Carlos Manchado, CISO de Naturgy
¿Qué es lo que le preocupa a un CISO? ¿Cómo es su día a día? Sabemos la importancia creciente del CISO en una compañía, un rol que en muchos casos ha evolucionado hasta llegar a nivel de dirección, a incidir en la toma de decisiones sobre el negocio.
Desde CyberSecurity News viajamos al sector energético para entrevistar al responsable de ciberseguridad de una de las compañías energéticas más importantes de España. Hablamos con Carlos Manchado, CISO de Naturgy quien además será uno de los speakers de CISO Day 2019, el mayor evento en España en torno a la figura del CISO y que tendrá lugar el 12 de junio en Madrid.
CyberSecurity News (CSN): Me gustaría comenzar nuestra entrevista, con una pregunta fundamental para entender mejor el trabajo de un CISO. Como responsable de la estrategia de ciberseguridad de una entidad energética como es Naturgy, ¿qué es lo que más te preocupa en tu día a día Carlos?
Carlos Manchado (CM): Como operador de servicios esenciales y empresa de infraestructuras críticas, la principal preocupación es muy específica, y viene marcada por negocio. Es la disponibilidad de estos centros y estas instalaciones. Y es que, una disrupción en las mismas, podría causar una crisis a nivel nacional e incluso, internacional.
Hay muchos tipos de riesgo: de fuga de información, de intrusión… y éstas son transversales de la mayoría de los CISOS, pero mi mayor preocupación, evidentemente, es todo lo que afecta a infraestructuras críticas y servicios esenciales.
Mi día a día es muy diferente el uno del otro, incluso en el mismo día puede cambiar de forma completa la dinámica. Hay muchas líneas de trabajo que confluyen, pero la parte rutinaria siempre está en segundo plano, en constante alerta en todo momento.
CSN: Uno de los temas más destacados de 2018 fue la implementación del nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). Casi un año después de la implementación, ¿cómo ha sido el proceso de adopción en tu empresa y como lo has vivido como responsable de ciberseguridad?
CM: Hubo un proyecto en el que existía una implicación muy importante, incluso a nivel de dirección con seguimientos, órganos de gobierno, comités… y fue a muy alto nivel. El control fue muy exhaustivo, nos ayudaron a la adecuación y llegamos al 25 de mayo.
Nosotros sí que dejamos un plan de acción de determinados aspectos que, evidentemente, son susceptibles de mejorar, pero hemos sido bastante diligentes en cuanto a nuestras necesidades y hacer una comparación de los riesgos en cuanto a los tratamientos y procesos que tenemos, e intentar aplicar todas las soluciones.
CSN: Y vuestros clientes, ¿se han preocupado por saber cuáles son los datos que os entregan y cómo habéis implantado la normativa?
CM: Sí. Hay muchas solicitudes de clientes que, claramente, están ejerciendo su derecho de acceso o de cancelación y ésta se atiende conforme la legislación. Mi perspectiva es que, si ya éramos muy conscientes de la protección de datos, esta normativa hizo que lo fuéramos aún más y, por ello, se aplicara más en las empresas.
CSN: Si miramos al pasado reciente, puede que probablemente la figura del CISO y la importancia que rodea a esta figura, no existiera antes. ¿Qué opinas al respecto? ¿Crees que cada vez más, el CISO es tenido en cuenta a nivel de dirección estratégica dentro de la empresa?
CM: La respuesta rápida y corta es Sí. Pero hay matices, por ejemplo, en la industria siempre ha estado valorado ya que se necesitan (directiva NIS).
En el resto de sectores, la tendencia ahora es cada vez mayor, ya que es más fácil dirigir los ataques y el impacto puede ser menor con un CISO a la cabeza. Y es que, phising, denegación de servicios, estafa del CEO…todo esto está a la orden del día y cualquier empresa puede sufrir estos ataques.
De hecho, INCIBE, no se dirige solo a grandes empresas, sino también a pymes.
CSN: Si te digo la palabra “cloud”, ¿qué se te viene a la cabeza? Según varios estudios, será el 2019 el año en el que gran parte de las empresas españolas den el salto a la nube. Sus beneficios son claros pero, ¿encuentras alguna barrera? ¿Es la desconfianza a sacar del core de la empresa los datos, la principal barrera?
CM: Cuando me hablas de Cloud pienso en oportunidades y casos de uso a nivel negocio muy buenos, pero todo esto requiere mucho control, ya que extiendes tu compañía más allá de lo que era tu infraestructura. Sí que hay cierta reticencia pero yo creo que parte de la función de los CISOs es alinearse a las necesidades de negocio y, una de ellas es, sin duda, la transformación digital y, con ello, la experiencia de usuario. Esto, va muy ligado al tema de cloud. A nivel de movilidad, hay una escalabilidad mucho mayor a la hora de adquirir información; es decir, tiene muchas ventajas. En cambio, es un terreno en el que tenemos que asegurarnos muy bien.
Al final la funcionalidad y las oportunidades son mayores para el negocio, la seguridad tiene que intentar acompañarlo. Hay que tener mucho control.
CSN: Llevamos un tiempo ya hablando sobre IoT. Y sin darnos cuenta, el Internet Of Things, poco a poco va siendo parte de nuestras vidas. Coches conectados, compras por altavoces inteligentes, ropa inteligente… Como experto en ciberseguridad, ¿cómo valoras el auge del IoT? ¿Un entorno retador?
CM: Al final es otra de las tendencias que ofrece una ingente cantidad de oportunidades pero a la vez es muy muy preocupante. Al igual que en cloud hay muchas dificultades y hay que ver qué soluciones (si a nivel nativo o por terceras partes) se pueden tomar y si merece la pena aplicarlo o no.
En este tipo de dispositivos hay una hiperconectividad total, pero falta un acuerdo internacional en cuanto a la seguridad desde diseño. Esto lo hace aún más complicado aún, porque alomejor ni siquiera puedes actualizar el software empotrado, porque a veces ni el fabricante se preocupa de ello para que puedas solucionar una determinada vulnerabilidad.
CSN: Pongamos sobre una balanza las amenazas procedentes del interior de una empresa (amenazas en su aspecto más amplio), y las procedentes del exterior. ¿Hacia dónde se inclinaría la balanza?
CM: Es verdad que hay muchos ataques externos que intentan introducirse internamente y conocer los APT, permanecer en tu estructura, tener un conocimiento absoluto de ello y extenderse. ¿Cuál es la tendencia de los externos? Para mí, los más dañinos son los externos que intentan comprometer tu web y quedarse latente para luego hacer unas filtraciones de información y, también, los que provienen del exterior, ya sean por error o intencionados.
Creo que hay que tener cuidado con ambos, pero internamente hay que tener mucho más cuidado, ya que si se conocen los procesos y el tipo de tecnología que existe en la compañía, el daño puede ser mucho mayor.
Siempre tenemos que validar, ya sea porque el usuario está haciendo un caso de abuso o, incluso por inconsciencia, hace algo dañino y si no hay ningún tipo de control, puede demoler una compañía. Por esto hay que desplegar controles que nos ayuden a frenar cualquier tema que pueda dar lugar a un incidente.
CSN: Por último, hablemos sobre capacitación en ciberseguridad. Como director de la estrategia de ciberseguridad de Naturgy, conoces la importancia de estar rodeado de buenos expertos y profesionales. ¿Cree que es fácil en España encontrar buenos perfiles técnicos y estratégicos del sector de la ciberseguridad? ¿Cree que se está fomentando el talento joven dentro del sector?
CM: Creo que no tenemos nada que envidiar, hay personas muy bien preparadas. Hay una demanda muy importante que supera a muchos otros empleos. En cambio, hay fuga de este capital humano a otros países ya que esta misma demanda se ha creado en otros países y con condiciones -a todos los niveles- mejores, ya no solo estrictamente económicas, sino en todos los campos. Por tanto, es verdad que hay muy buen nivel pero deberíamos velar por cuidarlo (remuneración, flexibilidad, formación…).
