Luis Villafranca: “En ciberseguridad, la preocupación siempre es muy alta y la atención debe ser constante ”

Luis Villafranca: “En ciberseguridad, la preocupación siempre es muy alta y la atención debe ser constante ”

Luis Villafranca Azkoyen Group

Luis Villafranca empezó a trabajar para el Grupo Azkoyen en el año 1989 y, en la actualidad, ocupa el cargo de IT Manager de la corporación. Lleva casi 30 años dedicado a una compañía con una alta complejidad interna (debido a sus diferentes líneas de negocio y a su presencia en varios países), que ha vivido cambios organizativos muy importantes y con un fuerte impacto en los sistemas de información. El departamento de Tecnologías de la Información de Azkoyen, S.A., del que Luis es responsable, es corporativo y está centralizado en su sede de Peralta (Navarra). Desde allí, se da servicio a once empresas del grupo que están situadas en Colombia, EEUU, Portugal, Francia, Alemania, Italia, Reino Unido y España. De ellas, tres son centros de fabricación (Colombia, Italia y Reino Unido) y, el resto, sedes comerciales.

Llevas casi 30 años trabajando en Azkoyen, ¿cómo ha sido el proceso de transformación digital en la empresa?

En Azkoyen ha habido una gran transformación. Por ponerte un ejemplo, desde que yo llegué hasta el año 2003, cada empresa del grupo era independiente del resto (teníamos 3 departamentos de IT diferentes). Pero, en aquel momento, en el que yo era responsable de Tecnologías de la Información de una de las empresas del grupo, la informática –entre otros departamentos– pasó a gestionarse de manera corporativa y me ofrecieron ocuparme de ese nuevo departamento de IT. Poco a poco, hemos ido integrándolo todo y, a día de hoy, podemos decir que todos los servicios que prestamos desde el área son únicos para todo el grupo.

Pero, tenemos un nuevo reto. Hasta ahora, el departamento de IT se encargaba de lo que llamamos “IT de negocio”, es decir, dar soporte a todos los sistemas que necesita la empresa para gestionar el negocio (correo electrónico, ficheros, bases de datos, sistemas de seguridad, etc.). Pero, Azkoyen –que es una compañía que siempre ha fabricado y vendido máquinas– está transformando su negocio. Vamos a empezar a comercializar software y una serie de servicios, con el modelo de pago por uso. Hablamos de telemetría de las máquinas, monederos virtuales, etc.

Ya no solo vamos a fabricar máquinas; ahora, se abre ante nosotros un escenario novedoso e interesante, que va acompañado de nuevos desafíos tecnológicos y de seguridad. De aquí en adelante, nos encargaremos no solo de la “IT de Negocio” sino también de la “IT de Producto”, que es donde estamos depositando muchos de nuestros esfuerzos.

Algunos informes revelan que casi el 30% de las empresas industriales se ha enfrentado en los últimos 12 meses a ataques dirigidos y que El ‘fraude del CEO’ crecerá un 70% este año. Esto es definitivo para que muchas empresas se planteen invertir en seguridad de la información. ¿En qué momento decidisteis vosotros abordar la ciberseguridad como algo necesario para la compañía?

En todo el proceso de integración que hemos vivido en Azkoyen desde 2003, el tema de la seguridad no había sido nunca el prioritario. Habíamos trabajado en la implantación de SAP, renovación y unificación de infraestructuras, integración de las empresas que se iban adquiriendo, etc. Nosotros teníamos nuestros firewalls y nuestro software antivirus; sabíamos que la seguridad es mucho más que eso, pero siempre había proyectos más prioritarios para el negocio. En el año 2014 decidimos finalmente “coger el toro por los cuernos” y afrontar todos los problemas relacionados con la seguridad.

Después de un proceso de selección con diferentes proveedores, Secure&IT fue el que más nos interesó porque contaba con un servicio de seguridad 360 grados.

El primer paso era claro, debíamos hacer una auditoría completa, no solo en temas de ciberseguridad, sino también en temas de cumplimiento y de procedimientos. El resultado de la auditoría fue un plan de acción que hemos ido ejecutando a lo largo de estos años.

Con carácter general, el aumento de los incidentes de seguridad en estos últimos meses ha sido muy grande. En términos de seguridad, nunca puedes tener la certeza de estar completamente protegido, pero no me cabe ninguna duda que Azkoyen está ahora mucho mejor preparada para convivir con esta nueva situación que antes. Pese a todo, la preocupación siempre es muy alta y la atención debe ser constante.

¿Cómo ha evolucionado el Grupo Azkoyen en lo que a seguridad de la información se refiere?

Nosotros decidimos apostar por la seguridad como una inversión de futuro. En un primer momento, en los inicios del proyecto, creíamos entender la importancia de lo que nos contaban (amenazas, riesgos, formación y concienciación, etc.), pero en realidad veíamos los ataques como algo lejano, algo que nunca nos iba a suceder a nosotros. En este periodo han sucedido varias cosas que nos han hecho comprender, de verdad, la relevancia de este tema. Una de ellas es que hemos sufrido ataques (y los hemos gestionado bien). Pero, añadiría que existe una gran presión legislativa y que los medios de comunicación le están dando mayor visibilidad a la ciberseguridad. Por eso, aunque antes creíamos que lo entendíamos, es ahora cuando podemos decir que estamos concienciados y sensibilizados. De hecho, la exigencia que nos hacemos en este ámbito es cada vez mayor.

La mayor parte de los peligros no están fuera, sino dentro de la propia empresa y, uno de los más importantes son los errores humanos. Los datos hablan por sí solos: el 85% de los trabajadores desconoce las políticas de ciberseguridad de su empresa.  ¿Qué importancia le dais a la formación y concienciación en Azkoyen?

Nosotros siempre hemos apostado por mantener informados a nuestros trabajadores. Cuando se ha producido algún evento de seguridad importante (como lo sucedido con Wannacry, Petya, etc.), lo hemos notificado a todos nuestros empleados. Esa labor ha existido siempre. Pero, además, desde hace un tiempo contamos con los consejos de seguridad que semanalmente nos hace llegar Secure&IT, y que han conseguido una mayor concienciación y aprendizaje por parte de los trabajadores. Diría que la labor de los medios de comunicación en este sentido también es importante; el hecho de ver los ataques en la televisión nos influye. Y, con el paso del tiempo, la evolución es notoria. Antes, ningún empleado nos hacía consultas relacionadas con la seguridad, ahora, ante cualquier duda o cualquier cosa extraña, preguntan.

En definitiva, nuestro objetivo es que los trabajadores del Grupo Azkoyen apliquen la seguridad no solo en el ámbito laboral, sino también en el personal (en su casa, con sus hijos, etc.). De esta forma, todos salimos beneficiados.

Venimos de un año en el que Wannacry, Petya y, después, Bad Rabbit han puesto la ciberseguridad en boca de todo el mundo. Aunque el ransomware es solo una pequeña parte de las amenazas a las que nos enfrentamos día a día, ¿qué grado de preocupación genera esto a un IT Manager?

De entrada, cualquier ataque, aunque no te afecte directamente, genera preocupación e interés (saber qué ha pasado, por qué se ha producido, si se podía haber evitado…). Por supuesto, estos eventos hacen que incrementes la aplicación de medidas preventivas. Te obliga a estar más encima. En nuestro caso, nos ofrece mucha tranquilidad el hecho de contar con un SOC (Centro de Operaciones de Seguridad, en inglés, Security Operations Center) como el de Secure&IT, en el que se monitorizan todos nuestros eventos de seguridad, con un servicio 24×7. Eso, más el trabajo constante de actualización de sistemas y de formación y concienciación de los empleados, nos permite estar más “tranquilos”.

Otra de las grandes “preocupaciones” para las empresas en 2018 es el nuevo RGPD. Ya ha entrado en vigor, pero a finales de mayo será de obligado cumplimiento. ¿Un nuevo reto?

Efectivamente, es un nuevo reto y de gran importancia para nosotros. Hasta ahora, en Azkoyen teníamos que cumplir con la legislación nacional de protección de datos en cada uno de los países europeos donde tenemos presencia propia. La nueva legislación nos permite resolver el problema de forma corporativa y, desde España, vamos a asegurar el cumplimiento de la normativa en todas nuestras empresas. Además, el proyecto de adaptación al GDPR no nos lo hemos tomado como una nueva obligación legal, sino que hemos decidido implantar un Sistema de Gestión de Seguridad de la Información que nos permita el cumplimiento normativo y, sobre todo, aportar una mayor seguridad a la información de la compañía. Adicionalmente, se hace una labor continua en compliance y estamos inmersos en un proyecto de prevención del delito, a raíz de los cambios que se produjeron en el Código Penal.

¿Qué papel juegan en vuestro trabajo empresas como Secure&IT?

Para nosotros no hay ninguna duda, en materia de IT consideramos que es mejor externalizar los servicios con empresas y profesionales especialistas. Si nos centramos en el ámbito de la seguridad (y también del cumplimiento) el trabajo de Secure&IT es fundamental para nuestra empresa y nos ofrece una cobertura completa: se realiza un seguimiento constante; contamos con un plan de actuación; nos aseguramos de cumplir con la normativa; disponemos de asesoramiento en la implantación de medidas tecnológicas y, además, recibimos formación.

 

Comments

Comentarios desactivados