JAVIER DEL RIEGO, jefe de Seguridad Lógica de Vodafone España
“En Vodafone España entendemos que gestionar la seguridad de la infraestructura tecnológica es indispensable para ofrecer servicios de calidad a nuestros clientes”
Javier del Riego es desde hace seis años Jefe de Seguridad Lógica de la filial en España de Vodafone, el operador móvil con mayor alcance mundial en la actualidad. Su responsabilidad en el cargo se centra en la gestión de los riesgos de seguridad de todos los procesos tecnológicos de la compañía, una tarea ardua y compleja que este experto desempeña con la visión equilibrada de quien, además de ser informático de profesión, ha ejercido en un momento de su pasado la actividad de auditoría de sistemas.

– ¿Qué grado de complejidad, a efectos de la gestión de la seguridad, tiene el sistema de información de Vodafone España, tanto en lo referente al ámbito de la red de servicios a clientes como a la informática de gestión corporativa?

– Por resumir puedo indicarle que interactúan con nuestro sistema de información de gestión unas 10.000 personas, de las que 4.000 son empleados y el resto personal colaborador y externo de soporte al negocio. Esto supone para Seguridad Lógica administrar un volumen aproximado de 130.000 cuentas de usuario.
A efectos tecnológicos, estamos hablando de una cifra global que supera los 1.000 servidores, y de un parque de PCs que alcanza los 12.000 equipos; y en lo que respecta concretamente a a la infraestrutura de red de soporte de servicios a clientes, la verdad es que está integrada por cientos de nodos de red y por miles de BTS.
En suma, que nuestro parque tecnológico es, además de voluminoso, heterogéneo; la razón es que desde nuestra creación, en el año 1995, el crecimiento ha sido vertiginoso en un ámbito de competitividad muy acusada, lo que nos ha obligado a implantar tecnología en tiempos de mercado muy cortos para proporcionar servicios. En este contexto, la prioridad ha sido proveer el servicio antes que buscar homogeneidad en las plataformas tecnológicas.

– ¿Y cómo llevan esto en Seguridad Lógica?

– Nos obliga a ser extraordinariamente ágiles en la respuesta a las demandas de servicio.

– ¿Qué modelo de organización de la función de gestión de seguridad TIC hay implantado en el Grupo Vodafone?

– A efectos corporativos, y hasta la fecha, no existe una función global de seguridad de los sistemas de información jerárquicamente organizada; sí, desde luego, un foro en el que todas las operadoras que pertenecemos al Grupo, como es el caso de Vodafone España, compartimos políticas, conocimientos y experiencias. Cada país mantiene una gran autonomía de actuación en lo concerniente al modelo organizativo de gestión de la seguridad lógica y a las funciones de protección.

– ¿Y cuál es el modelo por el que han optado en Vodafone España?

– Existen tres patas de la seguridad y la lucha contra el fraude en nuestra compañía: la de Seguridad Corporativa, dependiente de la dirección de Recursos Humanos, cuya responsabilidad es la seguridad física, la seguridad de las personas y la seguridad global del negocio; la de la lucha contra el fraude en el ámbito de nuestros productos y servicios, que se enmarca en un departamento dependiente del área de Gestión de Clientes, y la de Seguridad Lógica, que pertenece al área de Tecnología, cuya responsabilidad es proteger todos los activos tecnológicos y activos de información asociados al entorno tecnológico.

– ¿Desde hace cuánto tiempo dispone la compañía de la función de Seguridad Lógica?

– Desde el inicio de sus actividades. Con el tiempo ha variado el alcance de su cometido, que de centrarse inicialmente en la protección de los sistemas corporativos ha pasado a abarcar el entorno tecnológico completo de Vodafone España, tanto los sistemas corporativos o de soporte al negocio como los del propio negocio en sí, es decir, la infraestructura de red.

– ¿Cuántos profesionales trabajan en Seguridad Lógica?

– Siete. Obviamente, como somos pocos para cubrir todos los frentes existentes, contratamos recursos externos, siempre bajo nuestra directa supervisión, en ámbitos de trabajo que aun siendo importantes, aportan un menor valor añadido a la compañía, como por ejemplo el epígrafe de la administración de la seguridad de usuarios.

 – Descendamos al detalle: ¿qué responsabilidades y cometidos tiene encomendados la Jefatura de Seguridad Lógica?

– Debemos garantizar la confidencialidad, integridad y disponibilidad del entorno tecnológico gestionado por Vodafone España. Por ser más explícito: tenemos la responsabilidad de definir la política de seguridad lógica y la política asociada a cómo proteger los activos de información y equipos en el área de Tecnología. No somos los únicos responsables de implantar esas políticas –ya que ésta es una misión compartida por todos los departamentos de Vodafone España y específicamente por las unidades del área de Tecnología– pero sí de controlar que su implantación sea correcta y efectiva.

– ¿Explotan en Seguridad Lógica los sistemas de protección TIC de que dispone Vodafone España?

– Internamente nos denominamos ingenieros de la seguridad en cuanto a la infraestructura o productos de seguridad que se despliegan en la compañía. Como toda organización de cierta dimensión, disponemos de un gran departamento de operación y mantenimiento, cuya responsabilidad es operar y mantener físicamente los sistemas, aunque en Seguridad Lógica se realiza la gestión y administración de toda la ingeniería de la infraestructura y los productos de seguridad.

– ¿Qué tipo de división de trabajo hay implantada en Seguridad Lógica?

– Todos no podemos entender de todo, lo cual ya marca un camino. Nosotros hacemos una clara distinción, no tecnológica pero sí funcional, entre los sistemas corporativos y los sistemas de red de productos y servicios a clientes. Las necesidades en estos entornos son diferentes.
Dicho esto, hay una función o especialización concreta, la de administración de seguridad lógica, relacionada con la gestión y administración de cuentas de usuario y permisos de acceso; además, existen otras más relacionadas con proyectos de carácter horizontal, como, por ejemplo, aquellos relacionados con el cumplimiento legislativo y normativo o con los planes de continuidad.

– Continuidad, divino tesoro. ¿También depende de su Jefatura?

– El plan de continuidad de negocio de Vodafone España recae en el ámbito de responsabilidad del Equipo de Gestión de Programas de nuestro Consejero Delegado, que determina los riesgos asociados al negocio con una visión amplia y horizontal que vincula a todas las direcciones y departamentos de la compañía. Seguridad Lógica tiene parte de la responsabilidad del mantenimiento y la actualización del plan de contingencia informático y del alineamiento de la estrategia de continuidad de los sistemas tecnológicos con el plan de continuidad de negocio.
“La Jefatura de Seguridad Lógica tiene la responsabilidad de proteger todos los activos tecnológicos y activos de información asociados al entorno tecnológico de Vodafone España”

– ¿Qué porcentaje del presupuesto anual para tecnología viene dedicando a seguridad Vodafone España? En el sector financiero español, la media estimada es de entre el 2% y el 3%. ¿Se mueven en los mismos parámetros?

– El porcentaje, que podría ser inferior, no se puede comparar con el estimado para la banca, que tiene un modelo de actividad y una dependencia tecnológica bien distintas de las de un operador móvil, como Vodafone España, que invierte permanentemente grandes volúmenes de recursos en tecnología de la información y comunicaciones, la base directa para su negocio.
Puedo decirle que esta compañía entiende las necesidades de Seguridad Lógica, incluyendo las presupuestarias.

– ¿También a largo plazo?

– Nuestra red y los productos y servicios que soporta están convergiendo hacia la tecnología IP, con lo que será necesario dotarlos con importantes medidas de seguridad en todos los frentes.

– ¿Responde el gasto en seguridad TIC de la compañía a un plan específico a varios años, o responde a otro modelo?

– Desde el principio se definió un Plan Estratégico de Seguridad, que revisamos y actualizamos con una periodicidad casi anual. Pero no es la única fuente que estimula el gasto en protección, hay otras como el cambio tecnológico, las adaptaciones a las leyes o la necesidad de alineamiento con nuevas normas corporativas.

– En tanto que Jefe de Seguridad Lógica de Vodafone España, ¿qué aspecto de la protección TIC le preocupa más?

– La evolución de la tecnología. Los sistemas de información que estamos construyendo velozmente en los entornos móviles obligan a prestar una atención creciente a la seguridad para ofrecer servicios de calidad a nuestros clientes.

– Disculpe que vuelva a insistir sobre el asunto, pero ¿de qué tienen que proteger ustedes sus sistemas?

– Hay que distinguir entre el entorno tecnológico corporativo del asociado a clientes. Obviamente, el primero hay que protegerlo como activo de la compañía, y en ese sentido el análisis y la gestión de riesgos no se apartan de lo que puedan estar haciendo en otras organizaciones de cualquier sector. El segundo tiene un condicionante específico de nuestra actividad, ya que hemos de garantizar que la tecnología que ponemos a nuestros clientes es fiable y segura para los objetivos de negocio establecidos.

– ¿Tienen en Seguridad Lógica capacidades de prescripción tecnológica?

– Sí, en lo referente a tecnologías de seguridad. Ahora bien, cuando nuestra compañía quiere tomar una decisión sobre, por ejemplo, un nuevo servicio, la misión de Seguridad Lógica es poner encima de la mesa el riesgo tecnológico asociado a dicha decisión, que es un componente del riesgo de negocio. Lo que no tenemos es la potestad para prohibir el uso de determinados productos tecnológicos cuyo propósito no sea de seguridad.

– ¿Están los fabricantes de herramientas tecnológicas de seguridad a la altura de las necesidades de Vodafone España? ¿Le parece que es ya una industria madura en creación tecnológica?

– Creo que la industria especializada está ofreciendo productos que cubren razonablemente las necesidades de seguridad de la mayoría de los usuarios, aunque en algunos entornos muy particulares hay herramientas TIC, no de seguridad, que se lanzan al mercado sin que la solución de seguridad asociada esté razonablemente madura.
Voy a formular su pregunta al revés: ¿estamos los usuarios haciendo un uso adecuado de las tecnologías de seguridad?. A veces –y lo digo como autocrítica– nos planteamos adquirir determinadas herramientas antes de habernos preguntado para qué las vamos a usar y cómo las vamos a integrar en los procesos de seguridad de la compañía. Se toman decisiones en ocasiones basadas en la funcionalidad inmediata que nos va a proporcionar tal o cual tecnología de seguridad, en vez de estudiar si va a generar un valor añadido a la organización.
“Los responsables de seguridad lógica debemos entender de tecnología, pero el mayor valor añadido lo aportamos
a nuestras organizaciones siendo buenos gestores del riesgo de seguridad”

– ¿Qué opina de los integradores en España?

– Los realmente expertos son una pieza esencial en la maquinaria de la seguridad de sistemas; sin embargo, conviene decir que lo bueno no abunda, y menos en estos tiempos en los que la seguridad está de moda.

- ¿Desarrollan herramientas en casa para algunos fines concretos y específicos de protección o prefieren cubrir las necesidades con productos de fabricante, si los hay?

- Habitualmente preferimos la segunda opción, pero en algunas ocasiones nos hemos visto obligados a desarrollar en casa alguna herramienta para solventar problemas específicos, ya que no era admisible esperar a que la industria produjera una solución adecuada y suficientemente refinada.

- ¿Qué iniciativas de seguridad que hayan llevado a cabo recientemente mencionaría como especialmente significativas? 

- Para nosotros ha sido muy trascedente el proceso de insourcing de una parte de la administración de la seguridad de usuarios internos que interactúan con el sistema de información de la compañía. Nos ha hecho cambiar muchos procedimientos de trabajo y nuestro enfoque de la gestión de usuarios. Los resultados de la experiencia están siendo muy positivos. También hemos implantado un sistema de detección de intrusiones en la infraestructura tecnológica corporativa, que está actualmente en las últimas fases de despliegue.
En lo que respecta al otro entorno de nuestra responsabilidad, es decir, la infraestrutura tecnológica de servicios, hemos llevado a efecto el diseño de la segmentación, desde el punto de vista de la seguridad, de nuestras numerosas redes IP, que proporcionan servicios y tienen funcionalidades muy distintas. Es una iniciativa compleja a la que hemos dado la máxima prioridad.

- ¿Y qué nuevos proyectos tienen en ciernes?

- Hincarle el diente a la recolección de eventos, análisis de logs y correlación de eventos. Ya hemos decidido la tecnología por la que vamos a apostar, y en el curso de este año iniciaremos los trabajos de implantación del sistema, tratando de cubrir los entornos más críticos.
Igualmente, tenemos en cartera disparar un proceso de insourcing relacionado con el control de la implantación de nuestra política de seguridad en toda la infraestructura tecnológica de Vodafone España. Vamos a subcontratar ese servicio a una empresa que sea capaz de hacer periódicamente un seguimiento de este particular.
"Este año hemos apostado por la implantación de un sistema que nos permita hincarle el diente al análisis y gestión de logs y a la correlación de eventos en nuestros entornos tecnológicos más críticos".
 


- ¿Cómo observa el problema de la autenticación de usuarios?

- La autenticación mediante el par nombre de usuario y contraseña es el gran problema para las personas que interactúan con sistemas complejos de gran heterogeneidad de aplicaciones. En nuestro caso, y cuando hemos realizado estudios para solucionar este problema y para prescribir distintos tipos de mecanismos de autenticación en función de nuestro análisis de las necesidades de nuestros usuarios y del negocio, hemos encontrado dificultades.
Lo que sí observamos es que cada vez somos más capaces de integrar autenticaciones en únicos entornos; es decir, que cada vez hay más entornos que permiten integrarse con directorios o repositorios de usuarios estándar, como es el caso de LDAP. Por ahí van los tiros.

- Modelos de SGSI, normas voluntarias y posibilidades de certificarse contra las que lo permiten. ¿Qué postura toma Vodafone España al respecto?

- El Grupo Vodafone, como multinacional de origen británico, nos ha pedido que estemos en disposición de demostrar que cumplimos con la BS 7799, por lo que estamos en un proceso conducente a ese fin. Todavía no nos ha indicado que nos certifiquemos, ni Vodafone España ha pensado en hacerlo ya, aunque otras compañías del Grupo sí disponen hoy de esa certificación.

- ¿Qué opina profesionalmente de la BS 7799?

- Que es un conjunto de buenas prácticas y, por tanto, una herramienta útil para los buenos profesionales de la seguridad TIC.

- El problema de la medida. ¿Disponen de cuadro o cuadros de mando de seguridad TIC?

- Cuadro de mando, informe de gestión, conjunto de indicadores, llámelo como quiera. Creo que es muy necesario buscar y disponer de parámetros objetivos que sirvan para medir, hasta donde sea posible, el desarrollo y la evolución de la función de la seguridad. Una herramienta así es imprescindible para saber orientar las decisiones de los profesionales que gestionamos la seguridad en nuestras compañías, al menos en el medio y en el largo plazo. En Vodafone España tenemos hoy conjuntos de indicadores en veinte áreas de seguridad TIC.

- ¿Participa Seguridad Lógica en el desarrollo de sistemas y aplicativos?

– Sí, por procedimiento y por proceso. Participamos en el diseño, desarrollo e implantación de sistemas y de productos y servicios.

- ¿Se llevan ustedes bien con los auditores?

- Nosotros tenemos departamento de Auditoría Interna tanto en España como en el Grupo. Creo que los auditores de tecnología son indispensables. Mi percepción del alcance de su trabajo es muy completa, ya que en mi pasado profesional se encuentra una etapa como auditor informático. Los buenos auditores de seguridad de sistemas son aquellos capaces de colaborar en el perfeccionamiento de la eficacia y la eficiencia de los controles.

- ¿Es usted un tecnólogo o un gestor?

- Los responsables de seguridad lógica debemos entender razonablemente de tecnología, pero el mayor valor añadido lo aportamos a nuestras organizaciones siendo buenos gestores del riesgo de seguridad, objetivo que no se consigue sólo con tecnología.

- ¿En qué medida un operador como el grupo Vodafone puede contribuir a una mejor seguridad técnica en el contexto general de las comunicaciones?

– Vodafone es el operador móvil con mayor alcance mundial. Esa dimensión nos permite negociar y exigir a los proveedores determinado tipo de soluciones en materia de seguridad y que los productos cumplan ciertos requisitos. Otras operadoras no pueden hacerlo. El tamaño de nuestro negocio también nos permite tener un peso específico en las asociaciones en las que se proponen y definen estándares, donde llevamos mucho tiempo evidenciando la necesidad de mejorar las normas de seguridad para nuestro sector de actividad concreto.

- Cada vez hay más vulnerabilidades en herramientas tecnológicas, algunas incluso de seguridad. ¿Qué le suscita este panorama?

- Hay que hacer un gran esfuerzo para gestionar y coordinar los procesos de actualización de seguridad de software con la rapidez que requieren los negocios y sin generar nuevos problemas. La cosa ni es barata ni sencilla.

- ¿Tenemos entonces inseguridad para rato?

- La tecnología va a requerir siempre la funcionalidad de seguridad, y ésta siempre marchará ligeramente por detrás de aquélla. El riesgo que genera el uso de sistemas, sea mayor o menor, tiene su vida asegurada.
Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
 
<volver