“La ciberseguridad debe formar parte de los propios proyectos desde el momento cero”

Carlos, ¿qué significa ser CISO en tiempos de coronavirus? ¿Cobra, si cabe, mayor importancia?

CISO es un acrónimo yo creo que mal utilizado. Hablemos de Riesgo Digital, y cuando hablamos de eso todo el mundo debería entender que dada la expansión inevitable por regla general de todos los negocios en el ámbito digital, hay que enfrentarse a una situación desconocida y cambiante, diría casi por microsegundos, desde el punto de vista de las tecnologías empleadas para ello.

Hablando en grande, digitalizar un negocio supone abrir las puertas del mismo a todo el universo conectado, de alguna manera hay que pensar que se deja atrás el concepto de abrir las puertas y tener controlado a todo aquel que entra por las mismas, es aquí donde entramos a jugar, y creo que no solamente desde el punto de vista de la tecnología, los procesos y las personas son pieza clave del éxito de esta función.

Esta pandemia nos ha empujado, si se puede decir así, justo a eso, a que pensemos aún más y más rápido en que con abrir las puertas físicas de los negocios no llega. Hablamos de apertura de nuevos canales para los clientes, los proveedores, los propios empleados y los agentes malintencionados también...

La visión es claramente la de dotarse de ventajas competitivas en el mercado aunque, en muchos casos, la supervivencia de los propios negocios depende en gran medida de este tipo de iniciativas. Hecho de forma muy rápida, en algunos casos esta premura ha llevado a dejar en segundo plano aquellas cuestiones más relacionadas con la seguridad, pero han de ser evaluadas a posteriori y enmendadas en lo posible, siempre partiendo, claro está, de un buen proceso de análisis de riesgos. No me puedo enfrentar a algo que no conozco.

Eso imagino que implica una mayor inversión...

Siempre que se piensa en hacer cosas nuevas hay que pensar en inversiones, es algo que no tenía y que quiero o necesito tener. Ese debería de ser el enfoque. Hablamos de digital y generalmente de tecnología, y normalmente lo solemos asociar a algo que no suena a barato. Yo creo que hay que cambiar la mentalidad, hay que pasar a pensar que la seguridad, la ciberseguridad, tiene que formar parte de los propios proyectos desde el momento cero, desde su idea inicial, tiene que ser generalmente solidaria a ellos de forma que no se pueda separar y el coste sea visto como un conjunto. Por poner un ejemplo, cuando pensamos en ponerle una puerta a nuestras casas (en realidad hoy nadie piensa que la casa no tiene que tener puerta, ¿verdad?) podemos hablar de puerta blindada, de tal tipo de madera, con tantas bisagras y con este tipo de cerradura, y eso cuesta un montante de dinero, que si bien lo tenemos desglosado, yo creo que no hacemos las cuentas en nuestras mentes de que tanta parte es de puerta y tanta parte es de cerradura, creo que es el mismo concepto que con la seguridad, no pensemos en ella como un aparte o añadido, pensemos en ella como una característica del producto o servicio que estamos desplegando en las compañías, quiero poner una puerta y me cuesta tanto, sin más detalles, forma parte solidaria del negocio.

Y, hablando de modelo financiero, el mercado de la seguridad ofrece un amplio abanico de modelos de propiedad o pago por uso. También se ha subido al modelo de servicios, con lo que acerca mucho la seguridad a todo tipo de empresas. Dotar de seguridad no tiene que ser inherentemente caro de forma inicial.

¿Cuáles son sus preocupaciones actuales y qué espera de lo que queda de este año? ¿Y el año que viene?

Desde hace un tiempo a esta parte, el mundo de la seguridad está cambiando, ya no se piensa en el perímetro de las compañías como el terreno donde se disputan todas las batallas, el enfoque está pasando a ser que nuestras identidades digitales son el nuevo perímetro, la proliferación del uso de servicios cloud a todas las escalas hace que lo importante de la seguridad sea custodiar con diligencia la llave de la puerta, que quien la abre sea realmente quien tiene que abrirla, y no tanto el intentar hacer una puerta inviolable, si me permites continuar con el símil de la puerta. Así los perímetros tradicionales están pasando a un segundo plano, ojo, sin olvidarnos de ellos, pero se están centrando los esfuerzos en la gestión de las identidades digitales.

Esto es filosofía, cosas sobre las que hay que reflexionar. Si pensamos más en cuestiones tácticas u operativas, habría que pensar en la pandemia digital, todo aquello que lleva el apellido ramson. Creo que es el top 1 de las preocupaciones ahora mismo.

Si hablamos de ciberseguridad, ¿qué tal se hacen las cosas en Galicia?

No puedo ponerle un calificativo, lo que sí puedo decirte es que existen varias iniciativas rodeando el sector, desde cuestiones relacionadas con la formación de los profesionales desde las universidades, grandes compañías que establecen sus centros de desarrollo e investigación en seguridad aquí en Galicia, compañías privadas que despliegan centros de operaciones de seguridad (SOC), o la propia constitución del Foro de la Ciberseguridad de Galicia de ISMS Forum.

Además, creo que todos compartimos también el hecho de intentar contribuir a tratar de hacer que nuestra sociedad sea más cibersegura, si me permites la palabra. Como ejemplo, podemos hablar de que todas las acciones de formación o concienciación que se llevan a cabo tanto en las propias empresas, como en este tipo de eventos, no se limitan a cuestiones aplicables de puertas para dentro, sino que son válidas también en la vida digital fuera del ámbito empresarial. Creo que hay bastantes iniciativas y buenos mimbres para posicionar a Galicia como referente de talento en este sector.

¿Este foro es prueba de la unidad del sector de la ciberseguridad en Galicia?

Sin duda, no es la única prueba, pero sin duda. Aquí están representados desde pequeñas empresas, administraciones, el Cpeig, el sector retail, alimentación, la gran industria, el sector financiero, de las telecomunicaciones... , todos ellos muy dispares y con diferentes preocupaciones, pero compartiendo un marco común.

¿La seguridad es cosa de todos y no solo de los departamentos de Informática?

Lo comentaba antes, hablar de seguridad sin duda es hablar de tecnología, pero no solo de tecnología, hay que añadir dos componentes adicionales: las personas y los procesos. Una frase muy socorrida en este momento sería decir que la cadena se rompe por el eslabón más débil... Tenemos que pensar que tanto la tecnología como las personas somos vulnerables por diseño, y no es que sea malo en sí mismo, es así y tenemos que interiorizarlo, lo que nos lleva a mitigarlo, en el caso de las personas a través de por ejemplo sesiones de formación, concienciación, buenas prácticas... Como profesionales de seguridad de la información, sea o no dentro de un departamento de informática, tenemos que dotarnos de aliados dentro de las compañías, hacer participar a más departamentos como el de formación.

El ‘cloud’ es cada vez más imprescindible. Ya no se lleva eso de tener la seguridad en el interior de la compañía, ¿verdad? ¿Qué implicaciones tiene la adopción de esta medida?

Cloud puede ser sinónimo de ofrecer servicios más rápido, usarlos sin inversiones iniciales. Ya no están dentro de la empresa, en sus servidores, de ahí que lo relevante ahora sea el quien usa ese tipo de servicios.

Ahora que el teletrabajo cobra más protagonismo, ¿ve necesario formar a los trabajadores en materia de ciberseguridad, sobre todo de cara a saber manejar y proteger datos sensibles de la empresa?

Sin duda, si conducimos un vehículo debemos tener formación vial –más allá de que eso sea regulado–, conduciendo por las autopistas digitales debemos disponer de la formación adecuada. Esto combinado con disponer de tecnologías de seguridad afianza mucho la confianza en un entorno digital en el que la información privada o confidencial se escapa o sale de los contenedores habituales, que tenemos muy controlados. Hablar de privacidad, confidencialidad, buenas prácticas en el manejo de este tipo de información sensible hará disminuir la probabilidad de sufrir incidentes.