Red Seguridad 089

red seguridad segundo trimestre 2020 53 A grandes rasgos, ¿cómo ha abordado su compañía la crisis sanitaria desde el punto de vista de la seguridad de la información y qué medidas llevaron a cabo en la desescalada? La crisis sanitaria ha derivado en una ruptura con el modelo de tra- bajo presencial implantado en la empresa y ha dado paso a uno en el que prácticamente la totalidad de los empleados puede estar en situación de teletrabajo. Este esce- nario es siempre un reto, principal- mente en dos ámbitos: continui- dad de negocio y ciberseguridad. Afortunadamente, en el caso de Viesgo ya se había trabajado en ambas cuestiones mediante un pro- ceso de securización de servicios y sistemas que comenzamos hace tres años. Lo que hemos hecho ha sido escalar los mismos que comen- zamos en enero. Esto nos ha per- mitido que desde el primer día los empleados pudieran trabajar desde sus casas sin incidencias. El objetivo de este proyecto es un plan muy concreto: "cualquier empleado cuya actividad lo permita tiene que poder realizar su trabajo diario desde fuera de la oficina con las mismas medidas de seguridad que tendría estando en ella". Y el que estuviera ya listo desde hace tiempo ha permitido una transición sencilla hacia el modelo de teletra- bajo. Adicionalmente, y dado que nues- tra empresa es una infraestructura crítica y un servicio esencial, siempre estamos preparados para afrontar situaciones delicadas como la provo- cada por el estado de alarma, en las que la continuidad del servicio que se presta a la sociedad es primordial. Otro aspecto importante que remarcar de esta situación es el apoyo obtenido de la dirección de la empresa a las medidas adoptadas y en poner especial foco en la ciber- seguridad como uno de los mayores riesgos a los que nos enfrentamos actualmente. Por esto, también se han fomentado los planes de con- cienciación respecto a la ciberse- guridad de los usuarios cuando se encuentran fuera de la oficina. Respecto a la desescalada, se tuvo preferencia por el teletrabajo, como se estableció en el Real Decreto 463/2020 y 15/2020, así como un cuidado especial sobre el tratamiento de la privacidad de los datos, tal y como exige el Reglamento General de Protección de Datos. ¿Cuáles son las principales lec- ciones que se pueden extraer de la crisis del COVID-19 en lo que a la seguridad de la información se refiere? La principal lección aprendida es que hay que estar siempre preparado para cualquier tipo de circunstancia o situación que pueda llegar, aunque los análisis de riesgos indiquen que se trata de una probabilidad de que ocurra una vez cada más de un siglo. Para lograr esto es imprescin- dible tener bien preparados previa- mente los planes de actuación, de crisis, de continuidad de negocio y de seguridad frente a contingencias, y que llegado el caso la ejecución de estos se pueda hacer de una forma rápida y efectiva. La segunda lección aprendida es que las crisis traen oportunidades de aprender. Se ha potenciado de una forma muy notable las herramientas del teletrabajo y cómo han sido adoptadas por nuestros empleados. El resultado ha sido un aumento exponencial en el uso de este tipo de herramientas para garantizar la continuidad del negocio. La tercera lección es mantener una capa uniforme de seguridad para todos los usuarios que se conecten con nosotros, tanto inter- nos como externos. En otras pala- bras, debemos dotar de las mismas medidas de seguridad a todo lo conectado a nuestra red porque cualquiera puede ser un vector de entrada de problemas de ciberse- guridad. José Antonio Sánchez Gutiérrez CISO de Viesgo "Debemos dotar de las mismas medidas de seguridad a todo lo conectado a nuestra red" especial COVID-19 usuario entrevista

RkJQdWJsaXNoZXIy ODM4MTc1