Entrevista a Santiago Portela, CIO de la UAX

Entrevista a Santiago Portela, CIO de la UAX

«Cualquier esfuerzo que se haga en el terreno de la seguridad es una inversión. Cuando garantizas tu operación, ofreces una mayor confianza y elevas el valor de marca. Invertir en seguridad te posiciona»

Santiago Portela estudió Física en París e ingeniería en la Universidad Politécnica de Madrid y en la UOC. También tiene un MBA y cuenta con las certificaciones CISA y CISM de ISACA. Siempre ha trabajado en innovación tecnológica: en los años 90 desarrolló su labor en empresas de estudios de mercado y bancos y, desde 2000, forma parte del equipo de la Universidad Alfonso X el Sabio (UAX). Aquí, además de dirigir el servicio TI, gestiona KEEDIO, una empresa de innovación especializada en BigData. También participa activamente en la colaboración interuniversitaria, a través de la Conferencia de Rectores de las Universidades Españolas (CRUE).

  • Llevas 21 años trabajando en la Universidad Alfonso X el Sabio. Siempre habéis estado a la vanguardia en tecnología. Por ejemplo, fuisteis la primera universidad europea en integrar los portales web con móviles Android, con el proyecto MyUAX. Apostasteis muy fuerte en esta línea, con la AppUAX. Habéis fundado una spinoff especializada en BigData y trabajáis en actividades de analítica avanzada en banca y salud. Y son solo algunos ejemplos. Has formado parte, en primera persona, del proceso de transformación digital en la universidad. ¿Cómo ha sido? ¿Qué aspectos y proyectos destacarías?

El término de transformación digital se puede aplicar a todo lo que hemos hecho en los últimos 20 años. En la actualidad tendríamos que hablar de una aceleración en la digitalización de todas las actividades. Este proceso ha ocurrido en la sociedad, en la industria, en la cultura… y, por supuesto, en la educación. Lo que está cambiando, y donde se ve la madurez digital de la organización, es en el hecho de que ya no es un proceso que se lidera únicamente desde los departamentos de IT. Esta labor la asumen los responsables de todas las áreas de la organización, que comprenden lo que es la tecnología y lo que significa pasarse a modelos digitales.

Cuando se llega a este punto, en el que se plantean iniciativas que cuentan con componentes digitales y que no se originan siempre desde el área de IT, entramos en un modelo acelerado de digitalización, donde el departamento de TI es un compañero de viaje, un asesor y un apoyo. Y el motor es la necesidad de la sociedad y de nuestra actividad. Un ejemplo reciente de esto en la UAX es la integración de The Valley, como business school completamente digital, y enfocada a la formación de habilidades o titulaciones digitales (en los medios y en los objetivos). También lo es el despliegue de espacios de aprendizaje digital que hemos creado, como nuestro Hospital Virtual Simulado, o el FabLab, donde se mezclan la ingeniería, la robótica, la impresión 3D, y disciplinas diversas como la ingeniería o la salud. En definitiva, estamos viendo la definición de nuevas titulaciones más digitales, o la inserción de habilidades y contenidos digitales en las titulaciones que ya existían.

  • ¿Cómo dirías que ha influido este proceso en vuestra relación con empleados y alumnos?

La clave está en las personas y en su relación con lo digital. Por un lado, tenemos a los nativos digitales (los estudiantes) y, por otro, a todo nuestro colectivo de profesores, empleados y empresas socias. La clave está en sus competencias digitales, y en su experiencia de usuario.

En la UAX contamos con un campus virtual desde el año 2003. Siempre hemos dado un respaldo online a toda la actividad, es algo que tenemos muy interiorizado. Pero, el quid de la cuestión está en la realización de proyectos que refuerzan los ejes que se han definido en Europa y que nosotros hemos ampliado. Hablo del proyecto DigiComp (para educación DigiComp Edu). En 2017, lanzamos el proyecto “Soy digital”, con el objetivo de diseñar itinerarios formativos, de competencias digitales muy variadas.

En el caso del profesorado, el objetivo es impactar en la docencia; en las competencias que necesita el profesor para luego usar ese conocimiento dentro del aula. Por su parte, los estudiantes necesitan reforzar esas competencias cuando inician su paso por la universidad. Como nativos digitales, son muy intuitivos con la tecnología, pero hay muchos aspectos que ignoran. Al principio hay que darles habilidades que les ayuden a estudiar y, cuando van a terminar la formación, hay que facilitarles otras que les ayuden a encontrar empleo, a trabajar y, en definitiva, a triunfar. Todo esto está diseñado desde el proyecto “Soy digital” y ahora hemos dado un paso más con el proyecto “UAX Skills School”, que añade competencias transversales actualizadas. También lo integramos con certificaciones y acreditaciones del mundo de la empresa.

En cuanto a los entornos de soporte, tanto administración, como servicios o instalaciones, se van digitalizando. Están online, cuentan con servicio 24×7 y se utilizan sistemas inteligentes que van apoyando todas las labores.

  • Vosotros ya contabais con una importante oferta de formación online, pero, la situación provocada por la pandemia de la COVID-19 obligó a la UAX a adaptarse a las nuevas circunstancias. No solo no parasteis la actividad, sino que, incluso, en pocos días lograsteis adaptaros. ¿Cómo fue el proceso? ¿Qué retos os planteó a nivel de la seguridad?

Las capacidades tecnológicas estaban disponibles, con algunos problemas de escalado y, también, de habilidades del profesorado porque debían adaptar su método presencial al remoto. Supuso un desafío muy fuerte, pero ya contábamos con OpenUAX, que es una rama de la universidad especializada en formación a distancia. Así que rápidamente pusimos en marcha mecanismos para garantizar la actividad de profesores y otros trabajadores en un espacio de tiempo muy corto. Este mismo proceso lo han experimentado muchas instituciones: contábamos con la tecnología necesaria, pero la adopción, hasta el empujón que dio la pandemia, iba a otro ritmo.

Desde el punto de vista de la seguridad, de repente, se amplió muchísimo la superficie de exposición. Pasamos del acceso a sistemas en redes propias, a dispositivos de los usuarios, en sus domicilios y con sus propias redes. Así que, tanto las redes como los dispositivos, pasaron a ser muy inseguros. Para gestionar esto, las actividades administrativas se concentraron en VPNs y los servicios se prestaron todos con capas online cifradas, de forma que se estableciera una seguridad “extremo a extremo” y un refuerzo de la centralización de los servicios.

Desde hace tiempo, vamos encaminados a aumentar los modelos SaaS. Los servicios que se necesitan de apoyo a la docencia (videoconferencias, distribución de contenidos, tutorías, etc.) los hemos llevado a la nube desde hace años. Por tanto, esos modelos ya están securizados y tienen una protección importante. No les afectaba la ampliación de la superficie de exposición. A quien más afectaba el incremento de la inseguridad era a las credenciales individuales. Así que, hemos aumentado la incorporación del doble factor de autenticación en los accesos, los mecanismos de recuperación de clave y la vigilancia del posible robo de credenciales. Lo cierto es que hemos estado bastante atareados.

  • En este sentido, ¿dirías que la digitalización se ha convertido en una necesidad competitiva en el ámbito de la educación?

Es muy importante que los planes de estudios sean sensibles a la necesidad de digitalizar las capacidades de los profesionales. Estamos repensando todas nuestras titulaciones para que se adquieran las competencias necesarias para el futuro. Esto hace las titulaciones más atractivas. Se está haciendo un gran trabajo en la UAX para rediseñar la oferta y para remodelar las titulaciones que ya teníamos (al ritmo que permiten las propias titulaciones oficiales). Por tanto, un punto de competitividad clarísimo es la digitalización de la oferta formativa.

Por otro lado, está la experiencia del estudiante. En la actualidad está intermediada por lo digital o, incluso, es el ámbito digital en el que se desarrolla.

Y ahí hay que trabajar los contenidos, la experiencia de consumo de esos contenidos (que van hacia lo audiovisual interactivo), el uso de los dispositivos móviles, la disponibilidad 24×7, etc. Esto también hay que hacerlo atractivo. Además, la vida diaria del estudiante en el campus: hacer deporte, disfrutar de la cultura, participar en grupos y clubs, etc., también está influenciada por el ámbito digital: desde la ubicación y señalética de los campus, hasta la consulta y reserva de los servicios, o el hecho de saber si has recibido un paquete en tu residencia. Todo va intermediado por lo digital y esa experiencia forma parte de aquello que te atrae.

Por tanto, la respuesta es rotundamente sí.

  • ¿Cómo impacta en el proceso de digitalización la ciberseguridad? ¿Crees que, en general, las organizaciones son conscientes de la importancia de la seguridad de la información?

Es inevitable que se tome conciencia de su importancia. Para empezar, hay leyes que lo requieren. Así que, en cualquier actividad de digitalización, debe estar la seguridad contemplada con rigor. Nosotros, para cualquier actividad nueva que lleva aparejado un componente digital, hacemos un análisis de privacidad desde el inicio, un análisis de seguridad desde el diseño, y un análisis del ciclo de vida del dato.

Cualquier cosa que pones en marcha con soporte digital, recibe y genera datos. Esos datos son susceptibles de explotación, cruce e investigación a posteriori. Y eso tiene que estar diseñado desde el inicio porque ese dato se convierte en un activo, que puede tener una propiedad compartida entre los usuarios y la organización, y tiene un valor que hay que gestionar y proteger. Nosotros hemos incorporado estos tres elementos en cualquier proyecto: privacidad, seguridad y ciclo del dato.

  • En vuestro caso, ¿es fácil hacer entender a los usuarios la importancia de aplicar esas tecnologías de forma segura? ¿Son conscientes de los riesgos?

Esta es una nuestras principales líneas de trabajo. Tenemos una gran responsabilidad en cuanto a educar bien. Hoy por hoy, ningún profesional que sale de una universidad puede ignorar la seguridad. Es más, tiene que ser competente en bastantes aspectos de esta materia: leyes de privacidad, habilidades para la autoprotección, protección de la información que maneja, y capacidad para explotar las medidas que refuerzan la seguridad.

Nuestra responsabilidad nos lleva a incorporar esa sensibilidad y esa percepción a todos los usuarios. Tanto el profesorado como el personal cuentan con planes específicos de formación obligatoria en aspectos de seguridad, privacidad y protección de datos (tenemos cursos presenciales y online). Por su parte, los estudiantes también tienen formaciones específicas: contamos con un máster en ciberseguridad y se incluyen contenidos de privacidad y seguridad en las diferentes titulaciones y carreras.

En la actualidad, estamos haciendo una intervención muy fuerte en algunas titulaciones del área de la salud, como odontología. Y, en todos los cursos y especialidades, se han añadido aspectos específicos de cumplimiento normativo que les afectarán como profesionales.

  • Participas activamente en la colaboración interuniversitaria a través de la organización CRUE (Conferencia de Rectores de las Universidades Españolas). ¿Cómo es esta colaboración, en el ámbito de la ciberseguridad, con el resto de universidades nacionales?

Las universidades de España tienen un alto grado de colaboración. CRUE ha organizado grupos de trabajo colectivos. Yo estoy en lo que llamamos CRUE TIC y coordino un grupo de trabajo interuniversitario para la relación con grandes actores tecnológicos. Pero, también hay un grupo de ciberseguridad dentro de CRUE TIC. Además, los directores TI de las universidades del país estamos en otro grupo de trabajo, en el que hemos creado una red de mucha confianza y compartimos todos los eventos de ciberseguridad, en tiempo real, con respaldo mutuo. Te pongo un ejemplo: en abril fue atacada la Universidad de Castilla-La Mancha y tuvimos un seguimiento muy cercano de todo lo que estaba sucediendo y posteriormente varias reuniones y seminarios de análisis.

También gracias a las relaciones que tenemos con instituciones, como INCIBE o el Centro Criptológico Nacional, y a las reuniones e iniciativas conjuntas, se van definiendo recomendaciones y medidas específicas para proteger las universidades.

Hay que tener en cuenta que no solo enseñamos. Las universidades son colectivos enormes en los que también se investiga, en algunas tenemos residencias, clínicas, hospitales etc. Nuestra seguridad requiere mucho rigor y mucha protección. Yo creo que las universidades del país, aunque hay mucha diversidad, tienen mucha cohesión y mucha intercomunicación, lo que podría permitir ser capaces de reaccionar mejor.

  • Vuestro compromiso con la seguridad de la información es absoluto. Habéis apostado por un plan de 360 grados (el Gold Security). De hecho, vais a implantar la ISO 27001 y, también, el Esquema Nacional de Seguridad (ENS), aunque este último no os aplica. ¿Cuál es vuestro objetivo en este ámbito? ¿Por qué elegisteis a Secure&IT?

Hace unos cinco años, cuando queríamos sistematizar la seguridad en la universidad y hablamos con responsables del Centro Criptológico Nacional, entendimos que el Esquema Nacional de Seguridad nos podría ayudar, pues ha sido de obligada implantación en las universidades públicas. Esto nos aportaría experiencia, documentación y apoyo, y podíamos aprender mucho de ese proceso. Y, efectivamente, nos ha permitido ordenar el enfoque de la seguridad en la universidad.

Las auditorías de los últimos años de RGPD las hemos alineado con el ENS. Hemos hecho los análisis de adecuación y cumplimiento y, aunque no nos hemos certificado todavía, nos ha ayudado. Ahora queremos ir un paso más allá. Al aumentar la superficie de exposición, por el crecimiento de nuestra universidad, y la criticidad que la ciberseguridad ha alcanzado en los dos últimos años (que ha elevado muchos puntos el nivel de amenaza), hemos llegado a la conclusión de que no teníamos equipo propio suficiente para una protección avanzada.

Por este motivo, hemos diseñado un plan estratégico en seguridad, con varios componentes. En nuestro equipo nos hemos reforzado con personal de conocimientos jurídicos, que aporta el punto de vista de cumplimiento. Además, hemos buscado un socio tecnológico, Secure&IT, que aporta habilidades y capacidades que nosotros no podemos tener dentro de la compañía. Y, por último, hemos establecido un plan, a tres años, en el que vamos a incrementar mucho nuestra protección partiendo de un análisis de riesgos. Y lo vamos a validar con auditorías y certificaciones de ISO 27001 y ENS, que son formas de obligarnos a tener rigor en la implantación de nuestros planes de protección. Entendemos estas certificaciones como una supervisión y una garantía, también para terceros, de que estamos cumpliendo con las medidas que dice nuestro análisis de riesgo que necesitamos para protegernos bien.

En cuanto al proceso de elección, ha sido largo, puesto que se trataba de buscar a un socio con el que trabajar de forma muy cercana. Queríamos una compañía en la que pudiésemos confiar, que tuviese solvencia y contase con una trayectoria sólida. En este sentido, nos sentíamos muy bien con el enfoque que nos ofrece Secure&IT y que es muy pragmático. Esa sensatez y sentido común que nos aportan nos interesa. Y como tenemos una visión bastante jurídica de la seguridad, la trayectoria y experiencia de Secure&IT con grandes despachos jurídicos del país es un valor que hemos tenido en cuenta.

  • ¿Cuál es la visión de futuro de la Universidad Alfonso X el Sabio con respecto a la seguridad de la información?

Estamos preocupados porque el nivel de amenaza es grande. Por eso, vamos a reforzar nuestra capacidad de resiliencia. Esto es fundamental porque no solo hay que defenderse y evitar que pasen cosas (para lo que hay que educar, poner medidas, etc.), sino que hay que ser capaz de responder y reaccionar con el mínimo impacto para la compañía. Nuestra capacidad de reacción y restauración es donde vamos a enfocar los grandes proyectos.

A futuro, hay que consolidar esto y demostrar que cualquier esfuerzo que se haga en el terreno de la seguridad es una inversión. Creo que hay elementos para demostrar que es así ya que, cuando tú garantizas tu operación, ofreces una mayor confianza y, de esta forma, elevas el valor de marca. Hablo del hecho de que invertir en seguridad te posiciona. Si nuestros estudiantes se sienten más seguros, van a estar más tranquilos y más cómodos y esto atraerá a otros estudiantes. Si enseñamos buenas prácticas en seguridad a los estudiantes, serán profesionales con más conocimiento y garantías, se posicionarán mejor y tendrán más éxito laboral. Y, si desplegamos oferta formativa en seguridad o reforzamos nuestras titulaciones con este tipo de contenidos, van a ser mejor aceptadas por la sociedad, lo que nos permitirá tener más estudiantes y más presencia en el ámbito de formación en ciberseguridad. Y esta es nuestra apuesta de futuro: conseguir hacer del esfuerzo necesario en seguridad una inversión con un retorno.

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather
/ Sin categoría