Para una organización como Indra, una de las principales compañías globales de tecnología y consultoría con más de 40.000 profesionales y operaciones en más de 140 países, la seguridad de la información es piedra angular de la prestación de sus servicios. Sus políticas de seguridad están centralizadas y, según explica su Directora de Seguridad de la Información, el reto es conseguir que sean también lo suficientemente flexibles para que se puedan adaptar a los distintos negocios y mercados. Los certificados de AENOR de sistemas de gestión de seguridad de la información y de calidad de servicios de tecnologías de la información son un aliado en ese viaje.
Fotografías: J. A. Rojo
Indra es referente internacional de servicios y soluciones de tecnología y consultoría, siendo socio tecnológico para operaciones clave de sus clientes, ¿cómo influye esta posición para el establecimiento de políticas de seguridad de la información?
Influye como oportunidad y como exigencia. Si hay una característica clave en la definición de las políticas de seguridad en Indra es el hecho de que nuestros profesionales son profesionales de tecnologías de la información TI. Cualquier política o iniciativa de uso y de explotación de las tecnologías de la información siempre parten de esa premisa.
Esto, unido a la dispersión geográfica, de negocios y de madurez tecnológica de los diferentes mercados es una gran exigencia a la hora de definir políticas que sean lo suficientemente globales y lo suficientemente flexibles para asegurar nuestros objetivos. Porque las políticas de seguridad siempre se definen para favorecer la prestación del negocio y la excelencia de los productos y servicios que proveemos.
¿Cómo se conjuga la globalidad y la flexibilidad en el establecimiento de las políticas?
El marco general -las premisas, los objetivos, el alcance- de las políticas de seguridad de Indra es global. Ahora bien, como cualquier normativa deben estar vivas para evolucionar y asegurar el correcto funcionamiento y asegurar su aplicación en cualquier caso. Por eso son también flexibles, porque se adaptan a los distintos negocios y mercados. ¿Hasta qué punto se desarrolla esa adaptación? Depende mucho de la política en cuestión, de la normativa que la desarrolla y las necesidades concretas.
Como Directora de Seguridad de la Información de Indra, ¿qué evaluación hace de los sistemas de gestión como apoyo a la gestión en este campo?, ¿pueden ser un elemento estratégico?
Sin duda, los sistemas de gestión son clave por su orientación nativa al análisis de riesgos y a la propia gestión. Sin un sistema de gestión no seríamos capaces de evolucionar las políticas y adaptarlas a cada uno de los sistemas y mercados que necesitamos. Los sistemas de gestión son un facilitador y son un elemento estratégico porque te permiten poner en práctica la estrategia. A través de ellos tenemos una medida sistemática de madurez y de mejora.
"La madurez de los sistemas de gestión facilita que la transformación digital se adopte con naturalidad"
"Para el análisis de riesgos, recurrimos a modelos clásicos, exhaustivos y detallados en aquellos procesos que lo permiten, y a metodologías más "ligeras" cuando se trata de mercados o ámbitos “no tan clásicos” que así lo requieren"
Indra fue pionera hace más de 10 años en la certificación según ISO/IEC 27001 de Sistemas de Gestión de Seguri-dad de la Información e ISO/IEC 20000 de Sistema de Gestión de Servicio de Tecnologías de la Información. En esta década las tecnologías de la información han experimentado una nueva revolución. ¿Cómo han evolucionado sus sistemas de gestión en este contexto?
Han ido evolucionando de una manera natural, en el contexto exigente que requiere la revolución de la tecnología y la comunicación. Gracias a haber abordado hace ya 10 años la implantación de estos sistemas de gestión hemos adquirido un nivel de madurez que nos permite que la evolución de la transformación digital se adopte con naturalidad. El hecho de que los sistemas de gestión permitan una capilaridad y una aplicación de políticas a distintos niveles facilita sin duda trasladar las revoluciones que acompañan el contexto de los sistemas.
Disponer de estas certificaciones de AENOR implica, entre otras cuestiones, que Indra realiza análisis de riesgos de sus servicios TIC que dan soporte a los sistemas corporativos. ¿Cómo se estructura este análisis?, ¿qué beneficios les reporta?
Los beneficios son los propios de la metodología de análisis de riesgos: el ejercicio de diagnóstico te permite conocer mejor tus servicios y tomar decisiones en consecuencia. ¿Cómo lo abordamos? Tenemos una metodología de análisis propia que sigue un enfoque clásico en cuanto a identificación y valoración de activos, riesgos, y asociación con las medidas y contramedidas aplicadas que nos permiten alcanzar nuestro nivel de riesgo objetivo. Sistemáticamente salen a la luz aquellos niveles de riesgo que no son aceptables para nuestros objetivos y que requieren la implantación de controles adicionales.
El reto es encontrar la metodología que mejor se va adaptando a cada momento manteniendo una comparabilidad de los resultados. En general, recurrimos a modelos más exhaustivos y detallados en aquellos procesos que lo permiten, y a metodologías más “ligeras” cuando se trata de mercados o ámbitos “no tan clásicos” en este tipo de ejercicios.
El alcance de los sistemas de gestión incluye sus operaciones en España, así como en México, Perú y Portugal, ¿cómo se gestiona la seguridad de la información en distintos países?, ¿tienen un modelo de gestión centralizado o descentralizado?
Como comentábamos anteriormente, la clave está en la capacidad que tenemos para definir políticas lo suficientemente generales y, al mismo tiempo, lo suficientemente flexibles para adaptarlas a nuestras necesidades concretas. Nuestro objetivo es permitir la prestación de los servicios en unas condiciones de seguridad óptimas. La seguridad de la información es un factor clave y un valor añadido al servicio que presta Indra.
Ahí, la clave de nuestro modelo puede ser tener muy en cuenta el factor cultural, y la consiguiente gestión adicional que pueda requerir poner en marcha determinados mecanismos en diferentes culturas que pueden tener, o no, el mismo impacto y la misma eficiencia.
El modelo que tenemos en Indra es un modelo centralizado si bien, el reto, y hacia donde vamos, es hacia una descentralización en el sentido de una adaptación innovadora de esas políticas que permita llegar a todos los mercados en los nuevos tiempos y formas hacia los que evolucionan cada uno de ellos.
"Tener claro el objetivo de la implantación de un sistema de gestión, contar con los recursos necesarios proporcionales a la criticidad de éste, y el apoyo de la alta dirección son las tres claves para una implantación exitosa"
¿Qué elementos considera clave para la implantación con éxito de un sistema de gestión?
El primer ejercicio que hay que realizar antes de implantar un sistema de gestión es tener claro el porqué, qué objetivos se persiguen y, en función de ellos, decidir qué alcance y definición de aplicación hay que promover. Al mismo tiempo que se analiza el porqué, hay que tener muy en cuenta la madurez de los diferentes servicios y sus procedimientos, para analizar aquellos que pueden estar más cerca de la implantación o, por el contrario, más lejos.
A continuación, es fundamental reflexionar sobre si los recursos que dedicamos a la implantación y a la gestión de la información son proporcionales a la criticidad y a la importancia que ésta tiene para la organización. Y, por supuesto, cuando estamos hablando con organizaciones tan amplias como la nuestra y con un nivel de exigencia tan elevado, promover cualquier política, proyecto o iniciativa de mejora de la gestión requiere el apoyo de la alta dirección. Este es, sin duda, un facilitador clave para asegurar un alineamiento de toda la organización.
¿Y para mantenerlo?, ¿requiere más esfuerzo que la implantación?
No me atrevería a decir que una fase lleva más esfuerzo que otra. Sí es cierto que en la implantación, el auge de haber identificado objetivos y el hecho de tener muy claro el porqué sirve de potente motor. Una vez que ya está implantado el sistema, sus beneficios son tales que por sí solo facilita asumir el esfuerzo que puede suponer el propio mantenimiento.
¿Cómo valora el grado de sensibilización que hay en la empresa española hacia la seguridad de la información ahora que muchas están inmersas en procesos de transformación digital?
La transformación digital está muy unida a la seguridad. Porque no se pueden desarrollar políticas de seguridad que no contemplen el contexto de transformación digital actual. Para un profesional de la ciberseguridad nunca se llegará a un nivel de sensibilización suficiente, porque al mismo tiempo que ésta evoluciona, lo hace también su contexto y con él las exigencias que son cada vez mayores. En cualquier caso, es una de las máximas en las que trabajamos día a día. Es cierto que la evolución y repercusión pública de la seguridad de las tecnologías de la comunicación y la información nos está poniendo algo más fácil el camino de la sensibilización, no sólo de la empresa, sino de la sociedad en general en su ámbito tanto personal como profesional.
"La figura del Chief Information Security Officer hoy debe conservar la visión técnica y tecnológica, y atender también a los riesgos globales de cualquier organización"
¿Cómo cree que ha evolucionado la figura del CISO en los últimos años?, ¿cómo ve su futuro?
La figura del Chief Information Security Officer ha ido evolucionando en responsabilidades y visibilidad al mismo ritmo que ha ido evolucionando el contexto. Este ha ido imponiendo unas exigencias, como acabamos de mencionar, tanto en el ámbito de la vida personal como en la profesional, que hace necesario que las figuras de responsabilidad sobre la seguridad de la información tengan una visibilidad proporcional.
Hace años la visión del CISO se focalizaba en un plano más técnico y cercano a la propia tecnología de los sistemas de información. El contexto hoy obliga a que esta figura adopte además una visión con proyección a los riesgos globales de cualquier organización.
¿Qué espera una organización como Indra de una entidad certificadora?
Esperamos que nos acompañe y nos ayude en la prestación de nuestros servicios y, en definitiva, en el desarrollo de nuestro negocio. ¿Qué implica esto? Que nos ayude a cumplir nuestros objetivos de excelencia, las exigencias que nos marca el mercado y los objetivos que establecen nuestros clientes. Estos están, lógicamente, cada vez más sensibilizados y sus exigencias son cada vez mayores; quieren tener la certeza de que se están tomando las pautas correctas en materia de seguridad. Y aquí la presencia y el acompañamiento de una entidad como AENOR es clave.
Esperamos seguir recibiendo lo que AENOR nos viene ofreciendo desde hace más de una década: apoyo para auditar y seguir mejorando nuestros sistemas de gestión, que nos permiten cumplir objetivos y asegurarnos que estamos alineados con los objetivos de nuestros clientes.
Bio
Elena García es actualmente CISO de INDRA, como tal, es la máxima responsable de la Seguridad de la Información en la compañía. Ingeniera de Telecomunicaciones por la Universidad de Cantabria, cuenta además con diferentes certificaciones en materia de gestión de proyectos y servicios (PMP, ITIL ISO 20000) y en el ámbito de la seguridad de la información (CISA, CISM, Auditor e Implantador ISO 27000). Es especialista en la definición, dirección y operación de estrategias, servicios y proyectos de ciberseguridad habiendo desarrollado su carrera profesional en diferentes empresas de sector público y privado.