¿Cómo trata Input for You los datos confidenciales?

Cuando las organizaciones confían sus documentos y datos a Input for You, también están confiando su información más sensible: datos de clientes, datos financieros, historiales médicos, documentos de RRHH, contratos, etc. La pregunta lógica es: ¿cómo garantizar la seguridad y confidencialidad de estos datos?

Hemos planteado esta pregunta a Pierre De Landsheere, responsable externo de seguridad de Input for You. Pierre lleva más de diez años asesorando a la empresa en materia de seguridad de la información, privacidad y certificación.

Input for You: “Pierre, para empezar, ¿cuál es su opinión general sobre la forma en que Input for You maneja los datos confidenciales?”

Pierre De Landsheere: “En términos generales, hay dos aspectos que deben ir siempre de la mano: la política y la práctica.

La política es decir lo que se va a hacer. La práctica es hacer lo que se dice que se va a hacer. No se puede ofrecer una seguridad de la información o una confidencialidad serias si falta una de las dos o si no están alineadas.

En Input for You, nos organizamos en torno a la norma ISO 27001 de seguridad de la información. Esto significa que hemos implantado un Sistema de Gestión de la Seguridad de la Información (SGSI). Este sistema salvaguarda todos los aspectos importantes, como la seguridad de la información, el cumplimiento normativo, la privacidad, la seguridad de los datos y la gestión de riesgos.

Una vez al año, un auditor externo acreditado comprueba si nuestra política cumple todos los requisitos de la norma ISO. Se trata de una comprobación independiente de todo nuestro marco político. Y entonces empieza la parte más importante: garantizar que lo que está sobre el papel también se pone en práctica cada día.

Aportaciones para usted: “¿Cómo se traduce concretamente esa política en nuestras operaciones diarias y en la forma en que manejamos los datos de nuestros clientes?'.”

Pierre De Landsheere: “Aquí hay varias capas implicadas: organización, tecnología y principios.

Un principio importante es el trabajo basado en el riesgo. Identificamos los riesgos y tomamos medidas para reducirlos al máximo. Esto puede implicar medidas técnicas, procesos, pero también opciones de infraestructura.

Por ejemplo, limitamos conscientemente la parte de nuestras operaciones que es visible en la Internet pública. Cuanto menor sea la superficie de ataque, menor será la posibilidad de que alguien se meta donde no le llaman.

Otro principio es mantener el control. Input for You adquiere su propio hardware, utiliza sus propios equipos y lo gestiona todo ella misma en la medida de lo posible. En la medida de lo posible, gestionamos internamente el almacenamiento, el tratamiento y la transmisión de los datos de los clientes. Esto nos da el máximo control sobre lo que ocurre con esos datos.

Por último, apostamos decididamente por la automatización y la integración de sistemas. Cuantas menos intervenciones manuales sean necesarias, menor será el riesgo de error humano. Pero, de nuevo, todo se basa en ese planteamiento de riesgos y está integrado en el sistema de gestión ISO 27001, de modo que no tenemos puntos ciegos en nuestras operaciones.”

Aportaciones para usted: “La normativa en torno a los datos y las TIC es cada vez más estricta. Pensemos en el GDPR y, más recientemente, en el DORA en el sector financiero. Cómo nos enfrentamos a esto?”.”

Pierre De Landsheere: “En el marco de la ISO, hay una atención explícita a las obligaciones legales y contractuales. Esto significa que no solo nos fijamos en nuestra propia casa, sino también en la normativa que se aplica a nuestros clientes.

Tomemos como ejemplo la DORA (Digital Operational Resilience Act), un nuevo marco normativo para el sector financiero, concretamente en torno a las TIC y la externalización. Input for You es un socio de externalización para muchos actores de ese sector. Eso significa que tenemos que ayudarles a cumplir sus obligaciones.

Por eso estamos adquiriendo conocimientos específicos sobre estas normativas. Seguimos de cerca lo que preocupa a nuestros clientes, qué requisitos imponen sus reguladores y cómo podemos aportar información y pruebas al respecto de forma proactiva.

En resumen, no nos limitamos a nuestro propio perímetro; también miramos por encima del hombro de nuestros clientes sus obligaciones y cómo podemos ser un eslabón fiable en este proceso.

Aportaciones para usted: “Nuestros clientes suelen ser grandes organizaciones con muchas partes interesadas. Cómo nos aseguramos de que todos se sientan cómodos con la confidencialidad y la seguridad a su manera?”.”

Pierre De Landsheere: “Así es. Input for You es relativamente pequeña, pero nuestros clientes suelen ser importantes. En una llamada típica, hay dos personas por nuestra parte y entre ocho y diez por parte del cliente. Se trata de perfiles de empresa, gestión de proyectos, responsables de seguridad, seguridad de la información, conformidad y compras, todos ellos con sus propias perspectivas.

Así que una parte importante de nuestro trabajo es la gestión de las partes interesadas. Es casi un arte hacer llegar la información adecuada a la persona adecuada en el momento adecuado. Un responsable de seguridad quiere ver detalles distintos que un gestor de proyectos o alguien de compras.

Por eso trabajamos con una combinación de:

Documentación estándar que describe nuestras políticas y procesos en torno a la seguridad y confidencialidad de la información.
Respuestas específicas para cada proyecto, adaptadas al tipo de datos, la naturaleza del proceso, la criticidad y los riesgos.

Y si los clientes quieren aún más seguridad, también ofrecemos transparencia in situ. Algunos clientes quieren ver nuestro centro de datos por sí mismos. Así que nos ponemos la ropa de protección, caminamos juntos hasta la sala de servidores y les mostramos literalmente dónde se almacenan sus datos y dónde se procesan. Ese tipo de apertura inspira mucha confianza”.”

Una aportación para usted: “Si un nuevo cliente, como una compañía de seguros, quiere empezar a trabajar con nosotros, ¿cuál es el planteamiento en cuanto a datos confidenciales y seguridad?”.”

Pierre De Landsheere: “En realidad, a menudo empieza antes del inicio real del proyecto. En la fase previa a la venta, recibimos regularmente evaluaciones de seguridad exhaustivas, especialmente del mundo financiero. A menudo se trata de voluminosas hojas de cálculo con cientos de preguntas sobre la seguridad de la información, la privacidad de los datos, la infraestructura, los procesos, lo que sea.

Además, hay NDA (acuerdos de confidencialidad) y rondas adicionales de preguntas antes de que se hable siquiera de un piloto inicial. Es normal. Los clientes quieren saber exactamente adónde van a parar sus datos confidenciales.

Una vez puesto en marcha el proyecto, nos fijamos en:

Qué documentos y datos procesaremos.
Cómo de crítico es el proceso, por ejemplo, un proyecto de archivado de seis meses o procesos con un SLA de cuatro horas.
Si el tratamiento está totalmente automatizado o si se requieren pasos manuales.

A partir de ahí, dimensionamos la infraestructura, determinamos las medidas y nos aseguramos de que el planteamiento se ajusta al perfil de riesgo del proyecto. Así evitamos sorpresas desagradables en términos de capacidad, seguridad o fiabilidad”.”

Información para usted: “A veces trabajamos con tecnología o socios externos, por ejemplo para automatizaciones o herramientas específicas. Cómo garantizamos la confidencialidad de los datos en esos casos?”.”

Pierre De Landsheere: “Es un punto muy importante, porque seguimos siendo responsables de los datos que tratamos, incluso cuando trabajamos con terceros.

Intentamos hacer dos cosas:

Hacer todo lo posible nosotros mismos. Por eso tenemos nuestro propio centro de datos, nuestros propios servidores y nuestra propia infraestructura.
Cuando trabajamos con partes externas, preferimos elegir partes con las que tengamos contacto directo, no nubes públicas anónimas en las que uno desaparece entre la multitud.

Queremos evitar dejar datos “en algún lugar de la nube” sin una visión clara de dónde acaban físicamente y qué ocurre exactamente con ellos.

Trabajamos con terceros sobre la base de acuerdos claros. Por ejemplo, si utilizamos un servicio externo, pedimos que esa parte no almacene permanentemente ningún dato. Los datos se procesan, se nos devuelven y luego permanecen con nosotros. Esto limita el impacto de un posible incidente en ese tercero.

Todo esto entra dentro de la gestión del riesgo de terceros, algo con lo que los reguladores también están muy comprometidos. Lo vemos en dos direcciones: nosotros hacia nuestros proveedores y nosotros como proveedores hacia nuestros clientes.

Entrada para usted: “La ciberdelincuencia es cada vez más sofisticada. Los atacantes buscan constantemente nuevas formas de acceder a los datos. Dónde establecemos nuestras prioridades en esta batalla?”.”

Pierre De Landsheere: “El mayor riesgo no suele ser el pirateo altamente sofisticado, sino el factor humano. Que alguien haga clic en el enlace equivocado, no reconozca un correo electrónico sospechoso o se le acerque por teléfono con una historia creíble.

Por eso estamos firmemente comprometidos:

Sensibilizar a nuestros empleados sobre lo que nunca se debe hacer, cómo reconocer señales sospechosas y qué denunciar.
Compartimentar los sistemas para que un incidente quede limitado y no pueda propagarse como un reguero de pólvora por toda la red.
Herramientas de supervisión que controlan constantemente lo que ocurre en nuestros servidores, nuestra red y nuestros sistemas y detectan actividades sospechosas.

Además, aplicamos el principio de múltiples capas de defensa. Nunca se puede acceder a nuestros sistemas en un solo paso. El acceso se concede, por ejemplo, a través de:

Una VPN con autenticación de dos factores.
Un acceso independiente a los sistemas internos, con sus propios derechos y controles.

Si se vulnera una capa en algún punto, todavía no se está “en el corazón” del sistema. El riesgo nunca es cero, pero este tipo de seguridad por capas reduce enormemente la posibilidad de incidentes graves.

Aportaciones para usted: “¿Cómo nos mantenemos informados sobre las nuevas amenazas y la evolución de la ciberdelincuencia?”

Pierre De Landsheere: “No todo lo que se lee en el periódico es relevante para una organización como Input for You. El riesgo que corre un centro de investigación nuclear es distinto del que corre una empresa de procesamiento de documentos.

Trabajamos con una combinación de:

Productos de seguridad con inteligencia incorporada, como antivirus, detección de amenazas y seguridad de red. Se actualizan continuamente con nueva información sobre amenazas.
Soluciones de supervisión a distintos niveles de la infraestructura, que detectan patrones sospechosos sin que tengamos que analizarlo todo nosotros.

No hace falta ser un experto en virus para utilizar un buen software antivirus. Lo mismo ocurre en este caso: adquirimos los conocimientos adecuados a través de herramientas y los combinamos con nuestro propio análisis de riesgos y diseño de infraestructuras.

Una aportación para usted: “Una vez que un cliente está activo, ¿cómo garantizamos que la seguridad y la protección de los datos confidenciales se mantienen al nivel requerido a largo plazo?”

Pierre De Landsheere: “Es una combinación de controles periódicos y procesos continuos.

Todos los años llevamos a cabo, entre otras, las siguientes actividades:

Pruebas de penetración, para comprobar si existen nuevas vulnerabilidades.
Exploraciones de la red, para comprobar sistemáticamente la infraestructura.
La auditoría externa ISO 27001, que comprueba si todo nuestro sistema de gestión sigue siendo conforme.

Además, procesos internos como la gestión de riesgos, la gestión de incidentes, la supervisión, las copias de seguridad y la recuperación en caso de catástrofe funcionan continuamente.

También es importante que estandaricemos nuestra infraestructura informática en la medida de lo posible. Un enfoque para las copias de seguridad, un enfoque para la recuperación en caso de catástrofe, un sistema de supervisión global. Así evitamos una maraña de excepciones y nos aseguramos de que todo cae bajo la misma capa de protección.

Nos distinguimos en nuestros servicios por la personalización. En el núcleo de la informática y las infraestructuras, nos esforzamos por la estandarización, precisamente porque es más segura y manejable.”

Una aportación para usted: “Por último, ¿cómo ve el futuro de la seguridad y confidencialidad de los datos en nuestro contexto?”.”

Pierre De Landsheere: “El futuro traerá sin duda más integraciones y automatizaciones con terceros. Es casi inevitable. El gran reto será entonces cómo mantener el control sobre lo que ocurre con los datos, desde el punto de vista contractual, jurídico y operativo.

La IA y las nuevas herramientas hacen que muchas cosas sean posibles, pero a menudo el modelo consiste en tirar los datos por encima de la valla y obtener algo a cambio, sin saber exactamente qué ocurre por el camino. Este es un problema fundamental para los datos confidenciales.

En Input for You, intentamos mantener ese control. O bien hacemos las cosas nosotros mismos, o bien nos aseguramos de tener suficiente voz y conocimiento sobre el tratamiento, en plena consonancia con el GDPR, que se refiere a la finalidad y los medios del tratamiento de datos.

Una cosa es segura: se producirá una mayor integración y automatización. Nuestro papel es garantizar que nuestros clientes puedan confiarnos sus datos confidenciales con confianza durante esta evolución, porque supervisamos el control, la supervisión y la seguridad como parte de nuestro servicio.

Acerca de Pierre De Landsheere

Pierre De Landsheere es responsable de seguridad externa de Input for You desde hace más de diez años. Asesora a varias empresas sobre seguridad de la información, certificación ISO 27001 y cumplimiento del GDPR. En esta función, ayuda a Input for You a seguir el ritmo de las nuevas normativas, los avances tecnológicos y las expectativas de los clientes, sin perder de vista la confidencialidad y la seguridad de los datos.