– ¿Podría realizar una semblanza histórica de los hitos más importantes que han marcado la evolución del Sistema de Información tecnológico del Grupo Gas Natural?
– En el año 1998, Gas Natural interpretó que para hacer frente con opciones de éxito a los retos que iba a plantear la desregulación del mercado, los sistemas de información iban a ser factores diferenciales para materializar el cambio de manera efectiva y rentable en los diferentes negocios, en especial en los fundamentados en energía-gas y energía- electricidad. Ello nos llevó a realizar cambios adaptativos en la tecnología existente, básicamente mainframe S-390 con Natural Adabas y también en el resto de aplicaciones.
Para ello optamos por el software estándar, basando nuestra estrategia en dos pilares: uno SAP, no sólo como propietario del tradicional ERP de gestión empresarial, sino también, y dando una vuelta de tuerca, llegando a elementos de back office comercial, como el módulo específico para la gestión de Utilities ISU, en cuyo proceso de especificación de requisitos mínimos participamos de forma destacada. El otro pilar fue Siebel, en su componente de CRM, como frontal de contacto con el cliente.
Un hecho relevante en aquel momento fue también la aglutinación a nivel de ingeniería de datos de los diferentes sistemas en un datawarehouse, como respuesta a través de la tecnología a la demanda de inteligencia empresarial. En la actualidad, nuestro datawarehouse, fundamentado en plataforma Linux, sistemas Intel y tecnología de Oracle RAC, es realmente puntero en Europa. Nuestra próxima frontera es disponer de un grid de datos que preste servicios a las distintas aplicaciones dentro del CPD, sin esa verticalización tradicional y poco deseable en las arquitecturas, definida por una capa de usuario, una de aplicación y una de base de datos sistema a sistema.
Estos son, en esencia, los pilares de nuestro sistema de información, que hemos ido evolucionando desde entonces, lo que ha requerido una profundización en las tecnologías de nuestros principales proveedores.
– ¿Y cuál ha sido la evolución del sistema desde el punto de vista de la seguridad?
– La seguridad de la información siempre ha sido inherente a la tarea de la gestión de los sistemas; de forma aislada, eso sí, y en muchos casos con criterios independientes. Ya en 1998 detectamos la necesidad de resolver algunos problemas relevantes, en especial en el ámbito de la gestión de identidades. Se nos planteaba todo un escenario de aplicaciones, la mayoría basadas en software estándar, y otras, de crecimiento rápido, que debían nacer en el mundo web. En aquel momento apostamos por Java y por servidores con Bea WebLogic, alternando posteriormente con WebSphere.
Ante la necesidad de crear una gran cantidad de aplicaciones, y ante el peligro de que cada una de ellas pudiera tener su propio sistema de gestión de identidad, algo no deseable, decidimos realizar un estudio interno que nos llevó a una reflexión que pasaba por analizar todo el espectro de aplicaciones existentes, sus políticas de nominación de usuarios, sus políticas de gestión de contraseñas –que además no eran todo lo robustas que queríamos–. Optamos por crear un directorio central LDAP, basado en tecnología de Critical Path, que sirviera para la gestión de servicios básicos: nominación de usuarios, gestión de contraseñas y gestión de accesos a aplicaciones en base a derechos en función de roles. Este directorio se manifestaba en tres grandes ramas: usuarios y contraseñas, organización y aplicaciones.
Corría el año 1999, y a los efectos de organización esto fue un gran avance, porque nos obligó a establecer un nexo de unión entre el sistema de Recursos Humanos y el sistema de Directorio. La información de cambios en la estructura organizativa –altas, bajas y modificaciones, relativas a permisos de acceso a recursos– es transmitida diariamente y en horario nocturno por el sistema de Recursos Humanos al Directorio.
La rama de aplicaciones, por su parte, nos permitía establecer el mapeo entre esos derechos de acceso, la posición organizativa y las personas.
La estructura del LDAP nos solucionaba muy rápidamente el problema de esas nuevas aplicaciones web que iban naciendo y que se tenían que adaptar a un estándar de directorio, y que requirió de una pieza adicional para la componente de entrada única.
– ¿De cuántas aplicaciones estamos hablando?
– En aquel momento de una veintena. Pero con un ritmo de crecimiento muy rápido, de aproximadamente una al mes.
 |
“Depender de la Dirección de Sistemas de Información da capacidad de no mediatizar la seguridad de la información ni en lo productivo ni en las componentes de desarrollo, donde las presiones son grandes” |
– ¿Y qué decisión tomaron para las aplicaciones legacy en lo que a gestión de identidades y accesos concierne?
– Evidentemente había que contemplar la integración de nuestras aplicaciones estándar, no sólo en la componente de directorio, vista desde la sincronía de contraseñas, sino, además, con un efecto de single sign-on. Esto nos llevó a evaluar el mercado. Y mientras la entrada única web la habíamos resuelto con SiteMinder, entonces de Netegrity, a su vez adquirida hoy por CA, para la integración del entorno legacy optamos por Control-SA de BMC Software.
El de gestión de identidades ha sido un proyecto de gran impacto en la organización por las razones antedichas. Por otra parte, queríamos que la gestión de identidades entrara dentro de la gestión de Help Desk de forma robusta y segura, lo que nos llevó a desarrollar pequeñas aplicaciones y procedimientos, sobre todo de gestión de contraseñas, para minimizar los riesgos de que éstas se vieran comprometidas, y donde todo empleado que entrara en la compañía debería disponer de una contraseña que habría de cambiar en la primera ocasión de acceso al sistema, contraseña que le era facilitada por su jefe, y que además incluía un código de recuperación, un PUK, que le iba a permitir, siempre que tuviera una pérdida o se viera comprometida la contraseña, una vía de solicitud a Help Desk de emisión de una nueva, incluso habilitando procedimientos en los que si la contraseña y el PUK se perdían, era posible pedir a Help Desk que iniciara el proceso como en un principio, es decir, generando una contraseña, remitiéndosela a su jefe,...
– ¿Tienen muchas incidencias de pérdida de contraseñas y PUK?
– No. Tengo que reconocer que este procedimiento ha resultado muy eficaz, entre otras razones porque se puede molestar al jefe un día, pero si estamos continuamente diciéndole que hemos perdido la contraseña la cosa puede pasar a mayores. Además de haber simplificado la custodia de la clave por parte del usuario, ya que sólo tiene que memorizar una clave.
– ¿De cuántos usuarios estamos hablando?
– En España de cerca de 5.200. Si lo medimos en PCs gestionados, podemos hablar de unos 6.000.
– ¿En qué fase se encuentran ahora?
– Estamos cerrando el ciclo del workflow de Control-SA, para la gestión automatizada de las altas, bajas y modificaciones de derechos de acceso, iniciando el planteamiento de un autoservicio del empleado.
 |
“En su día fuimos conscientes de la existencia de sistemas de análisis de vulnerabilidades, pero no nos planteamos su uso como una opción, porque es muy difícil transmitir a un sistema tecnológico todo el trabajo manual de una buena auditoría”. |
– Tenemos que robustecer la gestión de identidad por el camino de la calidad de la autenticación interna y también en el ámbito de nuestras relaciones con colaboradores y proveedores, dominadas por la movilidad.
– ¿Por qué camino?
– Estamos apostando fuertemente por llegar a una solución adecuada a través de tarjeta de empleado con certificados electrónicos para autenticación. Obviamente queremos contemplar la firma y el cifrado, aunque plantean problemáticas específicas, la primera de saber quién tiene que firmar y qué, y el segundo, el cifrado, la de la custodia de los certificados de cifrado. Curiosamente, el de confidencialidad se revela como el servicio que más nos está urgiendo para proteger la información independientemente de su ubicación, aunque plantea problemas de flujo interno de información y, claro está, en el ámbito de nuestros colaboradores externos. En lo concerniente a la firma digital, no estamos hablando sólo de firma de documentos de índole personal, sino de firma en el área societaria o empresarial, donde ya nos estamos planteando realizar experiencias con la firma de ciertos documentos que son emitidos a nuestros grandes clientes o clientes comerciales, para certificar su contenido y garantizar su procedencia.
– ¿Cómo conciben la organización de la seguridad de la información?
– En mi organización se establecen dos diferenciaciones en materia de protección, la denominada patrimonial, que hace referencia a la seguridad física, de recintos y personas, y la de la información, en todos sus ámbitos y soportes. Somos conscientes de que para bien o para mal, la información reside de forma creciente en sistemas de información tecnológicos, lo que se manifiesta en mi figura de Responsable de Seguridad de la Información en dependencia directa de la Dirección de Sistemas de Información, que ocupa un lugar relevante en el organigrama. La dependencia del director de Sistemas de Información, da capacidad de no mediatizar la seguridad de la información ni en lo productivo ni en las componentes de desarrollo, donde las presiones son grandes.
– ¿Cuál es el modelo de gestión de seguridad de la información?
– Seguridad de la información no opera los sistemas. Para ello existe un área de Seguridad Operativa. No nos planteamos Seguridad de la Información como un operador de seguridad.
– ¿Cuáles son, entonces, los diferentes componentes de ese modelo de gestión?
– En el modelo de gestión definido el pasado año, aparece la figura del responsable de Seguridad de la Información, en dependencia del director de Sistemas de la información. Dicha figura no se concibe como un operador de seguridad sino como un departamento que esté un paso atrás y disponga de mayor capacidad para establecer uniones con el negocio, con la visión estratégica de lo que ha de ser la gestión de la información, y que sea capaz de ejercer acciones normativas, de cumplimiento regulatorio, de prescripción tecnológica, y de realizar una función divulgativa y auditora, esta última tanto de forma periódica como continuada.
En el contexto de este modelo, existe un área de Seguridad Operativa, en la que se encuentran los profesionales que administran día a día y de forma específica nuestros sistemas de seguridad y de todos aquellos que intrínsecamente están en disposición de facilitar información asociada a seguridad y que no tienen una pieza concreta de seguridad, como puede ser, por ejemplo, un sistema Unix.
En la parte alta de la pirámide se encuentra el Comité de Seguridad de la Información, que aglutina a los máximos responsables de negocio del Grupo Gas Natural y que actúa como motor de nuestra estrategia en tecnología, normativa y operación.
– ¿Está satisfecho con el grado de cumplimiento de la legislación relativa a la protección de datos personales?
– Somos un Grupo que cumple con la legislación. Todos los procesos son mejorables, y el de cumplimiento el primero. Ello nos ha llevado a realizar en ocasiones preguntas a la Agencia Española de Protección de Datos acerca de cómo actuar en algunos supuestos, en la línea de mejorar nuestra gestión en materia de protección de datos personales.
Las utilities y las telcos nos hemos orientado a un modelo de relación con clientes basado en la figura del contacto telefónico, y esto plantea riesgos de cumplimiento de la LOPD por causa de los mecanismos de autenticación de la persona llamante. Esto nos acarrea un punto de complejidad, sobre todo porque no somos entidades bancarias, cuyo desarrollo de negocio les permite orientarse hacia métodos robustos de identificación.
– ¿Será factible en algún momento saber lo que está pasando a efectos de seguridad en un sistemas de información tecnológico complejo en funcionamiento para poder actuar?
– Sí, debe ser así, necesariamente. Nosotros optamos en su momento por lo que podríamos denominar el datawarehouse de información operativa de los sistemas, como mejor forma de intentar tener una visión de todo lo que está ocurriendo, planteando el mismo modelo para la gestión de eventos de seguridad de los sistemas.
Este asunto es muy importante, ya que tiene relación directa con la necesidad de medir la seguridad, y hacerlo además siguiendo unas métricas y unos indicadores normalizados. Si fallamos en esto y nos dedicamos a crear nuestras propias métricas, no seremos capaces después de compararnos con nadie.
 |
“Hoy se habla del hacker –enemigo externo– o del insider, que es el empleado que hace un mal uso de los activos de información a los que tiene acceso. Pero dentro de poco es probable que se generalice la figura del hacker-insider” |
– Una de las misiones de Seguridad de la Información es auditar si se van tomando en el sistema de información las medidas de seguridad fijadas. ¿Utiliza para ello ayuda externa?
– Para las revisiones periódicas utilizamos los servicios de una firma muy especializada en este tipo de trabajo. En su día, fuimos conscientes de la existencia de sistemas de análisis de vulnerabilidades que podían cubrir esas necesidades, pero no nos plateamos su uso como una opción, porque es muy difícil transmitir a un sistema tecnológico todo el trabajo manual de una buena auditoría.
– ¿Contemplan la posibilidad de certificar su sistema de gestión de seguridad de la información?
– Nos orientamos al cumplimiento de estándares para transmitir visión de mejora, pero a día de hoy no nos hemos planteado ir a la certificación.
– ¿Es partidario de las certificaciones profesionales?
– Sí, porque ayudan a estructurar conocimientos y aportan una visión global y homogénea. Por suerte, el mundo de la seguridad de la información tiene por ahora poco volumen de certificaciones genéricas.
– ¿Qué proyectos tienen en este momento?
– Más que proyectos, son iniciativas. En Seguridad Operativa queremos tener un responsable en cada país. Articular esta relación es complicado, por distancia y por agendas. A fin de paliar estas limitaciones, nos estamos planteando crear una web orientada a seguridad con dos áreas, una pública, para empleados, y otra de acceso restringido, para las áreas de seguridad. Por otra parte, no descarto emprender acciones de formación, orientadas a LOPD, SOX y normativas internas. Tampoco descarto promover reuniones periódicas de todas las personas del Grupo integradas en el área de seguridad.
– ¿Cuántos CIFs tiene el Grupo Gas Natural?
– Ahora, aproximadamente, somos unas 23 compañías y no paramos de crecer. Tenemos que cumplir cada regulación del país donde estamos: España, Francia e Italia, en Europa; y México, Brasil, Colombia y Argentina, en Latinoamérica; Puerto Rico, que pertenece a Estados Unidos; y Marruecos. Esto, visto desde la componente de seguridad de la información, te lleva a entender su modelo de negocio y su modelo de relación orientado a la seguridad y al cumplimiento.
– ¿Cómo ve el mundo tecnológico? ¿Están realmente los fabricantes aportando soluciones?
– Yo creo que no, aunque pueda parecer díscolo. Los fabricantes se están dedicando a vender material de construcción y la función de arquitectura la están delegando en empresas colaboradoras o en los propios clientes. Y creo que deberían orientarse también a la propia solución.
 |
“Los fabricantes de seguridad, en vez de orientarse también a la creación de soluciones, se están dedicando a vender material de construcción, delegando la función de arquitectura en empresas colaboradoras o en los propios clientes” |
– Y en lo que concierne a consultores, prescriptores y auditores, ¿qué se ha encontrado en materia de seguridad? ¿Aportan mucho?
– El problema grave es que se está intentando rentabilizar al máximo ciertas inversiones que hacen las compañías en lo que es consultoría, en canal. Antes el nivel de saturación de un consultor podía rondar el 60%, de forma estándar, y ahora debe ser del 160%, y respondiendo siempre de forma directa a necesidades de cumplimiento de objetivos económicos de las compañías, que cada día son más agresivos, y que incluso se nos trasladan a los clientes.
En lo que concierne a la consultoría tecnológica, veo que la dirección de proyectos está siendo asumida por jóvenes profesionales con un perfil netamente tecnológico y poca trayectoria en el mundo de la gestión. Y en consultoría de negocio, lo que sucede es que, pese a ofrecer garantías de una dirección de proyectos robusta con cumplimiento de objetivos y calidad, falta conocimiento de la tecnología.
– ¿Han identificado de qué deben protegerse? ¿Tienen establecido un mapa de riesgos?
– Nuestra actividad en los distintos mercados genera información financiera y planes de estrategia de acciones que deben mantenerse extremadamente confidenciales, ya que tienen, además, relevancia social y política. Esta información, que denomino elaborada, se encuentra en el entorno ofimático, lo que obliga a proteger dicho entorno de forma muy robusta, y, en última instancia, el propio dato.
Por supuesto que tenemos un mapa de riesgos. Pero hay activos de información, la que reside en documentos, de difícil tipificación, y que lleva a plantearse escenarios con ruptura de perímetros. Ahora se habla del hacker –enemigo externo– o del insider, que es el empleado que hace un mal uso de los activos de información a los que tiene acceso. Pero dentro de poco es probable que exista de forma generalizada la figura del hacker-insider.
– Un inciso, ¿dentro de sus responsabilidades entra también la informática industrial?
– Mi responsabilidad es global a efectos de la información del Grupo. La cuestión en lo que plantea es la forma en que vamos a establecer la gestión de la seguridad en los sistemas industriales en el contexto global de la gestión de la seguridad. A los efectos oportunos, uno de nuestros proveedores de sistemas SCADA ya ha establecido conversaciones con nuestro proveedor de auditoría informática, porque es imprescindible mantener la misma pureza en materia de seguridad en todos nuestros sistemas tecnológicos.
– Una última pregunta: ¿cuál es su gran reto en tanto que responsable de Seguridad de la Información del Grupo Gas Natural?
– Aportar valor y sintonía con el negocio en la tarea de conseguir una protección de la información efectiva.
Fotografía: Jesús A. de Lucas