Los nuevos ejecutivos de la seguridad
Las corporaciones empiezan a incorporar la figura del director de seguridad que se ocupa de la protección de toda la información
La Embajada de EE UU en España recibe del orden de 50 a 60 ataques electrónicos diarios. En el caso de una compañía cualquiera, esta cifra suele estar en una media de cinco ataques que en la mayoría de las ocasiones pasan desapercibidos. Las amenazas no vienen exclusivamente de fuera, de hecho, son mucho más frecuentes los robos y pérdidas de información provocados desde dentro, ya sea por un despiste o por la venganza de un empleado descontento. El último informe de Deloitte en materia de seguridad en el sector financiero así lo demuestra, al señalar que el 35% de los ataques que han sufrido las 100 entidades financieras más importantes del mundo en el último año proceden de sus sistemas internos frente al 26% que tienen un origen externo.
La seguridad ha dejado de ser un asunto de informáticos que instalan antivirus y cortafuegos para representar una de las materias prioritarias dentro de las grandes organizaciones. En España, las grandes empresas de telecomunicaciones, bancos o energéticas son las primeras en incorporar la figura del Jefe de Seguridad de la Información o CISO, en sus siglas en inglés, un puesto que ya es muy popular en EE UU, y que viene a depender de la más alta dirección de la empresa.
'Es un cargo horizontal que trabaja dentro de las líneas estratégicas de la compañía. Es un profesional que está entre los directivos de máximo nivel', explica Adrián Moure, vicepresidente de Safelayer, y uno de los principales promotores del nuevo máster creado entre Asimelec y la Universidad Pontificia de Salamanca (UPSA) para formar este tipo de profesionales. 'Es el mismo proceso que sucedió en los años 80 cuando los ordenadores se popularizaron en todos los negocios y con ellos se creó la figura del jefe de microinformática', recuerda Moure.
Actualmente, no hay una formación específica para este puesto, aunque cada vez es más frecuente que se incorpore la seguridad en módulos de distintas carreras técnicas o dentro de cursos especializados de gestión. Los actuales profesionales están siendo autodidactas, aunque suelen contar con una larga experiencia dentro del mundo de la informática y de la seguridad.
'El objetivo es alinear la seguridad con los objetivos de negocio para lo que se debe conocer la estrategia y los procesos de negocio, analizar los riesgos asociados a las actividades que se quieren llevar a cabo, valorarlos y establecer unas medidas para proteger la información con los niveles adecuados de seguridad'. Así define Santiago Moral en grandes líneas en qué consiste su trabajo como director de Seguridad Corporativa Lógica dentro del BBVA.
La incorporación de esta figura parte del comité de dirección, quien hace de la seguridad una línea estratégica dentro del negocio. 'Es una apuesta de la alta dirección, tiene que haber una convicción que se traduzca en hechos con una dotación presupuestaria y la creación de una única política de seguridad de la información y las telecomunicaciones', reflexiona Francisco Javier García Carmona, director de Seguridad de la Información en Iberdrola.
Estos ejecutivos se ocupan de trazar toda una estrategia para proteger la información con distintos niveles de seguridad según el riesgo y la sensibilidad de los datos en todos los ciclos de vida de cada proceso del negocio, más que de las cuestiones meramente técnicas, que siguen siendo responsabilidad del departamento de informática con quien trabajan muy estrechamente.
Pero la mayor función en el día a día de estos profesionales pasa por una labor de evangelización y divulgación para que los trabajadores se conciencien y dejen ciertas prácticas por otras sin riesgos. Lejos de ser considerados una especie de policía, un prejuicio bastante común cuando se presenta por primera vez la figura del jefe de seguridad, el resto de los departamentos ya les consideran una ayuda para el desempeño de sus labores, aunque sus medidas pueden ser impopulares.
Por ejemplo, en algunas organizaciones se ha tardado tiempo en aprobar el uso de las memorias USB portátiles hasta que se ha logrado un sistema de cifrado de la información, o también se estudia muy detenidamente el autorizar trabajar con conexiones inalámbricas Wifi, dado que es una tecnología que deja muy expuesto el ordenador ante cualquier internauta. 'Todo es posible, pero hay que medir si realmente es necesario su uso y cómo protegerlo', dice Moral, quien asegura que no dirige 'un departamento de noes'. Los profesionales de la seguridad están convencidos de que cada vez va a ser más común ver ejecutivos especializados en esta materia. El condicionante estará en el tamaño de la empresa y en qué medida considera la información un activo diferencial para su negocio.
'Seguridad e Inteligencia son dos conceptos que cada vez van a estar más presentes en la empresa', asegura Fernando Davara, decano de la Universidad de Informática de la UPSA.
Profesionales
2,1 millones de directivos se dedicarán a la seguridad de la información en 2008, según datos de la consultora IDC, que calcula que en la actualidad el 40% de las empresas sitúan las responsabilidades de seguridad por encima de los directores de sistemas.
Iberdrola. 'Somos los gestores de riesgos de las compañías'
Francisco Javier García Carmona es ingeniero de telecomunicaciones, pero desde hace cuatro años dio un nuevo rumbo a su carrera cuando Iberdrola le contrató como director de Seguridad de la Información. 'Somos pioneros en España', asegura este ejecutivo que cree que este cargo se corresponde con 'la madurez de una empresa que considera la información como un activo de su negocio'.En Iberdrola se cree que la información debe seguir unos protocolos de seguridad, al igual que se implantan en los inmuebles, con las alarmas. Y con las personas, que deben lucir su acreditación.Este concepto llegó a Iberdrola con la liberalización del mercado eléctrico lo que supuso más competencia e hizo que la información se convirtiese en un valor diferencial.'Somos gestores de riesgos, damos soporte a los propietarios del proceso. Ayudamos a trazar un mapa de amenazas y ofrecemos medidas de protección ya sean soportadas por la tecnología o con otras medidas para un documento de papel, por ejemplo', explica. 'Medimos qué impacto pueden tener esos riesgos sobre el negocio, y diseñamos un plan cuya aplicación depende del jefe del proyecto, aunque nosotros hagamos una auditoría de control'. Carmona reporta al Comité de Seguridad, que rinde cuentas directamente al comité ejecutivo de Iberdrola.
BBVA. 'La seguridad debe ser parte del buen gobierno'
Santiago Moral se dedica a la seguridad informática desde el año 1996. En el BBVA, primero se ocupó de proteger su banco virtual Uno-e, pero desde 2001 pasó a a definir la estrategia de todo el grupo en esta materia. 'Surge de una decisión de la alta dirección, que pasa a considerar la seguridad como parte del buen gobierno de la empresa', asegura Moral.El BBVA cuenta con un Plan Director de Seguridad que se ha extendido a cinco años en el que se decide que hay que analizar los procesos y los riesgos que conllevan para crear unas metodologías de gestión. 'Además tenemos una importante labor de comunicación y divulgación', añade Moral, quien sabe que su labor es preventiva. Los resultados de una división como la que dirige Moral se ven en el largo plazo, y su trabajo está supervisado por el Comité de Protección y Seguridad de la Información, que rinde cuentas al consejo ejecutivo.La principal preocupación del banco gira en torno a la información de sus clientes, aunque son conscientes de que todos sus datos son 'un activo que nos puede posicionar'. Uno de los proyectos en los que trabaja es la reactivación de claves de empleados por la voz, a través de un sistema telefónico. 'Ganamos en eficacia y supone un ahorro de tiempo a la hora de restablecer los accesos a los empleados', comenta.