A grandes rasgos, ¿cómo ha abordado su compañía la crisis sanitaria desde el punto de vista de la seguridad de la información y qué medidas llevaron a cabo en la desescalada?
En el momento en que empezamos a ver que la COVID-19 se acercaba a países vecinos, elaboramos una estrategia de teletrabajo masivo para todo aquel personal no esencial que pudiese desempeñarlo. Triplicamos la infraestructura de acceso remoto, así como el doble factor de autenticación, y generamos un nuevo entorno de acceso Zero Trust para que aquellos trabajadores que no tuviesen equipos corporativos pudiesen conectarse desde los suyos personales. De esta manera se garantizó el nivel de seguridad acorde con la situación y se minimizó el riesgo de un posible incidente de seguridad sobre nuestra red corporativa.
Al ser un grupo que incluye empresas que son operadores de servicios esenciales, se han seguido implementando de forma gradual los planes de protección específicos que teníamos planificados para este año. También se han adelantado otros que no estaban contemplados para reforzar la situación actual y hacer frente al aumento exponencial de ciberamenazas al que nos enfrentamos cada día.
Se ha potenciado la concienciación en los empleados, ya no solo en materia de ciberseguridad y detección de phishing, sino que también se ha hecho especial hincapié en la detección de fraudes financieros, identificación de fake news, recomendaciones para un teletrabajo saludable y seguro en el entorno familiar y pautas tecnológicas para concienciar a nuestros hijos de los riesgos del uso inadecuado y excesivo de la tecnología.
Tenemos implantado, asimismo, un sistema de gestión integrado con el que nos aseguramos de que en nuestra metodología de trabajo se aplica la excelencia, la innovación, el diálogo, el desarrollo sostenible y el desarrollo local como valores corporativos de referencia. Por ello, en el Área de Operaciones, la actividad se ha seguido desarrollando con normalidad, sin incidencias destacables durante la pandemia, dentro del marco del modelo de seguridad en la operación adaptada, con diversas instalaciones funcionando en modo de trabajo con presencia permanente.
En cuanto a la desescalada, será progresiva y se priorizará el teletrabajo siempre que sea posible. La vuelta se realizará por turnos, así como respetando las medidas sanitarias y de seguridad implantadas en nuestras oficinas y plantas.
¿Cuáles son las principales lecciones que se pueden extraer de la crisis del COVID-19 en lo que a la seguridad de la información se refiere?
La principal lección aprendida es la necesidad de digitalización en una empresa. Nuestro grupo lleva años trabajando en la digitalización de los servicios y los procesos, por lo que la COVID-19 ha evidenciado que la estrategia seguida ha sido la correcta. No hemos tenido impacto en nuestro día a día.
Otra lección aprendida ha sido que el perímetro de seguridad se ha diluido, pasando a trasladarse tanto al cloud como al equipo del empleado. El modelo tradicional por capas ya no es suficiente para abordar una situación de teletrabajo y garantizar un nivel de seguridad y cumplimiento con las diferentes regulaciones y normativas. Cada vez más, la tendencia es llevarse la información a las diferentes nubes. Y como consecuencia, la seguridad tiene que trasladarse también para proteger esa información, por lo que nos enfrentamos a una transformación de la seguridad en un periodo de economía de guerra.
Y por último, aunque menos importante, se han vuelto a poner a prueba, a reforzar y a adaptar todos los planes de seguridad para garantizar la continuidad y la resiliencia de nuestro negocio sin afectar al servicio.