La ciberseguridad avanza a un ritmo casi vertiginoso, al mismo ritmo que la tecnología avanza. Trabajar en este sector supone por tanto estar en constante formación y enfrentarse a numerosos retos y desafíos que siempre se intentan prevenir.
Para conocer mejor cómo trabaja un experto en ciberseguridad, hablamos con Alberto López Director de Sistemas y Ciberseguridad para Casino Gran Vía y Gran Casino de Aranjuez, dentro del Grupo Comar.
CyberSecurity News (CsN): La mayoría de CISOs actuales vienen de la parte técnica, del mundo hacking, pero no todos y cada vez encontramos más excepciones. ¿Cómo ha sido tu trayectoria profesional?
Alberto López (AL): Mi historia en el mundo de la (in)seguridad informática, comenzó hace ya 24 años, cuando tan sólo tenía 15. Todo empezó cuando mis padres me compraron mi primer PC, un Intel Pentium 100. A pesar de estar en plena adolescencia, no me sentía especialmente atraído por los videojuegos; sin embargo, mi curiosidad por investigar y averiguar qué podía hacerse con un ordenador crecía cada día.
Mi primer contacto fue con la programación, desde ensamblador 8086, hasta lenguajes de más alto nivel tales como Java, C/C++, etc. Transcurrido un año aproximadamente, compaginé la programación con todo lo que también me brindaba internet por aquella época, finales de los 90, con mi primer modem, un U.S. Robotics de 33.6 kbps.
A partir de ese momento, mis ganas por saber más y saciar mi curiosidad se incrementaron exponencialmente. En mi cabeza siempre rondaban preguntas del estilo “y por qué esto funciona así, y por qué no de esta manera”, “y si modifico esto y aquello”, “y si hago esto, da error… y qué significa este error… “, etc.
Curiosamente y contra todo pronóstico, mi formación universitaria no fue tan especializada como corresponde a la ingeniería informática, sino que me volqué más hacia el área de electrónica, microprocesadores, redes, infraestructuras e ingeniería, y especializándome durante 2 años más en la Escuela Superior de Tecnologías Avanzadas de Biarritz, en Francia.
Y si bien es cierto que en los comienzos de trayectoria profesional he tenido una fase donde me he desarrollado como responsable de producción en el área industrial, he estado donde más me gusta y me motivaba, y donde mayor valor aporto, en departamentos de sistemas y seguridad, o como docente de informática, siempre desarrollando labores técnicas y de gestión en el área de sistemas, infraestructuras y seguridad, reportando a la alta dirección de la empresa a la que pertenecía en cada momento.
La función de responsable o consultor de seguridad siempre había estado integrada, hasta ahora, en estas áreas, como “algo más”, siendo en todo momento competencias inherentes a mí puesto de trabajo.
CsN: Podríamos mencionar muchos retos a los que os enfrentáis en vuestro día a día. ¿Cuáles destacarías?
AL: El mayor reto, reiterado y ampliamente comentado siempre en todos los foros, congresos y reuniones en las que he tenido la oportunidad de participar, es sin lugar a dudas la concienciación de las personas.
El segundo reto más importante que veo y al que me he enfrentado en no pocas ocasiones es que, con ánimo de dar agilidad a todo, y no caer en la perfección, se dificulta poder dedicar el tiempo que realmente requiere cada proyecto, siendo otra tarea el afinar o calibrar debidamente lo implantado o desplegado.
Sabemos que lo perfecto es enemigo de lo bueno, pero debe adquirirse un compromiso suficiente para que exista un equilibrio o acercamiento entre lo perfecto y lo bueno.
Esto puede verse en la materialización de un despliegue y configuración de un CPD, de servidores, en programación, etc.
Como consecuencia de lo anterior, habría que dirigir también parte de los esfuerzos de las empresas en mejorar el departamento o los servicios contratados en seguridad informática, para lo cual, es inevitable que se adquiera el compromiso, desde la alta dirección, y se apueste por esto tanto insuflando los recursos humanos (externalizados o no) como apostando por la especialización y formación continua de estos.
En este mundo en el que vivimos y al ritmo que avanza la ciberseguridad, jamás se logrará en la seguridad informática un estado de seguridad pleno y sostenido en el tiempo. Eso es algo que, tenemos que aceptar y entender de cara a realizar una eficiente distribución de recursos y esfuerzos, en cada momento. No puede ser algo inamovible.
Estos esfuerzos deben ser dinámicos y adaptables, todo ello con la máxima agilidad posible y disponiendo de una visión transversal de la empresa, así como del poder de gestión correcto. Esto no sólo debe mantenerse en la teoría, sino también en la práctica, donde por experiencia propia y así como homólogos míos han compartido en ocasiones, pocas veces es así.
CsN: Siguiendo con la pregunta anterior, a la hora de seleccionar una empresa proveedora, un partner, ¿qué valora más, un buen producto o un buen servicio? ¿Qué esperarías de ese partner?
AL: Espero un buen servicio (SLAs, agilidad en la materialización y ejecución de lo solicitado), que disponga de personal variado y cualificado (por poner un ejemplo, me generaría desconfianza que un proveedor me traslade que tenga a una persona que sabe de todo, en este mundo de la ciberseguridad, para una gran empresa), que genere confianza, que exista proactividad y una correcta comunicación (que no sólo reporten cuando se solicite algo al proveedor), etc.
CsN: El CISO por un lado podríamos decir que hace de intermediario y traductor entre la parte de negocio de la compañía y la parte técnica. ¿Consigues que ambas partes se entiendan?
AL: Son partes que están destinadas (y no condenadas) a un buen entendimiento, si bien es cierto que he tenido y tengo que trabajar mucho para que la parte de negocio (entendiéndose como todos/as los/as empleados/as) ajena al área de TI comprendan los múltiples peligros, ataques internos y ataques externos a los que estamos expuestos continuamente.
Lamentablemente, esta concienciación, en muchos casos, ha venido por sí sola cuando alguien ha sido víctima de un ataque que ha afectado seriamente al desarrollo de su labor, o ha hecho algo indebido (aunque no ha propósito), etc.
Por otra parte, el área técnica también ha tenido que hacer una labor de “acercamiento”, interactuando y exponiendo su punto de vista con la máxima empatía y abstracción posible.
Considero que aún queda mucho camino por delante, pues a medida que más nos digitalizamos, más de cerca vemos las consecuencias de la inseguridad existente por un mal uso o abuso de los elementos que se ponen a nuestra disposición. Evidentemente, no por ello dejaremos el mundo digital de lado, como si fuera una moda, al igual que no dejamos la conducción en coche, el montar en bici, etc. Sino que deberemos ir adaptando y avanzando en el sector de la seguridad informática al igual que lo hace el mundo digital en el que hoy vivimos y se nos está poniendo frente a nosotros.
CsN: Sabemos que el flujo de comunicación en el sector de la ciberseguridad es muy importante para mejorar la protección global de todos. ¿Cree que queda mucho que hacer aún para obtener el flujo de comunicación deseado? ¿Crees que se podría mejorar mucho más incluso el propio flujo de comunicación entre diferentes CISOs?
AL: En el mundo de la ciberseguridad hay que estar constantemente actualizado, tanto a nivel de noticias, formación, como de colaboración entre homólogos.
Los congresos, desayunos y eventos de networking, casi siempre se producen deprisa y corriendo, y efectivamente, creo yo, debería mejorarse la comunicación entre CISOs (¿jornadas técnicas y de gestión?) dentro de un mundo tan cambiante y nutrido de variables e infinidad de escenarios como es el de la seguridad de la información.
Es totalmente mejorable.
No debemos obviar ni olvidar el flujo de información que se genera también en contacto con la capa técnica de nuestro departamento, partners y otros proveedores/fabricantes.
CsN: ¿Cree que la tecnología cloud y multcloud está ya lo suficientemente madura desde el punto de vista de la ciberseguridad? ¿Cómo usa su compañía la tecnología cloud? ¿Pública, privada o mixta?
AL: Estamos en un mercado donde el cloud y multicloud, desde el punto de vista de ciberseguridad, está maduro, y como todo sistema e infraestructura, mejorable, donde se pueden y deben introducir muchas más innovaciones, tanto a nivel de funcionalidades como de ciberseguridad, por supuesto.
Los grandes jugadores/oferentes (Amazon, Microsoft, Google, etc.), y a la zaga los no tan grandes, disponen de personal muy especializado, certificados, en continua formación, dedicados exclusivamente al despliegue y mantenimiento de las infraestructuras, así como a su segurización.
Este tipo de plantillas de especialistas, tanto por el número como por su formación y experiencia, es algo de lo que no podemos disponer la gran mayoría de PYMEs y grandes empresas, para con sus infraestructuras on-premise.
Madurez, por tanto, ya existe a nivel de ciberseguridad del cloud.
Tanto en Casino Gran Vía, como en Gran Casino de Aranjuez, donde desarrollo mi labor como Director de Sistemas de Información y Ciberseguridad, hacemos uso intensivo de nube mixta, tanto de la pública como de la privada, algo habitual ya en toda empresa con centros de trabajo dispersos geográficamente, con ánimo de consolidación de servicios.
Para un negocio tan crítico, en el que la alta disponibilidad y ciberseguridad de los sistemas y las comunicaciones es clave, el uso de nubes públicas y privadas se hace esencial; más aún sabiendo que detrás hay personal muy cualificado, desplegando y manteniendo todo ello.
Esto, por tanto, logra que podamos eficientar mucho los procesos de negocio, la gestión de TI, la gestión de la ciberseguridad, etc.
