MANUEL MARTÍNEZ GARCÍA, Responsable de Seguridad de Sistemas de Unión Fenosa
“En Unión Fenosa queremos trascender el puro cumplimiento de la LOPD para pasar a integrarlo como un valor añadido en nuestra forma de gestionar el negocio”

Licenciado en Ciencias Químicas y poseedor de la acreditación CISA de Isaca, Manuel Martínez ha recorrido una larga y fructífera carrera profesional en Unión Fenosa, compañía en la que ingresó en el año 1984 y en la que ha sido responsable, sucesivamente, de Informática Departamental, de Infraestructuras y de Calidad, siempre en el marco de la Dirección de Sistemas de Información. Desde hace seis años está al frente del área de Seguridad de Sistemas, enfrascada hoy en la puesta en funcionamiento de las acciones y proyectos contemplados en el Plan Director de Seguridad 2005-2007 de esta multinacional española.

– ¿Es complejo el sistema de información de Unión Fenosa, usuarios incluidos?

– El Grupo Unión Fenosa está formado por compañías básicamente del sector energético, y opera principalmente en ocho países. La cifra global de usuarios de sistemas de información se sitúa en torno a los 14.000. De éstos, unos 8.000, correspondientes a las principales empresas nacionales del Grupo, son gestionados directamente desde la Dirección de Sistemas de Información. A los fines del gobierno TI, protección de la información incluida, la Corporación establece las estrategias y las políticas a seguir, y controla el presupuesto de inversión y gasto, así como la entrega del servicio.
Nuestra infraestructura técnica está formada por una red troncal Frame Relay con electrónica mayoritariamente de Cisco Systems. Los servidores de datos son Sun Solaris e IBM, y los de bases de datos Oracle y Adabas (Software AG); y en lo referente a lenguajes de programación y aplicaciones en explotación, tenemos como estándar la arquitectura J2ee, si bien existen aplicaciones importantes en explotación desarrolladas con Natural sobre Adabas o Power Builder sobre Oracle. La informática departamental, tanto en clientes como en servidores, descansa en tecnología de Microsoft.
En sintonía con los tiempos que corren, estamos experimentando un crecimiento muy significativo en usuarios móviles, ubicuidad y en la apertura de nuestros sistemas a proveedores y clientes, lo que ya nos indica la dirección en la que tenemos que evolucionar nuestro sistema de información y, de manera integrada, su seguridad técnica.


– ¿Desde hace cuánto tiempo está instituida la función específica de seguridad de sistemas en Unión Fenosa?

– La función ha existido desde siempre, asociada con la administración y operación de las distintas plataformas tecnológicas. Pero fue hace doce años cuando se constituyó formalmente. Su nacimiento estuvo muy relacionado con la problemática de la continuidad operativa y con el cumplimiento de la por entonces vigente LORTAD. Obviamente, los tiempos nos han llevado a ampliar nuestro cometido en bastantes más frentes y a evolucionar la práctica de la seguridad, tanto en materia organizativa como tecnológica.

– ¿Cuánto tiempo lleva usted al frente de la seguridad de sistemas en Unión Fenosa?


– Seis años.

¿Cuál es la línea de dependencia jerárquica del Área?

– Dependemos de la Dirección de Tecnología de Sistemas, que está enmarcada dentro de la Dirección de Sistemas de Información. Para entendernos, Tecnología de Sistemas es el área responsable de la explotación de los sistemas, de su mantenimiento y del desarrollo y evolución de la infraestructura tecnológica que los soporta.

– ¿Y qué espera la Dirección de Tecnología de Sistemas del Área de Seguridad de Sistemas?

– Desde un punto de vista organizativo, debemos proponer y ayudar a establecer criterios y normas de seguridad y cuidar del cumplimiento de las normativas internas y externas. A efectos técnicos, tenemos responsabilidad específica sobre la seguridad lógica de las aplicaciones y sistemas, sobre los entornos tecnológicos que los soportan y sobre las herramientas tecnológicas de seguridad. Hay un tercer cometido básico, que se orienta a la seguridad física y a la continuidad operativa en sus distintas gradaciones.

– ¿Cuántos profesionales están integrados en Seguridad de Sistemas?


– En coherencia con nuestro modelo de funcionamiento, basado en la existencia de una función corporativa y de un outsourcing operativo con Soluziona, el equipo de Seguridad de Sistemas lo forman dos expertos dedicados a tareas de gestión corporativa, e incluidos en el outsourcing, seis especialistas centrados en el desarrollo y la mejora de la seguridad, y otros cuatro que centran su actividad en el mantenimiento y administración de la seguridad de entornos.


“Unión Fenosa dedica a seguridad, ampliamente entendida, cerca del cinco por ciento de su presupuesto anual para tecnologías de la información y las comunicaciones”

¿Cuál es el órgano colegiado de mayor responsabilidad en materia de protección de la información en Unión Fenosa?

– Las decisiones en lo que se refiere específicamente a Seguridad de Sistemas y a su presupuesto se toman internamente en el área de Sistemas de Información. Aquellos aspectos que tengan un componente normativo se implantan a través del Comité de Normalización Interna, y todos los temas referentes a seguridad de sistemas, a efectos amplios y del Grupo, se tratan y deciden en el Comité de Seguridad, órgano liderado en nuestro caso por la Dirección de Sistemas de Información y en el que están representadas el resto de áreas de negocio.

¿Cuánto invierten al año en seguridad?

– Depende de qué entendamos por seguridad aplicada a los sistemas de información y comunicaciones. Si optamos por una concepción amplia, podríamos estar rozando el 5% del presupuesto de TI, y si optamos por una restringida, estaríamos entre el 3% y el 4%.

Parece ser que hay una tendencia a usar en los sistemas industriales de explotación del negocio eléctrico, componentes basados en software comercial de propósito general, es decir, el software de uso común en la informática de gestión. ¿Entra la ‘securización’ de estos entornos en el ámbito de responsabilidades de Seguridad de Sistemas?

– La informática industrial y la de gestión están convergiendo cada vez más en ese punto, lo que constituye una de nuestras preocupaciones. Estamos trabajando en este asunto desde hace tiempo, sobre todo, afianzando aquellos escenarios críticos en los que esa informática industrial ha contactado con los sistemas abiertos y, por lo tanto, con los mismos o parecidos riesgos. Todo ello conlleva un evidente y creciente aumento de sus requerimientos de seguridad en un entorno que hasta ahora parecía estar en una burbuja segura.

¿Qué es lo que más le preocupa como responsable de seguridad de sistemas?

– Minimizar el riesgo e irlo gestionando de modo óptimo. Creo, además, que para conseguir esto es imprescindible trabajar con organización, método y una buena orientación. Dicho de otro modo: mi principal preocupación es centrar la actividad del área de Seguridad de Sistemas y de todas las áreas influidas por ella en la protección de nuestros activos más valiosos. Eso requiere mantener un inventario de activos de información y disparar de forma sistemática el proceso de análisis y gestión de riesgos.
Por otra parte, y después de seis años trabajando directamente en este campo, estoy en disposición de afirmar que uno de los pilares básicos para conseguir los grandes objetivos de seguridad perseguidos no es otro que contar con la colaboración responsable de los usuarios de los sistemas. Por eso, los responsables de seguridad tenemos que trabajar activamente para que empleados y colaboradores, es decir, los usuarios, aprendan y metabolicen el uso responsable de la información y los recursos, y lo asuman culturalmente como un valor.
Con esto y con un método instituido para tratar la seguridad como un componente de origen en el ciclo de vida de los sistemas y las aplicaciones, podrían minimizarse los riesgos de forma muy significativa. Por supuesto, entre mis preocupaciones también se encuentra la de tener permanentemente actualizado nuestro sistema tecnológico de protección para poder hacer frente a los retos cambiantes que se nos plantean.


¿Tienen sistematizados los proyectos y las acciones de protección?

Sí, por supuesto. Tenemos un plan director de seguridad a tres años, con revisiones anuales. Precisamente hemos puesto en marcha las actuaciones más prioritarias a lo largo de 2005, y nuestra planificación operativa en lo referente a seguridad para 2006 ha sido orientada totalmente por este Plan.

¿Están satisfechos de su nivel de adaptación a las medidas de seguridad relativas a los datos personales?

Hemos hecho los deberes, si es que se refiere a eso. Una empresa como la nuestra parte ya de un nivel alto de seguridad en todas sus aplicaciones, con lo que muchas de las medidas legalmente fijadas en este ámbito ya las cumplíamos antes de la entrada en vigor de la normativa correspondiente. La seguridad de los datos de carácter personal se entiende en Unión Fenosa no únicamente como una obligación, sino también como un valor añadido que podemos ofrecer a nuestros clientes.
Precisamente el año pasado llevamos a cabo un proyecto de mejora de la adaptación de nuestros sistemas a la LOPD, en el que hicimos especial hincapié en las medidas organizativas.

“Tras dos años de intenso trabajo, a mediados de 2005 concluimos el despliegue del grueso de los procesos de gestión de identidades, al que denominamos internamente Proyecto Integrado de Seguridad Lógica. Hoy estamos dando servicio a unos 8.000 usuarios directos”
¿Y qué opina del futuro reglamento de la LOPD y de los previsibles cambios en las medidas de seguridad hoy en vigor?

– Nos mantenemos a la espera, aunque por lo que hemos podido saber, algunas de las medidas de protección que se están estudiando para su aplicación en los niveles medio y alto, podrían resultar muy difíciles de abordar por razones de impacto económico y tecnológico en grupos de organizaciones con muchos usuarios y clientes. Hay que tener en cuenta que rediseñar los sistemas, las aplicaciones y los servicios que tanto ha costado adaptar a la actual legislación, puede tener un coste que quizá no guarde proporción con lo que se pretende conseguir.

¿Tienen solucionada la hoy denominada gestión de identidades en el sistema de información tecnológico?

– La decisión de hincarle el diente a la gestión de identidades surgió a finales de 2003, y hemos terminado el despliegue y la implantación a mediados de 2005, bastante más tarde de lo previsto. Actualmente estamos gestionando a unos 8.000 usuarios.
La solución tecnológica de base utilizada es el módulo de gestión de identidades de Tivoli (IBM), en tanto que la compañía que nos ha ayudado en la integración ha sido Soluziona, que forma parte, como sabe, de nuestro Grupo empresarial y cuyo conocimiento ha sido decisivo en el éxito del proyecto.
Tengo que decir que ha costado finalizar la implantación y conseguir una funcionalidad compatible con nuestras exigencias. Pero se ha conseguido. Lo que empezó siendo un proyecto típico de gestión de identidades lo hemos ido convirtiendo en algo más ambicioso, que en su momento denominamos internamente Proyecto Integrado de Seguridad Lógica.
Abordar este proyecto implicó el rediseño de todo nuestro sistema de acreditación de usuarios y del workflow de tramitación y autorización de altas, bajas y modificaciones de derechos de acceso, y nos obligó también a crear interfaces con la administración lógica de los sistemas y con los entornos técnicos que soportan su funcionamiento.
Como contrapartida, tenemos ahora una visibilidad integrada de la seguridad lógica de los entornos técnicos de la que no disponíamos antes, de un sistema para la asignación de derechos razonablemente automatizado e integrado con el resto de nuestras herramientas de gestión de la seguridad lógica, y además hemos podido sincronizar contraseñas y poner en manos del usuario su gestión.
La verdad es que mejorar y automatizar estos procesos no es tarea sencilla, y menos en un entorno tecnológico tan heterogéneo como el nuestro. Conseguir una solución integrada de gestión de los entornos (Microsoft, Sun, IBM...), ha sido uno de los mayores logros en los que el Área de Seguridad de Sistemas ha estado directamente involucrada.

– ¿Ha costado mucho económicamente?

– Los proyectos de gestión de identidades bien diseñados no pueden ser baratos. Aunque también he de decir que sí es cierto que éste es uno de los epígrafes de la seguridad en los que el retorno de la inversión se visualiza más rápidamente. Además, en su concepción global aún no se ha terminado, ya que la siguiente fase que vamos a abordar se centra en conseguir, alineados con la necesidad de poner cuanto antes los recursos a disposición de nuestros usuarios, que la asignación de una ocupación dé lugar de forma inmediata a la disponibilidad de los recursos o derechos de acceso necesarios.

¿Anima, pues, a sus colegas de seguridad de otras organizaciones menos madrugadoras en este epígrafe que Unión Fenosa a abordar proyectos de gestión de identidades?

– Abiertamente. Los beneficios de automatizar estos procesos son más que evidentes y en el mercado existen herramientas modulares que funcionan. En cualquier caso, hay que tener en cuenta que este tipo de proyectos se puede derivar hacia un replanteamiento de la arquitectura de seguridad lógica con fines de mejora, en vez de quedarse en una mera tramitación de la provisión.

¿Qué otros frentes relacionados con seguridad, o en los que la seguridad ocupa un lugar relevante, contemplan en su plan director?

– Vamos a poner acento en varios frentes. El primero, la sistematización de la fortificación de nuestras redes y plataformas, incluyendo lo concerniente a la planificación de parcheo y cambios de configuración. Un requisito indispensable es conseguir que el nivel deseado de fortificación de nuestras plataformas nunca baje de cierto umbral. Vuelvo a los conceptos: método, procedimientos y tecnología.
El segundo frente atañe a la mejora de la trazabilidad en nuestros sistemas y aplicaciones. Queremos dar a todos los registros un criterio uniforme en materia de seguridad, y disponer de un sistema útil de análisis y gestión de logs, correlación de eventos y alarmas. Esta línea de trabajo nos ayudará, también, a completar nuestro cuadro de mando de seguridad con indicadores técnicos poco contaminados por la mano del hombre. Tenemos claro lo que vamos a pedir al mercado, y en un tiempo razonable iniciaremos la fase de selección de herramientas tecnológicas, que deberán ofrecer facilidades de integración con nuestras plataformas y de extracción y conservación fiable de logs, y tener una función muy potente y fiable de análisis y correlación multiplataforma.
El tercer frente se concentra en la evolución y perfeccionamiento de nuestro compromiso con el cumplimiento de la legislación sobre protección de datos. En pocas palabras, queremos trascender el puro cumplimiento normativo para pasar a integrarlo como un valor añadido en nuestra forma de trabajar, asumiendo el espíritu de la legislación vigente, que reconoce el derecho de las personas a la protección de datos y el derecho a la intimidad personal y familiar. Objetivando este frente, queremos conseguir que el documento de seguridad sea la herramienta para que los responsables internos de los ficheros y propietarios de los datos y el responsable de seguridad puedan asegurar el cumplimiento legal. Eso comporta el desarrollo de una herramienta que les permita saber en cada momento la situación de las medidas de seguridad requeridas.
Además de estos tres frentes principales, y dentro del Plan Director de Seguridad, tenemos en marcha un conjunto de proyectos de mejora en todos los ámbitos de la protección en nuestras instalaciones, desde la seguridad lógica a la seguridad física y la continuidad.

“La informática industrial que soporta la producción energética está incluyendo de forma progresiva la utilización de sistemas abiertos, lo que lleva aparejado un aumento de sus requerimientos de seguridad”
 

Pero, por ejemplo, ¿tienen solucionado el problema que comporta, en relación con los datos personales, el uso de dispositivos extraíbles de aplicación, incluso, en portátiles y otros equipos de usuario?

– En las comunidades de usuarios que tratan datos personales o críticos para el negocio de Unión Fenosa, este particular está controlado de modo robusto. La implantación de alguna de las alternativas de mercado existentes para controlar esta problemática debe hacerse con mucho tiento, buscando el equilibrio entre el control, la operatividad para el usuario y el coste de mantenimiento.
Desde la corporación se han emitido normas limitativas razonables para el uso de estos dispositivos a los que se refiere en la pregunta, que especifican claramente la inhabilitación de puertos USB en nuestros PCs, salvo en los casos en los que la habilitación esté prescrita. Además tenemos un control exhaustivo de las compras de este tipo de elementos.
Estimamos que los planteamientos meramente restrictivos –que no incluyan también un aspecto formativo– no abordan este tema de forma adecuada, ya que, finalmente, la información está en manos de los usuarios que la manejan.

¿Cuántos indicadores contiene su cuadro de mando de seguridad de sistemas?

– Tenemos un conjunto de indicadores en los que predominan los asociados a la gestión del servicio sobre los puramente operativos. Como antes he comentado, el proyecto de mejora de la trazabilidad nos va a ayudar a evolucionar en este sentido.

– ¿Van a certificar su SGSI?

– Participamos en grupos de trabajo específicos de Aenor y nos parece esencial tener las normas como referencia. La certificación de nuestro SGSI nos parece un refrendo importante, aunque a corto plazo no tenemos planificado iniciar este proceso.

– ¿Están las compañías fabricantes de herramientas a la altura de las necesidades de seguridad TI de Unión Fenosa?

– Hoy ya disponemos de herramientas tecnológicas aceptables en sus prestaciones, orientaciones y perspectivas de mejora. Lo que no lleva la misma evolución es la calidad del servicio asociado a esas herramientas, ya que los fabricantes, en su línea de ahorro de costes, están causando un importante deterioro en la calidad del soporte que son capaces de ofrecer. Y esto es muy peligroso, ya que un producto bueno puede plantear problemas insalvables si no hay expertos que lo conozcan adecuadamente.
En este sentido, creo que los integradores tienen una magnífica oportunidad en los mercados locales.



”Entre los proyectos que vamos a abordar, en línea con nuestro Plan Director de Seguridad, se encuentra la sistematización de la fortificación de nuestras redes y plataformas, incluyendo lo concerniente a la planificación de parcheo y cambios de configuración”

– ¿Hay algún área de la seguridad que considere descuidada por parte de los desarrolladores de herramientas tecnológicas?

– El caudal de vulnerabilidades que se van conociendo nos obliga de modo creciente a parchear y actualizar continuamente configuraciones en los entornos de producción, que para nosotros son sagrados. Esto, además de suponer un coste importante, es un trabajo muy serio para cuya consecución es necesario seguir unos procedimientos muy detallados y de obligado cumplimiento en materia de control de cambios. Sería deseable que, o bien desde el sector de la seguridad, o bien desde el sector más general de los fabricantes de base, se crearan herramientas eficientes y fiables para facilitar este tipo de menesteres.

– Servicios de seguridad externalizados. ¿Cree que van a jugar un papel creciente en el mercado?

– A tenor del avance de la tecnología de comunicaciones y de seguridad, me parece una opción muy interesante para algunas compañías y en determinado tipo de ámbitos de la protección TIC. Para un grupo como Unión Fenosa entrar en una gestión externa de nuestra red y de su seguridad plantea escollos hoy por hoy muy importantes.

– Una última pregunta: ¿dispone Unión Fenosa de Plan de Contingencias Informático y de Comunicaciones?

– En este terreno, todas las compañías del Grupo se rigen por los criterios y las normas emanadas de la Corporación, y participamos directamente en el establecimiento, mantenimiento y pruebas de la estrategia de la continuidad.
Se realiza la clasificación de los activos de información en base a su criticidad. Esa clasificación orienta la actividad de todas las áreas de sistemas, de tal suerte que las plataformas y las infraestructuras que dan soporte a esos sistemas deben adaptarse a las características del activo, en base a criterios, en este caso, de disponibilidad. Esto nos permite, además, plantear una estrategia de respaldo y definir planes de contingencia específicos para distintas aplicaciones ante eventos con distinto grado de severidad.
La estrategia de continuidad global se basa en la arquitectura mallada de nuestra red troncal, que nos garantiza prácticamente la disponibilidad de comunicaciones, y en la existencia de dos CPDs, que funcionan de forma conjunta y con capacidad cada uno de hacerse cargo de las aplicaciones críticas de negocio. El plan de recuperación ante desastres se prueba una vez al año en cada CPD con involucración de los equipos humanos multidisciplinares definidos para casos de emergencia, en los que Seguridad de Sistemas toma parte muy activa.

Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas

<volver