Facebook Linkedin Twitter Instagram Youtube Telegram
Buscar
Cerrar este cuadro de búsqueda.

«Contamos con personal técnico que han recibido cursos más específicos de seguridad»

Entrevistamos a Rodrigo Nalda, CISO en Grupo Santillana de Latinoamérica

En nuestra sección de entrevistas de CyberSecurityNews hoy entrevistamos a Rodrigo Nalda, CISO en Grupo Santillana de Latinoamérica, quien nos hablará sobre su trayectoria y de las diferencias normativas en cuanto a la ciberseguridad de Latinoamérica y Europa.

CyberSecurity News (CsN): ¿Cómo ha sido tu trayectoria en el sector de la seguridad y comunicaciones hasta convertirte en CISO?

Rodrigo Nalda (RN): Mi trayectoria profesional comenzó en 1999 como desarrollador en una pequeña empresa de capital español. A los pocos meses y con la ayuda de mi responsable, comencé a meterme más en la parte de sistemas, administrando el servidor de correo y el FW que teníamos basado en IPTables de Linux.

La empresa comenzó a interesarse por los temas de ciberseguridad y me metí de lleno en este apasionante mundo.

Mis inicios en la ciberseguridad comenzaron como técnico junior, pasando a senior al poco tiempo. Posteriormente, comencé a realizar preventa, apoyando a los comerciales de la compañía. En cuestión de aproximadamente 6 años, pasé a ser el responsable de seguridad de la compañía y responsable de preventa de seguridad. Así estuve unos 10 años en los que participé en múltiples proyectos en grandes clientes y siempre con formación continua.

En 2015 cambié de compañía y pasé a ser CISO y en 2019 entré en Santillana Latinoamérica como CISO también.

CsN: Actualmente eres CISO en Grupo Santillana de Latinoamérica, ¿cuáles son los principales riesgos y amenazas que se enfrenta el sector editorial? ¿Qué medidas tomáis desde vuestra empresa para afrontarlas?

RN: Pertenecemos al sector de la educación. Nuestro core de negocio es la generación de contenidos educacionales de calidad, de manera que cubramos las necesidades de todos los actores del ciclo formativo: profesores, alumnos y familias.

El modelo de negocio está en pleno cambio, con una presencia cada vez mayor de los contenidos digitales. Aquí el riesgo se encuentra en la pérdida del prototipo, ya sea por un fallo (técnico, un espionaje industrial o un ransomware) o por el modelo de suscripción a la plataforma digital, donde podemos identificar, además de los ya mencionados anteriormente: denegaciones de servicio, suplantación de identidad, ataques reputacionales, filtración de datos de nuestros clientes…

Las medidas que adoptamos para prevenir este tipo de riesgos se basan en un Plan Director de Seguridad definido en 2020 en el que, aparte de securizar nuestros entornos, hemos puesto el foco en la monitorización y la visualización de lo que ocurre en nuestros sistemas.

Nuestro perímetro de exposición es muy grande debido a los servicios que prestamos, por lo que tenemos amenazas vivas de forma constante… y las seguiremos teniendo. Por esto, es fundamental tener un nivel de visibilidad y de capacidad de reacción alta, así como procedimientos definidos y probados para casos de emergencia.

CsN: ¿Cuál es tu papel y tu responsabilidad principal en Grupo Santillana? 

RN: Como CISO de Santillana Latinoamérica, mis responsabilidades fundamentales son garantizar la seguridad de la información y los sistemas de la organización. Estas responsabilidades están agrupadas en las siguientes áreas clave:

  1. Desarrollo de Estrategias de Seguridad:
    • Definir y liderar la estrategia de seguridad de la empresa.
    • Colaborar con la alta dirección para alinear las estrategias de seguridad con los objetivos comerciales de la organización.
  2. Gestión de Riesgos:
    • Identificar, evaluar y gestionar los riesgos de seguridad de la información.
    • Desarrollar e implementar políticas y procedimientos para mitigar los riesgos de seguridad.
  3. Gestión de Incidentes de Seguridad:
    • Desarrollar y poner a prueba planes de respuesta a incidentes.
    • Coordinar la respuesta a incidentes de seguridad, investigar brechas de seguridad y tomar medidas correctivas.
  4. Gestión de Tecnología de la Información:
    • Colaborar con el equipo de TI para garantizar la implementación segura de tecnologías y sistemas.
    • Evaluar la seguridad de las aplicaciones y la infraestructura tecnológica.
  5. Concientización y Capacitación:
    • Implementar programas de concientización en seguridad para el personal.
  6. Evaluación de la Seguridad:
    • Realizar auditorías y evaluaciones periódicas de la postura de seguridad de la empresa.
    • Coordinar pruebas de penetración y evaluaciones de vulnerabilidades.
  7. Innovación y Actualización Tecnológica:
    • Mantenerse al tanto de las tendencias en seguridad de la información y evaluar nuevas tecnologías para mejorar la postura de seguridad.
    • Mantener el contacto con partners y fabricantes de soluciones de seguridad.
  8. Gestión del Equipo de Seguridad:
    • Construir y liderar un equipo de seguridad de la información competente.

CsN: ¿Cuáles son los pilares básicos sobre los que tenéis que asentar la estrategia de ciberseguridad en la compañía? 

RN: La seguridad de nuestra compañía se basa en los estándares de mercado haciendo caso a: gestión de riesgos, concienciación y educación, políticas y procedimientos, gestión de acceso, gestión de incidentes, actualizaciones y parcheado, monitorización continua, colaboraciones, cumplimiento normativo, disponibilidad, resiliencia y recuperación.

Seguimos todos y cada uno de ellos, pero adaptados a las necesidades de nuestros usuarios y clientes de manera que, sin dejar de lado los demás, hemos realizado grandes esfuerzos para mejorar la monitorización de nuestros sistemas (dado que necesitamos nuestras plataformas activas y funcionando correctamente para nuestros clientes) y la formación para nuestros usuarios en aspectos de ciberseguridad que estén directamente relacionados con el cuerpo normativo.

CsN: ¿Qué protocolos y acciones lleváis a cabo para concienciar y potenciar entre los empleados de Grupo Santillana la importancia de la ciberseguridad?

RN: Realizamos distintas actividades formativas para nuestros usuarios, desde píldoras de Ciberseguridad quincenales hasta una sección específica en la Intranet Global donde los empleados pueden acceder a toda la documentación. También realizamos ejercicios de phishing simulado y generamos cursos formativos específicos de seguridad.

Además, al ser una compañía con empleados distribuidos en 21 países, en cada uno de ellos contamos con personal técnico que han recibido cursos más específicos de seguridad, de manera que puedan atender a las consultas de los usuarios de forma rápida.

Además, también disponemos de un canal de Teams para la propagación de noticias relevantes o avisos urgentes.

CsN: ¿Qué diferencias existen en la normativa en ciberseguridad entre Latinoamérica y Europa? 

RN: Actualmente, la mayoría de los países de LATAM están definiendo su propia normativa de Ciberseguridad. En la mayoría de los casos, están tomando como referencia la normativa europea al ser de las más restrictivas. En cualquier caso, nuestro equipo Legal es el encargado, en última instancia, de supervisar cualquier problema que se pudiese dar en el tratamiento de datos, comunicaciones o cualquier otra necesidad que surgiese desde el área de Ciberseguridad.

CsN: ¿Cuál es tu perspectiva sobre el estado actual de la ciberseguridad y cuáles consideras que son las áreas que hay que prestarle más atención de cara a 2024?

RN: Por suerte, en los últimos años, la Ciberseguridad ha empezado a tener un mayor peso en las compañías.

Hemos dejado atrás la época en la que “si se puede se hace y, si no, se deja para otro momento, ¿quién va a querer atacarme?”. Era muy común escuchar esta frase hace 10 años cuando se intentaba vender Ciberseguridad. Pero, en la actualidad, es algo que está en boca de mucha gente.

Un factor que considero importante es que los incidentes de ciberseguridad se han popularizado al convertirse en noticias de ámbito abierto y no solo en el círculo de profesionales del sector. Ahora la prensa, radio y televisión hablan de ciberseguridad. Esto, junto a las normativas existentes (GDPR en el caso de Europa, LGPD en Brasil…), hacen que ya no sólo las grandes compañías piensen en ciberseguridad sino que, al popularizarse, ya se considera como una necesidad más de negocio.

El problema es que en la ciberseguridad no se puede parar. Requiere de un mantenimiento, actualización, monitorización y seguimiento constante. Lo que hoy es suficiente, puede que mañana no lo sea.

Hablar de los mayores vectores de ataque actuales es repetir lo que ya muchas veces se ha dicho: lo importante es mantener la infraestructura al día y no dejar de conocer los nuevos vectores de ataque que los ciberdelincuentes utilizan. Y precisamente éste es el punto en el que creo que 2024 puede ser disruptivo.

La aparición de la IA dentro de la ciberseguridad va a ser un elemento diferenciador, pero tenemos que tener en cuenta que los ciberdelincuentes también se aprovecharán de las capacidades de ésta para diseñar nuevos ataques y encontrar nuevos vectores de entrada. Creo que el desafío, no sólo de 2024 sino de los próximos años, va a ser la forma en la que la IA se integre en la ciberseguridad y, a su vez, el modo en que se use como herramienta de intrusión.

Picture of Tania López

Tania López

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio