"Los sistemas de gestión son facilitadores clave de nuestras operaciones"

Influye como oportunidad y como exigencia. Si hay una característica clave en la definición de las políticas de seguridad en Indra es el hecho de que nuestros profesionales son profesionales de tecnologías de la información TI. Cualquier política o iniciativa de uso y de explotación de las tecnologías de la información siempre parten de esa premisa.

Esto, unido a la dispersión geográfica, de negocios y de madurez tecnológica de los diferentes mercados es una gran exigencia a la hora de definir políticas que sean lo suficientemente globales y lo suficientemente flexibles para asegurar nuestros objetivos. Porque las políticas de seguridad siempre se definen para favorecer la prestación del negocio y la excelencia de los productos y servicios que proveemos.

El marco general -las premisas, los objetivos, el alcance- de las políticas de seguridad de Indra es global. Ahora bien, como cualquier normativa deben estar vivas para evolucionar y asegurar el correcto funcionamiento y asegurar su aplicación en cualquier caso. Por eso son también flexibles, porque se adaptan a los distintos negocios y mercados. ¿Hasta qué punto se desarrolla esa adaptación? Depende mucho de la política en cuestión, de la normativa que la desarrolla y las necesidades concretas.

Sin duda, los sistemas de gestión son clave por su orientación nativa al análisis de riesgos y a la propia gestión. Sin un sistema de gestión no seríamos capaces de evolucionar las políticas y adaptarlas a cada uno de los sistemas y mercados que necesitamos. Los sistemas de gestión son un facilitador y son un elemento estratégico porque te permiten poner en práctica la estrategia. A través de ellos tenemos una medida sistemática de madurez y de mejora.

Han ido evolucionando de una manera natural, en el contexto exigente que requiere la revolución de la tecnología y la comunicación. Gracias a haber abordado hace ya 10 años la implantación de estos sistemas de gestión hemos adquirido un nivel de madurez que nos permite que la evolución de la transformación digital se adopte con naturalidad. El hecho de que los sistemas de gestión permitan una capilaridad y una aplicación de políticas a distintos niveles facilita sin duda trasladar las revoluciones que acompañan el contexto de los sistemas.

Los beneficios son los propios de la metodología de análisis de riesgos: el ejercicio de diagnóstico te permite conocer mejor tus servicios y tomar decisiones en consecuencia. ¿Cómo lo abordamos? Tenemos una metodología de análisis propia que sigue un enfoque clásico en cuanto a identificación y valoración de activos, riesgos, y asociación con las medidas y contramedidas aplicadas que nos permiten alcanzar nuestro nivel de riesgo objetivo. Sistemáticamente salen a la luz aquellos niveles de riesgo que no son aceptables para nuestros objetivos y que requieren la implantación de controles adicionales.

El reto es encontrar la metodología que mejor se va adaptando a cada momento manteniendo una comparabilidad de los resultados. En general, recurrimos a modelos más exhaustivos y detallados en aquellos procesos que lo permiten, y a metodologías más “ligeras” cuando se trata de mercados o ámbitos “no tan clásicos” en este tipo de ejercicios.

Como comentábamos anteriormente, la clave está en la capacidad que tenemos para definir políticas lo suficientemente generales y, al mismo tiempo, lo suficientemente flexibles para adaptarlas a nuestras necesidades concretas. Nuestro objetivo es permitir la prestación de los servicios en unas condiciones de seguridad óptimas. La seguridad de la información es un factor clave y un valor añadido al servicio que presta Indra.

Ahí, la clave de nuestro modelo puede ser tener muy en cuenta el factor cultural, y la consiguiente gestión adicional que pueda requerir poner en marcha determinados mecanismos en diferentes culturas que pueden tener, o no, el mismo impacto y la misma eficiencia.

El modelo que tenemos en Indra es un modelo centralizado si bien, el reto, y hacia donde vamos, es hacia una descentralización en el sentido de una adaptación innovadora de esas políticas que permita llegar a todos los mercados en los nuevos tiempos y formas hacia los que evolucionan cada uno de ellos.

El primer ejercicio que hay que realizar antes de implantar un sistema de gestión es tener claro el porqué, qué objetivos se persiguen y, en función de ellos, decidir qué alcance y definición de aplicación hay que promover.  Al mismo tiempo que se analiza el porqué, hay que tener muy en cuenta la madurez de los diferentes servicios y sus procedimientos, para analizar aquellos que pueden estar más cerca de la implantación o, por el contrario, más lejos.

A continuación, es fundamental reflexionar sobre si los recursos que dedicamos a la implantación y a la gestión de la información son proporcionales a la criticidad y a la importancia que ésta tiene para la organización. Y, por supuesto, cuando estamos hablando con organizaciones tan amplias como la nuestra y con un nivel de exigencia tan elevado, promover cualquier política, proyecto o iniciativa de mejora de la gestión requiere el apoyo de la alta dirección. Este es, sin duda, un facilitador clave para asegurar un alineamiento de toda la organización.

No me atrevería a decir que una fase lleva más esfuerzo que otra. Sí es cierto que en la implantación, el auge de haber identificado objetivos y el hecho de tener muy claro el porqué sirve de potente motor. Una vez que ya está implantado el sistema, sus beneficios son tales que por sí solo facilita asumir el esfuerzo que puede suponer el propio mantenimiento.

La transformación digital está muy unida a la seguridad. Porque no se pueden desarrollar políticas de seguridad que no contemplen el contexto de transformación digital actual. Para un profesional de la ciberseguridad nunca se llegará a un nivel de sensibilización suficiente, porque al mismo tiempo que ésta evoluciona, lo hace también su contexto y con él las exigencias que son cada vez mayores. En cualquier caso, es una de las máximas en las que trabajamos día a día. Es cierto que la evolución y repercusión pública de la seguridad de las tecnologías de la comunicación y la información nos está poniendo algo más fácil el camino de la sensibilización, no sólo de la empresa, sino de la sociedad en general en su ámbito tanto personal como profesional.

La figura del Chief Information Security Officer ha ido evolucionando en responsabilidades y visibilidad al mismo ritmo que ha ido evolucionando el contexto. Este ha ido imponiendo unas exigencias, como acabamos de mencionar, tanto en el ámbito de la vida personal como en la profesional, que hace necesario que las figuras de responsabilidad sobre la seguridad de la información tengan una visibilidad proporcional.

Hace años la visión del CISO se focalizaba en un plano más técnico y cercano a la propia tecnología de los sistemas de información. El contexto hoy obliga a que esta figura adopte además una visión con proyección a los riesgos globales de cualquier organización.

Esperamos que nos acompañe y nos ayude en la prestación de nuestros servicios y, en definitiva, en el desarrollo de nuestro negocio. ¿Qué implica esto? Que nos ayude a cumplir nuestros objetivos de excelencia, las exigencias que nos marca el mercado y los objetivos que establecen nuestros clientes. Estos están, lógicamente, cada vez más sensibilizados y sus exigencias son cada vez mayores; quieren tener la certeza de que se están tomando las pautas correctas en materia de seguridad. Y aquí la presencia y el acompañamiento de una entidad como AENOR es clave.

Esperamos seguir recibiendo lo que AENOR nos viene ofreciendo desde hace más de una década: apoyo para auditar y seguir mejorando nuestros sistemas de gestión, que nos permiten cumplir objetivos y asegurarnos que estamos alineados con los objetivos de nuestros clientes.