«Iberdrola plantea la resiliencia al mismo nivel que la ciberseguridad»

Entrevistamos a Rafael Tenorio, CISO en Iberdrola

En nuestra sección de entrevistas de CyberSecurityNews hoy entrevistamos a Rafael Tenorio, CISO en Iberdrola, quien nos hablará sobre su trayectoria y la figura de los responsables de ciberseguridad de las compañías.

CyberSecurity News (CsN): ¿Cómo ha sido tu trayectoria en el campo de la ciberseguridad? 

Rafael Tenorio (RT): Mi trayectoria dentro de la ciberseguridad parte en las primeras prácticas de la carrera allí en Sevilla, hace ya más de una década, donde por motivos de carga de trabajo me tocó ponerme a realizar análisis básicos de aplicaciones web basados en OWASP, pasar aplicaciones de análisis de código estáticos y ciertas pruebas de vulnerabilidades en preproducción.

Aquí es donde empezó todo desde un punto profesional, ya que en otro de los campos en los que tenía interés, procesadores y robótica, la oportunidad del proyecto de investigación se cayó. A raíz de ese momento se despertó el interés en este campo, pero terminó de desarrollarse cuando comencé de becario en Thales España en proyectos del ámbito de la defensa y donde la seguridad es un deber primordial por encima de lo todo, y así ya empecé a formarme en eso que denominaban seguridad de la información.

Al final durante mi trayectoria con los inicios comentados, he pasado por varios de los campos de la ciberseguridad, la parte de consultor con aspectos como el gobierno, los riesgos y el cumplimiento en grandes clientes y de distintos sectores, con la posterior especialización en la respuesta a incidentes, forense digital y ciber inteligencia, donde evolucione ganado responsabilidades e introduciendo cada vez más labores de gestión de proyectos y equipos, y todo esto que fui aprendiendo y desarrollando, ahora lo uso en mi día a día.

CsN: ¿Cómo se estructura actualmente el departamento de Seguridad de la Información de Iberdrola? ¿Cuáles son sus funciones concretas?

RT: La ciberseguridad en Iberdrola se gestiona de forma descentralizada pero coordinada, aplicando el modelo de tres líneas de defensa, en el que cada una de las líneas asume una función independiente.

La 1ª línea es el negocio y es responsable de la gestión de los riesgos y de definir e implementar los controles necesarios para que los sistemas operen de manera segura. Esto implica que, todas las áreas y negocios de Iberdrola tienen áreas de ciberseguridad, trabajando juntas para garantizar que la seguridad forme parte de las operaciones de la Compañía. En mi figura y junto con mi equipo, trabajamos en la 2ª línea, donde supervisamos, establecemos el gobierno de la ciberseguridad y lideramos la gestión del riesgo, parte principal de la 2ª línea. Además, tenemos la responsabilidad de gestionar los incidentes siempre en colaboración y coordinación con la 1ª línea. Finalmente, la 3ª línea es Auditoría, que viene a auditar que se hace lo que se dice y de la mejor forma, una gran ayuda para traccionar y realizar mejoras en los procesos y por tanto en la ciberseguridad de nuestros activos.

CsN: La resiliencia se ha convertido en uno de los factores más críticos en las estrategias de ciberseguridad de las compañías, ¿cómo la tiene planteada Iberdrola? 

RT: Iberdrola plantea la resiliencia al mismo nivel que la ciberseguridad, y en colaboración constante, ya que en organizaciones como las nuestras la resiliencia no es solo en los sistemas o la tecnología, va más allá y trata este aspecto desde el negocio y los procesos que los sostienen. Que a su vez está soportado por tecnología y aquí es donde la ciberseguridad aporta sus capacidades.

CsN: Debido a la gran cantidad de incidentes que se dan a conocer en los últimos años, sobre todo respecto a la privacidad de los datos, como una gran compañía, ¿qué medidas recomendarías para garantizar la privacidad de los datos en un entorno digital?

RT: Todas las grandes compañías sufren con frecuencia infinidad de ataques con el objetivo de impactar sus operaciones o robar datos sensibles de la empresa, sus clientes, proveedores y otros grupos de interés, y nosotros no somos una excepción. Lo importante no es solo responder a estos ataques para minimizar su impacto, sino también aprender de ellos y usar la experiencia adquirida para aumentar nuestra resiliencia.

Es importante disponer de un marco sólido de protección del dato e implantar mecanismos de protección de forma priorizada y con foco en los riesgos, pero también disponer de procesos y mecanismos de supervisión que permitan la monitorización de que dichos procesos funcionan de manera adecuada, ya que muchos de los grandes incidentes se dan por descuidos o fallos en el funcionamiento de estos procesos.

Por ello, en Iberdrola disponemos un marco de aseguramiento de ciberseguridad muy exigente, a través del cual implementamos controles basados en los mejores estándares de mercado que nos permiten llevar a cabo una monitorización efectiva de la seguridad en todos los sistemas que dan soporte a nuestros procesos más críticos o tratan nuestros datos sensibles o los de nuestros clientes.

CsN: ¿Cómo ha cambiado la figura de los responsables de ciberseguridad en los últimos años? ¿Cuáles son los grandes retos y desafíos a los que se enfrenta la figura del CISO?

RT: Y sigue cambiando. Antes los responsables de ciberseguridad eran personas con perfil principalmente técnico, y solían trabajar dentro de los equipos de TI, con una asignación de recursos muy limitada y lejos de la alta dirección. Con la evolución de las amenazas y la proliferación de los incidentes, esta situación ha ido evolucionando poco a poco y, además, actualmente, los cambios regulatorios están también ayudando mucho a que esto ocurra.

Actualmente, el CISO es un perfil mucho más transversal, con mejores habilidades de comunicación y con mejor conocimiento del negocio, y que se sitúa en una posición más cercana a la alta dirección y los Consejos de Administración, con la misión principal de trasladar los riesgos de ciberseguridad, en lenguaje de negocio, para habilitar la toma de decisiones informada. Los grandes retos y desafíos del CISO están relacionados con la necesidad de consolidar y evolucionar ese papel cercano a la toma de decisiones, convirtiéndose en un facilitador para la transformación digital de las Compañías, en un contexto en que, tanto el crecimiento y evolución de las amenazas, como el de la propia tecnología, producen un crecimiento exponencial de los riesgos.

CsN: ¿Cuál consideras que ha sido tu proyecto más complicado en ciberseguridad hasta ahora? ¿Qué lecciones aprendiste de esta experiencia? 

RT: Mis proyectos más complicados en ciberseguridad han sido principalmente los grandes incidentes en los que he participado, donde a la complejidad en sí del incidente y su resolución, se agrega la dosis de estrés y esfuerzo durante largas jornadas de trabajo y varias semanas de intensidad máxima. Estas experiencias te brindan muchas lecciones, desde aprender en detalle los sistemas involucrados, identificar mejoras e incluso nuevas formas de abordar los problemas, fórmulas de cohesión de equipo, hasta identificar mejoras en el propio proceso de gestión del incidente. Todo junto, hace que crezcas profesionalmente y puedas aplicar en los siguientes proyectos que abordes.

Pero sin duda si tengo que reseñar algo, lo aplico a la hora de seleccionar equipos y compañeros con los que trabajar, es verme proyectado a esas situaciones que he vivido durante los incidentes y reflexionar si me gustaría tener a esa persona cerca.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio