«Se debe poner especial foco en concienciar a los empleados de las organizaciones para que conozcan los principales riesgos y sepan aplicar las debidas contramedidas. Hemos de hacerles partícipes de la seguridad, convenciéndoles de su importancia», son palabras de Elena Matilla, CISO de Red Eléctrica de España, quien en esta entrevista explica cuáles son los retos a asumir a la hora de establecer una estrategia de seguridad y las claves para que sea satisfactoria, así como la importancia de implantar una cultura de concienciación de seguridad en las compañías, y potenciar la colaboración público-privada.
¿Cómo está organizado, en cuanto a estructura e infraestructura, el departamento de Seguridad de la Información de una gran compañía como Red Eléctrica de España?
Red Eléctrica de España forma parte del Grupo Red Eléctrica en el que se trata la seguridad de forma integral y corporativa para todo el Grupo. La seguridad integral entiende no solo de la ciberseguridad/seguridad de la información sino también de la seguridad física. Por ello, en el año 2017 se constituyó el departamento de Seguridad Corporativa desde el que se gobierna y gestiona la seguridad integral. Es en este departamento donde está enmarcada la función del CISO.
Las operaciones de ciberseguridad se llevan a cabo por los departamentos técnicos, según los criterios de seguridad integral establecidos por nuestro departamento. De esta forma, se siguen los principios de las tres líneas de defensa, donde la primera línea corresponde con las funciones de la operación de ciberseguridad enmarcadas en la Dirección de Innovación Tecnológica y Sistemas y la Dirección de Mantenimiento de Instalaciones; la segunda corresponde con la estrategia y la táctica, y son llevadas a cabo por el departamento de Seguridad Corporativa, y la tercera corresponde con las funciones propias del departamento de Auditoría Interna. Evidentemente existe una coordinación y colaboración máxima entre las dos primeras líneas de defensa. Mediante distintos grupos de trabajo y comités se establecen y se da seguimiento a las decisiones y acciones tomadas en materia de seguridad.
Lea la entrevista íntegra en Cuadernos de Seguridad 342
