Los responsables de los Departamentos de Sistemas de Noatum (Ignacio Huet), Hinojosa (Francisco Auñón), Umivale (Pascual Rubio) y Royo Group (Vicente Jara), participaron en la mesa de reflexión y debate convocada conjuntamente por la empresa valenciana especializada en ciberseguridad, S2 Grupo y ECONOMÍA 3, para analizar la situación existente en la Comunidad Valenciana en materia de seguridad de los Sistemas de Información de las empresas. Por S2 Grupo participaron los dos socios directores, José Rosell y Miguel Ángel Juan y el director comercial, Rafael Rosell. La opinión general fue que queda mucho camino por recorrer, pues no existe conciencia clara de la importancia que tienen para la actividad productiva los Sistemas de Información y su adecuada protección. Este es un resumen de lo tratado en la sesión.

[mepr-rule id=»598″ ifallowed=»show»]

La Dirección de las empresas, ¿tiene una conciencia clara de la importancia de garantizar la seguridad de los Sistemas de Información de la compañía, o eso es algo que se da por supuesto y que, en cualquier caso, es responsabilidad del Departamento de Sistemas?

Ignacio Huet (Noatum).- Nuestro consejero delegado es muy consciente de los riesgos en materia de seguridad de los Sistemas de Información y la empresa lo es del valor de la tecnología para el grupo.

Debemos proteger los activos de la empresa, como son nuestras terminales, las grúas y equipos, mediante seguridad perimetral, pero también cubrir otros riesgos, como que alguien saque información. Esta inquietud ha existido desde el principio, porque nuestros accionistas no pueden permitirse que la información de la empresa circule sin control. Es algo inaceptable para los estándares que establece J.P. Morgan, que es nuestro mayor accionista.

Por lo tanto, desde que se creó Noatum, en nuestra hoja de ruta quedó establecida la importancia de garantizar la seguridad de los Sistemas de Información como un activo relevante para la empresa.

De hecho, estamos implantando ahora, con la ayuda de S2 Grupo, un plan de seguridad de los Sistemas de Información, con el objetivo de certificarnos este año en la ISO 27000, lo que supondrá una garantía para nuestros accionistas y clientes.

Miguel Ángel Juan (S2 Grupo).- La toma de conciencia en estos temas siempre depende de las personas. Por mucho que hablemos de la cultura de la organización, el impulso inicial tiene que partir de las personas. La organización debe contar con un CEO que sea consciente de que tiene que “pelear” dentro de su organización para convencer a la gente de la importancia de dicha cuestion. A fin de cuentas, una de las obligaciones de todo directivo es luchar por los temas que considere importantes, aunque sea contracorriente, porque es lo que le puede aportar valor a la compañía.

José Rosell (S2 Grupo).- En Estados Unidos están convencidos de que una de las vías de entrada de su siguiente gran atentado serán los contenedores y, por lo tanto, lo que hacen es trasladar las medidas de seguridad a los puertos de origen –en este caso el de Valencia–, para evitar que se cargue alguna sustancia no deseable. Por eso Noatum tiene tan marcado en su ADN el tema de la seguridad y la ciberseguridad.

Sector y tamaño

Respondiendo a la pregunta planteada por el moderador, creo que hay compañías que, en función del sector en el que operen y de su tamaño, sí están muy concienciadas sobre la importancia de garantizar la seguridad de sus Sistemas de Información. Además, en este momento la ciberseguridad está presente a diario en los medios de comunicación y eso contribuye a esa concienciación de las compañías.

Pero hay que recalcar que no solo la compañía tiene que prepararse, sino también sus proveedores: una compañía es segura en tanto lo es ella y lo son sus proveedores. Estamos viendo incidentes en los que se están utilizando vías o vectores de ataque no directamente al Departamento de Tecnología o Sistemas, sino que se producen, por ejemplo, a través de la secretaria de un directivo o de un proveedor de pequeño tamaño, que tiene unas medidas de seguridad más laxas.

De hecho, una de las recomendaciones que incorporan los sistemas de gestión de la seguridad modernos, es la de forzar que los proveedores apliquen unas medidas de seguridad equivalentes a las de la propia empresa.

Francisco Auñón (Hinojosa).- Creo que José Rosell ha dado en el clavo mencionando sector y tamaño. Nosotros aún no tenemos al posicionamiento que tiene Noatum, porque venimos de un sector menos crítico con las cuestiones de seguridad, como es el packaging, además de que estamos en la fase de conformación del grupo societario. Hasta la fecha, éramos la suma de varias compañías de tamaño medio y pequeño, operando en un sector teóricamente poco expuesto y, por tanto, donde la seguridad de los Sistemas de Información no estaba entre las prioridades.

Nuestro punto de partida ha sido que la dirección tomase conciencia de la situación en la que estábamos, mediante un ejercicio de hacking ético realizado por S2 Grupo. Aprovechamos una de las reuniones del Comité de Dirección para presentar los resultados y preparamos un informe con la situación en cada una de las plantas. A partir de ese informe tomaron conciencia de la situación y en el modelo estratégico establecido se han fijado los estándares de seguridad de la información planta por planta.

Rafael Rosell (S2 Grupo).- Cuando las compañías tienen un incidente real que afecta a la seguridad de sus Sistemas de Información, lo primero que aparece es preocupación. Por eso, están empezando a preocuparse por la ciberseguridad, normalmente porque han sufrido algún incidente. Obviamente, lo inteligente es testar el estado de los Sistemas antes de sufrir cualquier problema.

Contestando directamente a la pregunta del moderador, la tecnología hoy es imprescindible para los negocios; está en la esencia de la propia compañía. Por ello, nos hemos ocupado de asegurar que los sistemas funcionen, que los ERP no se caigan y, en efecto, es muy importante, pero esto introduce una variable nueva en el negocio: la dependencia que tienen las empresas de la tecnología, porque si hay un problema en la línea de producción o nuestra imagen de marca sufre un impacto negativo, se para el negocio y sufre la cuenta de resultados.

Por ello, las compañías ven la tecnología como algo relevante y están invirtiendo mucho en tecnología, pero las inversiones se centran en las máquinas sin preocuparse de la ciberseguridad y lo que vamos a ver en los próximos años es que los negocios sufrirán mucho, en la medida en que la ciberseguridad no se incorpore como parte sustancial de la cultura de la empresa, porque esta tiene que ver con casi todos los riesgos a los que nos enfrentamos. La seguridad tecnológica es un parámetro imprescindible que debemos incorporar a la hora de diseñar las estrategias empresariales.

Lamentablemente, aún en muchos casos, cuando salimos a visitar empresas, parece que tiene que producirse algún incidente para que se doten presupuestariamente los temas de seguridad y, sobre todo en términos de estrategia, se debe interiorizar la seguridad como una pieza esencial de la cultura de la compañía.

Seguridad y salud

Pascual Rubio (Umivale).- Cuando hablamos de seguridad en los Sistemas de Información, en nuestro caso lo hacemos en un sentido muy amplio, pues trabajamos con datos de la salud de miles de pacientes que, por definición e imperativo legal, es información confidencial.

En segundo lugar, no estamos hablando solo de información y tecnología. En el mundo sanitario se mueve una cantidad de papel y documentación física enorme y, además, interactuamos con miles de organizaciones con las que intercambiamos documentos: empresas, con otros centros sanitarios de toda España, etc. Por tanto, para nosotros la seguridad de la información no es solo un tema de tecnología; hay aspectos relevantes relacionados con la seguridad de los procesos de trabajo.

En función de todo esto, ¿cómo abordamos en Umivale la seguridad de la información? Nos pusimos sobre el tema con el objetivo de cumplir la legalidad vigente y desde el Departamento de Sistemas empezamos a invertir en nuevas herramientas. Hemos visto que las cuestiones de seguridad de la información, por incidencias externas relacionadas con la exigencia de los pacientes, han ido ganando importancia, pues cada vez es mayor el nivel de exigencia en cuanto a la importancia, hay nuevos procedimientos que requieren más información, etc. A la vista de esto, hemos tenido que ir evolucionando.

En la actualidad, la seguridad de los Sistemas de Información está incorporada a nuestro Plan Estratégico, de forma que, en estos momentos, es una prioridad en los planes de desarrollo de Umivale. Como me imagino que os habrá pasado también a vosotros, ha sido un proceso un poco complicado debido a que nos encontramos continuamente ante nuevas necesidades que requieren un gran desarrollo. Ahora estamos en un momento donde ya no solo es importante la ciberseguridad, sino que debemos buscar las herramientas necesarias para que esta protección no se convierta en un obstáculo para prestar el servicio con la máxima calidad.

En cualquier caso, en el mundo de la salud, los temas de ciberseguridad son prácticamente inabarcables. Solo nosotros estamos hablando de 50 centros de consulta y tratamiento con más de 400 sanitarios que están generando información y donde, además, se mueve una gran cantidad de documentación física. Las historias clínicas están digitalizadas, pero todos los días se está generando información nueva, adicional, por multitud de personas desde diferentes centros y eso es muy difícil de gestionar y supervisar.

Tomar conciencia

Miguel Ángel Juan (S2 Grupo).- Como se decía al principio, hay diferencias significativas entre sectores y tamaños de empresas en materia de concienciación, pero como proveedores del servicio de seguridad de los Sistemas de Información de las compañías, nuestro trabajo es ayudar a las organizaciones que no tienen el nivel adecuado para que lo alcancen. De hecho, una de las actividades que estamos llevando a cabo desde S2 Grupo es la concienciación en organizaciones.

Esto nació de un proyecto nuestro de responsabilidad corporativa, que era la concienciación de los menores sobre el uso correcto de internet. A partir de ahí, nos dimos cuenta que, concienciando a los menores, concienciamos también a sus padres como ciudadanos y como empleados y comenzamos a ofrecer el servicio a las compañías que está funcionando muy bien porque estamos entrando en el tema de una manera empática, conectando con las emociones, para conseguir que tanto empleados como directivos se den cuenta de cómo les puede afectar un problema de ciberseguridad.

Hay que movilizar las conciencias y que las personas se lo tomen en serio, porque esa es la forma para que vean adecuado invertir dinero en seguridad, ya que el nivel de compromiso de una empresa se materializa en el presupuesto.

Vicente Jara (Royo Group).- Nuestro grupo tiene plena conciencia de la importancia de la seguridad de los Sistemas de Información. Por eso, cuando nos planteamos externalizar parte de las tareas de seguridad, nos aliamos con un especialista en la materia como es S2 Grupo.

Pero dicho esto, creo que daríamos una imagen distorsionada del tejido empresarial valenciano si afirmáramos que todos estamos muy concienciados. La realidad es que, en general, se da poca importancia a los Sistemas de Información y, en particular, a la seguridad de los mismos.

Las empresas nos piden a los responsables de los Departamentos de Sistemas que nuestra labor contribuya a mejorar la cuenta de resultados, los procesos productivos, logísticos, de relación con el cliente, etc. Nadie nos pide cambios o ampliaciones que no mejoran funcionalmente la empresa, porque la clave siempre está en el retorno de la inversión y, en tiempos de restricciones presupuestarias, calcular el retorno de la inversión en proyectos de seguridad no es fácil.

Sabemos que hay una convergencia entre los Sistemas de Información y los Industriales, pues existe una comunicación continua entre unos y otros mediante infraestructuras relativamente sencillas y fáciles de mantener. Y digo esto porque, en nuestro caso, a pesar de todos los sistemas de seguridad que tenemos desplegados, hemos tenido algunos problemas en la red industrial que nos ha costado erradicar, tal y como conocen en S2 Grupo.

José Rosell (S2 Grupo).- El problema que comenta Vicente Jara lo estamos viendo en muchos sitios, porque cada vez es más frecuente. A través de la tecnología IP hay una convergencia total, todo está conectado, pero no hay mucha gente que se dé cuenta de que hay que aplicar los mismos requerimientos de seguridad a los temas de producción y a los Sistemas de Información. Y esto ocurre incluso en empresas industriales grandes.

– El hecho de que Royo Group tenga centros de producción en otros países, ¿incide en la seguridad de vuestros Sistemas de Información o es indiferente?

Vicente Jara (Royo Group).- No lo es. La necesidad de interconexión es absoluta y creciente, por lo que se invierte mucho esfuerzo y tecnología en que ese tipo de interconexiones sean seguras. Ahora nos podemos beneficiar de contar con sistemas cada vez más centralizados que dan servicios en distintas localizaciones.

Acabamos de abrir un nuevo almacén logístico, que va a tener únicamente conectividad con los sistemas centrales; es decir, no tendrá conexión a internet ni con el resto del mundo. Con el modelo tradicional de crear nuevas instalaciones, cada una requería toda la infraestructura IT necesaria, con lo que estábamos replicando esa infraestructura y todos los sistemas. Con el nuevo modelo, esa necesidad desaparece, pero es imprescindible una interconexión segura entre las distintas localizaciones.

[/mepr-rule]
[mepr-rule id=»598″ ifallowed=»hide»]

[/mepr-rule]