Uno de los grandes errores que tradicionalmente se ha cometido en las organizaciones a la hora de afrontar una estrategia de seguridad es pensar en términos de tecnología, en lugar de información. Iberdrola, en este sentido, ha atajado la problemática de raíz, situando su punto de mira más allá de las infraestructuras tecnológicas. Tal y como explica el responsable de Seguridad de la Información y Comunicaciones de la energética Javier García Carmona, “hasta ahora, lo más tradicional era la seguridad sobre la tecnología, pero las empresas ya se han empezado a dar cuenta, sobre todo las grandes organizaciones, de que la informática es solamente una pequeña parte, pero sobre esto hay personas y procesos. Nuestra actividad no está dirigida únicamente a tecnología, sino que va hacia a la información indistintamente de cómo ésta se plasme”.
Hace cerca de tres años, Iberdrola desarrolló un Plan Director de Seguridad que dio lugar a un nuevo modelo de empresa, en el sentido de que de aquel Plan se obtuvo “una foto de muy alto nivel, contando así con un termómetro que nos permitió conocer los puntos a los que teníamos que prestar mayor atención, consolidándolos”, recuerda García Carmona. Los trabajos que actualmente se están desarrollando en Iberdrola suponen la evolución lógica de aquel primer Plan Director, con el matiz añadido de que las tareas a realizar sobre este conjunto de riesgos se pretenden someter a un modelo de referencia concreto como es el caso de la ISO27001.
“La idea era”, según el responsable, “seguir este proceso de revisión original de una manera más metódica, mucho más ordenada, respetando unos estándares del mismo modo que la compañía hace en otros ámbitos como en temas de calidad o medioambientales, por ejemplo”. Para afrontar este segundo estadio de seguridad, la utility apostó por apoyarse en un tercero, dado que, “aunque teníamos capacidad y conocimiento suficientes de lo que habíamos gestado anteriormente, veíamos oportuno contar la objetividad e imparcialidad de un tercero”, explica el experto.
Así fue como, tras cumplir con los requerimientos solicitados en pliegos técnicos, desembarcó Steria en Iberdrola con la herramienta Valdys de su partner DataProxima, puesto que, según precisa, “no sólo solicitábamos experiencia en metodología, en gestión de seguridad, de riesgos de la información; sino también las herramientas que para implantar la metodología”.
Para entender el proyecto en el que está involucrado el equipo de García Carmona antes es preciso concebir la figura creada en Iberdrola del “propietarios de activos”, y como tal se entiende la información. Este concepto forma parte del planteamiento interno en la compañía en virtud del cual la tecnología únicamente supone un 20 por ciento de los riesgos para la información, mientras que las personas representan el 80 por ciento restante, bien de manera accidental o voluntaria. De este modo, “el propietario de activo va a tener los suficientes medios para ser autosuficiente a la hora de evaluar sus riesgos; el departamento de Seguridad quiere ser arte pero no parte, porque han de ser los propietarios quienes lleven a cabo la gestión de sus vulnerabilidades, identificando escenarios de riesgo”, y estos escenarios se trasladarían al Comité de Seguridad que actuaría en consecuencia: “nuestro papel es asesorarles en esa identificación y a nivel de metodología y de soluciones técnico-organizativas para mitigar el riesgo reportado”.
Este planteamiento se percibe en los propios puestos cliente de la compañía, auténticos ordenadores corporativos no personales- en los que las funcionalidades de carácter personal están prácticamente retiradas, aprovechando en su día la migración de Windows 98 a WXP.
La implantación del sistema de gestión de riesgos en el que participa Steria se va a centrar en un primero momento en la parte de generación, distribución y comercialización de energía, para después extenderlo al resto de su tejido de compañías. En este contexto, el proyecto piloto se ha circunscrito al ámbito de la administración general de la compañía, basada en el ERP de SAP y con un radio de acción de cerca de 4.000 usuarios.
García Carmona indica que “vamos a ver todas las entradas y salidas que tiene SAP para seguir extendiéndolo y coger después procesos limpios, de conciliación bancaria, de facturas, etc. y coger todo el ciclo de vida de uno de estos procesos”. El objetivo de esta etapa es, en palabras del responsable, “modelizar la propia metodología de trabajo, cómo familiarizarnos toda la organización con ella”, de manera que a finales del mes de julio estaría cerrado el modelo o, al menos, su primera revisión.
En cuanto a los plazos previstos para la extensión del sistema al resto de la organización, el experto admite que “en este momento no podemos hablar de plazos fijos; creo que hay años por delante, porque estamos hablando de la implantación del sistema de gestión y de la norma y, si nos queremos meter en procesos, debemos conocer antes cuáles son los procesos, el mapa de procesos de cada una de las organizaciones, de cada una de las actividades”.
Gracias a la experiencia que tiene el grupo Iberdrola en procesos de calidad, García Carmona apunta que “cada organización tiene instaurados sus procesos de calidad basándose también en procesos, y esto va a ser un elemento facilitador a la hora de coger un proceso y tenerlo perfectamente documentado para, una vez identificada la vulnerabilidad, actuar directamente”. No hay que olvidar que el objetivo de la compañía es contar con “seguridad predictiva, porque siempre intentamos, no sólo prevenir, sino predecir las vulnerabilidades, yendo un paso más por delante”.
Adicionalmente, en la Organización de Seguridad de Iberdrola existe una división internacional además de la patrimonial, operativa y de información y comunicaciones-, que trata de trasladar allí las buenas prácticas realizadas a nivel local.