La seguridad, una prioridad para Iberdrola
Invierte 2 millones de euros en seguridad
Con más de 100 años de experiencia, Iberdrola es una de las principales compañías eléctricas privadas del mundo, cuyos servicios, destinados a 16 millones de clientes -más de nueve millones en España-, se centran en la generación, el transporte, la distribución y la comercialización de electricidad y gas natural. Con un beneficio neto el pasado año de 962,6 millones de euros, un 6,3% más que en 2001, y una facturación de 9.594,3 millones de euros, un 17,8% más que en ese mismo año, todo apunta a que 2003 sea el año de su consolidación.
Como cualquier gran organización, Iberdrola presta mucha atención a la seguridad de sus sistemas informáticos, y en especial, a sus ordenadores personales, que son la puerta de entrada hacia los sistemas de información de cualquier usuario de la compañía. El mayor foco de amenazas de seguridad en los PCs viene originado por el usuario que está al frente de la máquina, casi siempre por un uso indebido que suele deberse a la falta de formación. Para prevenir estos problemas de seguridad, Iberdrola invertirá este año unos 2 millones de euros.
La compañía, asimismo, cuenta con una unidad de Seguridad que recoge distintas unidades, entre ellas la correspondiente a la Seguridad de la Información y las Telecomunicaciones. Esta última, constituida en 2002, ha arrancado este mes de marzo un proyecto que será su Biblia: el Plan Director de Seguridad. “El proyecto más significativo que pretendemos abordar este año. Durará unos siete meses y nos permitirá obtener una fotografía muy exhaustiva de la organización en cuanto a qué se dedica, qué hace, cuáles son las distintas actividades que la conforman, así como poder identificar los distintos activos de información que se soportan en cada una de estas actividades”, apunta Javier García Carmona, responsable de Seguridad de la Información y Comunicaciones de Iberdrola.
A partir de este Plan se irá diseñando el nivel de seguridad que el negocio pretende dar a estos activos. La unidad de Seguridad, en concreto, pretende ser una guía y definir una política de seguridad dentro de lo que es la propia compañía, para adecuar los niveles de riesgo que se pretenden cubrir con un conjunto de soluciones técnicas, organizativas y formativas. “Debemos trabajar mucho en este frente que es la formación -un aspecto fundamental para toda la organización- para que los usuarios adquieran una mayor cultura en cuanto a protección de información”, destaca.
Refiriéndose a las responsabilidades de su unidad, Javier García subraya que “no sólo tenemos que llevar a cabo la identificación de los activos, sino que debemos diseñar esas soluciones desde la identificación del riesgo, la fijación de requerimientos, el diseño de la solución tecnológica y los procedimientos operativos que se requieran”. Asimismo, añade que “el producto resultante del Plan Director de Seguridad nos permitirá obtener el modelo de seguridad que la compañía debe instaurar en los distintos negocios, así como un plan de actuaciones en cuanto a proyectos y actividades que conlleven presupuestos sobre desembolsos económicos”.
En la actualidad, desde la organización se está trabajando en otros proyectos que afectan a aspectos de control de acceso, de regulación del uso de los distintos periféricos que gestiona el PC, de cifrado de dispositivos de almacenamiento, que en este caso son los discos duros, y que se soporta en las herramientas de Secuware, concretamente en Crypt2000. Asimismo, están inmersos en un proceso de migración de la plataforma actual a Windows XP. Todos ellos son proyectos identificados a lo largo de 2002 y dirigidos a reforzar la política de seguridad que emanará del propio Plan Director de Seguridad. “Con estos proyectos damos los primeros pasos de unas medidas que se terminarán de estructurar, definir e implantar, una vez que el propio Plan esté implantado”, subraya García.
De entre todos ellos, destaca una iniciativa dirigida a la plataforma cliente para establecer estrategias en cuanto a perfiles de máquinas y usuarios, que permitan realizar una personalización del uso de máquinas en base a las necesidades del usuario. A lo largo de 2003, también está previsto establecer una serie de mecanismos que permitan tener una seguridad gestionada.