Aeropuertos, construcción, carreteras, servicios a la ciudadanía; Ferrovial es una de las mayores empresas españolas. Con cerca de 100.000 empleados en todo el mundo, gestiona recursos críticos (como el aeropuerto de Heathrow en Londres), estratégicos y de vital importancia para cualquier país.
La seguridad y ciberseguridad es piedra angular en este tipo de compañías. Por ello, hemos querido hablar con Juan Cobo, CISO de FERROVIAL.
Cybersecurity News (CSN): ¿Cuáles han sido los retos en la transformación digital de una empresa como Ferrovial?
Juan Cobo (JC): La transformación digital es una palanca de valor en cualquier empresa. Y para un player como Ferrovial no puede ser menos, puesto que la digitalización otorga ventajas competitivas importantes para quienes la acometen. Ferrovial apuesta en sus cuatro principales áreas de negocio: Aeropuertos, Construcción, Autopistas y Servicios por la digitalización de sus procesos, siendo conscientes de que el despliegue de soluciones innovadoras y disruptivas supone una ventaja competitiva y diferencial con respecto a otras empresas. Nuestro reto pasa por obtener el mayor beneficio de la tecnología emergente para crear valor en nuestras líneas de negocio.
CSN: ¿Cómo ha sido la transición en materia de protección de datos GDPR para Ferrovial?
JC: Partimos de la base de que Ferrovial es una empresa con cerca de 100.000 empleados. Nuestro tamaño nos exige, per se, acometer cualquier cambio relevante con modelos uniformes. En este sentido, desde Ferrovial ya llevábamos mucho tiempo trabajando con un modelo para gestionar la protección de datos esgrimida en la LOPD. Este modelo se ha adaptado para cumplir con la regulación del GPDR; un modelo formal y uniforme con responsabilidades claras en todas las áreas que tienen competencia (como puedan ser: sistemas de información, recursos humanos, asesorías jurídicas, departamento de compliance, etc.). El cambio que supone GDPR para una compañía como Ferrovial son una serie de nuevos requisitos ya conocidos por todos a los que nos hemos tenido que adaptar e incorporar a nuestro modelo de gestión de la Privacidad. En Ferrovial, operativamente, estas actividades están externalizadas, existiendo una empresa tercera que nos ayuda en la operación de nuestro modelo.
CSN: ¿Y la Directiva NIS, afecta a Ferrovial en tanto ser una empresa que gestiona infraestructuras críticas?
JC: Ferrovial en España, a día de hoy, no gestiona infraestructuras/ servicios críticos sujetos a NIS conforme a la definición establecida. Fuera de nuestras fronteras, en Reino Unido, gestionamos, entre otros, el aeropuerto de Heathrow (Londres; uno de nuestros principales activos en el país) que sí es una infraestructura crítica y, como tal, estamos sujetos, no solo a la Directiva NIS a nivel europeo, sino también a las regulaciones locales en materia de infraestructuras críticas.
CSN: Construcción, Aeropuertos, Servicios, Autopistas… son los sectores de actividad de Ferrovial. Infraestructuras críticas. ¿Cómo recuerda la gestión aquel fin de semana del famoso Wannacry o la crisis NonPetya?
JC: En dos palabras. Muy intensa. Afortunadamente, no hubo infecciones, pero sí hubo impacto en la medida en que se aislaron entornos y se cortaron temporalmente los accesos a Internet. Fueron horas en las que tuvieron que tomarse decisiones complejas y de carácter sensible, si bien, afortunadamente, la cadena de mando y la depuración de instrucciones está consolidada, siendo de gran ayuda, para estos casos la realización periódica de simulacros internos en los que se escenifican situaciones de crisis. Esto nos permitió ser bastante ágiles a la hora de afrontar esta “crisis” con resultados positivos, en tanto que – aunque se tuvieron que detener servicios durante el fin de semana – no hubo infecciones. No obstante, siempre hay cosas que mejorar, y la lectura – entre comillas – positiva de aquel episodio es que ha permitido medir nuestros niveles reales de preparación y reacción e identificar las áreas donde se necesita mejorar.
CSN: Este tipo de infraestructuras, por su especial sensibilidad, comienzan a ser objeto de ataque para los hackers. ¿Qué hay de extra en materia de ciberseguridad para este tipo de compañías como Ferrovial?
JC: Más que hablar de infraestructuras críticas, en nuestro caso hablamos de activos críticos, que pueden estar sujetos o no a regulación por parte de un país. Desde Ferrovial tenemos un mismo modelo de gestión ya se traten de infraestructuras o no críticas, ya que nuestra visión de la seguridad es global sobre todos nuestros activos.
El hecho de que una infraestructura sea crítica porque así lo consideren las regulaciones de un país, supone adecuar las medidas de protección a la normativa establecida, si bien no por ello el nivel de seguridad es necesariamente mayor que en infraestructuras no consideradas críticas conforme a regulación.
CSN: La ‘democratización’ de la ciberseguridad también ha llevado a una mayor preocupación interna, ¿es más fácil ahora para un CISO que “le hagan caso” dentro de una compañía?
JC: Seguramente cada CISO tengo su propia realidad. Lo que puedo decir en el caso de Ferrovial es que, desde mi incorporación, muchas cosas han cambiado drásticamente, empezando por los nombres que una misma función ha tenido a lo largo de los años hasta llegar a la fórmula mágica del término “ciberseguridad”. Hoy en día es mucho más sencillo tener la atención de un Comité de Dirección o de un Consejo de Administración, en parte por el evidente protagonismo y la relevancia que ha tomado la ciberseguridad en la sociedad actual, y también gracias a la propia mediatización provocada, con razón, por la progresión exponencial de los incidentes sufridos, tales como el propio Wannacry.
CSN: Integración de plataformas de seguridad. ¿El abrumador número de soluciones son demasiadas? ¿Se necesita simplificar en este sentido las herramientas disponibles en el mercado? En un escenario idealistas, ¿qué sería lo ideal para un CISO?
JC: Aquí hablamos de dos aproximaciones. Cuando gestionas ciberseguridad para una empresa, lo puedes hacer desde la tecnología (el producto) o desde el servicio. Desde Ferrovial vemos la ciberseguridad como un proceso que está soportado por un servicio: servicios de seguridad, no tecnología de seguridad.
Efectivamente hay mucha tecnología de ciberseguridad en el mercado, pero, al contrario, este es un aspecto que considero positivo. Para Ferrovial esto no es un problema, ya que tratamos de ser agnósticos con la tecnología, en el sentido que confiamos estas soluciones a terceros que nos prestan servicios de seguridad soportados por dicha tecnología.
Me preocupa más un buen servicio que un buen producto.
CSN: Nuevos perímetros de seguridad. ¿Cómo han cambiado las cosas el mobile y el cloud?
JC: Radicalmente. Progresivamente, todo se vuelve móvil y/o se mueve a la nube y nuestra visibilidad o control directo es menor. La forma de gestionar seguridad ha cambiado por ello, lo que te obliga a tener modelos con los que gestionar cómo controlas entornos que de manera natural y directa no controlas. En estos modelos, aspectos tales como la selección de los proveedores de cloud y movilidad con los que trabajas, sus certificaciones, sus modelos de auditoría, tus capacidades de revisión y traza o las garantías contractuales se vuelven fundamentales. Son, sin duda, entornos sujetos, por defecto, a más riesgos, pero no necesariamente por ello menos seguros.
CSN: ¿Cómo cambiará la industria con el IoT y la Inteligencia Artificial?
JC: Más problemas, más trabajo y más retos. En Ferrovial contamos con funciones específicas dedicadas en exclusivo al estudio, el desarrollo y la explotación de tecnologías disruptivas y emergentes que puedan aportar valor a nuestros negocios. Nuestra coordinación con estas funciones y nuestra involucración en sus iniciativas se ha vuelto fundamental.
Desde el punto de vista de la ciberseguridad, se trata de un reto que abarca entornos donde la ciberseguridad, tradicionalmente, no ha estado focalizada y que constituyen, por defecto, escenarios de riesgo. Aunque a la vez, toda esta disrupción supone también una oportunidad única para empresas como Ferrovial, donde el Internet of Things o la Inteligencia Artificial aplicados a conceptos como la Movilidad o las Smart Cities son nuestras apuestas de presente y futuro, que consideramos nos pueden posicionar de una manera diferencial con respecto de nuestros competidores.
Desde luego, como digo, tiempos retadores.
CSN: ¿Qué más cosas preocupan a un CISO? ¿Qué es lo más preocupante?
JC: Muchas cosas, máxime en compañías como Ferrovial. Me preocupa conocer con detalle el estado de la seguridad en todos los países en que operamos, para lo cual trabajamos con un modelo homogéneo. Me preocupa el estar los suficientemente preparados para el día que nos toque – porque algún día nos tocará – responder a un ataque o incidente masivo. Me preocupa que mis capacidades de detección y reacción sean todo lo buenas que deban ser y, por supuesto, me preocupa seguir contando con presupuesto para seguir mejorando nuestras capacidades preventivas.
Hemos hablado de los retos que suponen mobile, cloud, IoT, regulación… son muchos frentes abiertos que preocupan al CISO de cualquier empresa en mayor o menor medida.
CSN: ¿Cómo ve el papel de las criptodivisas en todo esto? ¿Benefician más al lado oscuro?
JC: Hoy en día es lo que parece. No soy un experto en esta materia, pero – al margen de la burbuja que parece que vive el mercado con las criptomonedas– con respecto al Blockchain, estamos ante otra de las tecnologías que toda empresa en proceso de digitalización está explorando, aunque todavía no se vean grandes resultados tangibles de aplicación directa. Con respecto a las criptodivisas, son una solución que sí favorece a aquellos que quieren que sus operaciones permanezcan en el anonimato y con escasa trazabilidad, lo que normalmente encaja perfectamente con los “chicos malos del otro lado”.
CSN: ¿Capacitación en ciberseguridad? ¿Es fácil encontrar perfiles? ¿Dónde se buscan nuevos talentos? ¿En qué promedios se mueven las cifras de sueldos de estos perfiles tan técnicos?
JC: Es difícil buscar el talento en ciberseguridad. Es una profesión al alza y en la que todas las empresas quieren tener a los mejores profesionales. Si están bien remunerados o no, depende de cada empresa, pero al no haber mucha oferta de mano de obra, los sueldos obviamente tienden a subir. En mi opinión, España siempre ha tenido gran talento en ciberseguridad, aunque como tradicionalmente parece que no siempre ha estado bien remunerado, mucho de este talento ha buscado oportunidades laborales fuera de nuestras fronteras. Vamos, que tendemos a perder el talento que tenemos, y esto preocupa.