  En aspectos de seguridad, la información cifrada ofrece un alto nivel de protección en caso de que los datos se pierdan o roben, y está cobrando tanta importancia, que las empresas de seguridad están incorporando tecnología de cifrado a sus productos, ante la demanda de las organizaciones por su interés por proteger datos confidenciales o información sensible. Sin embargo, particularizar en un ámbito de cifrado es limitado, debe ir acompañado de otros elementos de seguridad para lograr una protección completa.
En este contexto se ha desarrollado la Tertulia que la revista COMPUTING ha organizado en colaboración con Symantec, en la que ha quedado patente la necesidad de adoptar soluciones de protección de la información y, en concreto, de tecnologías inteligentes y de cifrado, claves para garantizar el acceso de los usuarios a la información y la operatividad confidencial, tanto de los individuos como de las organizaciones.
Gabriel Martín, director general de Symantec iniciaba el debate confirmando lo anteriormente expuesto. “El cifrado es una introducción a la protección de datos y a la fuga de información. Son proyectos que, a pesar de que no están siendo acometidos por un número muy grande de empresas, cada vez nos sentamos más a menudo con clientes a petición suya para explorar este ámbito. Lo primero que proponemos es que combatir la fuga de información requiere una serie de pasos que no todo el mundo tiene dados pero que al final tendrán que dar. Ahí hablamos de localización de los datos, almacenaje, gestión… básicamente entender qué información es importante y qué hay que proteger; es decir, poner la casa en orden. Luego se toma la decisión de cómo se va a trabajar con dicha información. Y la respuesta a ese problema se llama cifrado. Es una forma de estar protegido muy rápida y sencilla, que además permite preparar el segundo round”, explicaba.
En cuestiones de seguridad, a diferencia del sector privado, existe un factor vital para los gestores públicos que deben tener muy en cuenta y es el cumplimiento de las normas. Como apuntaba Eugenio García, jefe del área de Seguridad y Logística de la Subdirección General de Tecnologías de la Información y Telecomunicaciones en el Servicio Público de Empleo Estatal (SPEE),“en la Administración, primero nos tenemos que ceñir al marco normativo, que tiene unas normas cada vez más exigentes como la Ley de Firma Electrónica, la Ley Orgánica de Protección de Datos, la Ley 11… y luego a diferentes normativas como el Esquema Nacional de Seguridad. Cada vez son más exigentes y hay que adecuarse a todo lo que nos viene de forma imperativa. Para cumplir con ellas, primero se hace un análisis de riesgos, vulnerabilidades y adaptación, y de ahí se derivan los focos de problemas que puede haber en la organización. Luego se reúne un conjunto de políticas a aplicar con el apoyo de una tecnología concreta. El estado de la tecnología es francamente bueno para llevar a cabo esas políticas de seguridad”.
Aparte de la legislación, el sector público se topa con otro escollo, más relacionado con el tema económico. Tal y como destacaba Tomás de Lucas, jefe del área de Comunicaciones de la Subdirección General de Tecnologías de la Información y Telecomunicaciones del Ministerio de Educación, “el concepto de seguridad no está muy asumido todavía y se ve como un gasto que cuesta mucho dinero a pesar de las normas que existen. Sin embargo, la última reforma del Código Penal muestra cómo vamos avanzando en la seguridad de los datos a la que cada vez se le da más importancia. Los que tenemos la responsabilidad de proteger todo nos encontramos con el problema de interiorizar la importancia de proteger la información. Hay muchas herramientas como el cifrado, pero tampoco se va aplicar a todos los datos, sólo a los más importantes como datos de carácter personal o de valor económico importante. Si no, se ralentizan los procesos y se cargan mucho los recursos que se tienen en la organización”.
Y anotaba Eugenio García del SPEE que“esa es la cuestión, en el ámbito del perfil de la persona que maneja los datos confidenciales es a donde hay que acudir. Cifrarle los datos que maneja, que sólo él los pueda descifrar, y luego auditarlo”.
Concienciar a la dirección
Aparte del sistema normativo y del tema tecnológico-económico, Gabriel Arriero de la Inspección General CIS del área de Seguridad del Ministerio de Defensa, aportaba una barrera más a saltar en la Administración Pública: la necesidad de concienciar a la dirección de la organización. “Concienciar a tu organización para que afronte todos los problemas de seguridad es lo primero que hay que atacar. Si ese recorrido está avanzado, se genera una normativa interna y entonces podrás tener recursos financieros para poder consumir tecnología para la protección de la información. El punto clave es concienciar a todos los niveles empezando por la dirección. Si tenemos ese paso ganado, los temas normativos y tecnológicos serán más fáciles de seguir, si no, habrá más procedimientos y normas y la tecnología sólo meterá ruido e impedirá la gestión de la información en condiciones”, aclaraba.
“En el tema de cifrado de los datos, nosotros lo utilizamos por normativa interna. Tenemos información confidencial y ya tenemos establecido el marco de clasificación, pero es complicado porque quien la clasifica es el dueño de dicha información, y eso es bastante complejo. Por eso, la concienciación de la alta dirección es básica para que sepan que cuando clasifican algo, sepan los medios con los que pueden contar para proteger los datos tecnológicamente. Por ser Defensa, estamos concienciados del tema pero mover la inercia del ministerio es complicado. Tenemos una política, un consejo de dirección, un director de seguridad, un comité de seguimiento… pero es un proceso lento. Por ejemplo, se ha convocado por primera vez el comité de seguridad presidido por el Secretario de Defensa después de cuatro años. De todos modos, tener una política de seguridad y tener definidos a los responsables en nuestra organización ya es un gran paso”,añadía Gabriel Arriero.
Obviamente la situación en materia de seguridad del Ministerio de Defensa no se da en los demás organismos públicos, más retrasados en este aspecto quizás por sus respectivas actividades donde gobiernan otras prioridades. Así lo comentaba Eugenio García del SPEE: “en mi caso yo soy el impulsor de estos temas y normalmente a la dirección le parece bien pero siempre está la posibilidad de que te corten simplemente porque no hay dinero. Tenemos un portal nuevo, redtrabaj@, y toda su plataforma de seguridad la he puesto yo con mi equipo. Lo hemos tenido que diseñar, y nadie nos ha dicho que había que poner gestión de accesos o firma electrónica. Y todo ello teniendo en cuenta el cumplimiento de las normas para que no quedaran descabalados los procesos. A mi me encantaría tener un comité de dirección, un plan de seguridad, un sistema de gestión de seguridad integrado o la ISO 27000. En nuestro caso, empiezas un poco la casa por el tejado”.
Igualmente sucede en el Ministerio de Educación, que de acuerdo con Tomás de Lucas, “vamos aplicando parches según van surgiendo las cosas. Hace unos años llevaba la parte de seguridad y tenía que decidir quién tenía que ser el responsable y montar un comité que nunca llegó a reunirse. Yo me quedé en esa fase. Actualmente vamos buscando soluciones del día a día, pero falta dinero y tiempo, aunque tenemos la necesidad de proteger la información”.
Además –añadía Eugenio García del SPEE-, “las tecnologías van siempre por delante y es difícil colocarlas en las Administraciones Públicas. Igual hay más penetración en las privadas con los productos estrella, pero a nosotros nos llegan las cosas con más rodaje”.
Convergencia de la seguridad física y lógica
Coincidían los asistentes en que la dirección de una organización debe ser consciente de la importancia capital que tiene la seguridad. “La seguridad es un factor estratégico para el futuro”,declaraba Gabriel Martín de Symantec. “Las empresas más avanzadas en proyectos de seguridad son aquellas que siguen los planes internos que han diseñado ellos, más que por las normativas públicas. Es el ejemplo de los bancos. Para las entidades financieras es una cuestión de dinero. Cuando cuesta más dinero perder información, es mejor gastar dinero en seguridad. Todos los que están enfocando la seguridad con un plan director, es porque primero ha nacido de la concienciación de la dirección”, afirmaba.
Pero igualmente, “para que eso ocurra se tiene que instrumentar que la persona de seguridad dependa directamente del consejo de dirección. Hoy en España es muy complicado pero cada vez se ve más. Los CISOS empiezan a sentarse en el comité de dirección, más que el CIO porque el CISO también suele ser el responsable de la seguridad física. La gestión integrada de eventos de seguridad depende de una misma persona, tanto la física como la lógica. Y esa seguridad integrada nace de un plan director y de la concienciación del comité de empresa. La política de seguridad se empieza a implantar de abajo a arriba y no de arriba abajo. La información es lo que hay que proteger y primero sabiendo dónde está, colocándola donde debe estar, protegiendo el sitio donde debe estar, gestionando las identidades, limitando el uso de la información según perfiles, previendo las situaciones de riesgo como el envío externo de la información que debe estar cifrada y protegiendo el disco duro (en el aeropuerto de Heathrow se pierden cien portátiles al día). Todo esto tiene que estar gestionado de forma programada y global con una consola unificada que ponga en relación la gestión y la política de seguridad, y permita auditar con números el nivel de cumplimiento”,exponía Gabriel Martín.
Con respecto a la convergencia de la seguridad física y lógica, Gabriel Arriero del Ministerio de Defensa ponía como ejemplo la posibilidad de que una persona del ministerio hubiera alquilado su plaza de garaje facilitando además su tarjeta del acceso. Si ambas seguridades fueran convergentes, el responsable de seguridad detectaría que al cabo de un tiempo dicha persona que ha entrado al garaje no accede al sistema informático, con lo que se estaría produciendo una anomalía, y por ende, un fallo en el sistema de seguridad. Sin embargo, “el tema de esta convergencia no tiene lugar en el ministerio. No hay un jefe único de seguridad física para los 800 emplazamientos que tenemos en territorio nacional, sino que cada emplazamiento tiene el suyo propio. La organizaron tiene que saber que la información es un elemento estratégico que además, en nuestro caso, cuesta vidas”, ilustraba.
De leyes y normas
Otra de las cuestiones que se trataron durante la Mesa Redonda fue la indeterminación de ciertas leyes, de normas inconcretas y vagas, que en muchos casos no obligan a tomar unos pasos determinados como puede ser la Ley Contra Incendios, sino que buscan la obtención de un resultado X. Eso sí, como manifestaba el jefe del área de Seguridad del SPEE, “la ley propone una serie de medidas que hay que cumplir, y si se incumplen hay una tipificación de faltas”.
Corroboraba también este aspecto Tomás de Lucas del Ministerio de Educación, quien ponía como ejemplo las sanciones aplicadas a funcionarios de la Seguridad Social y Agencia Tributaria que fueron expulsados por incumplimiento de la ley. “El que tiene acceso a una información determinada es consciente de que la auditoría le puede pillar por acceder a datos a los que no estaba autorizado manejar. Hasta ahora la legislación ha sido un poco laxa en la implantación de medidas, pero va avanzando. Poco a poco. La justicia es muy lenta”.
Para evitar esos casos, no es suficiente confiar únicamente en las leyes, es conveniente aplicar también políticas de seguridad internas así como utilizar soluciones de protección de la información. En el caso de Defensa, como observaba Gabriel Arriero, “respecto al tratamiento de información sensible tenemos la Ley de Secretos Oficiales, pero también tenemos una red aislada, fuera de Internet, para el manejo de dicha información. Igualmente tenemos seguridad en los procedimientos de cara al exterior donde hay que clasificar la información pública de la sensible. Hay datos que están en los ordenadores portátiles, en ‘pendrives’… y es muy sencillo llevártelos a casa. Por ello necesitamos soluciones que protejan esa información como las herramientas DLP (Data Loss Prevention), pero es complejo de implantar y gestionar porque somos 70.000 usuarios, que además manejamos información delicada”.
Por su parte, Javier Drake, especialista en Seguridad de Symantec, subrayaba que“a día de hoy, somos pioneros en España”. A su vez, declaraba: “por ejemplo, el grupo empresarial Fomento de Construcciones y Contratas (FCC) adquirió el producto hace año y medio, y es una solución perfecta para ese cliente. Desde Symantec consideramos que la forma más apropiada de hacer frente a la problemática actual sobre seguridad empresarial es implementando una estrategia completa de Protección de la Información, basada en el riesgo TI, impulsada por las políticas y normativas, alineada con las necesidades del negocio, con una gestión adecuada de las infraestructuras y focalizada en la información y en las identidades. Si los esfuerzos se centran en una o dos tecnologías de seguridad como ámbitos separados, se limita la visibilidad de una organización determinada, ya que la estrategia se estructura en torno a silos, lo que hace que las políticas estén desconectadas de las operaciones de TI”.
La complejidad de la gestión, en cambio, no constituye un problema al SPEE a pesar de ser 12.000 usuarios; pero sí “que al usuario se le incomode lo menos posible. Las políticas como cifrar la información, gestionarla, preservar el uso de dispositivos móviles, prevenir ataques del exterior o controlar lo que sale de dentro a afuera, no debe ser incómodo”,subrayaba Eugenio García.
En este punto, aclaraba el director general de Symantec que, “la ventaja que tiene el cifrado es que se puede implantar a nivel tecnológico. Es una herramienta sencilla que se puede abordar desde el departamento de Sistemas, y creo que es una victoria sencilla para los responsables de seguridad porque al final te permite securizar los terminales, los servidores, las redes…”.
Finalmente, anotaba Gabriel Arriero de Defensa la importancia de la certificación de los productos en cuestiones de seguridad. “Yo, como responsable de seguridad necesito un aval de que el producto que adquiera hace lo que dice que hace. Que un organismo de certificación certifique que cumple los requisitos, y si hablamos de información clasificada es de obligado cumplimento tener productos certificados”.
Gabriel Martín se mostraba“de acuerdo con las certificaciones, pero hay una información más valiosa y es la experiencia de otros clientes”, concretaba. “Al final la certificación son unas pruebas limitadas en el tiempo; lo que vale realmente son las experiencias de los clientes. Es imprescindible que las herramientas y soluciones hagan lo que dicen, pero que lo hagan todos los días durante mucho tiempo, y que puedan integrarse y soportar todas las plataformas. Es muy importante conocer la capacidad que tenga el fabricante de soportar y desarrollar ese producto a medida que evoluciona el mercado y su cliente. Al final quienes hacen los productos son los clientes, son los que dan la orientación. El riesgo es que la mayoría de las empresas de seguridad son muy pequeñas, son de nicho, y hay que sopesar hasta qué punto conviene firmar un contrato con ellas. Nosotros en materia de seguridad, hemos remplazado soluciones de otras firmas que cuando nacieron eran muy atractivos pero luego el fabricante perdió músculo financiero para desarrollar y evolucionar esa herramienta. Y ahí el certificado de la compañía también es importante”, concluía el directivo.
 
S
