Luis Mtnez. del Pino:“El nivel de seguridad alcanzado es francamente bueno, pero la seguridad plena no existe”
Luis Martínez del Pino es desde octubre, el director del Departamento de Seguridad de Sistemas de Información en Fraternidad-Muprespa. Catalán de nacimiento y murciano de adopción, es padre de dos hijos, melómano, y apasionado de la guitarra eléctrica.
Tras finalizar sus estudios de Informática en la Universidad de Murcia, se mudó a Madrid donde ha desarrollado su carrera profesional en el sector de las tecnologías de la información durante 25 años, siempre centrado en la transformación digital del sector de la sanidad en general, y la seguridad informática en particular.
Buen conocedor del sector de la Mutuas Colaboradoras con la Seguridad Social, ha sido directivo en multinacionales como everis (NTT Data), Indra o NEORIS. Su empeño es fijar en la mente de empresas, asesorías, trabajadores y autónomos la idea de que Fraternidad-Muprespa es seguridad.
¿Cuáles son los ejes de trabajo en el futuro inmediato del departamento?
2024 va a ser un año intenso en la realización de nuevos proyectos. El futuro más inmediato pasa por renovar la certificación del Esquema Nacional de Seguridad (ENS) asociada a nuestra Oficina Digital.
Adicionalmente, estamos preparando un paquete de medidas y proyectos orientados a mejorar la situación de la Mutua en materia de ciberseguridad.
Tenemos previsto desplegar un Centro de Operaciones de Seguridad que trabajará 24x7x365 y supervisará toda la infraestructura de TIC de la Mutua.
Por otro lado, preparamos la contratación de algunos productos software de última generación que reducirá nuestra superficie de exposición, y reforzará nuestra protección.
Respecto a la protección de datos, considero que hemos alcanzado un nivel de madurez muy alto, con lo que 2024 estará centrado en la consolidación, optimización y mejora continua de los procesos.
Y continuaremos trabajando para concienciar y formar a nuestros empleados en materia de ciberseguridad, reforzando ese eslabón más vulnerable.
¿Cuál es la clave para trabajar y desarrollar la actividad propia de una mutua con un nivel óptimo de seguridad?
Nadie puede garantizar la plena seguridad en el ámbito de las tecnologías de la información. Lo que sí podemos y debemos hacer es trabajar en mitigar los riesgos conocidos. Por supuesto, el aseguramiento de los datos en general y de los datos sensibles en particular es imprescindible en cualquier organización, más aún, en una de misión crítica, como Fraternidad-Muprespa. Ello implica el diseño y despliegue de políticas de encriptación, protección, respaldo, disponibilidad y acceso a la información, en función de su naturaleza.
La deuda tecnológica y la obsolescencia del software son grandes enemigos de la ciberseguridad. Por eso trabajamos a diario para eliminar cualquier infraestructura cuyo software de base esté obsoleto, así como en mantener nuestras infraestructuras hardware y software con un nivel de parcheado óptimo, lo que ayuda a eliminar vulnerabilidades conocidas y resueltas por los fabricantes.
Desde el punto de vista de las infraestructuras software y hardware, hemos desplegado y estamos manteniendo un conjunto de herramientas de última generación, que contribuyen a la protección y monitorización de las infraestructuras a diferentes niveles.
Respecto al software a medida que desarrollamos internamente, seguimos las recomendaciones de la comunidad OWASP (Open Web Aplicación Security Project), además de someter a todo el software desarrollado a estrictos controles de calidad.
He dejado para el final lo que me parece más importante: la implantación de una cultura de la ciberseguridad en toda la organización, para protegernos de incidentes de seguridad evitables.
¿Qué relevancia le otorgamos a la protección de los datos en general, y a la de los datos de salud en particular?
Es una de las fortalezas de Fraternidad-Muprespa en la actualidad. Hasta el momento nunca hemos sido sancionados por parte de la Agencia Española de Protección de Datos.
La protección de datos es una de las fortalezas de Fraternidad-Muprespa.
Nuestra función de Delegado de Protección de Datos, DPD, está tremendamente profesionalizada y se encarga, entre otras muchas cosas, de controlar de forma independiente si cumplimos adecuadamente la normativa, además de asesorarnos ante situaciones complejas.
Las certificaciones relacionadas con la seguridad de la información con las que contamos (ISO 27001 Y ENS), están sujetas a auditorías externas periódicas, y establecen unos cimientos muy sólidos para garantizar un nivel muy alto de protección de la información durante toda su cadena de valor, aplicando medidas de protección especiales cuando la misma tiene carácter sensible.
Por otro lado, hemos hecho un esfuerzo especial en diseñar políticas e instrucciones que regulan el uso que nuestros empleados hacen de la información de la que disponen, orientadas a cuestiones relevantes como el intercambio de información con terceros, uso de información dentro y fuera del entorno laboral, uso de recursos de almacenamiento compartido, etc.
Hemos prestado una atención especial en torno a la protección de los datos en el marco de nuestra Oficina Digital, ya que supone el principal canal de comunicación digital entre la Mutua y las empresas asociadas, asesorías, trabajadores protegidos y autónomos.
Y durante el período de acogida de nuevos empleados trabajamos de forma específica todas las medidas a adoptar desde el punto de vista de la protección de los datos.
¿Existen situaciones en que facilitamos datos sin que sea realmente necesario?
En Fraternidad-Muprespa trabajamos necesariamente con datos personales e información sensible, pero cuando recabamos, generamos o consultamos esa información, siempre lo hacemos en el marco de nuestro legítimo propósito.
Sin embargo, como cualquier otra organización, periódicamente somos objeto de intentos ataques a través de suplantación de identidad por parte de ciberdelincuentes, lo que denominamos phishing, muchos de ellos, con el objetivo de recabar información confidencial y sensible. Por esta razón es tan relevante la formación y concienciación de los empleados.
¿Qué supone la implantación del teletrabajo a la hora de trabajar con la máxima seguridad?
A causa de la pandemia, de repente, más de 2.000 personas trabajaban desde su domicilio, con el impacto que conlleva de exposición a ataques, y aparición de nuevas vulnerabilidades. Afortunadamente ya habíamos regulado el teletrabajo a través de políticas y tecnologías de seguridad específicas. Nos apoyamos tanto en las recomendaciones para el teletrabajo contempladas en el ENS, a través del Centro Criptológico Nacional (CCN-CERT), como en las directrices de mejores prácticas ofrecidas en las normas de la serie ISO/IEC-27000.
Regulamos, por ejemplo, el uso exclusivo de dispositivos profesionales y software corporativo, las reuniones virtuales y videollamadas, las actualizaciones de software, el uso de las redes, la gestión de las contraseñas y la encriptación de las unidades frente a robos o pérdidas.
Por otro lado, disponemos de tecnologías de vanguardia en redes virtuales privadas, antivirus de nueva generación, autenticación en dos pasos, control de acceso a redes, gestión de privilegios de acceso y securización de puntos finales, entre otras. La dificultad radica en encontrar el equilibrio entre un entorno seguro, y no complicar el trabajo del empleado.
¿Qué diferencia existe entre vulnerabilidad y brecha de seguridad?
Una vulnerabilidad es una debilidad de un elemento software o hardware que, explotada por un ciberatacante, puede comprometer la seguridad informática de la organización. Las más comunes son fruto de errores de programación, falta de parches de seguridad o configuraciones incorrectas de los productos, y se encuentran ocultas hasta que se descubren.
En cambio, una brecha de seguridad es la circunstancia real en la que la seguridad de los datos ha sido comprometida y se produce cuando un ciberatacante consigue explotar una vulnerabilidad con éxito, quedando comprometida la confidencialidad, integridad o disponibilidad de los datos de la organización. Las consecuencias de una brecha de seguridad pueden ir desde accesos no autorizados, a pérdida de datos, robo de información, daño reputacional, o pérdidas económicas, entre otras consecuencias negativas.
Seguro que, si yo te preguntase ahora que cual es la vulnerabilidad más importante en una organización, me dirías que son las personas. Y tendrías razón.
¿Estamos preparados ante posibles ataques como los vividos recientemente en grandes empresas?
Creo que el nivel de seguridad que ha alcanzado Fraternidad-Muprespa es francamente bueno, y cumple con el estándar de mercado que han alcanzado las grandes organizaciones empresariales. No obstante, y como dije al principio, la seguridad plena no existe.
Todos somos conscientes del tremendo hype en torno a la inteligencia artificial generativa. ¿Cómo afecta esta tecnología a la ciberseguridad?
Son dos mundos cada vez más relacionados. Por un lado, la tecnología aplicada a la ciberseguridad emplea algoritmos de inteligencia artificial para mejorar los niveles de protección.
Los ciberdelincuentes recurren a la inteligencia artificial generativa para crear nuevos ataques y hacer más efectivos los conocidos.
Me refiero a robos de identidad, creación de identidades artificiales, manipulación de medios, creación de deepfakes, como imitar la apariencia o la voz de una persona para suplantarla, automatización de la ingeniería social, o realizando phishing selectivo. Es muy importante ser conscientes de esta nueva realidad para tratar de anticiparnos a este tipo de ciberataques, cada vez más complejos y difíciles de detectar.
Por otro lado, y en relación a la protección de datos, el uso inadecuado de las plataformas de inteligencia artificial generativa por parte de los empleados, puede acarrear fugas de información sensible. Para prevenirlo, ya estamos definiendo políticas que regularán el uso de esta tecnología en el ámbito profesional.
