CyberSecurity News habla con Juan Cobo, CISO de Ferrovial y uno de los speakers oficiales de CISO Day 2019.
La ciberseguridad está a la orden del día y las empresas, sobre todo de gran tamaño, tienen confirmado que la ciberseguridad afecta directamente a negocio. No lo ven como un gasto, sino como una inversión. Esta visión que centra a las grandes empresas, tardará mucho aún en llegar a las pequeñas y medianas empresas.
Mientras, hablamos con Juan Cobo, CISO de Ferrovial, una de las empresas más importantes de España. ¿Cómo es su día a día? ¿Qué retos afronta? Nos lo cuenta…
CyberSecurity News (CSN): ¿Como es el día a día de un CISO de una empresa como Ferrovial y qué es lo que más te preocupa?
El día a día de un ciso de una gran empresa es una locura, no tenemos la cabeza en un mismo sitio durante más de 15 minutos. Es un día a día complejo y lo que más me preocupa tratándose de una gran empresa, multinegocio, multi geografía, es asegurarnos de que todo lo que hemos hecho esté funcionando en toda la geografía y en todos los diferentes negocios. Al final, hacer seguridad en Ferrovial es complejo porque tenemos una heterogeneidad de negocio y de geografía por lo cual lo que más me preocupa es saber que estoy protegiendo todos los activos que tenemos en todos los sitios del mundo de una manera correcta.
CSN: Un año después de la implementación de la nueva GDPR, ¿Cómo ha sido el proceso de adaptación a de Ferrovial?
Aquí anteriormente a GDPR había un modelo de asociación y de cumplimiento de LOPD y privacidad en general pues esto afecta no solo a España sino también a otros países europeos.
Lo que hemos hecho ha sido darle una vuelta al modelo de gestión que teníamos. Y es que, han cambiado ciertas aproximaciones, por lo que en base al modelo que teníamos, lo que hemos hecho ha sido mejorarlo y reutilizarlo.
En Ferrovial además contamos con un tercero que nos ayuda en muchas cosas, de manera que el modelo que ya lleva mucho tiempo funcionado aquí, es el que hemos mejorado y siempre con el espíritu de tratar de definir un modelo aplicable a distintas geografías y realidades. En definitiva, no ha sido empezar de cero.
CSN: Si miramos al pasado reciente, quizás nos demos cuenta de que la relevancia de la figura del CISO nunca ha tenido la relevancia que a día de hoy tiene. ¿Cómo ha visto la evolución de la figura del CISO? ¿Lo has podido vivir dentro de tu compañía?
La seguridad o la ciberseguridad no es lo que era. Hoy se ha convertido en una función muy clave para generar negocio, para que el negocio continúe y las empresas son conscientes de esto.
Esto no es solo debido a los ciberataques tan sonados en la sociedad o el tema de las fake news que terminan incidiendo en una organización, sino que también incide la regulación, el cómo puede afectar un ciberataque…etc. Todas estas piezas hacen que este rol cada vez cobre más protagonismo.
Si lo miro en Ferrovial, empezar a hacer ciberseguridad de manera más seria, quizás fue hace 13 años. Al principio la seguridad era un área, luego se convirtió en un departamento, ahora en una dirección…. si hablamos del ejemplo de Ferrovial, es verdad que a esta función se le ha dado más importancia por que se cree en la relevancia de esta función de cara a generar negocio.
CSN: Pasemos ahora a valorar las empresas proveedoras de ciberseguridad. ¿Qué tiene más en cuenta, un buen producto o un buen servicio?
Nosotros siempre servicio. En Ferrovial, todo lo que tiene que ver con tecnología, lo solemos orientar a servicios, es algo que está en nuestro ADN. Nosotros contratamos servicios, no compramos productos.
Y la seguridad, nació con esta filosofía, muy pegada digamos a la filosofía de la tecnología y nos hemos mantenido en eso, aprovechando las capacidades que nos da el producto a través de un servicio.
Nosotros somos un poco agnósticos respecto al producto. En la medida en la que un producto sea líder del mercado, nos da igual que sea uno u otro. Y es que el mejor producto se convierte en un mal producto si el prestador del servicio no sabe utilizarlo.
Hoy en dia, en empresas al menos del perfil de Ferrovial, mantenemos las capas de gestión dentro de la casa y todo lo que tiene que ver con la operación, lo externalizamos.
CSN: Si le digo la palabra cloud, ¿que le viene a la cabeza?
Si te digo lo que se me pasa por la cabeza ante la palabra cloud, es una clara apuesta por esta tecnología por parte de Ferrovial.
Es verdad que el fenómeno y concepto cloud llevan madurando bastante tiempo, y nosotros al final, llegado el momento en el que entendemos que la seguridad a madurado en esta tecnología, nosotros apostamos firmemente por los entornos cloud. No solo desde el punto de vista de negocio sino también desde el punto de vista de seguridad.
Dicho esto, no todos los entornos cloud son iguales. Es por ello que hay que intentar apostar por los entornos cloud maduros desde el punto de vista de seguridad, que es lo que hacemos las grandes empresas.
Es por ello por lo que la aproximación del cloud first, sí que la mantenemos como estrategia de la casa.
CSN: Llevamos mucho tiempo hablando sobre IoT, y sin darnos cuenta, el Internet Of Things, forma parte de nuestras vidas. Como experto en ciberseguridad, ¿considera este auge una oportunidad, un gran reto que superar…?
Al igual que te he dicho que cloud es uno de los pilares fundamentales por los que apuesta Ferrovial de cara al concepto de transformación digital, otro de los factores clave es el uso de IoT.
Una vez más, Ferrovial tiene una clara apuesta por los entornos IoT en sus diferentes líneas de negocio y por supuesto todo lo que tiene que ver con IoT o seguridad en entornos industriales es una preocupación creciente. No solo en Ferrovial sino en cualquier empresa.
Todos conocemos las ventajas que tiene el IoT a la hora de generar negocio, pero es verdad quee s un entorno que tradicionalmente nació sin los conceptos tan embebidos de seguridad como los más tradicionales. Entonces ahora tenemos mucho foco puesto en todos estos entornos desde el punto de vista de seguridad, porque los primeros que reconocemos que esto puede generar negocio, somos nosotros, los de seguridad.
CSN: Ante una balanza de ciberataques de dentro de la propia compañía y los provenientes de fuera. ¿Hacia dónde se inclinaría la balanza en Ferrovial?
No se si es un tema de inclinar la balanza o no. Son dos entornos a los que hay que prestar mucha atención. Por el perfil de empresas que somos, diría que más de fuera que dentro.
En mi opinión, no son matemáticas tampoco sino que depende del momento en el que esté cada compañía, de si estás licitando, no licitando, comprando o no…dependiendo de ese momento, tus riesgos en un momento dado pueden venir más de fuera que de dentro. Es decir, para mi no existe una fórmula matemática. Diría que por defecto más de fuera, pero depende del momento.
CSN: Por último, hablamos de capacitación en ciberseguridad. Como director de la estrategia de ciberseguridad de Ferrovial, estás acostumbrado a contar con buen talento pero, ¿cree que es fácil en España encontrar buenos perfiles técnicos y estratégicos? ¿Se está fomentando el talento joven dentro del sector?
En España hay mucho talento pero a la vez este talento escasea. No es fácil ir al mercado y encontrar en condiciones normales el talento que tu quieres. Luego tal y como has dicho, existe dos tipos de talento, uno a nivel más operativo y otro de gestión.
Por el perfil de compañía que somos, este perfil de talento más operativo no lo buscamos, sino que lo externalizamos. Cuando buscamos talento es más bien a nivel de gestión de los servicios, gente que sepa hablar los dos lenguajes, el operativo y el estratégico. Ese talento por supuesto que existe pero no es sencillo captarlo.
Desde luego, no sobran los buenos perfiles por lo que es un problema.