– ¿Es complejo el sistema de información tecnológico de Metro de Madrid?
– Es complejo debido a la sofisticación y la criticidad del mismo. Compaginamos los entornos Unix y Windows en cluster de alta disponibilidad. La informática de gestión de la Organización se realiza con SAP desde hace nueve años, y tenemos prácticamente todos sus módulos implantados y muchos de los de SAP Netweaver. Desde 1997 hemos evolucionado el sistema en sus distintas versiones, de la versión 3.0 f inicialmente implantada, pasando por la versión 4.6 b en 2000, hasta la actual 4.7 Enterprise. SAP está soportado en arquitectura Unix, con sistemas operativos Solaris y bases de datos Oracle. La plataforma hardware la forman servidores mayoritariamente Fujitsu-Siemens y Sun. El entorno de usuario final, tanto en el nivel de cliente como en el de servidor, se basa en Microsoft Windows y sus elementos de backoffice, tales como Exchange, SQL, ISA Server...
– ¿Y la infraestructura de comunicaciones?
– Metro de Madrid posee una red troncal propietaria de fibra óptica de alto ancho de banda, fundamentalmente en ATM y GigaEthernet con mas de 10.000 puntos de red distribuidos por todas sus instalaciones a lo largo de la Comunidad de Madrid. Toda esta compleja estructura tecnológica, es monitorizada en todo momento desde una consola central ubicada en el Centro de Tecnologías de la Información.
– ¿Cómo está estructurado el Departamento de Informática?
– La Unidad de Tecnologías de la Información a la cual pertenezco y que está enmarcada en la Dirección Financiera y de Sistemas, se divide en tres Gerencias con las siguientes funciones: la primera se responsabiliza de buscar y analizar las nuevas tecnologías existentes en el mercado y que pudieran ser aplicadas en Metro para mejorar sus procesos de negocio, así como de la técnica de sistemas y la explotación, que garantiza en todo momento el correcto funcionamiento de la informática de gestión de la Organización. La segunda Gerencia se encarga de la búsqueda de soluciones, desarrollo y mantenimiento de los aplicativos necesarios para soportar los procesos de negocio de Metro, y, por último, se encuentra la Gerencia de Atención al Cliente y Seguridad Informática, de la cual soy responsable y que además de la Seguridad de la Información, se encarga de todo lo concerniente al puesto de usuario final: desde el suministro del equipamiento necesario, la posterior instalación, el soporte local o remoto, si fuera necesario, y las actualizaciones hardware y software precisas para garantizar el correcto funcionamiento del equipo las 24 horas al día, todos los días del año.
Hay que tener en cuenta que un tercio de la plantilla de Metro de Madrid, unos 2.200 trabajadores aproximadamente, utilizan habitualmente y tienen acceso a las TIC las 24 horas al día los 365 días del año.
– ¿Desde hace cuánto tiempo está instituida la función específica de seguridad informática en Metro de Madrid y cuáles son sus cometidos?
– Realmente siempre ha estado presente la seguridad en los sistemas de información, pero la función específica no se instituyó de manera oficial hasta 1994. En aquel momento, sus objetivos básicos eran cumplir con la Lortad –hoy derogada– y controlar adecuadamente los accesos a los sistemas y aplicaciones. Posteriormente, ha ido evolucionando y en estos momentos se enfocada principalmente a garantizar la disponibilidad, la accesibilidad y, por supuesto, la confidencialidad de los procesos de negocio críticos para la organización. Metro de Madrid contempla la función de la seguridad, no sólo como algo necesario, sino además como un activo básico para la organización.
En cuanto a sus cometidos, la responsabilidad de la Gerencia es la definición de aquellas políticas, procesos y procedimientos de obligado cumplimiento a la hora de acceder o gestionar los distintos sistemas de información, así como asegurarse de que se cumplen mediante comprobaciones y auditorías periódicas. También es nuestra responsabilidad controlar los accesos y la “securización” de sistemas y aplicaciones, desde la definición de los roles, a la explotación de los sistemas de seguridad y de administración de usuarios y accesos.
– ¿Qué porcentaje del presupuesto total destinado a TIC está dedicado a seguridad informática?
– Existe un presupuesto variable para seguridad, que se sitúa en torno al 10%, en función de los proyectos realizados en la Unidad de Tecnologías de la Información, pues todos ellos incluyen una partida propia para garantizar su seguridad y su calidad. Un ejemplo: en la actualidad estamos en fase de puesta en producción de un portal del proveedor. En el mencionado proyecto se han implantado los mecanismos de seguridad necesarios para el correcto funcionamiento del mismo. Este proyecto, que no es específico de seguridad, ha de cumplir, sin embargo, con unos requisitos de salvaguarda en materia de confidencialidad, integridad, disponibilidad y autenticación. Algunos aspectos pueden ser cubiertos en nuestros sistemas con herramientas clásicas de seguridad; otros lo serán, previsiblemente, con el uso de la certificación electrónica. Bien, pues para este fin, contaremos con un presupuesto específico.
 |
“Hemos finalizado la primera fase de nuestro Plan Director de Seguridad, que abarca el 80% de la informática de gestión” |
– ¿Tiene alguna peculiaridad la compaginación de la Atención al Cliente y la Seguridad Informática?
– Es difícil. Como responsable de seguridad, los usuarios te perciben como un auditor de los accesos. Antes de ser responsable de Seguridad, he sido primero usuario y le puedo asegurar que veía la seguridad como una molestia, nos cifraban los equipos y las disqueteras, eliminaban los dispositivos ópticos… Pero una vez que estás al otro lado, con la experiencia, la información que ves diariamente, los ataques y pérdidas de información críticas que sufren algunas organizaciones importantes como la nuestra, es cuando realmente empiezas a entender y valorar su importancia y a transmitir su necesidad a los usuarios y a la organización.
Desde mi puesto trato de facilitar a los usuarios un entorno seguro. Precisamente, esa doble función que conlleva esta Gerencia, me otorga más credibilidad ante el usuario a la hora de advertirle sobre posibles riesgos y de informar sobre las políticas de seguridad implementadas.
– ¿Hay algún tema que le preocupe especialmente como Gerente de Seguridad Informática?
– Actualmente estamos buscando un sistema de identificación único, de acceso para todos los usuarios a los distintos sistemas de información, que mejore el actual y que incorpore sistemas de tarjeta inteligente o incluso dispositivos biométricos. – ¿Qué problemas plantean los accesos? – Me imagino que como en la mayoría de las organizaciones y debido a la evolución de los sistemas y sus aplicaciones, tenemos varios usuarios y contraseñas para acceder a los distintos entornos. En la actualidad estamos intentando integrar todos los sistemas para que con un único identificador y contraseña se pueda acceder a las distintas aplicaciones.
– Eso entronca directamente con la hoy denominada genéricamente gestión de identidades...
– Efectivamente. Tengo interés en emprender a corto plazo lo que yo llamo un proyecto de “gestión de identidades lógica”, es decir, identificar nítidamente cuántos perfiles de usuarios tenemos en los distintos sistemas, aplicaciones y entornos, para que una vez inventariados, implantemos una solución de identidades en función de las necesidades de la empresa. Este proyecto es costoso y de largo plazo, por lo que tendremos que ir ejecutándolo con pasos cortos y consolidados.
– ¿Tienen sistematizados los proyectos y acciones de seguridad?
– Por supuesto. Desde el año pasado estamos desarrollando diferentes proyectos del Plan Director de Seguridad. Hemos delimitado aquellos procesos de negocio que son más estratégicos para Metro de Madrid, y en estos momentos estamos adecuando los sistemas de información para garantizar el tiempo óptimo de respuesta o recuperación de alguno de ellos, que garantice la continuidad de los mismos.
En términos globales, hemos finalizado la primera fase del Plan, que abarca el 80% de la informática de gestión. La segunda fase, que esperamos acometer en breve, incluirá el resto de los departamentos y procesos de negocio estratégicos para Metro de Madrid.
– ¿Cómo han estructurado su Plan de Contingencias Informático y de Comunicaciones?
– El pasado mes de septiembre inauguramos en Canillejas unas instalaciones que sirven de réplica al Centro de Tecnologías de la Información. Se trata de un espacio de unos 1.000 metros cuadrados, con 70 puestos de trabajo y el equipamiento informático necesario desde el que podríamos operar en el caso de que hubiera cualquier problema en la sede principal. Ya en 2004 definimos, a nivel interno, qué tipo de servicios y qué tiempo de respuesta y de recuperación necesitábamos para replicar allí una serie de procesos críticos desde el punto de vista de tecnologías de la información. De momento, ambos centros funcionan en un esquema de activo-pasivo, pero el objetivo de la Unidad de Tecnologías, es que se pueda operar a medio plazo en activo-activo en determinados servicios, y en el futuro contemos con una réplica exacta del Centro de Tecnología de la Información, de tal forma que pudiéramos prestar servicios desde cualquiera de las dos dependencias, de forma transparente para el cliente.
– ¿Auditan la seguridad de sus sistemas y comunicaciones?
– Hacemos auditorías de nuestros sistemas de seguridad cada dos años tal y como marca la legislación vigente en materia de protección de datos. La próxima la estamos empezando en estos momentos y deberá estar finalizada en junio. Hasta ahora en todas las auditorías realizadas no se ha detectado nada significativo, por lo que sólo hemos recibido pequeñas recomendaciones de mejora. La revisión la realiza una auditora externa, contratada y supervisada por nuestro departamento de auditoría interna.
Independientemente, y de forma permanente, se realizan acciones para verificar la idoneidad y efectividad de nuestros sistemas de protección, así como del correcto cumplimiento de las políticas y los procedimientos.
“Sigo con atención el desarrollo del futuro reglamento de la LOPD, porque al ser desconocido su contenido final, no se pueden establecer con exactitud los requisitos de seguridad que habremos de cumplir en nuestros inmediatos proyectos de modernización, ni el coste que supondrá su cumplimiento” |
 |
– ¿Sufre Metro de Madrid muchos incidentes de seguridad informática?
– Afortunadamente, no. Las redes de comunicaciones, como he comentado anteriormente, son propietarias y sin accesos externos, y controlamos la entrada de código malicioso y el tráfico interno. También sufrimos el spam como me imagino que le pasará a cualquier organización, que además hoy en día es elevado y a veces difícil de evitar. En la actualidad, más que limitar el uso de los recursos, lo que estamos haciendo es realizar estadísticas de la utilización de los mismos en la organización, y más adelante tomaremos medidas necesarias para restringir el flujo de determinados tipos de ficheros, porque su tránsito y su almacenamiento, aparte de inútiles, son muy costosos para la organización.
– ¿Cómo afectan a sus sistemas los procesos de actualización de parches de seguridad?
– Al compaginar distintos sistemas operativos y aplicaciones, tenemos que estar muy pendientes de contar con los últimos parches en comunicaciones, servidores y aplicativos de todos los entornos tecnológicos, lo que complica mucho su gestión. Evidentemente, hay mucha gente buscando la puerta trasera de los sistemas y aplicaciones, y los fabricantes se ven obligados a editar parches continuamente y de manera creciente.
– ¿Cómo se enfoca en su departamento el problema de la seguridad interna?
– Si algún usuario interno pretendiera atacar desde el interior algún servidor o servicio, se toparía con el IPS. Los accesos a SAP están completamente cerrados y auditados. Podría pasarnos evidentemente, pero por fortuna todavía no he tenido noticia de caso alguno. Los usuarios externos de otras empresas que habitualmente colaboran con nosotros en nuestras instalaciones y que por razones de su trabajo tienen acceso a áreas de nuestro entorno informático y de comunicaciones, tienen que cumplir las mismas medidas de seguridad que los propios empleados.
 |
“La doble función que conlleva esta Gerencia –Atención al Cliente y Seguridad Informática– me otorga más credibilidad ante el usuario a la hora de advertirle sobre posibles riesgos y de informar sobre las políticas de seguridad implementadas” |
– En general ¿es compleja la gestión de la seguridad en Metro de Madrid?
– Más que compleja, es laboriosa. Yo comprendo que en otras organizaciones, como por ejemplo las de banca –en muchos casos, multinacionales–, que cuentan con aplicaciones más críticas por el impacto económico y numerosas sedes en diferentes ciudades, gran variedad de comunidades de usuarios..., estén mas sensibilizados y expuestos, y tendrán problemas concretos que no sufre Metro de Madrid. Nosotros tenemos un entorno fácil de gestionar: equipos con software estándar ‘securizados’ y cifrados, sistema de gestión de SAP muy integrado y redes propietarias.
– Con 2.200 usuarios, ¿cómo se controla el tráfico de información sensible?
– Las áreas que manejan datos personales, como el departamento de Recursos Humanos, están debidamente protegidas. Sin embargo, la fuga de información confidencial es un tema muy difícil de gestionar. Aunque todos los equipos disponen de cifrado de disco duro o de disqueteras, también disponen de correo electrónico interno o externo, puertos USB con dispositivos pen-drive, en algunos casos grabadoras de CD, etc. La gestión es muy compleja, pero una de las claves para minimizar este esfuerzo es la plena concienciación en materia de seguridad a nuestros usuarios.
– ¿Cómo se percibe la seguridad en Metro de Madrid?
– Aunque cada vez es más escaso, todavía hay quien nos ve como el que no les deja acceder a su ordenador. Por otra parte, aquellas empresas que no han sufrido incidentes graves, tienden a infravalorar la seguridad. La Dirección de Metro de Madrid tiene un nivel avanzado de uso de las TIC y de la seguridad que conlleva.
– Ustedes son usuarios de Microsoft. ¿Cómo perciben lo que está haciendo en materia de seguridad técnica?
- Microsoft se ha tomado en serio la protección de su plataforma desde hace pocos años, al evidenciarse las vulnerabilidades de sus sistemas, que son los más divulgados y los más atacados. Por fin está prestando a la protección TIC la importancia que merece. Y debe profundizar en esa línea, si quiere avanzar posiciones en la informática corporativa.
– Una última pregunta: ¿qué le da al sector de la seguridad TIC, un aprobado o un suspenso?
– No se trata de aprobar o suspender. Creo que en este mundo de la seguridad hemos recorrido un largo camino, y todavía nos queda mucho por recorrer juntos, tanto al sector de seguridad de las TIC como a los responsables encargados de implementar las medidas. La alta Dirección de las organizaciones invierte cada día más recursos humanos y económicos en medidas de protección tanto organizativas como técnicas. Visto lo visto, no creo que pueda decirse que ambas partes lo estemos haciendo mal del todo.
Fotografía: Jesús A. de Lucas