• Hablamos con Antonio Grimaltos, de la Oficina de Seguridad de la Información de la Conselleria de Sanidad de la Comunidad Valenciana, sobre la importancia de la implantación del Esquema Nacional de Seguridad

Tras la reciente certificación de Sothis en categoría alta en el Esquema Nacional de Seguridad, hablamos con Antonio Grimaltos, Técnico de la Oficina de Seguridad de la Información de la Conselleria de Sanidad Universal y Salud Pública de la Generalitat Valenciana. Antes, entre otros cargos, fue Jefe de Sección de Sistemas de la Confederación Hidrográfica del Júcar y Responsable de Seguridad (2016-2018). Su trabajo consiste en gestionar incidentes de seguridad, analizar los datos que le proporciona las sondas IDS, coordinar las soluciones a las vulnerabilidades y la implantación del ENS

Pregunta: ¿Cómo fueron tus comienzos en el mundo de la seguridad de la información?

Respuesta: Mis comienzos no fueron en la universidad, ya que no había materias encargadas de hablarnos de ciberseguridad. Es más, no las había en mi época, que soy de la segunda promoción del politécnico, ni creo que las haya ahora. Creo que es un fallo por corregir.

En mi caso, en la Administración, concretamente en Agricultura, estábamos recibiendo informes por parte de CSIRT-CV en 2011. Gracias a esta información, uno empezaba a tener nociones sobre aspectos en seguridad, intrusiones, ataques, accesos no autorizados, etc.

Se me encomendó la tarea de trabajar en el mantenimiento del cumplimiento de las buenas prácticas que aportaba la ISO 27002 y a continuación, se formó el departamento de seguridad de la DGTI, en el que me incluyeron.

P: ¿Cómo has vivido la evolución de las tecnologías de la información?

R: En Twitter publiqué hace poco: “Reconozco que soy un dinosaurio”. Programé en Pascal, en Cobol, vi la evolución de Visual Basic, etc. Me considero un tipo con suerte por haber vivido toda esta evolución. Hay que leer, y mucho. Debemos aprender día a día, ya que todo cambia a velocidad supersónica en Tecnologías de la Información y, en ciberseguridad, aún más.

P: ¿Cuál consideras que es el Estado de la Ciberseguridad actual en España? ¿Existe un nexo de unión entre ENS, LEY PIC, NIS, RGPD, etc?

R: El estado actual es bueno. Exceptuando casos puntuales, no hay ataques a gran escala. Pero es importante destacar que nunca una empresa reconocerá el ataque, ya que esto impactaría en su imagen y repercutiría en su prestigio. Pero de forma general está todo bastante controlado.

Todas las normativas relacionadas con Seguridad de la Información (ENS, PIC, NIS, RGPD, LOPD-GDD), han llevado a que el obligado cumplimiento mejore el estado en el que nos encontramos de ciberseguridad.

P: ¿Están las Administraciones Públicas adecuándose correctamente al ENS?

R: Si entendemos por adecuación que el paso último y final sea la certificación, diría que no. En cambio, si entendemos por adecuación al ENS y la implantación de medidas, entonces sí. Aunque no se auditen, se están implantando controles de seguridad.

P: Al inicio de la implantación del ENS, ¿cómo planteaste las primeras reuniones?

R: Las primeras reuniones se han de plantear con la Alta Dirección o con la Dirección del Organismo. Debe quedar bien claro cuáles son las asignaciones de responsabilidades. Si se hace correctamente, solo se debe reunir con los responsables de las diferentes “parcelas” establecidas. Ése es el inicio básico: determinar los interlocutores de quién asume qué roles de cada ámbito.

P:  En relación con la protección de la información, ¿cuál es el eslabón más débil en una organización?

R: Siempre es el error humano. Pero, en ciberseguridad, se dice que es el usuario, y realmente se hace poco. Se debería concienciar más. Con solo un curso de una hora, solventas muchísimo en una organización.

Estamos en guerra. Los lectores pueden preguntar a sus firewalls, a sus proxis, a sus antivirus, etc. Es una guerra de las organizaciones contra quiere aprovecharse de las facilidades que ofrecemos, pudiendo llegar a sembrar el caos. ¿Quién ganará la guerra?

La ciberseguridad es un muro, encargado de proteger el orden del caos. La gente de ciberseguridad no es suficiente para frenar a los atacantes. Se requiere de los usuarios para ganar la guerra.

Si, por ejemplo, conciencias a una organización de 32.000 usuarios de que cuando reciban un correo con adjunto de alguien que no conocen, lo envíen directamente a la papelera, acabas de crear un entorno con 32.000 firewalls. Gracias a la idea del Human Firewall te has quitado de encima 32.000 quebraderos de cabeza y de este modo, se ha conseguido establecer el eslabón más fuerte.

P: ¿Cuáles consideras que son los principales errores en un Sistema de Gestión de Seguridad de la Información?

R: En realidad, un SGSI como tal no tiene errores. Quien crea los errores son las personas. El mantenimiento del SGSI es crítico y a veces nos olvidamos de ello. En la Administración, este creo que es un fallo importante, ya que, con los cambios de personal o rotaciones, el personal que tiene la responsabilidad de mantener el SGSI correctamente se encuentra con un mundo desconocido. El SGSI es como un monstruo al que hay que alimentar.

P: ¿Qué función tiene para ti el Análisis de Riesgos dentro del SGSI?

R: El AARR es un elemento clave para comparar cómo has evolucionado. El punto álgido pasa por disponer de tu inventario de forma adecuada, así consideras los riesgos de forma adecuada. Un inventario actualizado, con las amenazas pertinentes, permiten ver qué te puede afectar. Un inventario de activos actualizado es fundamental.

P: ¿Cómo ves el futuro del sector de la seguridad de la información en el ámbito privado y en el público?

R: En el ámbito privado bien. En el público, nos falta que las Administraciones Públicas se tomen en serio el tema de la ciberseguridad. Los puestos de trabajo establecidos como exclusivos de seguridad de la información son muy pocos.

En medicina, por ejemplo, la pediatría es una especialidad. Existe una gran variedad de puestos que requieren una especialización. En ciberseguridad, los puestos son de informática, pero no cualquier informático se pueden dedicar a esto. Existen muchos puestos de jefes, pero hacen faltan perfiles más técnicos de ciberseguridad. Es decir, hay mucha gestión y falta respuesta. Se debe cambiar la perspectiva para no acabar en un panorama negro.

La opinión del experto

En relación con el Esquema Nacional de Seguridad, apoyo la afirmación de Antonio de que es la herramienta más potente de la que disponemos. Y es que se trata de un conjunto de principios y requisitos que se podrían considerar estrictos a la hora de implantarlos, tanto por los cambios operacionales que implica como por los recursos demandados, pero que tienen como consecuencia, diversos beneficios como, por ejemplo:

  • Implica la implantación de productos de seguridad certificados y cualificados.
  • Aporta una gestión de la seguridad en la operativa diaria.
  • Contribuye al cumplimiento con los requisitos legales que sean de aplicación. •

Proporciona mayores garantías a los ciudadanos durante el uso de medios electrónicos.

Una vez implantado el ENS en una organización, el objetivo primario de todo SGSI, se cumple automáticamente. Este objetivo es “conocer el estado de seguridad de los sistemas de información”, y para ello se requiere de una estructura documental y madurez en la organización que, cara a una auditoría, refleje un estado verídico, contrastable y actualizado de esta.

Si bien es cierto que el marco de gobierno implantado aporta en la entidad medidas de seguridad, salvaguardas y otra documentación que lo sustente, no es suficiente su aplicación. Es responsabilidad de la Dirección transmitir ese conocimiento al conjunto de empleados circunscritos en el alcance, aportando así valor a la pirámide organizativa.

Detectar y analizar las lecciones aprendidas de cada uno de los procesos, permite identificar nuevas necesidades en lo que a securización respecta. Respecto al futuro de la seguridad de la información en los sectores públicos y privados, veo una gran evolución en el primero con respecto a los últimos años. No obstante, no se debe caer en el error de entender que una organización queda completamente bastionada a través de un solo proyecto de securización. La Mejora Continua es un proceso transversal que implica constante innovación y renovación para no convertirnos, como dice Antonio, en dinosaurios.

Por ello, desde SOTHIS, como proveedor de servicios de seguridad a las Administraciones Públicas, y dando cumplimiento al punto 48 de la Guía 830 ÁMBITO DE APLICACIÓN DEL ESQUEMA NACIONAL DE SEGURIDAD, se refleja el claro compromiso para con la Seguridad de la Información, a través de la certificación obtenida en categoría ALTA para los sistemas de información que dan soporte a la prestación de servicios de Consultoría y auditoría en materia de seguridad de la información, cumplimiento normativo y legal, gestión de riesgos y formación; Servicios Gestionados 24×7 de Monitorización, Operación, Administración de Sistemas, Comunicaciones y Centro de Atención a Usuarios;   Centro de Operaciones de Seguridad (SOC); y Proyectos y servicios gestionados de Soluciones de Ciberseguridad.