardenal Herrera).- El «cloud” ha venido para quedarse y la movilidad también. En esta mesa casi todos somos tecnólogos y tenemos claro dónde están los datos cuando hablamos de la nube; sabemos que no es algo abstracto y que están en unos servidores que tienen una ubicación geográfica concreta. Lo que no tengo claro es si el resto de integrantes de la empresa entienden eso y creo que no. Al final, esa responsabilidad acaba en el Departamento de Informática, porque el «cloud” es otra tecnología más que, evidentemente, tiene unos costes muy reducidos.
No sé si la persona que tiene que tomar decisiones de tipo estratégico, tiene claro que el «cloud” significa que los datos pueden estar en Estados Unidos, y a lo mejor estamos hablando de datos que necesitan una protección especial, porque son muy sensibles. Hay ciertos datos que pueden colgarse en la nube con total despreocupación, aunque no en sitios «cloud” que son gratuitos (ofrecen un contrato de adhesión pero el usuario no tiene el control) tipo Dropbox o similar y, desde luego, no pondría allí jamás temas de patentes, aunque en el mundo universitario existe una cultura, una tradición, proclive a esto: el grupo de investigación crea un sitio en la nube y comparten en él la información los miembros del grupo. Como se ha dicho, estamos en una guerra económica.
Óscar Padial (Ciudad de les Arts y perito judicial informático).- En cuanto al tema «cloud” hace relativamente poco hemos puesto en marcha en la entidad el Office 365 con la nube de Microsoft. Los usuarios están contentos porque pueden bajarse desde su casa documentos y trabajar. Pero no tengo claro que desde el punto de vista de la seguridad sea la mejor solución, porque en una empresa que no es tecnológica, como la nuestra, el Departamento de Sistemas es el responsable de la seguridad de la información, pero la seguridad es cosa de todos, no solo del Departamento de Sistemas, pues con la nube, es el usuario quién decide qué información deja ahí.
Mundo real-mundo virtual
Antonio Ramírez (Konica Minolta España).- La integración entre el mundo virtual y el mundo real también supone un problema de seguridad muy importante del que no somos conscientes. Los directivos de las organizaciones tienen colaboradores, personas, a los que han dado todo tipo de derechos porque confían en ellos, pero no hay control sobre qué hacen ni cómo utilizan esa información. Nosotros nos dedicamos a eso, a monitorizar y a hacer un seguimiento de la información dentro de una organización, y eso forma parte de la política de seguridad que cualquier compañía necesita implementar.
Nosotros recibimos llamadas sobre intrusiones en la “cloud” interna o externa de la compañía a través de cualquier dispositivo. Tenemos que poner herramientas para impedirlo o para saber quién, cómo y cuándo ha accedido a la información. Llevarte información de una compañía muchas veces no es más que ponerla debajo del brazo, porque ese empleado tiene derecho a coger el documento –un expediente médico por ejemplo–, imprimirlo o escanearlo y llevárselo sin que nadie sepa nada. Ese es un hueco de seguridad que existe en la mayoría de las empresas.
Y esto nos lleva a la otra cuestión: la gestión de los documentos físicos y electrónicos de la organización. De alguna manera hay que confirmar que la documentación no ha sido violada. Para ello, se precisan herramientas tecnológicas que puedan impedirlo. Tenemos certificaciones y homologaciones del Ministerio del Interior o de la Comisión Nacional del Mercado de Comunicaciones; unos certifican el contenido, otros que el servidor es de un tercero de confianza y que no es violado, y otros confirman que cuando sacas la información y la estás mandando por correo, la comunicación es segura y está encriptada. En una adecuada política de seguridad, todo esto tiene que controlarse. Al menos, saber quién, cómo y cuándo ha accedido a tal documento físico o electrónico.