Luis Mtnez. del Pino: "Lortutako segurtasun maila oso ona da, baina erabateko segurtasuna ez da existitzen"

Luis Martínez del Pino Fraternidad-Muprespa-ko Informazio Sistemen Segurtasun Saileko zuzendaria da urriaz geroztik. Katalana jaiotzez eta murtziarra adopzioz, bi seme-alaben aita da, musikazalea, eta gitarra elektrikoarekin sutsua.

Murtziako Unibertsitatean Informatika ikasketak amaitu ostean, Madrilera joan zen eta bertan 25 urtez bere ibilbide profesionala garatu du informazio teknologien sektorean, beti ere osasungintzaren sektorearen eraldaketa digitalari, oro har, eta segurtasun informatikoari bereziki zuzenduta.

Gizarte Segurantzaren Elkarlaneko Aseguruen Mutua sektorearen ezagutza ona, everis (NTT Data), Indra edo NEORIS bezalako multinazionaletan kudeatzailea izan da. Bere ahalegina enpresen, aholkularitzaren, langileen eta autonomoen buruan ezartzea da.

Zeintzuk dira lan-arloak sailaren etorkizun hurbilean?

2024 urte bizia izango da proiektu berriak aurrera eramateko. Etorkizunik hurbilena gure Bulego Digitalarekin lotutako Segurtasun Eskema Nazionalaren (ENS) ziurtagiria berritzea da.

Gainera, Zibersegurtasunaren arloan Mutualitatearen egoera hobetzera zuzendutako neurri eta proiektu sorta prestatzen ari gara.

24x7x365ean funtzionatuko duen eta Mutuaren IKT azpiegitura osoa gainbegiratuko duen Segurtasun Operazio Zentro bat zabaltzeko asmoa dugu. ___HTMLTAG609___

Bestalde, gure erakusketa-azalera murriztuko duten eta gure babesa indartuko duten puntako software produktu batzuk kontratatzeko prestatzen ari gara.

Datuen babesari dagokionez, oso heldutasun maila altua lortu dugula uste dut, beraz, 2024. urtea prozesuak sendotzera, optimizatzera eta etengabeko hobekuntzara bideratuko da.

Eta lanean jarraituko dugu gure langileak zibersegurtasunean sentsibilizatzeko eta trebatzeko, estekarik ahulen hau indartuz.

Zein da segurtasun maila optimoa duen mutualitate baten jarduera lantzeko eta garatzeko gakoa?

Inork ezin du segurtasun osoa bermatu informazio teknologien arloan. Egin dezakeguna eta egin behar duguna da ezagunak diren arriskuak arintzeko lan egitea.  Jakina, datuak oro har eta datu sentikorrak bereziki babestea ezinbestekoa da edozein erakundetan, are gehiago misio kritikoa den batean, Fraternidad-Muprespa bezalakoetan. Horrek enkriptatzea, babesa, babeskopia, erabilgarritasuna eta informaziora sartzeko politikak diseinatzea eta hedatzea dakar, bere izaeraren arabera.

Zor teknologikoa eta software zaharkitzea zibersegurtasunaren etsai handiak dira.Horregatik egunero lan egiten dugu oinarrizko softwarea zaharkituta dagoen edozein azpiegitura kentzeko, baita gure hardware eta software azpiegiturak adabaki maila optimoarekin mantentzen ere, fabrikatzaileek ebatzitako ahultasun ezagunak kentzen laguntzen baitute.

Software eta hardware azpiegituren ikuspuntutik, punta-puntako tresnak zabaldu eta mantentzen ari gara, zeinak maila ezberdinetako azpiegiturak babesten eta kontrolatzen laguntzen dutenak.___HTMLTAG1178______HTMLTAG11178______HTMLTAG11178______

Barruan garatzen dugun software pertsonalizatuari dagokionez, OWASP (Open Web Application Security Project) komunitatearen gomendioak jarraitzen ditugu, garatutako software guztia segurtasun kontrol zorrotzen menpe jartzeaz gain. kalitatea.

Azkenerako utzi dut garrantzitsuena iruditzen zaidana: erakunde osoan zibersegurtasun kultura bat ezartzea, gure burua saihestu daitezkeen segurtasun-gertakarietatik babesteko.

Zer garrantzia ematen diogu datuen babesari, oro har, eta osasun datuei bereziki?

Fraternidad-Muprespa-ren indarguneetako bat da gaur egun. Orain arte ez gaitu inoiz Espainiako Datuak Babesteko Agentziak zigortu.

Datuen babesa indarguneetako bat da

Datuen Babeserako Arduradunaren funtzioa, DPD, izugarri profesionalizatuta dago eta, beste gauza askoren artean, araudia behar bezala betetzen dugun ala ez kontrolatzeaz arduratzen da, egoera konplexuetan aholkatzeaz gain.

Dukagun informazio-segurtasunarekin zerikusia duten ziurtagiriak (ISO 27001 ETA ENS), aldizkako kanpo-ikuskaritzen menpe daude, eta oinarri oso sendoak ezartzen dituzte bere balio-katean zehar informazioaren babes-maila oso altua bermatzeko, babes-neurri bereziak aplikatuz. erantzulea.

Bestalde, ahalegin berezia egin dugu gure langileek duten informazioaren erabilera arautzen duten politikak eta argibideak diseinatzeko, gai garrantzitsuei zuzenduta, hala nola hirugarrenekin informazioa trukatzea, informazioa lan-ingurunean zein kanpoan erabiltzea, biltegiratze partekatuko baliabideen erabilera, etab.

Datuen babesari arreta berezia jarri diogu gure Bulego Digitalaren esparruan, Mutualitatearen eta elkartutako enpresa, aholkularitza, langile babestu eta autonomoen arteko komunikazio bide digital nagusia baita.

Eta langile berriei harrera egiteko garaian datuen babesaren ikuspegitik hartu beharreko neurri guztiak lantzen ditugu bereziki.

Ba al dago datuak benetan beharrezkoak izan gabe ematen ditugun egoerak?

Fraternidad-Muprespa-n nahitaez datu pertsonalekin eta informazio sentikorrarekin lan egiten dugu, baina informazio hori biltzen, sortzen edo kontsultatzen dugunean, beti egiten dugu gure helburu legitimoaren esparruan.

Dena den, beste edozein erakundek bezala, aldian-aldian eraso saiakerak jasaten ditugu ziberkriminalen identitate lapurretaren bidez, phishing deitzen duguna, horietako asko, informazio konfidentziala eta sentikorra biltzeko helburuarekin. Horregatik, langileen prestakuntza eta sentsibilizazioa oso garrantzitsuak dira.

Zer esan nahi du telelana ezartzeak segurtasun handienarekin lan egiteko orduan?

Pandemia dela eta, bat-batean, 2.000 pertsona baino gehiago ari ziren lanean etxetik, eta, ondorioz, erasoen eraginpean egoteak eta ahultasun berriak agertu ziren. Zorionez, telelana arautu genuen jada segurtasun politika eta teknologia zehatzen bidez. Bai ENSn aurreikusitako telelanerako gomendioetan oinarritzen gara, National Cryptology Center (CCN-CERT) bidez, bai ISO/IEC-27000 serieko arauetan eskaintzen diren praktika onen jarraibideetan.

Adibidez, gailu profesionalen eta software korporatiboaren erabilera esklusiboa, bilera birtualak eta bideo-deiak, software-eguneratzeak, sareen erabilera, pasahitzak kudeatzea eta unitateak lapurreta edo galeren aurkako enkriptatzea arautzen ditugu.

Bestalde, sare pribatu birtualetan puntako teknologiak ditugu, belaunaldi berriko birusen aurkakoa, bi urratseko autentifikazioa, sareko sarbideen kontrola, sarbide-pribilegioen kudeaketa eta amaierako segurtasuna, besteak beste. Zailtasuna ingurune seguru baten eta langilearen lana ez zailtzearen arteko oreka aurkitzean datza.

Zein da ahultasuna eta segurtasun-haustearen arteko aldea?

Ahultasuna software edo hardware elementu baten ahulezia da, ziber-erasotzaile batek baliatuta, erakundearen segurtasun informatikoa arriskuan jar dezakeena. Ohikoenak programazio akatsen, segurtasun-adabaki faltaren edo produktuen konfigurazio okerren ondorio dira, eta ezkutatuta daude aurkitu arte.

Bestalde, segurtasun-urraketa datuen segurtasuna arriskuan jarri den benetako egoera da eta ziber-erasotzaile batek ahultasun bat ongi ustiatzea lortzen duenean, erakundearen datuen konfidentzialtasuna, osotasuna edo erabilgarritasuna arriskuan jarriz.Segurtasun-hauste baten ondorioak baimenik gabeko sarbidea, datuak galtzea, informazioa lapurtzea, ospearen kaltea edo galera ekonomikoa izan daitezke, beste ondorio negatibo batzuen artean.

Segur aski, orain galdetuko banu erakunde batean zein den ahultasun garrantzitsuena, pertsonak direla esango zenidake. Eta arrazoi izango zenuke.

Presta al gaude enpresa handietan berriki bizi izan diren bezalako eraso posibleetarako?

Nire ustez, Fraternidad-Muprespa-ek lortu duen segurtasun maila oso ona da, eta enpresa-erakunde handiek lortu duten merkatu-estandarra betetzen duela. Hala ere, eta hasieran esan bezala, segurtasun osoa ez da existitzen.

Denok gara adimen artifizial sortzailearen inguruan dagoen hype izugarria. Nola eragiten dio teknologia honek zibersegurtasunean?

Gero eta erlazionatuago dauden bi mundu dira. Alde batetik, zibersegurtasunari aplikatutako teknologiak adimen artifizialeko algoritmoak erabiltzen ditu babes maila hobetzeko.

Ziberkriminalek adimen artifizial sortzailea erabiltzen dute eraso berriak sortzeko eta erasoak eraginkorragoak izateko. ezaguna.

HTMLTAG355___Nortasunaren lapurreta, identitate artifizialak sortzea, komunikabideen manipulazioa, deepfakes sortzea, hala nola, pertsona baten itxura edo ahotsa imitatzea, nortasuna ordezkatzeko, ingeniaritza soziala automatizatzea edo TAG_355___HTML selektiboa egitea, edo TAG355___HTML selektiboa egiteaz ari naiz. Oso garrantzitsua da errealitate berri honetaz jabetzea, mota honetako zibererasoei aurrea hartzen saiatzeko, gero eta konplexuagoak eta antzemateko zailagoak.

Bestalde, eta datuen babesari dagokionez, langileek adimen artifizial sortzaileko plataformak modu desegokian erabiltzeak informazio sentikorren ihesak ekar ditzake. Hori ekiditeko, teknologia honen erabilera lanbide-eremuan arautuko duten politikak zehazten ari gara dagoeneko.