Luis Mtnez. del Pino: “El nivell de seguretat assolit és molt bo, però la seguretat total no existeix”
Luis Martínez del Pino és des d'octubre el director del Departament de Seguretat de Sistemes d'Informació de Fraternidad-Muprespa. Català de naixement i murcià d'adopció, és pare de dos fills, amant de la música, i apassionat de la guitarra elèctrica.
Després de finalitzar els estudis d'Informàtica a la Universitat de Múrcia, es va traslladar a Madrid on ha desenvolupat la seva carrera professional en el sector de les tecnologies de la informació durant 25 anys, sempre centrat en la transformació digital del sector sanitari en general, i en la seguretat informàtica en particular.
Bon coneixement del sector de la Mútua Col·laboradora de la Seguretat Social, ha estat gerent en multinacionals com everis (NTT Data), Indra o NEORIS. El seu esforç és establir en la ment de les empreses, consultories, treballadors i autònoms la idea que
Quines són les àrees de treball en el futur immediat del departament?
2024 serà un any intens en la realització de nous projectes. El futur més immediat passa per renovar la certificació de l'Esquema Nacional de Seguretat (ENS) associada a la nostra Oficina Digital.
A més, estem preparant un paquet de mesures i projectes orientats a millorar la situació de la Mútua en matèria de ciberseguretat.
Tenim previst desplegar un Centre d'Operacions de Seguretat que funcionarà 24x7x365 i supervisarà tota la infraestructura TIC de la Mútua. ___HTMLTAG609___
D'altra banda, ens estem preparant per contractar uns productes de programari d'avantguarda que reduiran la nostra superfície expositiva i reforçaran la nostra protecció.
En matèria de protecció de dades, considero que hem assolit un nivell de maduresa molt alt, per la qual cosa el 2024 estarà enfocat a la consolidació, optimització i millora contínua dels processos.
I seguirem treballant per conscienciar i formar els nostres empleats en ciberseguretat, reforçant aquest enllaç més vulnerable.
Quina és la clau per treballar i desenvolupar l'activitat d'una empresa mútua amb un nivell de seguretat òptim?
Ningú pot garantir la total seguretat en l'àmbit de les tecnologies de la informació. El que podem i hem de fer és treballar per mitigar els riscos coneguts. Per descomptat, assegurar les dades en general i les dades sensibles en particular és essencial en qualsevol organització, més encara en una de missió crítica, com Fraternidad-Muprespa. Això implica el disseny i el desplegament de polítiques d'encriptació, protecció, còpia de seguretat, disponibilitat i accés a la informació, en funció de la seva naturalesa.
El deute tecnològic i l'obsolescència del programari són grans enemics de la ciberseguretat.És per això que treballem diàriament per eliminar qualsevol infraestructura el programari base de la qual estigui obsolet, així com per mantenir les nostres infraestructures de maquinari i programari amb un nivell òptim de pegat, que ajudi a eliminar les vulnerabilitats conegudes resoltes pels fabricants.
Des del punt de vista de les infraestructures de programari i maquinari, hem desplegat i mantenim un conjunt d'eines d'última generació, que contribueixen a la protecció i seguiment de les infraestructures a diferents nivells.___HTMLTAG1117_________HTMLTAG11178______
En quant al programari personalitzat que desenvolupem internament, seguim les recomanacions de la comunitat OWASP (Open Web Application Security Project), a més de sotmetre tot el programari desenvolupat a estrictes controls de seguretat. qualitat.
Deixo per al final el que em sembla més important: la implantació d'una cultura de ciberseguretat a tota l'organització, per protegir-nos dels incidents de seguretat evitables.
Quina importància donem a la protecció de dades en general, i a les dades de salut en particular?
És un dels punts forts de Fraternidad-Muprespa actual. Fins ara mai hem estat sancionats per l'Agència Espanyola de Protecció de Dades.
La protecció de dades és un dels punts forts de
La nostra funció de Delegat de Protecció de Dades, DPD, està tremendament professionalitzada i s'encarrega, entre moltes altres coses, de controlar de manera autònoma si complim adequadament la normativa, a més d'assessorar-nos en situacions complexes.___HTMLTAG17171______
Les certificacions relacionades amb la seguretat de la informació de què disposem (ISO 27001 I ENS), estan subjectes a auditories externes periòdiques, i estableixen unes bases molt sòlides per garantir un alt nivell de protecció de la informació en tota la seva cadena de valor, aplicant mesures especials de protecció quan sigui de responsiu.
D'altra banda, hem fet un esforç especial per dissenyar polítiques i instruccions que regulen l'ús que fan els nostres empleats de la informació de què disposen, orientades a temes rellevants com l'intercanvi d'informació amb tercers, l'ús d'informació dins i fora de l'entorn laboral, l'ús de recursos d'emmagatzematge compartit, etc.
Hem parat una atenció especial a la protecció de dades en el marc de la nostra Oficina Digital, ja que és el principal canal de comunicació digital entre la Mútua i les empreses associades, consultories, treballadors protegits i autònoms.
I durant el període d'acollida de nous empleats treballem específicament totes les mesures a adoptar des del punt de vista de la protecció de dades.
Hi ha situacions en què facilitem dades sense que sigui realment necessària?
A Fraternidad-Muprespa treballem necessàriament amb dades personals i informació sensible, però quan recollim, generem o consultem aquesta informació, sempre ho fem en el marc de la nostra finalitat legítima.
No obstant això, com qualsevol altra organització, periòdicament som objecte d'intents d'atac per robatori d'identitat per part de ciberdelinqüents, el que anomenem phishing, molts d'ells, amb l'objectiu de recollir informació confidencial i sensible. Per aquest motiu, la formació i la sensibilització dels empleats és tan rellevant.
Què suposa la implantació del teletreball a l'hora de treballar amb la màxima seguretat?
A causa de la pandèmia, de sobte, més de 2.000 persones treballaven des de casa, amb el consegüent impacte de l'exposició als atacs i l'aparició de noves vulnerabilitats. Afortunadament, ja havíem regulat el teletreball mitjançant polítiques i tecnologies de seguretat específiques. Ens basem tant en les recomanacions de teletreball contemplades a l'ENS, a través del Centre Nacional de Criptologia (CCN-CERT), com en les directrius de bones pràctiques que ofereixen els estàndards de la sèrie ISO/IEC-27000.
Reglem, per exemple, l'ús exclusiu de dispositius professionals i programari corporatiu, reunions virtuals i videotrucades, actualitzacions de programari, ús de xarxes, gestió de contrasenyes i xifratge d'unitats contra robatoris o pèrdues.
D'altra banda, disposem de tecnologies punteres en xarxes privades virtuals, antivirus de nova generació, autenticació en dos passos, control d'accés a la xarxa, gestió de privilegis d'accés i seguretat de punt final, entre d'altres. La dificultat rau a trobar l'equilibri entre un entorn segur i no complicar la feina de l'empleat.
Quina diferència hi ha entre vulnerabilitat i violació de seguretat?
Una vulnerabilitat és una debilitat en un element de programari o maquinari que, explotada per un ciberatacant, pot comprometre la seguretat informàtica de l'organització. Els més habituals són el resultat d'errors de programació, falta de pedaços de seguretat o configuracions incorrectes del producte, i s'amaguen fins que es descobreixen.
D'altra banda, una bretxa de seguretat és la circumstància real en què la seguretat de les dades s'ha vist compromesa i es produeix quan un ciberatacant aconsegueix explotar amb èxit una vulnerabilitat, comprometent la confidencialitat, integritat o disponibilitat de les dades de l'organització.Les conseqüències d'una violació de seguretat poden anar des d'accés no autoritzat, pèrdua de dades, robatori d'informació, danys a la reputació o pèrdua econòmica, entre altres conseqüències negatives.
Segur que si ara et preguntés quina és la vulnerabilitat més important d'una organització, em diries que són les persones. I tindries raó.
Estem preparats per a possibles atacs com els que s'han viscut recentment a les grans empreses?
Crec que el nivell de seguretat que ha aconseguit Fraternidad-Muprespa és realment bo i compleix l'estàndard del mercat que han aconseguit les grans organitzacions empresarials. Tanmateix, i com he dit al principi, la seguretat total no existeix.
Tots som conscients de l'enorme hype al voltant de la intel·ligència artificial generativa. Com afecta aquesta tecnologia a la ciberseguretat?
Són dos mons cada cop més relacionats. D'una banda, la tecnologia aplicada a la ciberseguretat utilitza algorismes d'intel·ligència artificial per millorar els nivells de protecció.
Els ciberdelinqüents utilitzen la intel·ligència artificial generativa per crear nous atacs i fer-los més efectius. conegut.
HTMLTAG355___Em refereixo al robatori d'identitat, a la creació d'identitats artificials, a la manipulació dels mitjans, a la creació de deepfakes, com ara imitar l'aparença o la veu d'una persona per suplantar-la, automatitzar l'enginyeria social o fer TAG_353___HTML_selectiu. És molt important ser conscient d'aquesta nova realitat per intentar anticipar-se a aquest tipus de ciberatacs, cada cop més complexos i difícils de detectar.
D'altra banda, i en relació a la protecció de dades, l'ús inadequat de plataformes d'intel·ligència artificial generativa per part dels empleats pot provocar filtracions d'informació sensible. Per evitar-ho, ja estem definint polítiques que regularan l'ús d'aquesta tecnologia en l'àmbit professional.
