Sanitas es una compañía aseguradora y proveedora de servicios de salud y bienestar de origen español, perteneciente en la actualidad a la multinacional británica aseguradora Bupa. Una de las principales empresas de su sector en España, que lleva años apostando la digitalización y que apuesta también por la ciberseguridad. Cuentan con un departamento propio de 17 personas, liderado por Iván Sánchez, su Information Security Director, que nos recibe en la sede de la compañía en Madrid.
Quedamos con Iván en la sede de Sanitas que se encuentra frente a IFEMA, en Madrid. Una sede que tiene un claro guiño al medioambiente, con flora de toda España y un canal de agua que transmite paz cuando vas a acceder a ella.
Cybersecurity News (CsN): Cuando hablamos de CISOs, algunos vienen de la parte técnica, otros del hacking, otro del mundo de la consultoría… ¿cómo es su caso?
Iván Sánchez (IS): Yo empecé en el mundo de la consultoría. Luego pasé un tiempo en el sector TELCO, donde mi labor era más técnica y, actualmente me dedico al sector salud dentro de Sanitas. Diría que tengo una combinación de ambos lados, que es lo ideal.
CsN: ¿Cómo es el día a día de un CISO en el sector salud y cuáles son los retos?
IS: En el día a día lo más complicado de un CISO es hacer entender a la organización el porqué de las cosas. En muchas organizaciones aún tenemos que entender el porqué de la seguridad, de las inversiones, de las financiaciones… Por eso, el mayor reto es el de la transformación de negocio y, para esto, hay que saber priorizar. El día a día de un CISO da para lo que da. Un 50% del tiempo es gestión de negocio, un 20% es gestión de prioridades, otro 20% es el equipo y un 10% lo reservamos para cualquier novedad que surja. También es importante mantener al equipo formado y actualizado.
CsN: En el sector salud se manejan datos personales muy sensibles, ¿cómo afecta esto al mantenimiento de la seguridad de los datos de los pacientes?
IS: Es algo complicado porque por un lado se entiende que el sector salud es igual a otros sectores, pero es un sector con mucha información de personas y en donde la atención sanitaria la desenvuelven los médicos, enfermeros, etc.
Por este motivo, la restricción del acceso al dato, la auditoría y la alerta ante un acceso no autorizado es fundamental para nosotros. Estamos incidiendo también en la parte de formación del personal para saber gestionar mejor la información de Sanitas.
CsN: Imaginemos que Sanitas ve comprometido con algún dato de cliente, ¿qué mecanismo de seguridad desplegarían?
IS: Lo primero que hacemos en Sanitas es identificar y proteger al cliente, que es algo que nos lleva mucho tiempo, pero sabemos que no es la única solución porque la amenaza está ahí. Tenemos definidos tanto procesos como herramientas de gestión de crisis, además de un comité de la misma y, por último, lo que también hacemos es formación continua. Esperar a que ocurra la amenaza sería un error. Nos marcamos -mínimo una vez al año- hacer un ejercicio de cibercrisis, un simulacro, y siempre se aprende algo. Sobre todo, la parte de comunicación externa es lo que marca el éxito o fracaso: nosotros optamos por ser transparentes y abiertos ante la comunicación de una crisis.
CsN: ¿Qué parte de la estrategia de ciberseguridad en Sanitas tienen externalizada a empresas proveedoras?
IS: Creo que es bueno crecer en recursos internos que conozcan y sean capaces de entregar valor a la casa con el conocimiento que ellos tienen. El nivel uno de operación está totalmente externalizado, el nivel dos es compartido (50% externalizado, 50% interiorizado) y, por último, el nivel tres experto sí es interno 100%.
Tenemos la ventaja de que tenemos personas que vienen de los servicios del nivel uno pero, poco a poco, los hemos internalizado y han llegado hasta el tres.
CsN: ¿En la manera de seleccionar a una empresa proveedora, qué se valora más en Sanitas: un buen producto, un buen servicio, un buen precio…?
IS: Lo ideal es todo, pero, lamentablemente, cuesta muchísimo. El precio siempre lo asociamos con valor, por lo tanto, es un factor poco importante para valorar. Si valoramos además entre producto y servicio, elegiría un buen servicio, ya que un buen producto en manos de un mal servicio resta mucho valor. Un servicio y un producto, muchas veces, van unidos.
CsN: Podríamos decir que los CISOs hacen de intermediarios y traductores entre la parte de negocio de la compañía y la parte más técnica. ¿Consigue llevar esto a cabo en Sanitas?
IS: En nuestro caso, la función de ciberseguridad está enmarcada dentro de la dirección de sistemas, que suele ser así en las grandes compañías. Esto ya de por sí nos posiciona en un plano técnico. Pero sí, tenemos que ser los traductores entre sistemas y la parte más de negocio y viceversa. En este sentido, hay que decir que cuesta, sobre todo al principio, porque nos ven como algo muy técnico, sólo de IT, cuando no es así.
De hecho, yo en mis presentaciones al departamento de finanzas, por ejemplo, no hablo nada de cosas técnicas, tipo ransomware, amenazas avanzadas, etc. Prefiero hablar de lo mismo, pero uniéndose a la repercusión que tiene un incidente de seguridad, a informar del precio de una acción de una empresa cotizada al día siguiente de una brecha de seguridad, a decir cómo se resienten las ventas de un retailer que ha sido atacado, etc. Explicar conceptos que ellos entiendan mejor, aunque sea algo que nos lleve mucho más tiempo.
También es verdad que términos como ransomware, Wannacry, u otros similares de aspecto técnico, la gente menos tecnológica poco a poco los va entendiendo mejor ya que aparecen habitualmente en medios generalistas.
CsN: Sabemos que el flujo de comunicación en el sector de la ciberseguridad es muy importante para mejorar la protección global de todos. ¿Cree que queda mucho que hacer aún para obtener el flujo de comunicación deseado? ¿Crees que se podría mejorar mucho más incluso el propio flujo de comunicación entre diferentes CISOs?
IS: Creo que se pueden hacer muchas cosas. Ya hay comunidades, eventos, pero creo que queda bastante por hacer, no solo a nivel corporativo, sino a nivel país. A mí lo que le ocurre a un competidor mío me ayuda mucho a mí, pero también a otras empresas y a otros sectores. En esto estamos todos juntos. Al final, al ciudadano medio, cada vez más, una brecha de seguridad en una empresa le genera desconfianza a ella y a su sector. Es decir, una brecha en un banco afecta al mismo, pero también al sector bancario y al país. Aquí tenemos que ser muchos más listos, porque en ello los va el futuro. Cuando hay una brecha no hay nada que celebrar.
CsN: Si hablamos de capacitación de ciberseguridad, ¿cree que hay suficientes profesionales en España y se encuentran con facilidad?
IS: Desde mi punto de vista creo que hay un claro déficit de profesionales. Es cuestión también de experiencia, ya que son pocos los que tienen experiencia de más de 4-5 años en el mundo de la ciberseguridad porque es un sector muy nuevo, lo cual también es difícil. En España, yo creo que tenemos la suerte de que siempre sale gente nueva, aunque también hay mucho talento que se va al extranjero.
CsN: ¿Se valora lo suficiente o hay burbuja de sueldos?
IS: Efectivamente, yo creo que sí hay una burbuja de sueldos. El talento en este sector se va en masas a otros países como Suiza a Estados Unidos. Cuesta traer gente y, también, cuesta hacer entender internamente a las empresas que hay que pagar más a estos perfiles.
CsN: ¿Cuántos son en el departamento de ciberseguridad?
IS: Somos actualmente 17 personas y estamos en crecimiento. Hemos multiplicado por 4 los recursos dedicados a ciberseguridad en los últimos cuatro años. Por ser sinceros, también he de decir que el crecimiento de la demanda ha crecido mucho, con lo cual tenemos muchísimo más trabajo que cuando éramos menos en el equipo.
