Una de las consecuencias de la pandemia de la COVID-19 fue la adopción masiva del trabajo en remoto por parte de las empresas. Algunas estaban preparadas, otras tantas afrontaron una conversión al mundo digital en tiempo récord, especialmente las pymes, que conforman el 90% del tejido empresarial español. El resultado fue que, en muchas ocasiones, este salto «exprés» a la digitalización no tuvo en cuenta uno de los factores clave para su adopción: la Seguridad de la Información. Esta circunstancia fue aprovechada por los ciberdelincuentes, dando lugar a un significativo aumento de su actividad durante el confinamiento, cuando muchas empresas vieron comprometidos sus sistemas y sus datos. Aún hoy el fenómeno sigue en auge y no tiene visos de retroceder.

Y es que estar digitalizados no significa, de ningún modo, estar protegidos. En Indra saben mucho de esto, ya que la Seguridad de la Información es parte esencial de su estrategia de negocio dado el impacto que su gestión tiene en su actividad y en la de sus clientes. No hay que olvidar que algunas de sus soluciones van dirigidas a la gestión de infraestructuras críticas (transporte, energía, defensa…) o implican la gestión de datos clave de las personas (sanidad, financiero, procesos electorales…), por lo que la ciberseguridad es un elemento transversal clave en su actividad.

La compañía cuenta con una política que establece el Sistema de Gestión de Seguridad de la Información que define, implanta y mejora todos los controles y procedimientos necesarios para minimizar y gestionar los riesgos en los procesos internos. Estos, además, son actualizados continuamente dada la exigente y continua evolución de la sociedad de la información y cubren todo el proceso, desde la operación diaria, el desarrollo y ejecución de proyectos, los programas y servicios, hasta la gestión de los clientes.

Para reforzar aún más este modelo, a finales de 2019 se concretó la adquisición de SIA, una compañía especializada en servicios de ciberseguridad, lo que ha convertido a Indra en el líder en servicios de ciberseguridad en España y Portugal. Gracias a estas capacidades, cuando llegó el confinamiento decretado por el Gobierno, en Indra ya estaban preparados. El 90% de su plantilla trabajó en remoto desde el primer día con los más altos estándares de seguridad. Pero la realidad, según nos explica José Fernando Carvajal, responsable de la Cátedra de Seguridad de la Información de Indra, es que «en la compañía somos conscientes de que no podemos bajar la guardia en seguridad y que, para mejorarla, la responsabilidad tiene que ser compartida, ya que depende de la actitud y aptitud de cada una de las personas de esta compañía».

Concienciación

A finales de 2018 asumieron el reto de no dejar ningún frente abierto que pudiera suponer una brecha en la seguridad, por lo que, para cerrar el círculo, era necesario concienciar a todos los profesionales sobre sus aspectos críticos, no solo a aquellos que manejaban información sensible. Ese año, la compañía creó la Cátedra de Seguridad de la Información y lanzó un Plan de Sensibilización de Seguridad para todos los empleados que incluía una serie de acciones cuyo objetivo era aumentar el grado de concienciación de los profesionales y potenciar los aspectos críticos de Seguridad de la Información.

Desde entonces, la Cátedra ha seguido promoviendo un exhaustivo y completo plan de acciones, con formaciones online o presenciales, desde una perspectiva tanto profesional como personal, teniendo en cuenta los roles y aptitudes de cada uno de los empleados y su función específica.

El pasado año la Cátedra trabajó en más de 56 campañas de sensibilización dirigidas a toda la plantilla de profesionales de la compañía y reforzó la formación online con un curso básico en Seguridad de la Información y otro sobre el Reglamento General de Protección de Datos (RGPD). Para aquellos perfiles más específicos se creó un curso avanzado en Seguridad de la Información y otro sobre el Esquema Nacional de Seguridad (ENS). En resumen, solo en 2020 más de 47.000 personas recibieron formación con alguno o varios de estos cursos de Seguridad de la Información y protección de datos.

Además, la implantación del Plan de Transformación de Seguridad de la Información 2020-2023 ha significado durante 2021 el desarrollo de distintas iniciativas de mejora en los ámbitos de protección de la identidad de los empleados, la protección de los dispositivos, la protección de la información o la monitorización.

Las herramientas que utiliza la Cátedra son variadas. Por ejemplo, para personal clave como puede ser el equipo de dirección, se realizan campañas de coaching específico en Seguridad de la Información con el objetivo de promover la cultura «top-down». Las campañas de mailing se lanzan a todos los profesionales con el objetivo de alertar ante posibles incidentes y ataques. También se organizan sesiones de formación y de concienciación sobre temáticas específicas, que afectan a ciertas unidades y, por último, se contribuye a la seguridad en las operaciones y los productos con iniciativas que evalúan el riesgo en todo el ciclo de vida de las operaciones. En este aspecto, fuentes del departamento de Seguridad de la Información de Indra explican que «el mercado valora positivamente la Seguridad de la Información y que, desde los diferentes negocios, cada vez se acude más a la Cátedra para reforzar las actitudes y aptitudes de los integrantes de los diversos proyectos».

El entorno familiar tampoco escapa a su radar: Indra incluye cuestiones de seguridad en acciones de comunicación y acción social para sus empleados, lo que permite abordar ámbitos como la protección de los menores y la privacidad o el fraude electrónico.

Según el último informe de sostenibilidad de Indra, en los cuatro últimos años la compañía no ha registrado incidentes significativos de ciberseguridad con impacto crítico, ni reclamaciones por violaciones de la privacidad y/o pérdida de datos del cliente. Índices como el Dow Jones de Sostenibilidad reconocen este esfuerzo.