En esta ocasión hemos tenido la oportunidad de hablar con Toni García, Chief Information Security Officer en Leti Pharma.
CyberSecurity News (CSN): El equipo de CyberSecurity News ya te conoce pero para nuestros lectores, ¿qué nos puedes contar sobre Toni García?
Toni García (TG): Como la mayoría (creo) que trabajamos en Seguridad es una afición además de un trabajo. En mi caso me encanta. Llevo ya unos cuantos años en el sector en los dos lados de la mesa, dando servicios y después desde el cliente final. He pasado por muchas empresas y he podido ver y aprender muchísimo de distintos sectores y sobre todo de distintas personas. Soy Ingeniero Técnico y Superior en Informática y tengo un Máster en Ingeniería Informática y de la Seguridad. Actualmente soy el Director de la Unidad que agrupa Seguridad, Transformación Digital, IT y Organización en LETI Pharma lo cual me da mucho trabajo, pero también una visión muy transversal de todo lo que sucede (con mis conflictos internos por los múltiples gorros).
CSN: ¿Cómo es la ciberseguridad en LETI Pharma? ¿Este sector está concienciado de los peligros que hay en la red?
TG: Como en todas las empresas y sectores, cada vez se está más concienciado, pero estamos todavía lejos de tener una madurez real a nivel de sociedad y empresas. En el sector farmacéutico tenemos la suerte de estar muy regulados y esto ayuda a la conciencia de que es necesario cumplir con unos estándares, pero también implica que para poder realizar cambios hay que hacerlo bien y validando que todo vaya acorde con el negocio. Por suerte, somos una compañía consciente de estos riesgos y se percibe como una aportación de valor. De todos modos, tenemos que seguir trabajando en mejorar día a día porque es una carrera de fondo.
CSN: El CISO hace de intermediario y traductor entre la parte del negocio de la compañía y la parte técnica. ¿Consigues que se entiendan ambas partes?
TG: Si, pero no siempre es fácil. Por suerte (o por desgracia) la aceleración de la transformación digital que hemos sufrido estos últimos años ha hecho que el día a día del negocio cambie y que se utilice de manera más activa nuevas tecnologías, con esta palanca hemos conseguido que seguridad también se introduzca en ese día a día y aunque siempre decimos que la parte más técnica tiene que entender el negocio, ahora el negocio se ha visto “obligado” a entender más la parte técnica. En nuestro caso, esto está permitiendo que no hablemos de dos partes, solo hay un negocio y estamos implicados desde el inicio en todas las actividades de la compañía con la premisa de seguridad en el diseño y por defecto. Eso nos implica un gran esfuerzo y empujar y ceder cuando es necesario en cada caso.
CSN: ¿Crees que las empresas tienen en cuenta la ciberseguridad cuando empiezan a preparar e implantar sus estrategias de negocio?
TG: Las empresas se dedican a lo que se dedican. A nivel de estrategia se debe tratar la ciberseguridad desde un punto de vista de gestión de riesgos. Creo que sí se tiene en cuenta, pero todavía estamos recorriendo el camino. Probablemente en empresas que tengan un área o departamento de riesgos maduro es más fácil que se tenga en cuenta la seguridad, del mismo modo que se tienen en cuenta los riesgos regulatorios o los financieros. Por suerte, estas regulaciones están añadiendo el concepto de seguridad como requisito de cumplimiento y esto supone que si se tienen en cuenta.
CSN: Desgraciadamente hemos vivido el conflicto bélico y esto ha afectado a todos los sectores. ¿Cómo dirías que ha intervenido en el panorama de la ciberseguridad?
TG: Por desgracia está afectando y mucho, si ya hablábamos del incremento de “intentos” de ataque que se había sufrido con la pandemia, ahora se ha disparado todavía más. Nosotros hemos visto como en los últimos meses desde el inicio de esta situación, ¡se han multiplicado por 100 los intentos de intrusión! (personalmente este es un dato que me aterra, porque esto es lo que vemos… pero ¿y lo que no?) Lo que está claro es que este conflicto se está librando en muchos frentes y nuestro ámbito de actuación es uno de ellos. Como decía, por desgracia, un conflicto bélico nunca es bueno, pero estamos viendo como los peores eventos hacen que la ciberseguridad gane peso y visibilidad. Personalmente preferiría que esto no fuese así, pero tenemos que, siempre desde el máximo respeto, tratarlo y enfocarlo para poder mejorar entre todos.
CSN: Y para terminar, ¿qué podemos esperar para los próximos años en materia de ciberseguridad? ¿Cómo será el futuro de las soluciones de ciberseguridad?
TG: (Otra vez, por desgracia nada bueno :P) Como decíamos, somos un sector que todavía está madurando, con lo cual cada vez será más necesario porque habrá más problemas y muchos todavía no los conocemos. Todos estamos inmersos en las mismas estrategias Zero Trust, SASE, etc. Y vendrán otras, pero seguimos teniendo los mismos problemas de raíz, identidad y datos. Creo que esto todavía no está solucionado de modo que tendremos que seguir trabajando en ellos los próximos años. También, tenemos que ver una profesionalización todavía más grande del sector. En este punto, la escasez de personas será un factor crucial en los próximos años, esto no es nuevo en nuestro país, pero hay que encontrar una solución. Con el “nuevo” concepto de trabajo remoto, es probable que se puedan ampliar las ubicaciones donde se encuentran estas personas.
A nivel de soluciones, el problema es que hay muchas. El problema en sí no es el número, relacionado con lo que comentaba de la escasez de personas, si no que para poderlas gestionar todas, se requieren manos y mucho conocimiento. Esto ligado a datos como que el 62%* de las compañías tienen entre 1 y 5 personas internas dedicadas a la ciberseguridad implica que tener ese conocimiento es muy complejo y que la única solución para muchas empresas sea externalizarlo, con la consecuente pérdida de conocimiento interno. Por tanto, creo que habrá dos tipos de líneas de trabajo que se verán en este futuro cercano. Empresas, probablemente más grandes y con capacidad que podrán ir a muchas soluciones específicas y empresas que optarán, ya sea por la falta de capacidad de operación o por querer a un modelo simplificado a gestionar, por soluciones unificadas (todo en uno) que les permita dotarse de todas sus necesidades pero sin estar en “la mejor”, esto hay que cogerlo con matices, porque si no tienes la capacidad de operar una solución para sacarle el mayor partido a su rendimiento, capacidades y potencial, es probable que el resultado para ese 62% de las empresas sea el mismo que si tuviesen las soluciones líderes del mercado. Como digo, con matices, cada vez más se está viendo una consolidación en las soluciones y proveedores y esto en determinados casos brinda la posibilidad de tener funciones “básicas” que de no formar parte de una solución mayor es probable que tardamos años en disponer de ellas. Pero también implica riesgos al tener esa simplificación, un punto de fallo más grande. Esta simplificación y externalización nos genera una dependencia mucho más grande de los terceros y las soluciones a los que tendremos que aplicar las mismas estrategias de desconfianza, porque aunque sean muy grandes, también pueden fallar, y para nosotros el resultado sigue siendo el mismo, tener impacto en nuestros negocios.
* II Indicador de Madurez en ciberseguridad del Observatorio de la Ciberseguridad de ISMS Forum.
