Creado en 1992 a partir de la fusión de las empresas Construcciones y Contratas, y Fomento de Obras y Construcciones, Fomento de Construcciones y Contratas (FCC) es un grupo empresarial dedicado a la construcción y provisión de servicios de referencia tanto a nivel nacional como internacional. Con operaciones en 54 países y una plantilla que supera los 97.000 empleados, FCC registró una facturación en 2008 de 14.016 millones de euros y, de acuerdo a una estrategia de diversificación, el grupo se organiza en cinco grandes áreas de negocio: servicios, construcción, cemento, energía e inmobiliaria, de más reciente creación.
Garantizar la seguridad resulta prioritario en este complejo entramado y con esas miras en los últimos cuatro años FCC ha dado un salto de gigante partiendo de una concepción evolucionada de la seguridad que ha tenido claras repercusiones a nivel organizativo, empezando por la creación de la Unidad de Seguridad de la Información y Gestión de Riesgos que, desde abril de 2009, depende de la Dirección General de Administración y Tecnologías de la Información.
El Chief Information Security Officer (CISO) de FCC, Gianluca D´Antonio, se encuentra al frente de dicha Unidad, que es responsable de las políticas de seguridad y gestión de los riesgos relacionados con el tratamiento de los activos de información del Grupo; en tanto que la Unidad de Tecnologías de la Información se encarga de garantizar el adecuado soporte de tecnologías de información a los procesos de gestión del Grupo. En la actualidad, la Unidad de Seguridad de la Información y Gestión de Riesgos de FCC se organiza en tres áreas: un área de Gestión de Riesgos y Normativa, incluyendo el cumplimiento normativo (LOPD, Ley de Comercio Electrónico…); un área de Infraestructura y Monitorización y un tercer área de Seguridad y Servicios IT para Alta Dirección. Hablamos de un equipo multidisciplinar integrado por profesionales de FCC y subcontrata.
La misma existencia de la figura del CISO dice mucho de la evolución en materia de seguridad llevada a cabo en FCC, que puede presumir de ser una de las pocas empresas del Ibex 35 que cuenta con este perfil. Pero esta transformación supone mucho más que una simple reorganización, implica una visión y una aptitud nuevas. “Antes de crear esta unidad”, indica D´Antonio, “la seguridad estaba integrada en el departamento de TIC y se limitaba a las medidas básicas de antivirus, firewalls, VPNs y control de accesos; era una seguridad totalmente reactiva, con un peso y una capacidad limitados y sólo para la matriz puesto que no existía un control real sobre los negocios”.
En ese escenario nace la unidad que dirige D´Antonio, la cual tiene como objetivo fundamental preservar el valor de la información con independencia de dónde se encuentre y, desde esa perspectiva, su alcance va más allá de las TIC. Y es que “en la actualidad el 90 por ciento de la información fluye en soportes tecnológicos, pero hay otra parte de la información no electrónica, como son contratos o comunicaciones telefónicas, entre otros”, apunta el manager.
Definido el nuevo modelo y una vez creada la nueva función, se dota a esta unidad de los medios y el presupuesto oportuno evolucionando hacia una seguridad planificada. “Tenemos un plan estratégico a tres años con objetivos a nivel de grupo si bien, lógicamente, se empieza en España con el establecimiento de una serie de reglas”.
A lo largo del periodo 2006-2008 y en base al nuevo modelo, FCC llevó a cabo un análisis del estado de la situación que ha servido de fuente de alimentación de una serie de actividades a desarrollar en el periodo 2009-2011. En esa primera fase, FCC trabajó en estrecha colaboración con IBM. “Se realizó un análisis de activos de información con IBM que sirvió de punto de partida para entender la generación y los flujos de información en los procesos de negocio y a partir de esa primera aproximación definimos una hoja de ruta”, señala D´Antonio. Hablamos de un análisis de alto nivel en el que se inventariaron todos los activos de información, si bien no se entró a definir el riesgo ni el árbol de dependencias. “Se trataba”, apunta el CISO, “de entender dónde estaba la información, cómo se generaba y cómo fluía a través de los procesos de negocio”.
A partir de esa foto y utilizando como referencia el modelo de madurez de Gartner con sus cuatro fases, se definió un plan de acción estableciendo prioridades y directrices. “Partíamos de un nivel incipiente y empezamos a diseñar un nuevo conjunto de políticas ya que las existentes eran muy básicas y limitadas para llegar a una política de seguridad global de la información que partía de referencias como la ISO 27000 y COBIT.
Tras un trabajo intenso, en diciembre de 2008 se aprobaban las nuevas políticas de seguridad para todo el grupo FCC, que actualmente se encuentra en la fase de despliegue e implantación en España tras haber realizado una labor intensa de evangelización. “Se han desarrollado una serie de iniciativas de difusión incluyendo cursos a nivel directivo ya que entendíamos que lo más importante no era mentalizar a la base, sino empezar desde arriba puesto que si los líderes no asumen la importancia de la seguridad y no conocen las nuevas políticas es difícil hacer extensiva la nueva cultura a toda la organización”.
Índice de temas
Cumplimiento, la prioridad
Más allá del establecimiento de unas nuevas políticas de seguridad, la transformación llevada a cabo por el grupo FCC ha implicado el despliegue de una serie de herramientas clave a la hora de materializar dichas políticas, un trabajo desarrollado a lo largo de 2007 y 2008.
En esta vertiente y de forma previa, cabe destacar la implantación de la solución DPServer de Écija Solución para la gestión del cumplimiento normativo, una herramienta de uso cotidiano que suma cerca de 200 usuarios y permite la gestión de más de 300 NIFs. De hecho, este fue el primer servicio en entrar en operatividad puesto que era el más relevante para evitar el riesgo de sanciones. “Lo más apremiante”, indica D´Antonio, “era regularizar la gestión de datos personales y la normalización de ficheros ya que hasta ese momento en su gestión se utilizan criterios totalmente diferentes y dispares”.
Con esas miras y a lo largo de 2006, el grupo FCC en colaboración con Écija Consultores emprendió una ambiciosa reorganización a nivel de cumplimiento normativo. “A lo largo de 2006 se realizó un inventario de los repositorios, que se reorganizaron para tener un único modelo para todas las empresas; fue un esfuerzo realmente relevante que supuso dar de baja más de 2.000 ficheros y volver a declarar cerca de 800 en base a un modelo normalizado”.
DLP, nuevo servicio integrado en el SOC
El segundo gran hito corresponde a la puesta en marcha del SOC (Security Operation Center) un servicio externalizado con Telefónica Soluciones desde finales de 2008 que cubre el descubrimiento de vulnerabilidades, la auditoría de las cuentas de usuarios, análisis forenses y correlación de eventos. “Una vez cubierta la parte de cumplimiento y con el despliegue de las nuevas políticas y la creación del equipo, se incorporaron nuevas capacidades de gestión que pasaban por un SOC”.
En ese escenario y con el apoyo del SOC, FCC dio respuesta a sus necesidades en materia de correlación de eventos y gestión de incidentes, descubrimiento de vulnerabilidades y auditoría de cuentas de usuario, siendo el filtrado de correo y la prevención de pérdida de datos las dos últimas capacidades incorporadas.
Se trata de diferentes capacidades que se desarrollan utilizando diversas herramientas como la solución de correlación de eventos y logs, que se alimenta de la información suministrada por alrededor de 700 agentes instalados en el parque de servidores de FCC en España y que cubren aproximadamente entre el 60 y el 70 por ciento de todas sus máquinas, incluyendo los entornos más críticos: “correo y comunicaciones, repositorios comunes como SharePoint, infraestructura de VPN, Directorio Activo, sistemas de archivo, y almacenamiento y backup”, enumera D´Antonio.
El servicio de DLP (Data Loss Prevention), basado en la tecnología de Symantec, es el último integrado en el SOC. La tecnología DLP de Symantec resultó seleccionada por el grupo FCC tras llevar a cabo una RFP (Request for Proposal) y una serie de análisis y pruebas de diferentes alternativas presentes en el mercado. Y es que, si bien FCC tenía claro que el proveedor iba a ser Telefónica puesto que el servicio de DLP se iba a integrar como una capacidad adicional del SOC, existían diversas opciones en cuanto a la tecnología DLP a utilizar.
FCC era muy consciente, sin embargo, de sus específicos requerimientos. Tal y como indica D´Antonio, “necesitábamos una solución de DLP de fácil despliegue y administración a fin de no incrementar excesivamente el trabajo del departamento de TI, que no fuera muy pesada en términos de infraestructura ni demasiado compleja, ya que no queríamos tener que realizar una inversión elevada en equipos ni incrementar la complejidad de nuestra arquitectura, sin olvidar su capacidad para permitir el control y análisis del tráfico y los flujos de información tanto en la infraestructura gateway como en los desktops”.
Al proceso de selección final llegaron las soluciones de McAfee y Symantec, siendo esta última por la cual se inclinó finalmente la balanza a tenor tanto de las avanzadas capacidades de la herramienta como de la existencia previa de una relación con Symantec puesto que FCC ya venía utilizando la solución Veritas NetBackup.
Tras iniciar un despliegue en modalidad piloto en julio de 2009, a finales de verano FCC dio luz verde a su puesta en marcha real y a día de hoy ya se ha finalizado la implantación de la solución DLP de Symantec en infraestructura de red, estando pendiente la cobertura del entorno desktop. “Para la parte de infraestructura hemos contratado una licencia Enterprise y contamos con suficientes licencias de desktop para cubrir todos los puestos de oficina”, indica D´Antonio, para puntualizar que “ya hemos iniciado el despliegue en los portátiles de los directivos puesto que entrañan más riesgos al pertenecer a la dirección y avanzaremos de forma progresiva hasta dar cobertura a los más de 9.700 usuarios existentes en España”.
EL CISO de FCC no alberga dudas respecto a los beneficios de la tecnología DLP. “En esta primera fase nos aporta principalmente análisis y conocimiento de forma que podemos saber realmente cómo se mueve la información dentro del grupo y de los departamentos, es decir, que pasamos de un análisis de riesgos totalmente dependiente de lo que conoce el usuario a un análisis basado en la realidad de los procesos”, comenta D´Antonio, quien no obstante precisa que “si bien esta tecnología no quita valor a las entrevistas de toma de información realizadas directamente a los usuarios, fundamental para la creación de reglas, sí que facilita información de todo el espectro y te permite realmente conocer volúmenes y contenidos para luego poder aplicar reglas de cara a gobernar los flujos de información”.
De hecho, FCC se encuentra justamente en esa fase de identificación. “Estamos en la fase de reconocimiento y una vez que hayamos alcanzado el grado de madurez que supone un total entendimiento de cómo se mueve la información dentro de los procesos, podremos empezar a implantar reglas, siempre en colaboración con el negocio”.
Internacionalizar la seguridad
Una vez completada esta ambiciosa transformación en España, los planes de FCC pasan por desarrollar a lo largo de 2010 las acciones necesarias para internacionalizar las nuevas políticas y medidas de seguridad. Adicionalmente y como adelanta D´Antonio, “tenemos previsto empezar a acometer certificaciones ISO 27000 por negocios, una aspecto que resulta diferencial a la hora de competir en el mercado”.
Externalización, a la búsqueda del equilibrio
La apuesta de FCC por la externalización con Telefónica de las funciones responsabilidad del SOC (Security Operation Center) ha estado determinada por la búsqueda del equilibrio. “Hay que alcanzar un equilibro en la gestión de los servicios; ciertamente la responsabilidad de garantizar el control y la confidencialidad ha de recaer dentro de la empresa, pero parte de estas actividades y competencias tienen que estar fuera en cuanto que resultan necesarias sólo puntualmente y con un coste de mantenimiento elevado, además, conllevarían un esfuerzo de capacitación y formación constante”. No obstante y como subraya D´Antonio, “todo el personal de plantilla está sometido a un proceso de formación, el 80 por ciento del equipo está certificado Lead Auditor ISO 27000, además de contar con otras certificaciones como CISA o CISM. Preferimos emplear nuestros recursos en capacitar a nuestro personal en la gestión de seguridad y cubrir los ‘skills’ más técnicos con personal externo”.
