Entrevista a Sara Martín, Chief Information Security Officer de HomeServe
Hoy tenemos el placer de traeros en exclusiva una entrevista con Sara Martín, CISO de HomeServe. Ella nos explica cómo se trabaja la ciberseguridad en una empresa que no se dedica a la seguridad. ¡No te la pierdas!
CyberSecurity News (CSN): ¿Quién es Sara Martín?
Sara Martín (SM): Estudié Ingeniería de Telecomunicaciones, la especialidad de Sistemas de Telecomunicación, en la Universidad de Alcalá de Henares y esto, no es una casualidad, desde siempre he sido una apasionada de la tecnología y las telecomunicaciones y de todo lo que podemos hacer con ella, por lo que siempre tuve claro que mi camino estaría muy ligado a este mundo y hoy en día, no se puede hablar de tecnología sin hablar de seguridad.
CSN: ¿Cómo ha sido tu recorrido profesional hasta convertirte en CISO?
SM: Ha sido un camino lleno de aprendizaje. Si bien empecé en un área más dedicada a analizar el negocio de los operadores, pronto pasé a formar parte de la consultoría de redes para grandes clientes. Este paso me permitió sentar una buena base que me abriría camino hacia el mundo de la seguridad. Tras pasar por diferentes proyectos relacionados tanto con redes como con seguridad, me puse al frente del CSOC de una de las grandes operadoras del país. Sin embargo, no sería el mayor reto de mi carrera, puesto que unos años después y tras cambiar el mundo de los servicios por una orientación más focalizada y personalizada hacia clientes, acabé iniciando mi aventura como Responsable de Seguridad de la Información dentro de Homeserve, compañía especializada en soluciones globales para el cuidado y mantenimiento del hogar.
CSN: ¿Cómo es tu día a día en la seguridad de una empresa que se dedica a las reparaciones del hogar?
SM: HomeServe es una empresa que apuesta por la seguridad, tanto a nivel local como global. Sabemos de la importancia que tiene dar un buen servicio a nuestros clientes y esa calidad la llevamos a todas las áreas de la compañía, incluido, por supuesto, el área de Seguridad. Trabajamos para que nuestra información esté lo más segura posible y, para ello, somos exigentes con nosotros mismos, auditando nuestros sistemas y procesos constantemente como parte de nuestra mejora continua. Estamos certificados en la ISO2700 y contamos con un CSOC que nos ayuda en la operación del día a día. Además, sabemos de la importancia que tiene que nuestros usuarios sean seguros, por lo que intentamos fomentar mediante formación y concienciación a nuestros empleados, no sólo en el ámbito laboral si no también en el personal. ¡Nuestra puerta siempre está abierta para cualquier duda que puedan tener!
CSN: Como CISO, ¿crees que los trabajadores de HomeServe están concienciados con los peligros que se esconden en la red?
SM: Obviamente, no somos una empresa que nos dediquemos a la seguridad, por lo que nos encontramos perfiles con más y con menos experiencia en identificar riesgos. Por ello, nos adaptamos a todos los empleados y los ayudamos en este camino hacia el aprendizaje: charlas, comunicados y formación, basados principalmente en casos reales para que se den cuenta, de que eso, nos puede pasar a cualquiera de nosotros. Creo que estamos en la senda correcta y que poco a poco los empleados son cada vez más conscientes de que cualquiera somos susceptible de que los peligros de la red nos acaben afectando y es que, hoy en día, ¿quién no conoce algún caso cercano que no ha sufrido un robo, estafa o cualquiera de las consecuencias de una mala gestión de nuestros datos?
CSN: Se habla mucho de la necesidad de la visibilidad de la mujer en el sector de la ciberseguridad, ¿qué opinas?
SM: Es cierto que es un sector, como en otras áreas tecnológicas, donde históricamente el género masculino ha sido más predominante, pero creo que poco a poco las mujeres empiezan a tener mayor presencia y visibilidad. Esto es, a mi parecer, fruto de varios factores:
- Hay un número mayor de chicas que cursan este tipo de estudios y hacen que poco a poco el mercado pueda tender a igualarse.
- Estamos en un momento donde se nos está dando más visibilidad, somos bastantes las que llevamos ya años trabajando en esta materia, pero es ahora, cuando se “nos ve más”.
- Se empieza a inculcar a niños y niñas desde pequeños a que sectores como el de la ciberseguridad, no debe diferenciar por sexo, evitando así estereotipos de antaño.
Si bien los datos están ahí, creo que hay un creciente interés por aumentar la participación de niñas y mujeres en el sector tecnológico y que aquellas que quieran desempeñar sus carreras en estas áreas, tendrán más facilidades, por lo que, desde aquí, animo a todas las chicas que quieran formar parte de este mundo, las estaremos esperando con mucha alegría y entusiasmo.
CSN: ¿Podrías contarnos alguna “anécdota” buena o mala durante tu trayectoria en el mundo de la ciberseguridad?
SM: No llevaba mucho tiempo en el área de seguridad cuando en uno de los clientes al que prestábamos servicio, la persona que estaba como responsable del mismo, se dio de baja y de un día para otro, tuve que ponerme a cargo del equipo. Sin llevar allí ni una semana e intentando ponerme al día de qué había y cómo estaba todo, el director de Tecnología y Seguridad de dicha entidad me llamó a su despacho para debatir sobre una iniciativa, de la cual no tenía detalle. Para más inri, ese día llevaba una camiseta verde con un emoticono de la carita sonriente ? de un tamaño considerable, vestimenta no especialmente apropiada para conocer al director.
Imaginaros la situación, yo, toda la reunión tapándome la camiseta, preocupada por intentar “ocultar” lo inocultable y mientras, bandeando como podía las preguntas y aclaraciones de una iniciativa de la que apenas tenía detalle, con el máximo responsable del cliente. Surrealista, ¿verdad?
Afortunadamente, al día siguiente mi acceso seguía activado y pude seguir trabajando y con el tiempo, la iniciativa llegó a buen puerto, pero lo recuerdo como algo divertido que me hizo pensar, que a veces, aunque las cosas no vengan en el mejor momento, nunca hay que perder la calma, muy importante en un trabajo como el mío.
CSN: Como sabes, durante el inicio del 2020 hemos pasado unas semanas algo complicadas a nivel global y muchas empresas se han visto obligadas a teletrabajar. ¿Cómo ha sido tu experiencia desde el punto de vista de la ciberseguridad?
SM: La verdad es que han sido semanas muy duras, porque de la noche a la mañana nos hemos visto inmersos en una situación que nadie teníamos prevista. En esta situación, lo primero que tienes que aceptar es el estado de emergencia y, por tanto, reconocer que tendrás que asumir ciertos riesgos que en otras ocasiones no asumirías y generar planes ad hoc para mitigar dichos riesgos. Obviamente, todo ello bajo la premisa de que el negocio continúe y que además lo haga con la misma calidad de siempre. En nuestro caso, he de reconocer que los equipos involucrados en conseguir que todo el mundo estuviera en casa teletrabajando en apenas 72 horas, ha sido increíble. De hecho, quiero agradecerles el esfuerzo y la forma en que lo han hecho, porque han sido muchas horas y mucho trabajo en una situación extrema y, es que, gracias a ello, podemos decir que a nivel de seguridad nos encontramos en un escenario muy bueno, donde nuestro nivel se asemeja al de una situación normal y eso, creo que es un logro.
CSN: ¿Qué le depara a la ciberseguridad en los próximos años?
SM: La verdad, es que me encantaría tener la respuesta, pero en un mundo tan cambiante, que nos sorprende cada día, creo que no hay respuesta acertada. Según los datos, las brechas de seguridad seguirán en aumento y, además, crecerán los ataques dirigidos, mucho más sofisticados y selectivos, es decir, esperamos una evolución de las amenazas. Además, el uso de tecnologías como el Machine Learning o la Inteligencia Artificial se ha extendido en este ámbito, pero no sólo para los que intentamos proteger a nuestras organizaciones, sino también para los que intentan atacarlas, por lo que aparecerán nuevos ataques, a los que tendremos que hacer frente.
Si pensamos más a futuro, deberemos tener en cuenta también el IoT, dispositivos que manejan información sensible y, por lo tanto, se convierte en elementos facilitadores, sin tener embebidas por defecto (hoy en día), medidas de seguridad.
Lo que está claro es, que aparecerán nuevos escenarios en los que tendremos que incrementar la seguridad si queremos que nuestras compañías sean seguras.