El pasado jueves se celebró el CISO Day 2020, el mayor evento internacional en torno a la figura del CISO

El evento organizado por CyberSecurity News volvió a deslumbrar de manera internacional, esta vez en un formato híbrido, es decir, a puerta cerrada en el Palacio de Hielo de Madrid, y a la vez se pudo seguir en directo en streaming para toda España y Latinoamérica.

La jornada comenzó con una entrevista one to one; International CISO’ Experience. A través de la cual el director de ciberseguridad de una empresa digital internacional, nos contó su experiencia en la gestión global de la ciberseguridad, adentrándonos en estrategias de ciberseguridad proactivas y en estrategias reactivas en momentos de crisis.

Alejandro Estrada Gamboa, Regional Sales Director Iberia, Italy and North Africa at Sonatype, fue el encargado de entrevistar a Xavi Bartomeu, CISO de SCRM Lidl International Hub. Sonatype, empresa cuya plataforma integrada de gobierno de código abierto (Nexus) ayuda a más de 1,000 organizaciones y 10 millones de desarrolladores de software a acelerar la innovación y mejorar la seguridad de las aplicaciones simultáneamente, ha sido patrocinador platinum en el CISO Day 2020.

Mantuvieron una conversación donde, como es lógico, predominaba la figura del CISO pero también hubo tiempo de hablar de un hecho tan importante como es que muchas personas no le den a la ciberseguridad la importancia que tiene. Alejandro Estrada inició la entrevista preguntando: «¿Qué hace Lidl International Hub? Y como responsable de una plataforma digital que da servicio a millones de usuarios en múltiples paises que es lo que te mantiene despierto en las noches? ¿Cuáles son tus prioridades?»

Xavi explicó qué Lidl Internacional Hub, «al tratarse de productos digitales es muy importante mantener la seguridad, al igual que la concienciación, pero sobre todo la parte del proceso de poder garantizar la ciberseguridad de todos los usuarios»

En cuanto a la figura del CISO Alejandro dice: «hablo constantemente con CISOs pero su posición y relevancia varía dependiendo de la industria, etc. A veces le reportan al CIO, CEO, COO, CRO. ¿Dónde ves la figura del CISO dentro de la organización de una empresa?» Bertomeu considera el ecosistema «variopinto y la figura del CISO aún no está bien posicionada, necesita madurez. Lo que más se ve en los últimos tiempos es el CISO reportando al CEO«. Y reconoce que «hay poca autonomía, el CISO es alguien que debe tener poder sobre el negocio».

La seguridad no vende y muchos lo ven como un mal necesario

William Webster, director of FBI y de la CIA y Consejero de Homeland Security dijo “Security is always seen as too much until the day it is not enough”. El entrevistador le comenta al respecto: «Yo veo que esto pasa mucho en España. Hay un énfasis en la infraestructura de seguridad y pueden invertir millones de Euros sin preguntar pero cuestionan la inversión de 1 Euro en código seguro. Lo cual es irónico ya que todo se está moviendo a plataformas digitales. ¿Cómo lo presentas/vendes al CEO, CFO de tu organización?» 

El entrevistado considera que por parte de la percepción de la mayoría de las personas «la seguridad empieza a ser importante cuando recibimos un ataque, somos ciudadanos de segunda. La seguridad no hace que ganes dinero, pero sí que no lo pierdas. Nos hemos olvidado de la seguridad en las apps de código, aun priorizamos la seguridad de la infraestructura, y la capa aplicativa es igual de importante.» Y remarca lo importante que es «explicar los riesgos que genera no tener una buena seguridad».

Todas las empresas, no importa su industria, están tratando de hacer transformaciones digitales. Al ser el responsable de la seguridad de una organización 100% digital, Alejandro le pregunto: «¿cuáles serían las mejores prácticas que recomiendas a los CISOs de otras organizaciones?» El CISO nos cuenta que «existe la seguridad reactiva y proactiva, está muy bien tener herramientas que te ayuden a detectar vulnerabilidades, pero hay que explicar a los desarrolladores como hacerlo bien. Hay que atacar a la raíz del problema, y la raíz es la persona que empieza  a generar código. Si la gente fuera consciente y educáramos mejor el mundo sería más seguro.»

Por otro lado, el uso de OSS, dependencias de 3eros, se ha generalizado, Estrada plantea que «en España prácticamente todas las aplicaciones que he visto son más del 90% compuestas de estas librerías que no fueron desarrolladas por sus ingenieros sino descargadas de los repositorios públicos como Maven, NPM, etc. ¿Qué recomiendas o cómo construyes procesos para asegurarte de que tus equipos están desarrollando SW de forma segura?. ¿Y cómo mitigas los riesgos de aplicaciones legacy que están en producción y que potencialmente tienen muchas vulnerabilidades.»

Xavi prioriza la formación de los equipos, «hay que proteger el código, lo mas importante es utilizar herramientas que te ayudan a detectar vulnerabilidad de 3eros. Es facil poner herramienta, pero hay que explicarle a la gente, educar y concienciar. Formar a los equipos es muy importante»

Para acabar Alejandro le pregunta: «SCA o Software composition analysis es una práctica de seguridad relativamente nueva que no tiene mayor difusión en España. Muchos CISOs con los que hablo le dan mucha más importancia al escaneo de vulnerabilidades en el Source code que generaron sus propios empleados pero no le dan importancia a las dependencias de terceros/OSS. ¿Cómo CISO y como evangelizador de seguridad qué mensaje darías para crear más conciencia entre tus colegas sobre esta práctica de seguridad?»

Como conclusión final, Xavi Bertomeu responde: «la seguridad reactiva es muy importante, pero no nos olvidemos de la proactiva. En el sector digital se producen productos digitales, hay que buscar herramientas y formulas para explicarlos. Siempre cerca de los equipos, que vean que el CISO está de su lado. Concienciad y evangelizad a todo el equipo de vuestra compañía.»

No te preocupes si no pudiste seguir el evento en directo o te perdiste alguna parte, ¡la plataforma del CISO Day 2020 sigue abierta hasta el próximo 30 de septiembre!

Y no solo eso, si no que podéis seguir agendando reuniones, haciendo networking y visitando a nuestros patrocinadores: Sonatype, Darktrace, Akamai, Evolutio, Factum, S21sec, Stackscale, Softeng y Experis.