PorGustavo Ciuffo
Telefónica ha desarrollado e implantado recientemente un sistema DLP (Data Loss Prevention), con un alcance pionero en España, en Fomento de Construcciones y Contratas (FCC). Esta compañía es la matriz de uno de los primeros grupos de la construcción y de servicios, tanto por volumen de cifra de negocios, como por rentabilidad. La empresa nació en 1992 por la fusión de Construcciones y Contratas con Fomento de Obras y Construcciones, dos pesos pesados de este importante sector. Tal como señalan desde la propia compañía, la apuesta por la innovación y la diversificación de actividades y de mercados les ha permitido expandirse por más de 50 países e integrar a más de 500 empresas en el Grupo. Su cifra de negocio el año pasado superó los 14.000 millones de euros. Una de las cuestiones importantes que hace tiempo observaron en la compañía fue la necesidad de catalogar, localizar y monitorizar toda la información sensible de la empresa (como por ejemplo proyectos, presupuestos, innovaciones, datos de clientes, etcétera) para protegerla de sustracciones, filtraciones o espionaje industrial.
FCC se planteó así implantar un sistema de seguridad en red, con gestión externa y pago por uso de servicio para conseguir un ahorro tecnológico. Gianluca D’Antonio, responsable de seguridad de FCC y presidente del ISMS Forum (Information Security Management Systems), explica a REDES & TELECOM que, previamente a adoptar esta solución de Telefónica, su compañía estudió detenidamente el estado tecnológico de sus infraestructuras. “La elección de Symantec Data Loss Prevention como plataforma tecnológica supuso un esfuerzo de varios meses trabajando en el análisis y estudio de toda la competencia. En cuanto a la elección de Telefónica como prestador de servicio, hoy por hoy, sencillamente no hay otro partner tecnológico capaz de prestar este servicio bajo las condiciones que requiere el Grupo FCC”, explica D´Antonio.
Data Loss Prevention
La solución DLP adoptada por Fomento de Construcciones y Contratas registra el uso que se hace de toda la información sensible catalogada previamente, tanto en los puestos de trabajo (10.000 en su primera fase, en España) como en las comunicaciones en red desde dentro y desde fuera de las empresas. Esta herramienta incluye, además, todos los recursos de correo limpio, antiphishing y seguri dad IP de Telefónica y la gestión corre a cargo de su Centro de Operaciones de Seguridad (SOC).
Como decíamos más arriba, contar con esta solución permite proteger la información- hoy por hoy uno de los mayores activos de cualquier empresa– , referida a proyectos, concursos, datos de empleados, clientes y provee dores, presupuestos, innovaciones de productos y servicios. Lo que FCC buscaba era la protección de todos estos datos críticos en su gestión interna desde los puestos de trabajo y en su flujo desde y hacia el exte rior a través de la red. En este sentido, y tal como señala el responsable de seguridad de FCC, el nuevo sistema ofrece la suficiente flexibilidad como para que su implantación en un sistema empresarial complejo sea posible y ofrezca una utilidad real. “Los mecanismos de control de la información clásicos –explica D´Antonio–tienen tendencia a ser excesivamente restrictivos exigiendo a los usuarios de negocio un conocimiento previo exhaustivo de con quién quieren compartir la información y en qué condiciones. Típicamente el usuario medio no dispone de esta capacidad ni tiene el tiempo para pensar en cada momento que tipo de permisos tiene que conceder a los documentos. Esto sin tener en cuenta la gran cantidad de terceras empresas y organismos ajenos al Grupo FCC con los que trabajamos y sobre los que, naturalmente, no podemos ejercer un control. El sistema que actualmente estamos implantando nos ofrece unas capacidades de monitorización y control globales permitiendo a la vez el trabajo diario sin grandes cargas burocráticas adicionales o limitando seriamente el uso de la tecnología”.
Como valor agregado, digamos también que esta solución permitirá minimizar la necesidad de inversiones tecnológicas, ya que se trata de un modelo de servicio online, de pago por uso. En este sentido, los responsables tenían bien claro que el proveedor de la solución debía garantizar la gestión desde su propio SOC, asumir la complejidad tecnológica del proyecto e integrar en una solución única las mejores herramien tas DLP del mercado, además de asegurar la capacidad de implantación global en múltiples países y regiones. “La puesta en marcha de estos servicios nos propor ciona un alto grado de control sobre las actividades y servicios críticos de nuestro negocio. Queremos dotar a nuestros siste mas de información de un adecuado nivel de seguridad, sin necesidad de multiplicar nuestra infraestructura, optimizando los recursos sin perder en eficacia”, insiste el responsable.
En lo que se refiere a las nuevas prestaciones y ventajas que tendrá la compañía con la implantación de Data Loss Prevention es importante señalar que, a partir de ahora, la catalogación y registro sistemático de la información sensible permitirá a FCC un control exhaustivo para mejorar la gestión y la toma de decisiones, además de un incremento en los procesos de resolución inmediata de incidencias y peticiones. La solución está abierta a posteriores desa – rrollos y la actualización permanente con nuevas innovaciones de seguridad.
Por otro lado, y además de asegurar el cumplimiento de la LOPD (Ley Orgánica de Protección de Datos) y de cumplir con todas las certificaciones de regulación nacional e internacional (como HIPAA, SOX, PCI DDS, ISO27001), la nueva solución permite ahorro de costes en muchos sentidos. El pago por uso, como decíamos, posibilita trabajar con economías de esca la por la gestión y mantenimiento desde la red en el SOC de Telefónica. Gianluca D’Antonio expresa muy claramente esta idea: “El uso de esta tecnología en Modalidad Servicio nos ha permitido arrancar el proyecto DLP sin necesidad de acometer una inversión relevante en equipos y recursos humanos especializados”.
Digamos para concluir que la solución DLP, con tecnología de Symantec, se encargará de monitorizar y registrar el uso de los contenidos confidenciales conforme a la política de uso de FCC y que el control será integral de extremo a extremo y abarcará cualquier flujo de información desde y entre servido res, directorios, dispositivos (USB, CD…), aplicaciones (Word, Excel…) y comunicaciones en red (correo electrónico y navegación).
