Red Seguridad 089

48 red seguridad segundo trimestre 2020 usuario entrevista A grandes rasgos, ¿cómo ha abordado su compañía la crisis sanitaria desde el punto de vista de la seguridad de la información y qué medidas llevaron a cabo en la desescalada? Con las medidas de confinamiento y limitación de la actividad durante la crisis del COVID-19, Mercasevilla ha desarrollado una política de protec- ción de la información para situacio- nes de movilidad (basada en la políti- ca de protección de datos y seguridad de la información) que ha garantizado la adecuada prestación de los servi- cios esenciales. Esta política viene a desarrollar las necesidades que nos encontramos debido a la circunstan- cia de urgencia y los riesgos a los que nos enfrentamos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización. Es importante para la entidad que, aunque el trabajador esté en su propio domicilio, la seguri- dad de la información sea equivalente a la que se desarrolla diariamente en su puesto de trabajo. Igualmente, hemos informado al personal de las principales amenazas por las que pueden verse afectados y hemos llevado a cabo acciones de concienciación y entrenamientos de seguridad de la información para que identifiquen las posibles amenazas y ataques que puedan realizar los ciber- delincuentes aprovechando la situa- ción actual. Si los propios empleados reconocen los ataques, se reducirá al mínimo los riesgos de producirse un incidente de seguridad. También hemos revisado y configu- rado los perfiles y niveles de acceso a los recursos y a la información, siendo más restrictivos en función del tipo de dispositivo y la ubicación desde la que se accede. Por último, y de cara a la desescala- da, mejoramos y actualizamos nues- tro Plan de Continuidad del Negocio. Describimos las medidas para respon- der ante situaciones como las que actualmente estamos viviendo y para garantizar la continuidad de nuestro proceso comercial. Incluso contem- plamos la pandemia actual como una amenaza en nuestro análisis de ries- gos, que está asociado a todos nues- tros activos. ¿Cuáles son las principales lec- ciones que se pueden extraer de la crisis del COVID-19 en lo que a la seguridad de la información se refiere? Aunque todavía no ha concluido esta crisis sanitaria del COVID-19 ya podemos adelantar algunas lecciones aprendidas en materia de seguridad de la información. Una de las más significativas es que las amenazas informáticas se han incrementado de forma signifi- cativa durante estas semanas. Esto quiere decir que los ciberdelincuentes aprovechan situaciones de crisis para atacar a organizaciones que presten servicios esenciales, donde un ataque hacia este sector en estos momentos podría tener consecuencias nefastas. Esto también significa que los atacan- tes aprovechan estos momentos para obtener beneficios y que los ataques informáticos no entienden de crisis sanitarias. Por otro lado, también hemos aprendido que la seguridad de la información debe aplicarse en cual- quier momento y lugar. No podemos pensar en un espacio físico concreto ya que, en cuestión de solo unos días, vemos cómo nuestras condiciones de trabajo cambian de manera radical respecto a lo que conocíamos. Por último, aprenderemos a ser pre- visores ante los cambios que pueda sufrir la organización de manera obli- gatoria, porque no todas esas variacio- nes vienen siempre por decisión pro- pia. Esto nos ayudará a asumir cual- quier cambio de manera deseada y esperada, sin asumir los riesgos que supone actuar de imprevisto y sin evaluar previamente la situación a la que nos enfrentamos. Jesús Fernández López Responsable de Sistemas de Información, Comunicación e Informática de Mercasevilla "Con el COVID-19 aprenderemos a ser previsores ante los cambios que pueda sufrir la organización" especial COVID-19