A grandes rasgos, ¿cómo ha abordado su compañía la crisis sanitaria desde el punto de vista de la seguridad de la información y qué medidas llevaron a cabo en la desescalada?
La crisis sanitaria ha derivado en una ruptura con el modelo de trabajo presencial implantado en la empresa y ha dado paso a uno en el que prácticamente la totalidad de los empleados puede estar en situación de teletrabajo. Este escenario es siempre un reto, principalmente en dos ámbitos: continuidad de negocio y ciberseguridad. Afortunadamente, en el caso de Viesgo ya se había trabajado en ambas cuestiones mediante un proceso de securización de servicios y sistemas que comenzamos hace tres años. Lo que hemos hecho ha sido escalar los mismos que comenzamos en enero. Esto nos ha permitido que desde el primer día los empleados pudieran trabajar desde sus casas sin incidencias.
El objetivo de este proyecto es un plan muy concreto: “cualquier empleado cuya actividad lo permita tiene que poder realizar su trabajo diario desde fuera de la oficina con las mismas medidas de seguridad que tendría estando en ella”, y el que estuviera ya listo desde hace tiempo ha permitido una transición sencilla hacia el modelo de teletrabajo.
Adicionalmente, y dado que nuestra empresa es una infraestructura crítica y un servicio esencial, siempre estamos preparados para afrontar situaciones delicadas como la provocada por el estado de alarma, en las que la continuidad del servicio que se presta a la sociedad es primordial.
Otro aspecto importante que remarcar de esta situación es el apoyo obtenido de la dirección de la empresa a las medidas adoptadas y en poner especial foco en la ciberseguridad como uno de los mayores riesgos a los que nos enfrentamos actualmente. Por esto, también se han fomentado los planes de concienciación respecto a la ciberseguridad de los usuarios cuando se encuentran fuera de la oficina.
Respecto a la desescalada, se tuvo preferencia por el teletrabajo, como se estableció en el Real Decreto 463/2020 y 15/2020, así como un cuidado especial sobre el tratamiento de la privacidad de los datos, tal y como exige el Reglamento General de Protección de Datos.
¿Cuáles son las principales lecciones que se pueden extraer de la crisis del COVID-19 en lo que a la seguridad de la información se refiere?
La principal lección aprendida es que hay que estar siempre preparado para cualquier tipo de circunstancia o situación que pueda llegar, aunque los análisis de riesgos indiquen que se trata de una probabilidad de que ocurra una vez cada más de un siglo. Para lograr esto es imprescindible tener bien preparados previamente los planes de actuación, de crisis, de continuidad de negocio y de seguridad frente a contingencias, y que llegado el caso la ejecución de estos se pueda hacer de una forma rápida y efectiva.
La segunda lección aprendida es que las crisis traen oportunidades de aprender. Se ha potenciado de una forma muy notable las herramientas del teletrabajo y cómo han sido adoptadas por nuestros empleados. El resultado ha sido un aumento exponencial en el uso de este tipo de herramientas para garantizar la continuidad del negocio.
La tercera lección es mantener una capa uniforme de seguridad para todos los usuarios que se conecten con nosotros, tanto internos como externos. En otras palabras, debemos dotar de las mismas medidas de seguridad a todo lo conectado a nuestra red porque cualquiera puede ser un vector de entrada de problemas de ciberseguridad.