Iberdrola: Seguridad en la Información y Comunicación

“Una buena práctica también es hacer un buen uso de lo que se habla en un aeropuerto o en un tren”

La información y las comunicaciones no tienen límite hoy en día: viajan, se almacenan y están al alcance. Grandes cualidades que sin duda hay que proteger en el estado de incertidumbre en el que vivimos. Iberdrola, consciente del valor que tiene este material, crea ‘El Plan de Dirección de Seguridad’, un proyecto para proteger estos elementos intangibles. Francisco Javier García Carmona, Director de Seguridad de la Información y de las Comunicaciones en Iberdrola, nos habla de este nuevo aspecto en el mundo de la seguridad.

 -Para empezar, ¿cuándo hablamos de información y comunicación a qué nos referimos exactamente?

Estamos hablando de la información en todo su ciclo de vida: es decir, no solamente nos referimos a la etapa que pasa a través de las tecnologías de la información  y comunicación, sino de todo lo que se habla, todo lo que se escribe, todo lo que se almacena. Todo este tipo de información es objeto de proteger porque al fin y al cabo son datos. En Iberdrola damos un especial valor a este ámbito, porque entendemos que la información es un activo relevante para la organización, que incluso puede tener vida propia dentro de la estructura de una empresa. 

-¿De qué tipo de informaciones y comunicaciones estamos hablando?

 Cuando hablamos de información nos referimos a información de todo tipo y de toda naturaleza, no solamente a nivel técnico o económico, también estamos hablando de la información a todos los niveles incluyendo el parámetro de la privacidad de todos los datos relacionados con nuestros clientes y nuestros empleados.

- En 2004 Iberdrola comenzó ‘El Plan de Director de Seguridad’, un proyecto pionero de seguridad en el ámbito de la información y comunicación, que ha finalizado en este 2013. ¿Qué se ha conseguido con este proyecto?
 Gracias a ‘El Plan de Director de Seguridad’ nos ha dado la posibilidad de crear una arquitectura para conseguir la seguridad en la información y comunicación a través de todo un proceso de análisis y de gestión de riesgos sobre todos los activos de informaciones con valor. A partir de su implantación, sin embargo, seguimos en un proceso de reiniciación continua: la aparición de nuevos elementos es constante, la organización también va cambiando, por lo que el mapa de riesgos esta constantemente en evolución y consecuentemente en análisis.

 -Para que nos hagamos a la idea de la complejidad de este Plan, ¿cómo es el trabajo de tu organización?

 El trabajo de mi organización no consiste en analizar a que se dedica la compañía y dibujar cual es su ‘mapa de procesos’, es decir: valorar cuales son los activos de información que dan soporte en los procesos de negocios. Una vez valorada la información, el siguiente paso es trabajar sobre las posibles amenazas y, posteriormente, se implantan las medidas de seguridad, no solamente en clave de criptología, también en el ámbito organizativo.

En definitiva, todo esto consiste en reconsiderar el término ‘propietario del activo’. Hasta ahora las organizaciones no lo han valorado como debían, al no ser un elemento tangible  es difícil de asociar a una responsabilidad. Cuando empezamos con ‘El Plan de Dirección de Seguridad’ esto fue lo primero que empezamos a trabajar: generar una cultura en la propiedad de la información, del activo de la información.

 -¿Podrías darnos algunas pautas para saber si nuestra información y comunicación es segura, por ejemplo, en Internet?

 Es complejo, porque vivimos en un entorno incierto. Cada vez la tecnología ofrece más posibilidades, no solo en los aspectos buenos y beneficiosos, sino también en el aspecto de la vulnerabilidad. El conocimiento de cómo generar daño cada vez está más abierto a la sociedad, en este caso al mundo, a Internet, y a todos los que estamos ahí metidos. Es muy difícil detectar, por ejemplo, una página falsa en Internet, porque se juega muchas veces con la percepción del usuario y actualmente suelen ser iguales que las originales. Antes era más burdo, pero hoy en día es prácticamente imposible hacer una distinción. En ese entorno de incertidumbre es en el que nos toca luchar. Sin embargo,  hay tres palabras claves que pueden ayudar en esta situación: cultura, concienciación y formación. No obstante,  estas recomendaciones no sólo hay que limitarlas al mundo de las tecnologías: una buena práctica también es hacer un buen uso de lo que se habla en un aeropuerto o en un tren. Una vez asumidos estos conceptos añadiría una cosa más: la asunción de responsabilidades. Todo usuario debe saber cual es el valor del activo, para que sea consciente de cual es el papel que juega cada vez que utiliza la información.

 

 Entrevista elaborada por: Zuriñe Álvarez

EL FARO DE LA SEGURIDAD

CLAVES PARA UNA MAYOR SEGURIDAD EN LA INFORMACIÓN Y COMUNICACIÓN

-Dar el valor que se merece a la información que manejamos.

-Verificar, antes de meter nuestros datos, que la página a la que estamos accediendo en Internet es la correcta.

-Evitar WIFI públicas y/o abiertas.

-Cambiar claves y códigos en periodos cortos de tiempo.

-Evitar software pirata y sus páginas de descarga.

-Utilizar software de protección de datos como un buen antivirus y un buen Firewall.