– ¿Qué hace un informático como usted en un sitio como éste?
– Los sistemas de tecnologías de la información que gestionan el negocio y la red forman parte de los activos de Telefónica, y la seguridad forma parte del escenario de servicio de esos activos. Digo más, de todos los activos. En esta compañía se optó en su momento, dentro de la Dirección General Adjunta de Seguridad Corporativa, por aunar la experiencia acumulada en protección de la información en los activos tecnológicos con la concepción y los procedimientos de la seguridad tradicional. La convergencia entre esos dos ámbitos de actividad es la forma óptima de ofrecer mejores servicios a nuestros clientes.
– Pero hay una realidad: que se destinan muy pocos recursos a seguridad de la información tratada en los sistemas tecnológicos en comparación con los que se destinan a la seguridad tradicional.
– Los datos generales de que dispongo indican que del presupuesto para gastos e inversión en materias de seguridad, las empresas en España destinan un 90% a la seguridad tradicional –vigilancia relacionada con personas, edificios y sistemas electrónicos, principalmente–
y un 10% a la seguridad de los sistemas de información.
La seguridad tradicional lleva funcionando en las compañías decenas de años, en tanto que la seguridad en tecnologías de la información ha empezado a caminar hace unos veinte años, acompasada como no podía ser de otra manera con la penetración de los sistemas informáticos y las comunicaciones en el mundo de los negocios. Desde hace pocos años, la seguridad informática no sólo forma parte de los sistemas de gestión en las empresas, sino también de la vida doméstica, lo que no hace sino confirmar su tendencia al crecimiento.
Hoy en día se empieza a tener conciencia en el ámbito empresarial de que hay que usar los sistemas de información con garantías de disponibilidad, confidencialidad, privacidad, integridad y tiempos de respuesta, variables que siempre han estado presentes en el mundo de la seguridad en general y en el de la informática en particular, y que son las piezas que conforman la confianza en los servicios.
En Telefónica lo tenemos claro, la seguridad es un elemento crítico en sistemas de información y eso se verá reflejado en los presupuestos de las empresas. De hecho, el mercado de la seguridad informática en España está creciendo del orden del 25 % cada año desde hace tres ejercicios.
Según los datos de Gartner, la media global de gasto en seguridad informática en 2004 se acerca al 3,9 % de los presupuestos de TI. En las grandes empresas en España la media es del 2,9 %. Aunque no estemos muy lejos de la media global, la distancia existente nos indica que hemos de seguir invirtiendo de forma creciente y obligada.
– ¿Y cuánto gasta Telefónica en seguridad informática?
– Estamos en la media española que, como antes he indicado, se estima en un porcentaje del 2,9 % del presupuesto anual de inversión y gasto de TI. En la proyección de cifras del mercado de la seguridad en España para el presente ejercicio, para todos los ámbitos (vigilancia, sistemas electrónicos, protección contra incendios, centros de recepción de alarmas, seguridad informática), Telefónica consumirá, aproximadamente, el 2,25%. Si lo centramos en el capítulo de la Seguridad Informática el porcentaje se duplica, el 4,52%.
– ¿Qué misiones tiene encomendadas Seguridad Corporativa?
– La Dirección General Adjunta de Seguridad Corporativa, de la que depende esta Subdirección General, tiene bajo su responsabilidad la defensa patrimonial de Telefónica: protección de personas, bienes, servicios y prevención del fraude. Esas son nuestras responsabilidades básicas y la estratégica es facilitar que la seguridad sea un valor para el negocio de Telefónica.
– ¿Tiene Telefónica muchos empleados trabajando directamente en seguridad de la información?
– Para tener una medida útil de lo que pregunta lo mejor es cuantificar el número de profesionales de seguridad informática que trabajan en tecnologías de la información, que es de aproximadamente tres de cada cien. Los indicadores de que disponemos me permiten afirmar que estamos alineados con la media de organizaciones similares.
 |
“La Dirección General Adjunta de Seguridad Corporativa, de la que depende esta Subdirección General, tiene bajo su responsabilidad la defensa patrimonial de Telefónica: protección de personas, bienes, servicios y prevención del fraude”. |
– ¿Cómo tienen estructurada en el Grupo la función de seguridad informática?
– La Dirección General Adjunta de Seguridad Corporativa tiene en su estructura las áreas de responsabilidad relacionadas con la vigilancia y protección de edificios y personas, los sistemas electrónicos, la seguridad de los sistemas de información y la prevención del fraude.
Tenemos un órgano de decisión de políticas, planes y de proyectos horizontales que es el Comité de Seguridad, donde se elaboran las normativas en materia de seguridad, se proponen proyectos horizontales a las empresas del Grupo y se favorece el intercambio
de experiencias, gestionando el conocimiento y difundiendo las mejores prácticas.
Las estructuras que soportan el trabajo operacional, el día a día, están en cada empresa. En lo referente a seguridad informática está dentro de la organización de sistemas de información en cada una de las empresas del Grupo, es decir, bajo la responsabilidad del CIO, que es quien gobierna el desarrollo y la producción.
En este sentido, estamos en sintonía con el modelo imperante en una mayoría de organizaciones.
Quiere ello decir que, por un lado, la seguridad informática en cada una de las empresas tiene que cumplir las políticas y normas que emanan de Seguridad Corporativa y, por otro, operar sobre las plataformas tecnológicas de Sistemas de Información.
Créame, seguridad no puede ser juez y parte en el planteamiento de los sistemas de información, y sistemas de información tampoco puede ser juez y parte en el planteamiento de seguridad de la información. Dicho de otro modo, sistemas de información ha de “construir” tecnológicamente el “edificio informático” con las medidas de seguridad que se dicten desde Seguridad Corporativa.
– ¿Quiénes están representados en el Comité de Seguridad que ha mencionado?
– Además de la estructura corporativa, todas las líneas de actividad del Grupo, incluyendo sistemas de información. Esta organización hace posible que no se emitan normas sobre seguridad sin el refrendo del área corporativa.
– ¿Y no les plantea dificultades en materia de interpretación del cuerpo normativo interno sobre seguridad el ámbito multinacional de Telefónica?
– Nuestra dimensión multinacional –aunque yo prefiero decir que somos una compañía multidoméstica– tiene importantes implicaciones. Hay una realidad: las organizaciones las forman las personas y éstas tienen su forma de hacer y proceder; aunque las políticas y las normas intentan reforzar el trabajo unificado y en equipo para alcanzar el objetivo común, es difícil llegar a una interpretación exacta de su contenido. Quiero decir que, para solventar una misma problemática, no hay necesariamente una única alternativa tecnológica.
No nos preocupa tanto qué tecnología se usa sino cómo se usa y con qué finalidades.
En el Grupo lo que intentamos es buscar sinergias para que soluciones tecnológicas aplicadas en una de las empresas puedan ser expandidas a las otras a fin de unificar razonablemente ese escenario.
Esto, que ya está conseguido desde hace muchos años en la seguridad tradicional, en la seguridad informática todavía está lejos de consolidarse.
– ¿Podría mencionar algunos proyectos en esta línea?
– Estamos trabajando en la unificación completa del correo corporativo, servicios de seguridad incluidos. Pero hay más iniciativas.
– ¿Realizan alguna distinción, en lo concerniente a disponibilidad, confidencialidad e integridad, en la operación y gestión de la seguridad de la planta de red y en la operación y gestión de los sistemas informáticos de apoyo al negocio?
– La red digital, la red IP, por la que transitan nuestros servicios, tiene unas medidas de seguridad muy estrictas, intrínsecamente ligadas a la propia red. Comprenderá que en este entorno primemos la disponibilidad del servicio y la confidencialidad de la información. Estamos hablando del corazón de nuestro negocio y su buen funcionamiento es la base de la confianza de todos y cada uno de nuestros clientes.
En lo referente a la informática de gestión del negocio, hoy en día estamos ocupados en unificar los sistemas de entrada única (single sign on), en que todos los planes de contingencias de nuestras empresas vayan en la misma dirección y, en definitiva, que la puesta en marcha de herramientas de seguridad informática relacionadas con la seguridad perimetral, la seguridad de servidores y datos y la de los puestos de trabajo se enfoquen según las normas emanadas del Comité de Seguridad.
– Telefónica ha sido pionera en algunos ámbitos de la seguridad. ¿Qué fue del proyecto Ático, el primero del que se tiene noticia en España –finales del milenio y del siglo pasados– en el que mediante el uso de tarjetas inteligentes, certificados electrónicos y contraseña, se pretendía gestionar el control de acceso físico de los empleados a su lugar de trabajo, y el proceso de identificación, autenticación, autorización y acceso a su entorno informático?
– Con la puesta en marcha del Distrito C estamos incorporando en la tarjeta de acceso a los edificios un chip, y entre las personas que van a trasladarse, en una de las primeras fases a este nuevo emplazamiento, se encuentran los empleados de Telefónica de España que son usuarios de Ático, el proyecto que nos permitió “conocer” cómo funciona y cómo se comporta en una organización un sistema de autenticación con entrada única en el que la tarjeta es lo que uno tiene físicamente y la contraseña lo que uno sabe. El modelo instaurado con Ático lo vamos a extender a todo el Grupo.
– ¿Cómo se entiende en Telefónica la relación de la prevención de fraude con la seguridad de la información?
- La prevención del fraude en Telefónica siempre ha tenido vida propia, ya que responde a comportamientos muy imbricados en los servicios para hacer el seguimiento del uso ilícito o ilegal de la red, además de los impagados.
– Luchar contra esos nuevos tipos de fraude masivo es una obligación. Lo que está claro es que desde los TIC (Telefónica Internet Center) ofrecemos servicios de seguridad gestionada y trabajamos de forma preventiva para eliminar ese tipo de acciones delictivas y actuando cuando existe denuncia. Creo que estamos haciendo el mejor trabajo posible.
– Sin duda; pero las medidas son completamente reactivas.
– La seguridad en general, no sólo la informática, tiene un enfoque pasivo. Las fuerzas y cuerpos de seguridad del Estado y los profesionales de la investigación siempre operan tratando de probar ante la administración de justicia los hechos delictivos cometidos por los delincuentes. Pero esto actualmente está cambiando, ya que el campo de batalla es el de la red, donde las relaciones acontecen en tiempo real, de forma masiva y sin fronteras. Tenemos todos la obligación de trabajar en servicios de seguridad proactivos. Parece un tópico, pero no lo es. A medida que exista una seguridad centralizada de los servicios expuestos en Internet, los delincuentes tendrán más difícil llevar a cabo suplantaciones con éxito.
– ¿Cree usted que puede ser un paliativo de los riesgos asociados a la autenticación de usuarios la instauración del DNI electrónico?
– Es importante insistir en que el modelo de acceso a servicios en red basado en algo que uno posee, la tarjeta, que contenga su identificación autenticada por un tercero de confianza, y en algo que uno sabe, la contraseña, son notablemente más robustos que los sistemas convencionales basados en nombre de usuario y varias contraseñas o pines.
– ¿Podría profundizar en algunos de los proyectos de seguridad que tienen ustedes en cartera para Distrito C?
– Queremos que Distrito C sea una referencia para el mercado en todos los ámbitos. Pretendemos integrar de manera muy estrecha la seguridad física y la informática. Como ya he dicho, la tarjeta de identificación y acreditación de los empleados será de uso común tanto para el acceso a los edificios y dependencias como a los sistemas de información. Como sabe, nosotros tenemos más de la mitad de nuestros empleados fuera de España y diversas compañías en el Grupo con distintos sistemas. Lo que queremos es utilizar Distrito C como palanca para expandir a todas nuestras empresas ese modelo.
También Distrito C deberá convertirse en una referencia, al tener todos los servicios de seguridad completamente externalizados. Los servicios de seguridad gestionada desde la red son una apuesta importante de Telefónica, porque creemos que el futuro pasa por ellos.
-Telefónica no desarrolla y comercializa herramientas de seguridad informática, sino que incorpora en sus servicios soluciones especializadas de primeras marcas. ¿Tienen en el Grupo alguna iniciativa encaminada a la unificación de esas primeras marcas para todos los servicios?
– Ya sabe usted que lo único permanente es el cambio y más en el mundo de TI. Mediante la colaboración con el área de Compras, ponemos en funcionamiento unas políticas de adquisición de productos y servicios enfocadas a la obtención de los mejores precios y calidades del mercado. Cierto es que, a veces, calidad y precio no son variables que puedan meterse en el mismo paquete. No obstante, Telefónica siempre ha trabajado con las primeras marcas y lo va a seguir haciendo.
 |
“Telefónica dedica aproximadamente el 2,9 por ciento del presupuesto anual de inversión y gasto en tecnologías de la información a seguridad informática, lo que se corresponde con la media española”. |
– ¿Cree que la seguridad en servicios marca hoy diferencias en el mercado?
– En el sector del automóvil, sí, por ejemplo; en el sector de las TI todavía prima la usabilidad frente a la seguridad. Pero no siempre va a ser así, ya que en nuestra opinión la seguridad es una de las variables que hay que tener muy en cuenta hoy en los servicios de banda ancha, que están creciendo a una gran velocidad.
– ¿Tienen, además de los mencionados, más proyectos ligados a la seguridad en Distrito C?
– Estamos diseñando algunos proyectos vinculados con las identidades digitales federadas. Para una compañía como Telefónica es un reto obligado.
– ¿En qué informaciones basan ustedes sus decisiones de inversión y gasto en seguridad de la información?
– El Comité de Seguridad ha desarrollado sus políticas y normas que, basadas en la ISO 17799, recorren todos los escenarios de la seguridad informática. Cuando dentro de dicho Comité una empresa de una línea de actividad pone en la mesa un proyecto que se juzga de interés para el Grupo, lo propiciamos. Un ejemplo de esto es el actual servicio de hacking blanco que tenemos corporativizado; se denomina e-Escudo y fue inicialmente un proyecto específico de una de nuestras compañías. Una vez ponemos en marcha el proyecto, nos preocupamos de que todas las compañías del Grupo realicen sus aportaciones económicas en función de sus necesidades y actividades.
La marcha de estos proyectos es supervisada periódicamente por el Comité de Seguridad.
– No se puede gestionar lo que no se puede medir. ¿Cómo llevan ustedes el cuadro de mando corporativo de seguridad de la información?
– La Dirección de Seguridad de la Información y Prevención de Fraude, dentro de la Dirección General Adjunta de Seguridad Corporativa, es la responsable directa del cuadro de mando. Hemos elaborado requerimientos que pudieran caracterizar lo que es un sistema de control de seguridad informática en el contexto de otros cuadros de mando que también tenemos en la Corporación. Siguiendo esos requerimientos, se ha construido un sistema que constituye hoy un servicio común para las empresas del Grupo. Lo tenemos ubicado en los TIC y a través de la red corporativa las empresas pueden introducir los datos del servicio de seguridad. Con eso conseguimos que todas las personas del Grupo que trabajan en seguridad usen el mismo sistema. Los indicadores, que hemos trabajado con todas las empresas del Grupo, son sencillos y no muy numerosos.
Esta experiencia nos animó en su momento a promover, junto con otras compañías españolas, una iniciativa centrada en la elaboración de ratios de seguridad. Estos indicadores nos están permitiendo compararnos con la media de esas empresas y sacar alguna conclusión interesante.
– ¿Cuál?
- Que lo que está empezando a primar en materia de protección de la información en las empresas más evolucionadas es la simplificación en la seguridad de acceso a los sistemas y a los datos.
 |
“Estamos trabajando para que las políticas y normas, basadas en la ISO 17799, tengan el grado de implantación adecuado en todas las empresas del Grupo como para emprender un proceso de certificación contra la futura norma ISO certificable.” |
– El Grupo Telefónica invierte 2.400 millones de euros al año en investigación, desarrollo e innovación. ¿Le toca algo a la seguridad de la información?
– Telefónica I+D es el buque insignia en este epígrafe, y una parte importante implicada en los desarrollos de servicios y productos de seguridad. En concreto, ha intervenido en el proyecto Ático, también en el proyecto Senda -la traslación corporativa de Ático-, lidera un proyecto sobre biometría que se realiza dentro del marco de la Unión Europea y en numerosas labores de análisis y prescripción de herramientas de seguridad de mercado, a las que siempre hay que refinar y dotar de capacidades nuevas y adecuadas para soportar servicios de operador. Además, junto a Telefónica Ingeniería de Seguridad y Telefónica Soluciones, está trabajando intensamente en la seguridad del Distrito C
– Le pido un ejercicio de prospectiva: ¿qué rasgos van a definir en el futuro el perfil profesional del responsable de seguridad de la información de una corporación?
– Percibo que los responsables de la seguridad están viendo con claridad que la informática y las comunicaciones forman parte, y de una manera creciente, de su escenario de trabajo, por lo que tienen la necesidad de conocer la usabilidad de los servicios basados en las Tecnologías de la Información y las Comunicaciones. Por su parte, el profesional tradicional de seguridad informática, hasta la fecha muy concentrado en las áreas de la producción y no tanto en el desarrollo funcional, tiene la obligación de conocer el experimentado cuerpo procedimental de la seguridad tradicional. La seguridad es método, es procedimiento.
En las grandes compañías, el profesional de seguridad deberá tener una formación en TI y en seguridad TI, y dominar las técnicas, métodos y procedimientos propios de la seguridad tradicional. Esta es la convergencia que nosotros buscamos, porque no creemos en las seguridades en general, sino en la seguridad concreta de activos y personas, y entre los activos de una organización se encuentran –como mencioné al principio– los edificios y los datos del negocio. ¿Cuáles son más importantes?
– ¿Tienen pensado certificar en algún momento el SGSI del Grupo Telefónica?
– Sí. Estamos trabajando duro para que las políticas y normas, basadas en la ISO 17799, tengan el grado de implantación adecuado en todas las empresas del Grupo como para emprender un proceso de certificación contra la futura norma ISO certificable. En España el grado de implantación es bueno, y en los dos próximos años queremos alcanzar en Latinoamérica ese mismo grado de implantación.
– ¿Cree usted en las certificaciones de personas en la disciplina de seguridad informática?
– Queremos que los expertos que se dedican en las empresas del Grupo a seguridad de la información estén certificados y siempre seremos partidarios de medidas que redunden en un incremento de la calidad de nuestros profesionales.
– En materia de seguridad, ¿cuáles son los dos grandes retos de Telefónica?
– En el ámbito tecnológico, que las políticas y normas que hemos desarrollado, y que deben cumplir nuestros servicios, se consoliden; y no nos importa tanto qué tecnologías hay detrás, si, claro está, permiten poner en práctica esas políticas y normas en todas las empresas del Grupo.
En el plano organizativo, el reto no es otro que conseguir que la seguridad física y la seguridad informática vayan de la mano. No nos preocupa tanto dónde se ubiquen la seguridad física y la seguridad informática, siempre y cuando funcionalmente trabajen de acuerdo con las políticas corporativas.
– Por curiosidad, ¿cuántas páginas tiene el documento en el que se expresa la política de seguridad de la información de Telefónica?
- Pocas, muy pocas. Las justas.
- Una última pregunta: ¿cómo cree que percibe la presidencia de Telefónica, siquiera por razones de reputación corporativa, la problemática que plantea al negocio y a la sociedad la seguridad de la información?
- Más que preocupación hay una ocupación para que la seguridad forme parte del servicio que damos a los clientes. Nuestra organización corporativa de seguridad es prueba de ello.
Fotografía: Jesús A. de Lucas