Inicio / Protege tu empresa / Blog / Entrevista con... Joaquín Álvarez, coordinador de seguridad en ENDESA

Entrevista con... Joaquín Álvarez, coordinador de seguridad en ENDESA

Publicado el 18/02/2015, por INCIBE
Entrevista Joaquín Álvarez

Inició sJoaquin Alvarez coordinador seguridad ENDESAu trayectoria profesional en el sector de las telecomunicaciones ocupando posiciones técnicas y de gestión. Actualmente trabaja en ENDESA, comenzó su actividad laboral en el departamento de sistemas de información. Posteriormente, dirigió la unidad de normativa, asumiendo simultáneamente la responsabilidad de la función de seguridad de la información. Actualmente es coordinador funcional de la unidad de seguridad donde, entre otras, se encuadra el área de rrevención y respuesta a la ciberamenaza y la de ciberinteligencia.

Está titulado en derecho y en telecomunicaciones, posee un master en consultoría estratégica de las organizaciones, está diplomado en negocio energético y en dirección de seguridad corporativa y protección del patrimonio, está habilitado por el Ministerio del Interior como director de seguridad y dispone del Certified Information Security Manager (CISM) y del Certified Data Privacy Professional (CDPP).

1. La seguridad en una organización de la envergadura de Endesa no debe ser una tarea sencilla, y más si a esa complejidad le sumamos el hecho de que instalaciones de Endesa están categorizadas como infraestructuras estratégicas. En su compañía por tanto confluyen la seguridad de los sistemas de información corporativos y la seguridad de de sus sistemas de control industrial. Hasta donde nos pueda contar, ¿Cómo se estructura y organiza la gestión de la seguridad en una organización de estas características?

Hemos constituido una organización de seguridad que integra la seguridad física y la seguridad lógica. Este modelo organizativo posibilita que podamos hacer la protección de las personas y de los activos civiles e industriales de la empresa con una visión completa.

 

2. ¿Qué responsabilidades tiene ENDESA como operador de infraestructuras estratégicas?

Como usted conoce, la principal actividad de nuestra empresa consiste en generar energía eléctrica para, posteriormente, hacerla llegar a nuestros clientes y, en su caso, también a los de otras compañías. Bajo el punto de vista de la seguridad, al ser la electricidad un bien de primera necesidad para la ciudadanía y la industria, tenemos la obligación de proteger nuestras instalaciones ante actos malintencionados que pudieran provocar una interrupción del suministro eléctrico. Esta actividad debe ser - y así está siendo- complementada a través de una estrecha colaboración con las instituciones de seguridad pública.

 

3. Endesa cuenta con un elevado número de empleados, de los cuales la mayor parte seguramente tendrán acceso a los sistemas de información corporativos. La importancia del factor humano en la seguridad de Endesa es muy alta. ¿Qué iniciativas ha abordado Endesa en materia de concienciación de sus empleados?

Efectivamente, el factor humano es uno de los aspectos más importantes a considerar en todo modelo de seguridad. En este sentido, venimos haciendo campañas de concienciación en seguridad desde hace varios años. Comenzamos con estas actividades orientándolas a nuestros empleados y sus familiares, haciendo un especial hincapié en la protección de sus hijos menores de edad y continuamos con otra serie de actuaciones dirigidas a la protección de la información de gestión y control que se maneja dentro de nuestros entornos industriales. Todas estas campañas las hemos llevado a cabo de forma presencial en todas nuestras sedes en España y las hemos reforzado con material que ponemos a disposición de nuestros empleados en páginas web de nuestra compañía. En resumen, creemos en la importancia de la concienciación y también en que ésta es una labor que debe ser continua y adaptada permanentemente a las nuevas amenazas que vayan apareciendo.

 

4. ¿Cree que la percepción de la seguridad por parte de los empleados está evolucionando? Las iniciativas que han abordado en materia de concienciación han sido productivas? En otras palabras, ¿invertir en concienciación es rentable para una empresa?

Sin duda alguna, nosotros creemos que invertir en concienciación es rentable. Si bien, no es el enfoque sobre la rentabilidad económica lo que nos mueve a concienciar, parece obvio concluir que si la concienciación incrementa la prevención y, con ello, se contribuye a fortalecer la seguridad de la Compañía, las pérdidas que pudieran sufrirse por este concepto van a disminuir.

 

5. ¿Podría contarnos en que líneas de trabajo está poniendo el acento Endesa en materia de seguridad?

Además de la concienciación, de la que ya hemos hablado ampliamente, nuestros esfuerzos se orientan en dos líneas de actuación: la primera, la adaptación continua de nuestra propia unidad de seguridad para que esté en sintonía con las cambiantes circunstancias del entorno, especialmente en lo que se refiere a las amenazas procedentes del ciberespacio; la segunda, el cumplimiento legislativo en todo lo referente a la protección de nuestras infraestructuras.

 

6. Usted participó recientemente en una de las ponencias del ENISE organizado por INCIBE en León, en concreto detallando la participación de Endesa en los CYBER-EX 2014. ¿Podría explicar a nuestros lectores en qué han consistido estos ejercicios?

Los ejercicios han consistido en la simulación de ataques cuya finalidad ha sido: primero, evaluar el nivel de seguridad de las empresas partícipes y cómo responde su organización interna ante ellos y; segundo, valorar las capacidades de recuperación de las organizaciones colaboradoras y la eficacia del método empleado para el intercambio externo e interno de información sobre los ciberataques.

 

7. En su intervención usted destacó la importancia de la coordinación entre los departamentos que intervenían en las diferentes fases del incidente de seguridad. La gestión de la seguridad hace tiempo que dejó de ser una cuestión técnica, y tiene dimensiones organizativas, legales e incluso de comunicación. ¿Cómo articulan las diferentes responsabilidades que intervienen en la gestión de la ciberseguridad?

Una buena coordinación en este aspecto es uno de los frutos que se obtienen de las campañas de concienciación. Cuando nos enfrentamos a un ciberataque es precisa una buena coordinación interna; en este sentido, tenemos elaborado un “Plan para la Gestión de Crisis”, en el que, de forma ordenada y según el nivel de gravedad de la crisis, se ha articulado qué unidades deben intervenir y el cometido que debe llevar a cabo cada una de ellas. Este Plan es preciso mantenerlo actualizado con el fin de asegurar de que está adaptado a las amenazas actuales, siendo uno de los modos de comprobación la participación en los ciberejercicios.

Etiquetas: