|
José
Luis Arribas Aniceto, responsable de seguridad de la información
de Citibank España |
«Es
necesario disponer de copias de seguridad de los datos fuera de los habituales
centros de proceso o tratamiento»
|
La
sabiduría en una disciplina, seguridad de la información incluida,
suele ser producto de su estudio, de los años de práctica
y de la experiencia de haber vivido situaciones difíciles. Estas
tres condiciones concurren en José Luis Arribas Aniceto, responsable
de seguridad de la información Business Information Security
Office (BISO) de Citibank España, quien en esta entrevista
realiza interesantes declaraciones sobre la organización de la seguridad
de la información en su entidad y manifiesta algunas enseñanzas
aprendidas tras los desgraciados acontecimientos del 11-S.
|
|
¿Qué se entiende en Citibank por seguridad de la información?
En el ámbito teórico podríamos decir que es
el conjunto de prácticas y procedimientos dirigidos a salvaguardar
la información de nuestros clientes, empleados, proveedores, accionistas,
etc., de cualquier tipo de amenaza, y que asegure el cumplimiento de las
políticas de Citigroup y leyes o reglamentos aplicables (locales
o comunitarios). Aquí incluyo lo relacionado con la protección,
la privacidad de los datos y la continuidad, visto siempre desde la perspectiva
de negocio y no únicamente desde la de la seguridad informática
o de los sistemas de información tecnológicos.
A efectos prácticos podríamos decir que se concreta en el
conjunto de medidas que aseguran en el día a día lo que
indican los procedimientos, reglamentos y leyes. Aplicamos tales medidas
a la información esté donde esté: sistemas informáticos,
papel, en terceros, de tal suerte que siempre podamos conocer y/o asegurar
quién usa nuestros servicios, la confidencialidad e integridad
de la información, que estamos en disposición de prevenir
los cambios no autorizados o el repudio de las transacciones, y si tenemos
un problema, poder tomar la acción apropiada, minimizarlo y asegurar
la disponibilidad de la información.
El cambio continuo de la tecnología, las amenazas y últimamente
también de las leyes nos obliga a revisar de forma continua nuestra
política de seguridad de la información, y también
provoca que debamos hacer especial énfasis en la concienciación
y formación de todos los participantes, sean técnicos, usuarios
finales, clientes... No hay otro camino para conseguir que las buenas
prácticas de seguridad de la información formen parte del
día a día.
¿Cómo se estructura la organización de
la seguridad de la información en Citibank a escala multinacional
y a efectos domésticos en los distintos países en los que
existe implantación, España por ejemplo?
En 1995 se creó la Oficina Corporativa de Seguridad de la
Información, CISO (Corporate Information Security Office), que
es el centro de la organización de Citigroup en materia de seguridad.
Está relacionado con las estructuras similares en materia de privacidad
y de continuidad de negocio.
De CISO dependen unos treinta grupos regionales. En el correspondiente
a Europa del Oeste cada país tiene un representante de dicha oficina,
que es el denominado Business Information Security Office BISO ,
función que yo realizo para España y Portugal. Existen actualmente
cerca de cuatrocientos BISOs en todo Citigroup.
El grupo regional en el ámbito de banca de consumo está
formado por los BISOs de los diferentes países de Europa
del Oeste, que mantienen reuniones periódicas para coordinar la
política regional con soluciones comunes, dado que se utilizan
arquitecturas similares, un mismo Data Center, así como las mismas
aplicaciones a nivel regional en la banca por Internet o el sistema de
tarjetas de crédito.
Mientras que la oficina CISO se encuadra actualmente en el área
tecnológica, en España BISO se integra en el grupo de Control
y Auditoría Interna, reportando a la Dirección Financiera.
Aquí somos independientes del grupo de Operaciones y Tecnología,
aunque mantenemos una fuerte relación con él.
En realidad, la función del BISO no se centra exclusivamente en
la seguridad informática, sino más ampliamente en asegurar
la implantación de la seguridad de la información en el
negocio. Nuestra responsabilidad es asegurarnos que la seguridad está
imbuida en cada acción de negocio, asegurar a la organización
de Citigroup que todas las iniciativas locales (proyectos, productos o
servicios) son acordes con la política de seguridad corporativa,
así como en las soluciones regionales en sus interfases con las
locales.
Hay otro aspecto esencial relacionado con la concienciación. En
nuestra organización, todos los empleados deben recibir información
actualizada sobre seguridad de la información al menos con una
periodicidad anual; concienciación e información que igualmente
recibe cada nuevo empleado en la jornada de bienvenida junto a la relativa
a la corporación y a sus estrategias del negocio.
El BISO tiene la responsabilidad sobre el seguimiento, información
(al negocio y a la organización del CISO) y solución de
cualquier tipo de amenazas o vulnerabilidades conocidas o detectadas,
así como de todos los incumplimientos de las políticas,
leyes o reglamentos y defectos o comentarios detectados en materia de
seguridad de la información en cualquier tipo de auditoría
o control.
|
|
Estamos
afrontando la creación de una red de expertos técnicos
en seguridad, los denominados TISOs Technology Information
Security Officers, que nos permita una rápida respuesta
ante incidentes y vulnerabilidades |
|
¿Qué efectos ha tenido y está teniendo la desgraciada
contingencia del 11-S en la concepción y el enfoque actuales
de la seguridad de la información en Citibank?
Nueva York es la ciudad origen de Citibank, y allí Citigroup
tiene una importante presencia. Como es sabido, el WC7 era un edificio
operativo de la corporación y su destrucción fue total
como consecuencia del incendio y posterior derrumbe de las Torres Gemelas.
El desastre afectó a más de 2.500 personas, que perdieron
sus oficinas de trabajo, y hasta 16.000 se vieron desplazadas de sus
centros en el bajo Manhattan. Hubo igualmente que lamentar la desaparición
o pérdida de 6 vidas humanas por encontrarse en esos momentos
de visita en las Torres o colaborando en las ayudas.
Unas 700 personas fueron reubicadas en oficinas de emergencia en el
área de Nueva Yersey y las pérdidas estimadas por la corporación
fueron de 700 millones de dólares. Citigroup, dentro de su plan
de ayudas, ha creado diferentes fondos para colaborar y/o dirigir las
ayudas a las familias de los afectados.
En lo referente a la seguridad y continuidad de negocio, Citibank tenía
en vigor las diferentes medidas de prevención y evacuación
tal como se demostró, por lo que se pudieron seguir realizando
las operaciones correspondientes a los edificios afectados desde los
centros alternativos en unos plazos que variaron desde unas horas hasta
los 3 días.
No obstante el 11-S ha servido para estudiar los planes en vigor, tomando
consideraciones antes no apreciadas, como la alusiva a la concentración
geográfica en una misma zona, y dando soluciones más regionales
o globales que las dirigidas únicamente a las de un determinado
local o edificio.
Con este fin, y de igual forma que en materia de seguridad de la información
existe la organización CISO, se ha revisado a nivel local, regional
y global la estructura de Continuidad de Negocio, mejorando la política
y procedimientos en vigor y adaptándola a la necesidad de atender
a este tipo de grandes desastres.
En España el presupuesto ya estaba adecuadamente contemplado
y únicamente estamos revisando con más detalle su actividad.
Hay que tener en cuenta que aquí, desde al menos el año
1988 en que se iniciaron las actividades relacionadas con la seguridad
y continuidad, hemos tenido planes de contingencia en diferentes edificios,
y disponemos desde entonces de locales alternativos, no sólo
para la continuidad de las instalaciones informáticas, sino también
espacio y equipos para el personal de Operaciones y de Negocio (marketing,
finanzas, RRHH...) con más de 700 puestos de trabajo en edificios
alternativos en Madrid y Barcelona, disponibles para su uso en caso
de necesitarse.
Tal circunstancia en el ámbito local se dio en el 11-S, pues
la dirección de la entidad en España, siguiendo las directrices
de prevención que se marcaron para los intereses norteamericanos
en dicha fecha, activó el Plan de Continuidad de Negocio en las
instalaciones alternativas en Madrid. Durante cuatro días, este
ejercicio 'real' nos sirvió para detectar unos cuantos defectos
y, claro está, subsanarlos, lo que también ha sucedido
en el contexto corporativo.
¿Cuál ha sido la enseñanza más
importante que han sacado del 11-S?
Que los datos hay que tenerlos. Los equipos destruidos fueron
remplazados con la colaboración de los fabricantes y distribuidores,
pero sin la existencia de copias de seguridad de datos no habría
existido continuidad de negocio. Es necesario disponer de copias de
los datos fuera de los habituales centros de proceso o tratamiento.
¿Utilizan internamente el mecanismo de firma electrónica?
En Citigroup ya hemos establecido y tenemos en uso a nivel interno
las herramientas o productos para firma electrónica, utilizándose
inicialmente por los grupos ejecutivos o de dirección de negocio,
y por profesionales de otras áreas que por su función
necesitan disponer de este mecanismo: legal, cumplimiento, auditoría.
También utilizamos firma electrónica en el intercambio
de determinada información entre grupos de la corporación.
¿Podría comentar los proyectos de seguridad
TIC más relevantes que se estén llevando a cabo o se tenga
previsto realizar en Citibank?
A nivel local estamos enfocados en la utilización de las
tecnologías apropiadas para la gestión de los certificados
digitales y correo seguro con los diferentes entes con los que nos relacionamos:
clientes, proveedores, consultores, suministradores, etc.), mediante
herramientas tecnológicas de Entrust y VeriSign. La intención
es mantener la seguridad de nuestra red en los puntos débiles,
es decir, en las conexiones externas creadas a partir de la necesidad
de que nuestros ejecutivos y empleados se conecten desde fuera de la
red en sus viajes, o por necesidades de monitorización externa,
resolución de incidentes, etc., así como nuestros colaboradores,
consultores o proveedores, con especial énfasis en los procesos
de externalización.
Otro proyecto en curso consiste en la implementación de cifrado
Triple-DES en todos los elementos o procesos donde actualmente se mantiene
el DES.
A nivel regional puedo mencionar el proyecto Standard Operational Environment
(SOE) con el que se obtendrá un control de los servidores browser
Internet/Intranet y se conseguirá una rápida implementación
de los diferentes cambios y parches de los sistemas operativos.
Por otra parte estamos afrontando la creación de una red de expertos
de seguridad en el nivel técnico (TISO), que permita una rápida
respuesta a las vulnerabilidades e incidentes, a fin de que los BISOs
puedan centrarse en la divulgación de las políticas, en
la concienciación de usuarios y en conseguir que no se minusvalore
la seguridad en los proyectos de negocio, utilizando donde sea posible
la formación a través de web y cursos interactivos mediante
nuevas herramientas de e-learning.
|
|
-En
Citibank España se tratan por razones de negocio datos personales.
¿Ha sido especialmente compleja la adaptación al Reglamento?
¿Hay algún aspecto del Reglamento sobre el que ustedes hubieran
agradecido mayor concreción a efectos técnicos?
Desde la entrada en vigor de la LORTAD, en 1994, hemos estado atentos
a su cumplimiento. Tenga en cuenta que por su estructura internacional Citibank
ha estado muy afectado por esta legislación, al disponer de datos
fuera de España, tanto en países de la UE como fuera de ella.
La adaptación reglamentaria, al ya tener implementadas desde hace
años las medidas de seguridad de la corporación, que cubren
de forma similar lo indicado en el Reglamento, no nos ha costado grandes
esfuerzos. En su momento nos centramos especialmente en la descripción
específica del Documento de Seguridad para ubicarlo en el contexto
de los diferentes y amplios documentos y/o procedimientos ya en vigor en
nuestra entidad, así como en la adecuación a la legislación
vigente en materia de datos personales de los contratos y acuerdos de servicio
con terceros.
En cuanto a complejidad puedo mencionar el borrado o bloqueo de los datos
una vez finalizado su uso o por cualquier otro requerimiento, así
como el mantenimiento de la calidad de los datos de morosidad, que al tener
aplicaciones comunes que dan servicio a clientes de diferentes países,
y la rigurosidad en materia de cumplimiento de fechas, nos ha llevado a
extremar las precauciones.
Mención especial merece la realización de los documentos apropiados
para el tratamiento de datos fuera del país así como en algunos
casos fuera de la Unión Europea (EEUU, India, etc.), que ha requerido
la elaboración por el área legal de los apropiados documentos
que cubran debidamente las transferencias internacionales de datos o los
acuerdos de servicio para la realización del soporte técnico
remoto desde dichos países, cumpliendo la legislación comunitaria
y local en materia de protección de datos, y las especificidades
de cada país.
¿Tiene futuro profesional esto de la seguridad de la información?
Desde la mitad de la década de los 80 en que empecé
en las áreas de control y calidad dentro del área de Tecnología
y realicé uno de los primeros Master en Auditoría Informática,
y actualmente desde el terreno de la seguridad en el ámbito de negocio,
no he visto ningún momento de retroceso en esta profesión.
No obstante, en los últimos 5 años y posiblemente por los
cambios legislativos y a remolque de los incidentes motivados por ataques
de código malicioso y la aparición de nuevas vulnerabilidades
en los sistemas, así como de los graves incidentes del 11-S, tanto
las empresas como la administración y la propia industria de la tecnología
y comunicaciones, dedican ya un buen porcentaje de su negocio a la protección
de la información.
Desde la esfera profesional bien puede decirse que hay una demanda cada
vez más frecuente de especialistas en seguridad de la información
y, consecuentemente, se está generando una importante necesidad de
formación, que debería verse reflejada también en el
ámbito universitario. La industria de la seguridad informática
es altamente cambiante, y sus expertos tienen que estar continuamente formándose.
Cuando digo expertos no sólo me refiero a especialistas en tecnología,
sino también a profesionales que puedan educar con ética a
formar nuevos profesionales.
En Citigroup, vimos desde hace años la necesidad de disponer de especialistas
bien formados a nivel técnico en seguridad de la información,
así como en las áreas de control y auditoría, en privacidad
de la información y en continuidad de negocio.
¿Qué aspectos de la gestión de los riesgos
de seguridad TIC es el que le causa, profesionalmente, más quebraderos
de cabeza?
Van cambiando, aunque yo no los llamaría quebraderos de cabeza.
En el año 2001 la palma se la llevó el control de los códigos
maliciosos; el año pasado, la instalación rápida de
los parches de las diferentes vulnerabilidades en los sistemas operativos.
Actualmente, la principal preocupación se centra en la trasmisión
y proceso de la información con terceros, sean proveedores o colaboradores,
ámbito en el que hemos de aplicar medidas de seguridad y hacerles
entender la necesidad de implementarlas en sus relaciones con nosotros,
además de por la propia obligación que tienen de cumplir con
la legislación sobre protección de datos.
Sí hay algo que yo calificaría de quebradero de cabeza continuo
en una empresa como la nuestra, tan dinámica y con cambios permanentes
en la gerencia y a otros niveles: hacer entender a los directores de negocio
y jefes de proyectos la necesidad de adoptar e implementar las medidas de
seguridad desde el inicio de cualquier proyecto a pesar de su posible repercusión
en materia de presupuesto y tiempo. Obviamente, en algunos casos no se hace
por necesidad sólo, sino por obligación.
Hay que evitar que para reducir el coste de un proyecto o sufrir retrasos
en su finalización no se consideren, se ignoren o se dejen para segundas
fases los aspectos de seguridad. |
Texto:
José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
|
|
|