A grandes rasgos, ¿cómo ha abordado Mercasevilla la crisis sanitaria desde el punto de vista de la seguridad de la información y qué medidas llevaron a cabo en la desescalada?
Con las medidas de confinamiento y limitación de la actividad, Mercasevilla ha desarrollado una política de protección de la información para situaciones de movilidad (basada en la política de protección de datos y seguridad de la información) que ha garantizado la adecuada prestación de los servicios esenciales. La política viene a desarrollar las necesidades que nos encontramos debido a la circunstancia de urgencia y los riesgos a los que nos enfrentamos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización. Es importante para la entidad que, aunque el trabajador esté en su propio domicilio, la seguridad de la información sea equivalente a la que se desarrolla diariamente en su puesto de trabajo.
Igualmente, hemos informado al personal de las principales amenazas por las que pueden verse afectados y hemos llevado a cabo acciones de concienciación y entrenamientos de seguridad de la información para que identifiquen las posibles amenazas y ataques que puedan realizar los ciberdelincuentes aprovechando la situación actual. Si los propios empleados reconocen los ataques, se reducirá al mínimo los riesgos de producirse un incidente de seguridad.
También hemos revisado y configurado los perfiles y niveles de acceso a los recursos y a la información, siendo más restrictivos en función del tipo de dispositivo y la ubicación desde la que se accede.
Por último, y de cara a la desescalada, mejoramos y actualizamos nuestro Plan de Continuidad del Negocio. Describimos las medidas para responder ante situaciones como las que actualmente estamos viviendo y para garantizar la continuidad de nuestro proceso comercial. Incluso contemplamos la pandemia actual como una amenaza en nuestro análisis de riesgos, que está asociado a todos nuestros activos.
¿Cuáles son las principales lecciones que se pueden extraer de la crisis del COVID-19 en lo que a la seguridad de la información se refiere?
Aunque todavía no ha concluido esta crisis, ya podemos adelantar algunas lecciones aprendidas en materia de seguridad de la información.
Una de las más significativas es que las amenazas informáticas se han incrementado de forma significativa durante estas semanas. Esto quiere decir que los ciberdelincuentes aprovechan situaciones de crisis para atacar a organizaciones que presten servicios esenciales, donde un ataque hacia este sector en estos momentos podría tener consecuencias nefastas. Esto también significa que los atacantes aprovechan estos momentos para obtener beneficios y que los ataques informáticos no entienden de crisis sanitarias.
Por otro lado, hemos aprendido que la seguridad de la información debe aplicarse en cualquier momento y lugar. No podemos pensar en un espacio físico concreto ya que, en cuestión de días, vemos cómo nuestras condiciones de trabajo cambian de forma radical.
Por último, aprenderemos a ser previsores ante los cambios que pueda sufrir la organización de forma obligatoria, porque no todos son siempre por decisiones propias. Esto nos ayudará a asumir cualquier cambio de forma deseada y esperada sin asumir los riesgos que supone actuar de imprevisto y sin evaluar previamente la situación.