La compañía de consultoría y tecnología ha formado a 35.000 empleados en Seguridad de la Información con el objetivo de dar a conocer y concienciar a todos los profesionales de la empresa sobre los aspectos más críticos en este ámbito para no dejar ningún frente abierto que pueda suponer una brecha en la seguridad.
Indra inició a finales de 2018 un Plan de Sensibilización en Seguridad de la Información para concienciar y formar a todos sus empleados sobre la importancia de ser cuidadosos y cumplir «escrupulosamente» la normativa de la compañía en esta materia, una sensibilidad que hoy en día cobra más relevancia debido al aumento del teletrabajo.
Los resultados conseguidos gracias al esfuerzo de Indra corroboran su éxito, ya que, según su último Informe de Sostenibilidad, en los tres últimos años la compañía ha registrado cero incidentes de ciberseguridad con impacto crítico, así como ninguna reclamación relativa a violaciones de la privacidad y/o pérdida de datos del cliente.
Para poder articular este «ambicioso» plan y llegar a decenas de miles de personas, Indra cuenta con una Política que establece el Sistema de Gestión de Seguridad de la Información, que define, implanta y mejora todos los controles y procedimientos necesarios para minimizar y gestionar los riesgos en los procesos internos.
Estos, además, son actualizados continuamente dada la «exigente y continua evolución» de la sociedad de la información y cubren todo el proceso, desde la operación diaria, el desarrollo y la ejecución de proyectos, los programas y los servicios, hasta la gestión de los clientes.
Para no dejar ningún frente abierto que pudiera suponer una brecha en la seguridad, desde Indra apuntan que «es necesario concienciar sobre los aspectos críticos a todos los profesionales, no solo a aquellos que manejan información sensible».
Por ello, la compañía creó la Cátedra de Seguridad de la Información y mediante su Plan de Sensibilización de Seguridad promueve un «exhaustivo y completo» plan de acciones, desde una perspectiva tanto profesional como personal, teniendo en cuenta los roles y aptitudes de cada uno de los empleados.
Entre ellas, destacan diversos cursos de ‘e-learning’ para sus profesionales en todo el mundo, formación específica para personal clave, sesiones presenciales para diferentes unidades de Indra y la difusión de información, formación y avisos de seguridad, a través de comunicados enviados semanalmente. Todo ello apostando por nuevas metodologías para «enganchar» a los empleados.
Así, Indra cuenta con cursos online dirigidos especialmente a cada empleado según su función, que incluyen cursos de seguridad básico y avanzado, formación específica sobre el Reglamento General de Protección de Datos (RGPD) y medidas de seguridad que se deben aplicar según el Esquema Nacional de Seguridad (ENS).
«Se trata, en definitiva, de formar a los diferentes colectivos en materias concretas relacionadas con seguridad. Este mismo año, más de 35.000 personas ya han realizado el curso básico de Seguridad de la Información», remarcan desde la empresa.
Además, para personal clave como puede ser el equipo de dirección, se realizan campañas de ‘coaching’ específico en Seguridad de la Información con el objetivo de promover la cultura ‘top-down. Las campañas de mailing se lanzan a todos los profesionales con el objetivo de concienciar sobre determinadas temáticas y alertar ante posibles incidentes y ataques.
También se organizan sesiones de formación y de concienciación presenciales para abordar temáticas que afectan a ciertas unidades, que con la pandemia se han seguido haciendo de forma online. Por último, se contribuye a la seguridad en las operaciones y los productos con iniciativas que evalúan el riesgo en todo el ciclo de vida de las operaciones.
En este aspecto, fuentes del departamento de Seguridad de la Información de Indra explican que «el mercado valora positivamente la Seguridad de la Información y que, desde los diferentes negocios, cada vez se recurre más a la Cátedra para reforzar las ofertas o revisar contratos».
El entorno familiar tampoco escapa del radar de Indra, que aprovecha las jornadas familiares de puertas abiertas para impartir talleres de ciberseguridad tanto a los profesionales como a sus hijos, donde se sensibiliza en materias como protección de menores en Internet o fraude electrónico.
Una de las consecuencias colaterales de la pandemia del Covid-19 fue la adopción masiva del teletrabajo por parte de las empresas. Algunas estaban preparadas, pero otras afrontaron una conversión al mundo digital en tiempo récord, especialmente las pymes, que conforman el 90% del tejido empresarial español. El resultado fue que en muchas ocasiones este salto ‘exprés’ a la digitalización no tuvo en cuenta uno de los factores clave para su adopción, la Seguridad de la Información.
Esta circunstancia fue aprovechada por los ciberdelincuentes, dando lugar a un significativo aumento de su actividad en el confinamiento, durante el que muchas empresas vieron comprometidos sus sistemas y sus datos. «Aún hoy el fenómeno sigue en auge y no tiene visos de retroceder», alertan desde la compañía.
En Indra, la Seguridad de la Información es parte esencial de su estrategia de negocio dado el impacto que su gestión tiene en su actividad y en la de sus clientes. Algunas de sus soluciones van dirigidas a la gestión de infraestructuras críticas (transporte, energía, defensa…) o implican la gestión de datos clave de las personas (sanidad, financiero, procesos electorales…), por lo que la ciberseguridad es un elemento transversal clave en su actividad.
Para reforzar aún más el modelo de Seguridad de la Información, a finales de 2019 se concretó la adquisición de SIA, una compañía especializada en servicios de ciberseguridad, lo que ha convertido a Indra en el «líder en servicios de ciberseguridad en España y Portugal».
Gracias a estas capacidades, cuando llegó el confinamiento decretado por el Gobierno en el mes de marzo, en Indra ya estaban preparados y el 90% de su plantilla teletrabajó desde el primer día con los más altos estándares de seguridad.
Pero la realidad, según explica el responsable de la Cátedra de Seguridad de la Información de Indra, José Fernando Carvajal, es que en la compañía hacía tiempo que eran conscientes de que no podía «bajar la guardia en seguridad» y que, el «eslabón más débil» sobre el que tenían que trabajar «eran las personas».