MARÍA ANTONIA GARCÍA REDONDO, Jefe de la Unidad de Seguridad Informática de Iberia
“Me preocupa que el futuro Reglamento de la LOPD nos obligue a aplicar medidas hoy de nivel alto a los datos personales de nivel medio”

Licenciada en Ciencias Económicas y Empresariales, Master en Gestión Empresarial, Técnico de Aviación Comercial y profesional de la Informática, María Antonia García Redondo es desde hace doce años responsable de la seguridad de la información de Iberia Líneas Aéreas de España. Esta gestora ejemplar, poco amiga de la grandilocuencia y extraordinariamente realista, tiene una visión meridiana de la protección TIC y de cómo ésta debe ir sintonizándose con el negocio y las actividades de una compañía, la suya, que conoce en profundidad y cuya operativa está sujeta a innumerables complejidades.

¿Qué se entiende en Iberia por seguridad de la información?

– Es la estrategia corporativa orientada a garantizar la protección del dato, que es nuestro activo más importante –independientemente del formato en que se encuentre–, en sus vertientes de autenticidad, confidencialidad, integridad, disponibilidad y registro de operaciones efectuadas sobre el mismo con fines de auditoría.

¿Es muy complejo el sistema de información tecnológico de la compañía?

– Disponemos de un entorno totalmente heterogéneo en lo que a plataformas se refiere. El parque tecnológico cuenta con un entorno host (IBM OS-390, IBM MVS y UNISYS) y con un entorno distribuido (Microsoft, AIX, Solaris y HP-UX).Nuestra infraestructura es muy compleja. En lo que toca a comunicaciones, tenemos interconectadas nuestras sedes y zonas industriales con todos los aeropuertos nacionales e internacionales; e igualmente disponemos de conexiones con otras aerolíneas y con ciertos mayoristas de viajes. En todos los casos, contamos con mecanismos de redundancia.
En la actualidad tenemos dos CPDs y hemos implementado una red de almacenamiento en alta disponibilidad; no merece la pena dar cifras sobre los Tb utilizados, dado que cada poco tiempo nos vemos obligados a aumentar la capacidad por requerimientos de negocio.

¿Qué es más importante para Iberia, la disponibilidad, la integridad o la confidencialidad de la información?

– De forma general, podría decirle que asignamos el mismo peso a las tres dimensiones. La mejor forma de verlo es con un ejemplo: si pensamos en los datos que proporcionan nuestros pasajeros, a Iberia le preocupa muchísimo protegerlos de forma que únicamente los accedan las personas que los necesitan para proporcionar el servicio al usuario (confidencialidad), pero no por ello le restamos importancia al hecho de asegurar que esta información no se modifica de forma incontrolada (integridad) y, por supuesto, necesitamos que el dato esté accesible para poder ofrecer al usuario el servicio que ha contratado (disponibilidad).

¿Cuál es el máximo órgano decisor en Iberia en materia de seguridad de la información?

– La Unidad de Seguridad Informática. En mi opinión, es difícil encontrar organizaciones que hayan sabido conjugar adecuadamente las dos variables que garantizan la correcta implantación de la estrategia de seguridad corporativa: por un lado, valorar con acierto la importancia de la seguridad de la información, y, por otro, plasmar este concepto en una línea maestra de actuación que garantice poder total de decisión y ejecución en todos los niveles organizativos.
Tomando como referencia los resultados de nuestra gestión, puedo decirle que Iberia ha madurado muy rápido en este aspecto.

“Una empresa de nuestro volumen obligatoriamente debe tener incidentes, pero lo importante es ser capaz de actuar antes de que éstos supongan un impacto serio en la organización”

¿Desde cuándo existe en la compañía la función de seguridad informática?

– En este aspecto Iberia ha evolucionado igual que la gran mayoría de las empresas españolas; la función de seguridad ha existido desde siempre, pero no como la conocemos hoy.
Inicialmente estaba englobada dentro de las tareas de explotación y muy focalizada, por un lado, en la ejecución y control de realización de copias de respaldo y, por otro, en la administración de usuarios y recursos.
Posteriormente, y como consecuencia del desarrollo de la legislación vigente en materia de protección de datos personales, se le fueron añadiendo otras funciones: registro de ficheros, elaboración de los documentos de seguridad, auditorías, creación de la figura del responsable de seguridad..., y cada vez ha ido cobrando más importancia.
A este fin, y además del marco regulador (protección de datos, firma electrónica, comercio electrónico, propiedad intelectual...), ha sido extraordinariamente decisiva la evolución experimentada por las tecnologías de la información en los últimos diez años: la utilización de Internet como canal de venta de servicios y vehículo de difusión de la imagen corporativa, ha permitido incrementar nuestra cuota de mercado; pero claro, asociado a este hecho encontramos un número creciente de amenazas, que nos obligan continuamente a definir mecanismos de defensa con repercusiones en todos los estratos de la compañía.
Por todo ello, llegué a la conclusión de que la función de seguridad de la información debía dotarse de una mayor importancia, lo que me ha obligado a efectuar, de un modo paulatino, una serie de cambios hasta lograr la organización tal y como la conocemos hoy.
Esto no quiere decir que la evolución haya concluido; en mi opinión, debemos ser lo suficientemente proactivos y dinámicos como para asegurar que, en todo momento, estamos alineados con las necesidades de negocio.

¿De dónde depende actualmente la Unidad de Seguridad Informática, y cuántas personas la integran?

– La Unidad está adscrita al Director de Sistemas, que reporta directamente al Consejero delegado.
En lo que respecta al número de recursos, es difícil responder con precisión, dado que, de una parte, actualmente tenemos varios servicios contratados con externos, cuyo personal no computa directamente como recursos de Iberia, y de otra, existen ciertas funciones relacionadas con la seguridad que no se realizan al cien por cien en nuestra Unidad, aunque sí nos responsabilizamos de su ejecución.
Lo que sí puedo indicar es que internamente dispongo de siete gestores, y en breve incorporaré dos más.

¿Qué responsabilidades y atribuciones tiene la Unidad y cuál es el alcance de su actividad?

– Nuestra función está claramente definida en el Manual de Organización de la compañía. El alcance de la actividad de la Unidad de Seguridad Informática es a toda la organización, y su cometido es asesorar y proteger todos los recursos corporativos en los que se trate información, sean del tipo que sean, gestionando todos los riesgos tecnológicos asociados.
Para ello, hemos definido una serie de atribuciones, agrupadas dentro de diversas líneas de especialización.

¿Y cuáles son?

– Son, por ahora, siete, y lógicamente existe una relación de dependencia directa entre ellas, lo que implica una labor continua de coordinación.
La primera es la coordinación del Comité de Seguridad de la Información, en cuyo marco se revisan y definen principalmente las directrices de seguridad de la información de obligado cumplimiento en la compañía, así como los proyectos y soluciones de alto coste o repercusión propuestos con el fin de mejorar la seguridad de la información corporativa.
La segunda está centrada en la gestión de los riesgos, con el objetivo fundamental de relacionarnos con las diferentes unidades de la organización, invitándolas a manifestar sus necesidades desde el punto de vista de la seguridad, y de aportar respuestas proactivas a los riesgos actuales y futuros a los que puedan estar sometidos nuestros datos.
La tercera es la de asesoramiento técnico, donde agrupamos todas las tareas orientadas a concienciar y a asesorar en términos técnicos y de negocio sobre cuestiones, inquietudes y problemas relacionados con la protección de los datos de la compañía, garantizando que los nuevos proyectos se adecuen en todo momento a las directrices de seguridad corporativa, realizando asesoramiento técnico especializado en investigaciones forenses y participando en la selección y homologación de nuevos productos y plataformas.
La Unidad, en cuarto lugar, presta servicios de asistencia técnica en diseño, instalación, operación de servicio y mantenimiento sobre mecanismos de seguridad de la información: directorio LDAP, PKI, sistemas cortafuegos, consolas de monitorización, sistemas de detección de intrusiones...
La coordinación de los planes de continuidad es la quinta línea de actuación de la Unidad de Seguridad Informática. El objetivo es garantizar la correcta ejecución de las tareas de diseño, desarrollo, pruebas y actualización de los planes de continuidad de los sistemas de información de la compañía.
Las dos últimas líneas de actuación se centran en la administración de usuarios y recursos, en cuyo marco se efectúan las tareas de alta, baja y modificación de privilegios, y el cumplimiento de normativa legal, que engloba todas las tareas orientadas a garantizar el cumplimiento por parte de Iberia L.A.E. del marco regulador vigente.

¿Cuál es su mayor preocupación actual como Directora de la Unidad de Seguridad Informática de Iberia?

– En estos momentos me preocupa el nuevo Reglamento de protección de datos, todavía en forma de borrador, y especialmente lo concerniente a las medidas de seguridad. Todas las organizaciones estamos francamente muy preocupadas, ya que por lo que conocemos deja muchas lagunas interpretativas y contempla una serie de medidas realmente difíciles de poner en marcha en grandes entidades y que, además, acarrean una grandísima carga presupuestaria, lo que podría restarnos competitividad.

¿Qué aspectos de las futuras nuevas medidas le preocupan especialmente?

– Las medidas de nivel medio y de nivel alto, que sufren un endurecimiento en relación con las hoy vigentes. Los datos de nuestros clientes son un activo fundamental de esta compañía, y que protegemos adecuadamente. Lo que me preocupa es que debamos en un futuro, como parece, aplicar ciertas medidas hoy de nivel alto a los datos de nivel medio.

“No tenemos como prioridad en el corto plazo certificar nuestro SGSI contra alguna norma que lo permita, pero tampoco lo descartamos en el futuro”

Con la alta velocidad de cambio existente, que afecta a los negocios y actividades de todas las organizaciones y, obviamente, a sus sistemas de información tecnológicos, ¿le parece realista el modelo de análisis de riesgos y sus productos como primer paso para la gestión de riesgos de seguridad TIC?

– No sólo me parece realista, sino que además lo estimo como fundamental.
Como ya he indicado, una de nuestras líneas de trabajo es, precisamente, la de gestión de riesgos, que tiene como objetivo entender el modelo de negocio y su evolución, así como las amenazas a las que se encuentra sometida la información que se gestiona.
Para ello, nos apoyamos en los especialistas de cada unidad, y, una vez comprendido este proceso, nuestra misión consiste en evaluar las amenazas analizando su probabilidad de materialización y el nivel de impacto asociado, obteniendo como resultado un mapa de riesgos.
Lógicamente, este proceso no puede dilatarse en el tiempo ya que de otro modo, y debido a la velocidad de cambio a la que usted ha hecho referencia en su pregunta, los resultados del análisis perderían validez.
Nuestra estrategia en este punto se ha basado en el “divide y vencerás”, reduciendo los entornos de análisis de tal modo que nos permitan obtener resultados realistas y aplicables, y realizando un esfuerzo permanente de actualización, de forma que seamos capaces de obtener un modelo de riesgos que refleje continuamente la realidad a la que estamos sometidos.

¿Disponen de cuadro de mando?

– Por supuesto.

– ¿Y le parece una herramienta de gestión útil?

– Sin duda. Para un médico resulta útil la medición de ciertos indicadores con el fin de realizar, a la vista de los resultados, el diagnóstico a su paciente. En el mundo empresarial sucede exactamente lo mismo. No sólo nos preocupan los valores puntuales que podamos obtener en una métrica en un instante determinado de tiempo, sino que gran parte de nuestro esfuerzo se concentra en analizar la evolución de cada uno de los indicadores, de forma que podamos ser proactivos a la hora de establecer salvaguardas, sin tener que esperar a obtener resultados fuera de nuestros intervalos de valores objetivo.

A propósito, ¿cree usted en la posibilidad de comparar los estados de seguridad entre organizaciones?

– Sí; de hecho participamos en un grupo de grandes compañías españolas en el que estamos intentando normalizar una serie de indicadores de seguridad a fin de realizar un estudio comparativo.

– ¿Está la industria desarrolladora de herramientas tecnológicas de seguridad TIC a la altura de las necesidades de una compañía como Iberia?


– La industria rara vez está alineada con las necesidades específicas de las empresas. Va buscando negocio, pero nunca –creo– se va a parar a pensar qué es lo que necesita una empresa como, por ejemplo, Iberia. No, la industria desarrolla productos, generalmente en EE.UU, cuya problemática es por cierto bastante distinta a la nuestra, y luego aquí lo que tenemos que hacer es adaptarlos a nuestra casuística. Lo que nosotros hacemos es buscar en el mercado lo más adecuado a nuestra organización, y si no se encuentra, pues optamos por desarrollar soluciones a medida de las necesidades de nuestros proyectos, ya internamente, ya mediante la contratación de personal externo.

– El ámbito de actividad de la seguridad de la información esta creciendo con mucha rapidez en las entidades. ¿Echa en falta algo en este veloz proceso?

– Echo en falta foros de alto nivel y exclusivos para responsables de seguridad de la información de grandes usuarios en los que poder discutir los problemas que plantea el que determinados proveedores de software no se adapten a nuestras necesidades.

“Iberia participa en un grupo de grandes compañías españolas en el que se están normalizando una serie de indicadores de seguridad a fin de realizar un estudio comparativo”
 

¿En qué basan ustedes sus decisiones de inversión y gasto en seguridad informática?

– Ya hemos hablado anteriormente de nuestras líneas de trabajo en la Unidad. En todas ellas se identifican necesidades de seguridad, acto seguido se realiza un proceso de priorización y, dependiendo de las implicaciones asociadas a cada una de las propuestas, se discuten en el comité correspondiente.

¿Qué porcentaje del presupuesto de TI se destina a seguridad informática?

– Ahora mismo nos encontramos presupuestando proyectos para el año 2006, por lo que es difícil dar una cifra exacta. No obstante, estimo que estará en torno a un 7%.

¿Podría referenciar los proyectos más significativos, ya sean específicos de seguridad ya tengan a la seguridad como un componente muy importante, que están abordando en Iberia?

– Ahora mismo estamos acometiendo muchos proyectos considerados, por su naturaleza estratégica, muy significativos dentro de la organización. Entre otros, citaría el Plan Director de Seguridad y la revisión de nuestra estrategia de respuesta ante emergencias no aeronáuticas.

– Y hablando de estrategia, ¿cuál es la actualmente vigente en materia de continuidad de sistemas y servicios ante contingencias?

– Iberia dispone de un plan de contingencias donde recoge los mecanismos de activación, procedimientos de recuperación, pruebas y actualización. En el nivel de infraestructura técnica, dispone de dos centros de cálculo, uno imagen del otro, capaces de funcionar con balanceo de carga; contamos, además, con redundancia en todos los sistemas de suministro y comunicaciones.

¿Qué calendario de pruebas tienen en relación con el plan?

– Cada año se realiza un plan de pruebas en el que, por motivos de coste y logísticos, vamos alternando los entornos garantizando que se prueban todas las aplicaciones críticas. Este año, además, hemos aprovechado la constitución de la nueva terminal para activar los planes de contingencia de los sistemas que van a proporcionar servicio en esta ubicación.

– ¿Tienen previsto certificar su SGSI contra alguna norma certificable, la UNE 71502, por ejemplo, o no consideran de interés una iniciativa de estas características?

– No lo tenemos como prioridad en el corto plazo, pero tampoco lo descartamos en el futuro.
Este asunto lo veo más como una cuestión de imagen; es decir, que internamente nos preocupan más las implicaciones derivadas del certificado que el hecho de poseerlo. No perdemos de vista ningún estándar en nuestro trabajo diario, por lo que independientemente de que realicemos o no trámites para obtener dicha certificación, desde mi punto de vista estamos cumpliendo exactamente igual que si dispusiéramos de ella.

– ¿No les inquieta que algunas prácticas de fraude en entornos telemáticos, que hoy afectan principalmente a bancos y cajas, se puedan extender a servicios en línea de Iberia o que Iberia y clientes de Iberia usen?

– Lógicamente, es una amenaza derivada del uso de las TIC de hoy, y como tal nos preocupa. Ahora bien, somos conscientes de que, por ahora, nuestro sector es menos atractivo para este tipo de ataques que el financiero, ya que en nuestro caso, no existe un beneficio tan claro para el atacante como el que puede obtener mediante el robo de las credenciales de acceso a un sistema de banca por Internet.
No obstante lo anterior, una de las tareas de mi equipo consiste precisamente en estudiar la evolución de los fraudes telemáticos y, en función de los resultados, proponer planes de concienciación para los colectivos de empleados cuyo trabajo pueda verse afectado por estas prácticas fraudulentas.

– ¿Le ve utilidad al DNI electrónico para algunas aplicaciones y servicios de Iberia?

– Parece lógico pensar que sí. No olvidemos que el hecho de que todos los españoles podamos disponer de un DNI digital supondrá un beneficio importante a nivel comercial, ya que de esta forma garantizaremos la identificación mediante sistemas informáticos locales o remotos y la firma electrónica, lo cual supondrá un incremento en seguridad y eficacia, tanto en las comunicaciones como en las transacciones comerciales.

– ¿Tienen ustedes incidentes de seguridad? Dicho de otro modo, ¿se les encienden en ocasiones las alarmas?

– Si no obtuviera ninguna alarma, lo primero que pensaría es que estoy midiendo algo mal.
Una empresa del volumen de Iberia obligatoriamente debe tener incidentes, pero lo importante es ser capaz de actuar antes de que éstos supongan un impacto serio en la organización.
En nuestro caso hay una infraestructura de monitorización bastante compleja y un equipo técnico dedicado a efectuar el seguimiento de todas las actuaciones sospechosas, recoger evidencias y activar las medidas correctivas o paliativas que apliquen, dependiendo del tipo de suceso concreto. Es un proceso de aprendizaje continuo en el que no debemos cometer el error de confiarnos.

– Una última pregunta, ¿se conseguirá alguna vez fundir la seguridad de la información en los procesos de negocio y actividad de las organizaciones?

– Mi compañía tiene ese objetivo, que no por ser difícil de conseguir deja de parecerme acertado; y conste que me precio de ser persona realista y lógica. Insisto: si queremos que la seguridad se defina y presupueste en las fases de planificación y de diseño de nuevos sistemas, aplicaciones y servicios, como ya sucede en mi compañía; es decir, si queremos que forme parte del negocio y de las actividades de cualquier entidad, la orientación correcta es hacia procesos.

Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas

 

<volver