Entrevista a Iratxe Ijalba, directora de Sistemas de Información de Mutualia

Entrevista a Iratxe Ijalba, directora de Sistemas de Información de Mutualia

«A la seguridad de la información hay que dedicarle tiempo y recursos»

Iratxe Ijalba Izaguirre cuenta con una sólida experiencia y una trayectoria de más de 28 años en el sector tecnológico. Es ingeniera informática y ha consolidado gran parte de su experiencia en la empresa Mutualia, lo que le ha permitido liderar proyectos y adquirir conocimiento en diversos ámbitos como el sanitario, jurídico y de prestaciones económicas, entre otros.

En los últimos 8 años, ha asumido la dirección de Sistemas de Información liderando la transformación digital de la organización y modernizando los servicios. Además, su posterior nombramiento como responsable de Seguridad la ha llevado a fortalecer las medidas de seguridad y a obtener las acreditaciones en seguridad de la información ISO 27001 y Esquema Nacional de Seguridad (ENS).

Si hablamos de previsiones y tendencias, sectores como la salud, la industria, y los gobiernos son los objetivos principales de los ciberdelincuentes. Además, se espera que aquellos asociados a la situación geopolítica, en los que también está la sanidad, sean blanco de estos ataques debido a su capacidad para poner en riesgo a un país. ¿Cómo se gestiona la seguridad de la información de una organización, sabiendo que es uno de los blancos “favoritos” de los ciberdelincuentes?

Se gestiona con mucha preocupación y a veces durmiendo poco… Pero sí, efectivamente, las empresas que nos dedicamos al área sanitaria somos el blanco de los atacantes, lo llevamos siendo desde hace años y no parece que esto vaya a decaer, sino todo lo contrario. Cada vez vemos más ataques de este tipo, por ejemplo, al Clínic de Barcelona. ¿Y cómo lo afrontas? Estableciendo la seguridad como un pilar básico en la empresa.

Se tiene que entender que la seguridad no es sólo responsabilidad “de informática”, sino que se trata de un riesgo corporativo, que afecta a todos y que debe ser un pilar fundamental en la estrategia empresarial.

La seguridad hay que tenerla en cuenta en todos los proyectos, desde el principio. Hay que ser muy rigurosos en todas las políticas y sistemáticas de seguridad. Y para eso, por lo menos a nosotros, nos han ayudado mucho las certificaciones ISO 27001 y el Esquema Nacional de Seguridad. Estas acreditaciones nos han permitido poner orden y tener muy bien organizados los controles y planes de contingencia. Nos ha llevado tiempo, pero hay que tener en cuenta que a la seguridad hay que dedicarle tiempo y recursos y, desgraciadamente, en las empresas no siempre se hace.

Otro elemento fundamental son los proveedores especializados. Para gestionar la seguridad de la información hay que aliarse con proveedores de garantía, que tengan mucha experiencia y cuenten con gente muy capacitada, e ir de la mano con ellos. Y, por último, y no menos importante, está el usuario. Hay que capacitar y concienciar mucho al usuario del riesgo que conlleva y lo importante que es la seguridad de la información.

Precisamente, has mencionado el ataque al Hospital Clínic de Barcelona, uno de los más destacados de 2023 en nuestro país, al menos por la repercusión mediática que ha tenido. RansomHouse fue el ransmware que le afectó. Este malware ataca al entorno sanitario de todo el mundo. ¿Es el ransomware una de las mayores preocupaciones para ti en lo que a ciberseguridad se refiere?

Pues sí, porque el ransomware es una amenaza muy seria y en constante evolución. Y todos los que nos dedicamos a la seguridad de la información tenemos que ser conscientes de esa gravedad y, sobre todo, de la creciente sofisticación de los ataques que se están lanzando.

En este aspecto, lo que tratamos de hacer es implantar medidas que consigan evitar el ataque o, por lo menos, mitiguen las consecuencias. Entre ellas, contamos con planes de actuación ante ataques de este tipo y con acciones de concienciación.

¿Por qué? Porque la puerta de entrada es el usuario y da igual tecnológicamente todo lo que implantes si luego no conciencias bien al personal y no llevas a cabo acciones para que esté preparado.

Otro de los aspectos que me preocupa mucho, porque estoy notando un incremento, es la suplantación de identidad. De hecho, la semana pasada tuvimos un caso y ya hemos sufrido varios intentos de este tipo. Y, precisamente, los hemos detectado gracias a la concienciación del usuario; han sido ellos mismos los que han reportado esos intentos de suplantación.

En uno de ellos intentaron hacerse pasar, mediante una llamada telefónica, por una empresa proveedora. Su intención era hacer un cambio de la cuenta corriente en la que les pagábamos las facturas. Y en el caso de la semana pasada fue un mail que recibió el área de Recursos Humanos suplantando la identidad de una trabajadora. El correo, por cierto, estaba muy bien elaborado y muy cuidado. Aquí pedían que la nómina se abonase en otra cuenta bancaria.

Has hecho mucho hincapié en el usuario y en su formación y capacitación. Lo cierto es que la mayoría de los ciberataques que sufren las organizaciones se producen desde dentro. Suelen ser errores humanos que no ocurren de forma intencionada, sino por desconocimiento. En este sentido, ¿qué importancia le dais a la concienciación y qué acciones lleváis a cabo?

Le damos muchísima importancia a la concienciación del usuario. Nosotros tenemos personal de muy distinta índole: sanitario, administrativo, de asesoría jurídica, de gestión de prestaciones… Somos más de 600 personas las que trabajamos en Mutualia y contamos con todo tipo de perfiles.

Concienciarlos a todos es difícil, pero, para ello tratamos de llevar a cabo todo tipo de acciones: píldoras informativas, simulaciones de phishing, webinars… Aun así, nos dimos cuenta de que este tipo de actividades se nos quedaban cortas. Por eso, desde hace unos años también hacemos periódicamente hackings éticos internos y externos.

La idea es “engañar” a los usuarios de distintas formas, para ver quién cae en la trampa. Después, divulgamos los resultados y contactamos de forma individual con aquellos que no han superado la prueba para explicárselo personalmente. Es una tarea que nos lleva mucho tiempo, pero, nos está dando muy buenos resultados. En definitiva, además de concienciarles, tratamos de plantearles muchos retos que les ayudan a poner en práctica los conocimientos que adquieren. Siempre intentamos buscar nuevas dinámicas.

En esta línea de acciones, también montamos un escape room de ciberseguridad en nuestras propias instalaciones. Literalmente, metemos a nuestros trabajadores en unas salas y tienen que ir pasando de unas a otras resolviendo unos puzles y retos. El planteamiento es el siguiente: un ciberdelincuente les ha robado la contraseña y ellos deben impedir que borre todos sus datos. Introducimos distintas dinámicas para que comprendan la importancia de crear contraseñas robustas, contar con múltiple factor de autenticación, etc. Cuando planteamos esta actividad era voluntaria y empezamos con tres grupos de cuatro personas. Pero, gustó tanto, que se corrió la voz y acabaron participando 180 personas de distintas sedes. De hecho, este proyecto lo presentamos a los Quality Innovation Awards en Euskadi y quedamos finalistas.

También estamos trabajando, justo ahora, en el desarrollo de un plan de contingencia ante un ciberataque en el área sanitaria. Nos planteamos escenarios como quedarnos sin sistemas informáticos y analizamos cuáles serían las consecuencias y cómo debemos actuar: qué deben hacer los sanitarios, cuánto podemos esperar antes de tener que trasladar pacientes, si es posible mantener abiertas las urgencias, si se mantienen abiertos los quirófanos… Estamos definiendo un plan de actuación ante ciberataques detallado.

Llevas 28 años en Mutualia, 8 de ellos asumiendo la dirección de Sistemas de Información y liderando la transformación digital y la modernización de los servicios. ¿Cuáles han sido los cambios más importantes en la compañía en este sentido? ¿Qué proyectos destacarías?

Llevamos ya años trabajando con diferentes planes de transformación digital y, siempre, nuestro objetivo en todos ha sido mejorar la experiencia del cliente. En esa línea, hemos montado la oficina virtual para que puedan acceder a los trámites de manera digital.

Pero al margen de la transformación digital, quiero destacar la importancia que está teniendo para nosotros la irrupción de la Inteligencia Artificial, especialmente desde hace dos años. Tanto es así que, en el Comité de Innovación estamos definiendo una estrategia sobre la IA.

Ya hemos llevado a cabo proyectos piloto en distintas modalidades de Inteligencia Artificial. Por ejemplo, en IA de análisis de datos masivos hemos puesto en marcha un proyecto con el que ayudamos a los médicos a analizar todas las bajas de contingencia común. Esta tecnología les orienta en el seguimiento que hay que hacer a los pacientes dependiendo, por ejemplo, de la patología.

También, utilizamos la IA en el análisis de imágenes, hemos implantado un proyecto dirigido a analizar imágenes radiológicas y detectar fracturas. Así el médico cuenta, además, con la propuesta de la inteligencia artificial. Y, según nos dicen nuestros radiólogos, lo hace con un alto grado de acierto, aunque siempre es el médico el que hace el diagnóstico.

Por otro lado, estamos utilizando la IA en análisis de voz, con el objetivo de implantar dictados de voz en todas nuestras aplicaciones y, también, en el análisis de textos. Esto último nos sirve para, por ejemplo, poder traducir el informe médico en el momento, de castellano al euskera.

En vuestro ámbito de trabajo, la información tiene un valor incalculable (datos especialmente protegidos, posibles extorsiones, etc.). ¿Crees que, en general, se es consciente de los riesgos de no protegerse y de las consecuencias que puede tener?

En este aspecto, el gran reto que tenemos los que nos dedicamos a la seguridad es conseguir que se comprenda que la responsabilidad, en lo que se refiere a seguridad de la información, es de toda la organización, empezando por la dirección y acabando en el último usuario.

Nosotros, desde nuestra área, podemos implantar todas las medidas técnicas y todos los controles para protegernos, pero las personas también son un riesgo, y concienciar y capacitar al empleado o empleada es fundamental. Afortunadamente, en Mutualia la dirección está totalmente alineada con nosotros.

También hay que gestionar el nivel de seguridad de los proveedores con los que trabajas, porque muchos ciberataques pueden llegar por esta vía, y este riesgo es difícil de controlar porque no depende de nosotros.

Como estamos viendo, sector sanitario se enfrenta a grandes retos en el ámbito de la seguridad de la información y el elevado nivel de riesgo es un factor determinante. ¿Cómo estáis afrontando esos desafíos?

El departamento de TI no crece al mismo ritmo que la seguridad va exigiendo porque los retos a afrontar son cada vez mayores, cada día hay que implantar más medidas de seguridad, más controles. Según pasa el tiempo, la seguridad requiere una mayor supervisión. En nuestro caso, destinamos la mayor parte del presupuesto del departamento a seguridad y a contratar servicios a proveedores.

Nuestro equipo no puede estar formado en todas las tecnologías que continuamente surgen, es fundamental aliarte con proveedores que te den garantías y que tengan mucha experiencia. Y no solo eso… que sean proactivos, que nos mantengan informados, que nos asesoren y que nos ayuden a encontrar lo que mejor se adapte a nuestras necesidades, etc.

Son “proveedores estratégicos” y creo que, sin ellos, no podríamos avanzar en mantener la seguridad de la información, sería imposible hacerlo sólo con nuestros recursos.

¿Cuál es la visión de futuro de Mutualia con respecto a la ciberseguridad? ¿En qué proyectos estáis trabajando?

Como bien has dicho, somos empresas que estamos en el punto de mira de los ciberdelincuentes sobre todo porque disponemos información sanitaria.

Disponemos de un servicio al que llamo “boinas verdes” que se activa cuando ya te han atacado. Hemos contratado a expertos que actúen cuando ya se han superado las medidas de seguridad y los ciberdelincuentes están dentro. Es un equipo de expertos que “desembarcan” en nuestra empresa en ese momento tan complicado y que nos ayudan a gestionar la situación. Y no hablo solo de la parte técnica, también de la comunicación con los clientes, de la gestión del impacto reputacional, del ámbito legal, de la recogida de pruebas periciales, etc.

Este proveedor es Secure&IT. Me da mucha tranquilidad tener contratado su servicio de CSIRT porque sé que tengo a un equipo élite, en el que puedo confiar, con solo llamar por teléfono.

Estamos a primeros de año y es un buen momento para comentar cuáles son tus inquietudes y previsiones. Ya hemos hablado de ransomware, de suplantación de identidad… ¿Qué otros aspectos son los que más te preocupan?

La velocidad a la que va todo. Cada día hay más vulnerabilidades y los ataques son cada vez más sofisticados… estar al día e informado es muy complicado y destinar recursos a conocer las novedades es muy complicado. Por eso, recalco otra vez la importancia de trabajar con empresas especializadas, dejarles te ayuden en esta tarea, que te mantengan informado y te asesoren.

4/5 (3 Reviews)
Facebooktwitterpinterestlinkedinby feather
/ Entrevista

Related Posts

Ciberseguridad en tiempo de pandemia: guía para estar ciberseguros
La ciberinteligencia en un mundo en constante cambio
Ciberdelitos: los cambios en el Código Penal
Consejo de seguridad: utiliza la precaución y el sentido común
El uso de deepfakes se dispara un 900% y se convierte en una herramienta clave en los conflictos bélicos
Consejo de seguridad – Altavoces inteligentes: seguridad y privacidad
El precio de un ciberataque, ¿cuánto le puede costar a tu empresa?
Procesos y gobierno IT en una empresa
Las 25 vulnerabilidades más explotadas por los ciberdelincuentes
Ciberseguridad en grandes eventos deportivos
Tecnología IRM y cumplimiento GDPR
La importancia de un abogado en las auditorías de seguridad