La pandemia ha sido un estímulo en la digitalización de Sanitas. Como dato, de 300 videoconsultas diarias en los meses complicados se ha pasado a 5.000 actuales. En esta entrevista, Iván Sánchez detalla la estrategia de ciberseguridad de su área alineada con la transformación digital del grupo.
¿Cuál es su rol y su posición en el organigrama de Sanitas?
I. S. L.: Mi cargo es el de CISO del Grupo Sanitas y soy responsable de la gestión e implementación del programa de Seguridad y Protección de la Información para el grupo, que tiene presencia en Europa y Latinoamérica. Si bien la cabecera está en España, a través de Sanitas, tenemos compañías en Europa (Polonia y Turquía) y Latinoamérica (Chile, Brasil, México y en Miami). Puesto que la seguridad es un ámbito prioritario, también es transversal a todas las compañías del grupo y por lo tanto tenemos la responsabilidad de asegurar que el programa de Seguridad, valga la redundancia, se ejecuta en todos los negocios de manera adecuada. Organizativamente pertenecemos a la función del CIO.
¿Cómo está considerada la ciberseguridad en su organización? ¿Hay algún plan estratégico al respecto?
I. S. L.: Desde que me incorporé a la organización, en 2015, hemos puesto en marcha diversas iniciativas, siempre con la ambición de mejorar y alcanzar una mayor madurez. Lo primero fue trazar un plan inicial en el que, alineado con la estrategia de transformación digital del negocio, sentamos las bases y revisamos la definición de la seguridad y su encaje organizativo. Este plan de seguridad ha ido evolucionando, con mucho foco y apoyo de la dirección de Sanitas, lo que nos ha permitido crecer en recursos y ‘elevar’ la función de seguridad en cuanto a su importancia estratégica. En los comités de dirección hay un slot recurrente para tratar aspectos relacionados con el ámbito de la ciberseguridad. Como puede verse, la seguridad es muy importante a nivel de grupo y cuidamos sobre todo el enfoque cultural. En cuanto a los planes estratégicos, si bien es fundamental mantener unos alineamientos base y tener claros los objetivos, nos hemos dado cuenta de la dificultad de definir planes estratégicos de la manera ‘tradicional’ (con planes a 3-4 años vista) en un entorno tecnológico y de amenazas tan cambiante. Por lo tanto, nuestro foco está en la protección de los ámbitos clave (puesto de trabajo, red y perímetro, data center, etc.) y de su mejora continua a través de la medición de la madurez usando frameworks como el NIST.