“El usuario es el riesgo más importante en seguridad de la información. La clave es que el usuario esté bien formado y concienciado de la importancia que tiene la información que maneja”

Ibor Rodríguez Barredo es ingeniero en Informática por la Universidad del País Vasco y Máster Ejecutivo en Dirección de Proyectos por la Universitat de València. Lleva más de 20 años trabajando en el sector tecnológico. Cuatro de ellos fue el responsable de sistemas para una de las sedes de Fagor Ederlan (dedicada a la fabricación de componentes de automoción). Desde 2017 es el CIO de Amavir (perteneciente al Groupe Maisons de Famille), que es fruto de la fusión de grupo Amma con Adavir. Pero, hasta ese momento, y desde 2006, lo era del grupo Amma, organización a través de la que entró de lleno en el mundo sociosanitario.

También ha desarrollado labor docente. Es profesor asociado en la diplomatura de Dirección de Proyectos de la Universitat de València, profesor en nuevas tecnologías para la Cámara de Comercio de Navarra, profesor en el máster en gestión de proyectos de ESDEN, conferenciante en el congreso “Ciudadanía Digital” del País Vasco y ponente en el máster en SAP de la E.T.S. Ingenieros de Telecomunicación en la Universidad Politécnica de Madrid.

En sus redes sociales apunta: “Hago que las cosas funcionen mejor. Busco soluciones, genero ideas, traigo aliados de confianza. La mayoría de las veces usando la tecnología como driver. Otras, usando a las personas. A veces incluso mezclándolas”.

Desde mayo de 2017 eres CIO de Amavir (que es fruto de la fusión de Grupo Amma con Adavir). Pero, hasta ese momento, y desde 2006, lo eras de Grupo Amma. Llevas por tanto más de 15 años en la compañía. En tus redes sociales mencionas algunos de los retos a los que te has tenido que enfrentar profesionalmente (crear el departamento de sistemas desde cero, implantar SAP, implantar un portal del empleado para 4.500 personas, etc.) y dices: “Permanecer en la empresa después de varios cambios de socios, fusiones, absorciones, cambios de centros de trabajo. Lo único seguro, es el cambio”. ¿Cuáles han sido los cambios más importantes en la compañía a nivel tecnológico? ¿Qué proyectos destacarías?

Uno de los cambios más importantes para la organización fue el paso de puestos de trabajo con un ordenador en local, a puestos de trabajo con escritorios virtuales. Fue un proyecto complejo y que tuvo mucho impacto. Se primaba mucho la comunicación entre los centros, es decir, que hubiese una buena red de datos. Además, necesitábamos muy buen rendimiento en las infraestructuras para que los escritorios virtuales funcionaran. Y lo cierto es que tuvimos muchos problemas con las comunicaciones. Hay que tener en cuenta que el proyecto empezó en 2011 y en aquel momento las comunicaciones no eran, ni mucho menos, perfectas. Es un plan que se ha prolongado en el tiempo porque hemos seguido con esta filosofía de implantación de escritorios virtuales (utilizando diferentes tecnologías). Desde luego, diría que es el proyecto que más impacto ha tenido en sistemas. Pero, también en la forma de trabajo de los centros. Lo cierto es que, antes de que apareciese el concepto de cloud y de servicios en la nube como lo entendemos ahora, nosotros ya lo estábamos utilizando (lo hacemos desde 2011). Era una cloud privada, pero con esa misma filosofía.

Otro proyecto que también tuvo mucho impacto en la compañía fue la migración de nuestros entornos a SAP y la implantación de SAP asistencial. De hecho, este fue uno de los principales motivos de mi contratación en 2006. Es un proyecto que tiene continuidad: seguimos con el desarrollo de la herramienta, con la adaptación a los procesos de negocio, etc. Si analizamos qué ha supuesto, yo destacaría el hecho de tener toda la información en un solo sistema. A nivel asistencial, esto nos permite sacar estadísticas, obtener datos, controlar y analizar de manera centralizada los centros, etc.

¿Crees que, a lo largo de estos años, se ha producido un cambio o evolución también en la figura del CIO y en sus funciones?

Desde mi punto de vista, la figura del CIO, en cuanto a la descripción del puesto, debería ser la misma ahora que hace años. Pero lo cierto es que antes se le atribuían funciones diferentes. Según yo lo veo, y al contrario de lo que se pensaba hace unos años, un CIO que hiciera sus funciones no solo tenía que mantener infraestructuras de sistemas, sino también analizar los procesos de negocio y proponer soluciones. Siempre he pensado que el CIO tiene que ser un transformador (ahora se habla del directivo de transformación digital).

Si lo que nos planteamos es si están impactando los cambios (pandemia, nuevas formas de trabajo, etc.) en la figura del CIO, la respuesta es sí. Pero no tanto por los cambios sino porque muchas compañías no tenían claro en su momento cuáles eran las funciones de este perfil.

“El reto tecnológico está en abstraerse de la tecnología y saber darle al negocio lo que necesita”. Es una frase tuya. Unas declaraciones en las que añadías que vuestra misión es encontrar la mejor opción y ofrecérsela a la empresa como elemento diferenciador. ¿Qué dirías que necesita en estos momentos el sector asistencial? ¿Cuál es la tendencia?

Este es un sector donde la transformación digital y las plataformas tecnológicas no han sido puestas en valor durante muchos años. Ahora, a raíz de la pandemia por la COVID-19 y debido a las necesidades de acceso a la información en remoto (por ejemplo, el envío de datos estadísticos a las administraciones públicas), se ha visto que son necesarias las integraciones entre los sistemas informáticos y con los sistemas de salud.

En muchos casos era necesario, simplemente, que los centros tuvieran sistemas informáticos (muchos seguían trabajando en papel). Yo creo que la tendencia es digitalizar todo aquello que todavía no lo está y avanzar hacia un control único de la información, que es lo que hemos venido haciendo nosotros en los últimos años.

A nivel tecnológico la pandemia ha supuesto un antes y un después para muchas organizaciones. ¿Qué impacto ha tenido en vuestra organización?

En nuestro caso, hay que tener en cuenta que la mayoría del personal que tenemos es mano de obra directa, es decir, no puede ejecutar sus tareas en remoto. Son profesionales (médicos, enfermeros, auxiliares, etc.) que suponen el 95% de la plantilla y que tienen que trabajar directamente en las residencias. En cuanto a las oficinas centrales, que sí nos vimos “afectados”, fue bastante sencillo (casi un mero trámite). Simplemente, nos llevamos los equipos a casa, se dio acceso a través de VPN y pudimos funcionar perfectamente. Me gustaría subrayar aquí que muchos compañeros de central se trasladaron a las residencias en los momentos más duros para ayudar a sus compañeros.

En vuestro ámbito de trabajo, la información tiene un valor incalculable (datos especialmente protegidos, posibles extorsiones, etc.). ¿Crees que, en general, se es consciente de los riesgos de no protegerse en condiciones y de las consecuencias que puede tener?

Rotundamente no. Cualquier empresa que tenga datos, de cualquier índole, tiene que pensar que pueden ser usados por terceros para llevar a cabo actos delictivos (o, simplemente, para hacerlos públicos y perjudicar a la imagen de la compañía).

Yo creo que es fundamental proteger la información de la compañía y es cierto que, en general, no se es consciente de lo que puede suponer no hacerlo.

Hablamos de digitalización, de ciberseguridad, de protección de datos… ¿Qué papel juega en todo esto el usuario?

El usuario es el riesgo más importante en seguridad de la

información. No porque lo haga de una manera consciente, tratando de dañar a la compañía, sino porque muchas veces no es consciente de lo que hace: no sabe que está pinchando en un enlace potencialmente peligroso, que está enviando un email que no debería, o que ha confiado en alguien que ha visitado físicamente la oficina y que, realmente, es un delincuente que ha robado información. Yo creo que la clave es que el usuario esté bien formado y concienciado de la importancia que tiene la información que maneja.

Como comentas, muchos de los ciberataques que sufren las organizaciones se producen desde dentro. Suelen ser errores humanos que no ocurren de forma intencionada, sino por desconocimiento. En este sentido, ¿qué importancia le dais a la formación y concienciación en materia de seguridad de la información? ¿Qué acciones lleváis a cabo en este ámbito?

Para nosotros es un aspecto fundamental. Desde el momento que llega el trabajador, contamos con un plan de acogida que incluye varios aspectos: documentación (acuerdos de confidencialidad, detalle de las funciones y obligaciones en materia de seguridad de la información, etc.); formación introductoria al Reglamento General de Protección de Datos (RGPD); concienciación en forma de consejos de seguridad, que reciben semanalmente los empleados, así como formación (online o presencial) sobre diferentes aspectos de seguridad de la información (norma ISO 27001, derecho TIC, ciberseguridad, etc.).

Vuestro compromiso con la seguridad de la información es absoluto. Habéis apostado por un plan de 360 grados (el Gold Security). ¿Cuál es vuestro objetivo en este ámbito? ¿Por qué elegisteis a Secure&IT?

Este año uno de nuestros objetivos fundamentales es certificarnos en la norma ISO 27001. Lo tenemos pendiente desde hace tiempo y, debido a la situación de pandemia y a otras circunstancias, no hemos podido terminar la implantación. Podríamos decir que este es el objetivo principal para 2022, aunque hay otros aspectos que estamos abordando, como la puesta en marcha del servicio de seguridad gestionada.

De cara a los próximos años, haremos como hasta ahora: ver qué necesidades tenemos en cuanto a la implantación de nuevas soluciones o servicios y seguir mejorando en aquellos aspectos en los que sea necesario.

Para la elección de nuestro partner en seguridad de la información, la experiencia de Secure&IT ha sido un aspecto fundamental, como también lo ha sido la confianza que tenemos en vosotros (ya hemos trabajado juntos). Pero, hay otros aspectos que destacaría. Nos gustó mucho vuestro servicio de seguridad gestionada, especialmente el hecho de que uséis un SIEM propio. Y vuestra rapidez en la respuesta ya que, cuando tenemos un problema o una necesidad a nivel legal, funcional o técnico, la comunicación es inmediata y muy fluida.

Estamos a primeros de año y es un buen momento para hablar de previsiones… ¿Qué aspectos son los que más te preocupan?

Hay dos tipos de ataque que me tienen muy preocupado: el phishing y la suplantación de identidad. Hemos recibido muchísimos intentos de estafa a través de estos medios. Si, además, le sumas a esto la sofisticación de estas técnicas, como los vídeos deepfake (en los que es posible superponer la cara o, incluso, suplantar la voz de una persona) se genera una situación muy compleja.

by