Entrevista con... Ignacio Huet, IT Director en NOATUM PORTS

Ignacio es Ingeniero Superior de Telecomunicaciones por la Universidad politécnica de Valencia. Inició su carrera profesional en 1996 como Co-fundador y Director técnico de una consultora de Telecomunicaciones. En 1998 cambia al sector marítimo trabajando como técnico de sistemas en Marítima Valenciana (Marvalsa). Desde entonces no ha abandonado el mismo, y siempre ocupando puestos de responsabilidad dentro del mismo grupo a lo largo de los 16 últimos años: Director de Sistemas en Marvalsa y en el grupo Dragados SPL, Responsable del departamento de procesos operativos y Director de la Terminal Pública Marvalsa durante 5 años, en los que fue consejero de la sociedad de estiba del Puerto de Valencia. Desde el 2011 es el Director IT del grupo Noatum Ports&Maritime y miembro de su Executive Management Team.

1. Me consta que en NOATUM PORTS la Dirección está muy concienciada en la necesidad de invertir en seguridad para proteger el negocio, y en concreto en la seguridad de los sistemas de información corporativos. ¿Cree usted que es un factor diferencial?

Sí claro, por supuesto que es un factor diferencial. Nuestro consejero delegado es muy consciente de los riesgos en materia de seguridad de la información, y la empresa lo es del valor de la tecnología para el grupo. Debemos proteger los activos de la empresa, como son nuestras terminales, las grúas y equipos, mediante seguridad física perimetral, pero también cubrir otros riesgos, como que alguien pueda de forma intencionada o accidental sacar información. Esta inquietud ha existido desde el principio, porque nuestros accionistas no pueden permitirse que la información de la empresa circule sin control. Es algo inaceptable para los estándares que establece J.P. Morgan, nuestro mayor accionista. Por lo tanto desde que se creó Noatum, en nuestra hoja de ruta quedó establecida la importancia de garantizar la seguridad de los sistemas de información como un activo relevante para la empresa.

2. NOATUM PORTS dispone de certificaciones relacionadas con diferentes sistemas de gestión (ISO 9000, ISO 18001, ISO 14000). ¿Qué cree usted que aportan los sistemas de gestión a las organizaciones?

Disponer de certificaciones relacionadas con diferentes sistemas de gestión, hace que trabajemos bajo unos criterios y estándares probados, que nos obligan a mejorar continuamente las políticas, procedimientos y procesos dela organización. De hecho, estamos implantando ahora un plan de seguridad de los sistemas de información, con el objetivo de certificarnos este año bajo la norma ISO 27001, lo que supondrá una garantía para nuestros accionistas y clientes.

3. Teniendo en cuenta el nivel de integración que existe hoy entre el mundo de la producción y los sistemas de información ¿Nos podría contar de qué manera ha influido este hecho en la seguridad de la información de su organización?

Aplicar la tecnología de la información a los procesos productivos de la organización incrementa la productividad y con ello la competitividad; pero también se asume un mayor riesgo porque se tiene más dependencia de las tecnologías de la información. Aplicar las tecnologías a los procesos productivos nos ayuda a tener una mayor visibilidad y control sobre ellos; además, al crear esa visibilidad, todos los que participan en los procesos saben que estos son monitorizados, por lo que los estándares de calidad crecen. Aparte, al disponer de la información del proceso, podemos medir y analizar; y en definitiva, gestionar. Por otra parte, tener información de la producción en tiempo real permite hacer correcciones. Todo esto, en efecto, tiene la contrapartida de que no sólo eres más dependiente de la tecnología, obligándote a tener medidas de contingencia mucho más ágiles, sino que estas más expuesto a que terceros tengan acceso a ella. Sería un grave error que por ello diéramos marcha atrás o simplemente ignoráramos el riesgo. Nuestra obligación desde IT es implantar las medidas y controles necesarios que anulen o mitiguen este riesgo; y es lo que hacemos a través de la ISO y la monitorización activa de nuestra seguridad en la red, equipos y archivos.

4. La logística portuaria es muy compleja, requiere de profesionales muy especializados y de un conocimiento del negocio muy profundo. Las operaciones portuarias no tienen “horario de oficina”, y requieren de disponibilidad continua. En este caso, la continuidad del negocio en NOATUM debe considerarse como un punto crítico.

Efectivamente, la logística portuaria es compleja; la gestión de mercancías en los diferentes tipos de terminales que tenemos en la península y canarias no es sencilla. Además en nuestro caso, tenemos como he dicho anteriormente, una dependencia total de la tecnología: la gestión de los contenedores está totalmente automatizada, las operaciones se gestionan informáticamente y la captura de la información para poder facturar y analizar también está informatizada. En tales condiciones se comprende que una desconexión o la pérdida de la red corporativa es un drama. Por ese motivo tenemos que asegurar que la tecnología que utilizamos sea suficientemente robusta y que, en caso de que se produzca un incidente que afecte a la disponibilidad de nuestro servicio, tengamos la capacidad de restaurar el servicio en los tiempos que exige el negocio. La novedad ahora es que esta gestión de la disponibilidad no sólo se limita al ámbito físico y lógico sino que tiene que considerar las actuaciones mal intencionadas, tanto internas como externas y que buscan ejecutarse de la forma más silenciosa e indetectable.

5. En un sector como el suyo, la seguridad en todas sus vertientes afecta directamente al negocio. Pero muchas veces parece que la seguridad de los sistemas dependiese sólo de la tecnología, pero el uso de la tecnología depende de las personas. En ese aspecto, ¿NOATUM PORTS es consciente de la necesidad de concienciar al personal de esto? ¿Cómo motivar a las personas para que mantengan el nivel de protección necesario?

Los incidentes más graves de los últimos años relacionados con la seguridad de los sistemas de información, vienen provocados por fallos de las personas, ya que es el eslabón más débil de la cadena de seguridad. Eso lo sabemos, y por ello nos hemos puesto a trabajar en ese aspecto. Hemos planificado sesiones de concienciación que se llevarán a cabo en las próximas fechas, donde en una primera fase participarán 160 empleados pertenecientes a los departamentos de Operaciones, Administración y Dirección. Pero además de la concienciación, debemos tener en cuenta que uno de los aspectos básicos en cualquier modelo de seguridad de los sistemas de información es tener definida una política de seguridad clara y que ésta sea conocida por todos, donde esté clasificada la información por tipos y establecidos para cada tipo de información unos parámetros de seguridad: qué información tiene que estar cifrada y cuál no, quién tiene permisos de acceso para cada tipo de información y qué puede hacer con ella, etc.

En resumen, en NOATUM, tanto en el comité ejecutivo cómo en el área que dirijo, tenemos claro que invertir en seguridad es invertir en el negocio y que no hay otra vía posible si queremos ser competitivos y seguir creciendo.