Pablo Monteagudo Ferrero, Seguridad Lógica Corporativa de Repsol-YPF
"Este año daremos un paso decisivo con el desarrollo del Plan Director de Seguridad Informática"

No todas las compañías disponen de la misma organización de seguridad TIC. En la presente entrevista, Pablo Monteagudo, miembro del Grupo de Seguridad Lógica Corporativa de Repsol-YPF, profundiza en el modelo vigente en su entidad, al tiempo que deja traslucir algunos de los proyectos que se están acometiendo y otros que se acometerán tras el desarrollo del Plan Director de Seguridad TIC de la multinacional española.

- ¿Cómo se articula en Repsol-YPF la administración y gestión de la seguridad informática?

- La responsabilidad específica recae en el Grupo de Seguridad Lógica, creado hace aproximadamente unos seis años e integrado actualmente por unos treinta profesionales especializados en las distintas áreas que conforman la protección técnica de la información y de los sistemas que la tratan, distribuidos en estructuras gemelas en las sedes de Buenos Aires y Madrid que atienden a Latinoamérica y Europa y resto del mundo, respectivamente.

- ¿De dónde depende el Grupo?

- Está integrado en el Departamento de Seguridad y Proyectos de Infraestructuras, que a su vez se encuadra en la Dirección de Soporte. Dicha Dirección pertenece a la Unidad de Servicios de Sistemas de Información.

- ¿Qué funciones específicas tiene encomendadas el Grupo?

- El Grupo de Seguridad Lógica tiene encomendadas las funciones de aplicación de la Política de Seguridad Informática definida por el Grupo Repsol-YPF, custodia las contraseñas de administración de todos los sistemas (centrales, distribuidos y de redes), ejecuta las operaciones de alta y baja de usuarios, opera las herramientas de administración de la seguridad, vigila la delegación de las funciones que se consideren, supervisa la seguridad de toda la red informática, estudia e implementa acciones de mejora de la seguridad, elabora informes sobre debilidades e intentos de violación, y define las normas y procedimientos de la seguridad informática.

- ¿Tienen alguna formación específica previa los profesionales que hoy conforman el Grupo de Seguridad Lógica?

- Su formación corresponde a la de técnicos de sistemas especializados en las distintas disciplinas de seguridad. Mediante una formación muy cuidada y la práctica diaria, han ido adquiriendo una notable experiencia en los distintos frentes de la protección de los sistemas de información y las comunicaciones.

- ¿Qué importancia dan en el contexto actual al epígrafe de formación?

- La formación, extraordinariamente importante en todo ámbito, sufre especialmente los efectos de las reducciones de presupuestos, cuando acontecen. Nosotros, en el Grupo de Seguridad Lógica, procuramos asistir a cursos y congresos de seguridad, y fomentamos el que compañeros de otras áreas de Sistemas de Información de Repsol-YPF también lo hagan. Obviamente, dedicamos la debida atención a la formación en la administración y gestión de herramientas tecnológicas de fabricantes, así como en estar al día de las novedades que se producen en este ámbito.

“Mantener debidamente actualizados en materia de seguridad los cientos de servidores distribuidos de que disponemos, se está convirtiendo en una actividad crítica y extremadamente laboriosa”
- Pregunta obligada: ¿están satisfechos con el presupuesto de que disponen para cumplir con sus cometidos?

- Por mucho dinero que se presupueste, si no se cuenta con recursos humanos suficientes resulta francamente difícil cubrir todas las facetas de seguridad TIC que requiere una multinacional del calado de Repsol-YPF; en consecuencia, y aparte de que sea más que recomendable incrementar el presupuesto, consideramos necesario aumentar la plantilla con unos diez técnicos más.

- ¿Cuáles son hoy sus prioridades en materia de seguridad técnica?

- Mantener y perfeccionar el nivel de seguridad especialmente en comunicaciones, por ser el área más vulnerable hoy en cualquier organización. Las necesidades en este epígrafe están experimentando un crecimiento constante, tanto por la demanda interna como por las solicitudes de interconexión de terceros.

- ¿Qué proyectos están acometiendo actualmente?

- Tenemos varios frentes abiertos. Uno está asociado a la aplicación interna de firma electrónica, usando una PKI propia basada en certificados de Entrust y Microsoft. Igualmente, estamos trabajando con la FNMT-RCM para establecer una confianza que nos permita en el futuro abrirnos a contratistas y clientes. Por otra parte, hay una iniciativa relativa al single sign on, que cuando culmine afectará a cerca de 20.000 usuarios. Tambien cabe citar el uso de los cortafuegos personales, la interrelación entre el Directorio Activo y las aplicaciones, y la adecuación a los roles de usuarios.

- ¿En qué medida les preocupa la prevención y detección de ataques, y el conocimiento permanente de la fortaleza de sus sistemas?

- Esta es una preocupación constante de todo profesional de la seguridad que se precie. Dentro del Grupo de Seguridad Lógica tenemos un equipo específico dedicado a estos menesteres: análisis de incidencias, simulaciones, descubrimiento de agujeros de seguridad, seguimiento de informes sobre vulnerabilidades, actualizaciones... Aquí no puede haber relajación, ya que esta faceta de la protección de sistemas es muy dinámica.
Reconozco que mantener debidamente actualizados en materia de seguridad los cientos de servidores distribuidos de que disponemos, se está convirtiendo en una actividad crítica y muy laboriosa.

- ¿Se apoyan en herramientas técnicas de fabricantes para cubrir los frentes de seguridad TIC?

- Sí, por supuesto. En líneas generales, los fabricantes están desarrollando productos aceptables que nos sirven como base para diseñar nuestra estrategia de protección. Además, en Repsol YPF no queremos desarrollar herramientas técnicas internamente. No es nuestro negocio, y preferimos adaptarnos a los estándares existentes para evitar problemas de compatibilidad con terceros.
No obstante, quisiera añadir que un requisito indispensable para Repsol YPF es que las distintas herramientas técnicas de protección: antivirus, IDS, cortafuegos..., puedan gestionarse y administrarse de forma centralizada. Aquí los fabricantes han empezado a proporcionar soluciones hace relativamente poco tiempo.

- ¿Tiene el Grupo de Seguridad Lógica facultades de prescripción tecnológica a la hora de adquirir herramientas técnicas?

- Siempre emitimos nuestra opinión, y normalmente la sacamos adelante, pero en estrecha colaboración con el área solicitante.

- ¿Tienen solucionado el problema del control del uso que los usuarios dan a los recursos informáticos y telemáticos que Repsol YPF pone a su disposición para trabajar?

- Existe una normativa específica vigente desde hace cinco años. No se expresan prohibiciones taxativas, sino que se ha optado por hacer un llamamiento, mediante recomendaciones, al uso responsable de los medios y recursos. No obstante lo dicho, y debido a la rapidez con la que cambia el escenario tecnológico en los ámbitos de trabajo, vamos a abrir un proceso de puesta al día de la normativa antedicha, y no se descarta el uso de herramientas técnicas para poder implantar controles razonables y eficaces.

- ¿Han tenido incidentes de seguridad destacables?

- Hemos registrado algún incidente puntual y muy localizado por virus informático, que no tuvo mayores consecuencias, como puede ser el caso de SQL Slammer o el Bug Bear.


- ¿Tiene Repsol-YPF una política de seguridad TIC debidamente formalizada?

- Desde primeros de este año disponemos de una política aprobada al más alto nivel. Hasta esa fecha, dicha política existía y se cumplía, pero no estaba aprobada oficialmente, lo cual nos generaba algún que otro problema con los auditores, ya que nos exigían la pertinente formalización.
Este paso ha sido decisivo para nosotros. Ahora vamos a dar otro: el desarrollo de un Plan Director de Seguridad, en el que se contempla la creación de un Cuadro de Mando de Seguridad TIC en el que ya estamos trabajando en colaboración con colegas de otras compañías. También en el Plan se van a contemplar otras iniciativas, entre las que se encuentra un proyecto de concienciación de usuarios finales y otros asuntos por determinar o retomar, entre los que quizás podríamos mencionar el de la gestión de usuarios. Al respecto de este asunto, tenemos implantada la entrada única para los usuarios que acceden a nuestros distintos sistemas SAP, basada en ticket de Kerberos.

- ¿Les está resultando complicada la definición de indicadores para el cuadro de mando?

- En absoluto. Los indicadores básicos ya están definidos, así como las variables que los conforman. Tenemos el compromiso de presentar el resultado de la recopilación de los datos necesarios. Es más que posible que surjan nuevos indicadores y variables como consecuencia del ajuste del cuadro a las Políticas y Normas de Seguridad vigentes en la compañía.

- ¿En qué medida les ha ayudado a ir cumpliendo objetivos de seguridad la legislación sobre protección de datos de carácter personal?

- La existencia de una ley orgánica y de un reglamento de medidas de seguridad, que son piezas de obligado cumplimiento, han conseguido -como no podía ser de otra manera- vencer posibles resistencias internas. Hemos estado trabajando los últimos años para adaptarnos a la legislación, y los propios clientes internos son ahora los primeros que procuran informarse acerca de los requisitos que pudiera imponer la LOPD sobre sus iniciativas.
No obstante lo dicho, disponemos de controles, que se ejecutan al inicio de cualquier proyecto y antes de su paso a producción, cuya finalidad es determinar si ese archivo, fichero, base de datos, servicio o aplicación está afectado por la ley y el reglamento, y si lo está, en qué niveles. Al inicio del proyecto se establecen los requisitos de protección de datos personales que hay que cumplir, pero como normalmente los proyectos se alargan en el tiempo y sufren cambios en su desarrollo, antes de su paso a producción, verificamos mediante un test si cumple los requisitos establecidos al principio o si, por las razones que fuere, éstos han cambiado y requieren una readaptación a la normativa vigente.

- ¿Interviene Seguridad Lógica en el desarrollo de servicios y aplicaciones?

- Antaño había una relación informal entre el desarrollador y Seguridad Lógica, pero hoy existen ya una normativa y unos procedimientos que nos permiten fijar, desde que una iniciativa empieza hasta que termina, distintos hitos en los que es menester nuestra intervención.

- ¿Y qué opinan de esta intervención los colegas internos de sistemas de información?

- Al principio pensaban que éramos una especie de china en el zapato, pero con el paso del tiempo las cosas han ido cambiando, y ahora demandan activamente nuestra colaboración, entre otras razones porque también van siendo sufridores de los rigores de la demanda de seguridad de la información por parte de los clientes internos.

- En su opinión, ¿de dónde debería depender la función de seguridad de la información en una organización?

- El núcleo decisor del que emanan las directrices no debería depender directamente del departamento de Sistemas de Información. Ahora bien, es una realidad que la función de seguridad técnica debe ejercerse permanentemente sobre cada uno de los sistemas existentes.

- Una última pregunta: ¿tiene futuro en las empresas esto de la seguridad TIC?

- Sí, por supuesto. Estará sometida, como todo, a ciclos, y llegará un momento en el que se convertirá en algo cotidiano y dejará de estar tan en primer plano como en la actualidad, y lo más importante es que está siendo cada vez más necesaria y, en el futuro inmediato, se constituirá en una pieza natural de todo sistema implantado.
Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas

Documento en PDF

<volver