Ciberseguridad Nalanda: compromiso con nuestros clientes

Entrevista con la Responsable de  Seguridad y Protección de Datos de Nalanda

La ciberseguridad en Nalanda ha sido siempre un compromiso inherente al desarrollo de esta compañía

Sol Martín Morales es la Responsable de Seguridad y Protección de Datos de Nalanda. Para nuestra compañía la información es uno de los principales  activos con los que trabajamos y, por ello, el buen uso de la misma siguiendo la normativa del RGPD es una de nuestras máximas prioridades.

La adecuada gestión y protección de los datos, sobre todo de información muy sensible de empresas y trabajadores, es un protocolo fundamental en nuestra actividad. Es indispensable adoptar medidas que garanticen la seguridad de la información frente a ciberataques y otros riesgos de incidentes difícilmente predecibles (fenómenos naturales, incendios…etc.)

¿Cómo gestiona Nalanda la Ciberseguridad y qué medidas tiene para prevenir posibles incidentes?

En Nalanda tenemos la suerte de que ya habíamos implantado un eficaz sistema para “teletrabajar” con plenas garantías antes del fatídico 14 de marzo. Es verdad que tuvimos que adaptar con urgencia este sistema a algunos empleados que no lo tenían,  pero nuestro punto de partida era más ventajoso.

Para nuestra compañía la seguridad de la información y los datos siempre ha sido muy importante, pero cada año aumenta nuestra preocupación, seguramente como en el resto de empresas, ya que los riesgos cada vez son más grandes y los ciberdelincuentes están constantemente buscando nuevas formas de atacar a las empresas.

Nosotros pasamos auditorías periódicas tanto de nuestros sistemas como las pertinentes de la Certificación ISO 27001; precisamente este año nos hemos recertificado hasta 2023. 

En la situación actual, la mayoría de las empresas creen verse obligadas a reforzar sus departamentos en este área. ¿Qué está haciendo Nalanda al respecto?

Nalanda es un claro ejemplo de esta tendencia. Yo me incorporé a la compañía en Noviembre de 2019 ante la necesidad de tener una persona 100% dedicada a este tema.

Y la seguridad es ahora es un aprendizaje constante; ya no es suficiente con estudiar una carrera o un curso especializado; tienes que estar al día de nuevas medidas, nuevos ataques, contrastar tus experiencias y conocimientos con compañeros del sector, contar con los mejores equipos y tecnologías, y, por supuesto, estar al día de las noticias y actualizaciones… ¡una aventura!

¿Cómo se gestionan los riesgos de seguridad y cómo se guarda la información de los clientes?

Tenemos implantadas diferentes medidas de seguridad para la protección de la información de nuestros clientes: medidas relacionadas con la “securización” de nuestras máquinas (equipos de oficina, BBDD, etc);  y medidas implantadas en las herramientas desarrolladas para el cliente, como el acceso a la información por roles o el doble factor de autenticación, un proyecto que hemos puesto en marcha recientemente. 

¿Cómo aseguramos que el personal trabaja con medidas de seguridad, y cómo se transmite a los empleados la importancia de la misma y de los conocimientos para tratar la información?

Los empleados conocen el almacenamiento que deben utilizar para guardar cualquier tipo de información (datos confidenciales), para evitar fugas de información, facilitando también las tareas de gestión. Pero, en seguridad siempre se dice que el eslabón más débil es el empleado; para mí es el eslabón más importante, que sea débil o fuerte depende de mí, ya que ellos necesitan saber cómo actuar ante cualquier situación y yo tengo que enseñarles cuál es el mejor camino. 

Llevo varios años trabajando en el área de concienciación y creo que es de los puntos más importantes de la seguridad. Nuestros empleados, están muy concienciados y  muy interesados con este tema; siempre que tienen alguna sospecha sobre posibles riesgos lo hablan conmigo y lo vemos juntos.  Además, realizamos campañas cada 2 o 3 meses sobre los temas más relevantes (modos de ataque, contraseñas, teletrabajo, etc.). También contamos con colaboración externa para darnos a conocer las novedades en la materia y poder actualizar nuestras metodologías y sistemas.

¿Cómo ha sido la evolución de la implantación de procedimientos y mecanismos en Nalanda, especialmente en los últimos tiempos?

Las recomendaciones de ciberseguridad son muchas y no siempre se pueden aplicar, bien por escasez de fondos o por el débil apoyo de las organizaciones. En Nalanda la Dirección está muy sensibilizada con este tema; en esto tengo mucha suerte porque tengo el apoyo y los recursos para implantar las medidas necesarias. Desde mis inicios en la empresa, he propuesto varios proyectos que suponían bastante esfuerzo,  tanto económico como por parte de mis compañeros,  y me he sentido siempre muy respaldada. También se ha hecho un gran trabajo a nivel de procedimientos con la recertificación de la ISO.

Y por último, y esto es lo que más interesa a los clientes; ¿estamos preparados para combatir eficazmente un ciberataque?

Yo creo que a día de hoy nadie puede decir que está absolutamente preparado para  evitar un ataque. De hecho, en los últimos meses  varias grandes compañías con grandes departamentos de seguridad se han visto involucradas en esta situación y las consecuencias han sido muy graves. El modelo de ataque evoluciona mucho más rápido que lo que nosotros podemos trabajar para mitigar ese riesgo, por lo que se hace a veces muy difícil estar preparados ante estas amenazas. 

Debemos estar preparados para remontar el servicio en el menor tiempo y que nuestros clientes se vean afectados lo mínimo posible, y en esto trabajamos cada día. 

Como resumen podemos afirmar que el incremento de ciberataques ha supuesto “casi” una ventaja para la seguridad. Las empresas han ido tomando conciencia de la necesidad de proteger equipos, datos, y aplicaciones, considerando la ciberseguridad como una inversión y no un gasto. 

La ciberseguridad en Nalanda siempre ha estado en el núcleo del negocio, ha sido un compromiso inherente al desarrollo de esta compañía;  pero la orientación y colaboración entre empresas para extenderla es fundamental e imprescindible para no tener riesgos  o, por lo menos,  para poder evitarlos en mayor medida.