IoT, cloud, Inteligencia Artificial, ciberataques más sofisticados, mayor rentabilidad de los ciberataques… el mundo está cada vez más digitalizado y en este entorno tan retador surgen tantas luces como sombras.
Entre estas luces y sombras, resurge una figura que cada vez se alza con más relevancia, la figura del CISO como responsable de ciberseguridad corporativa. ¿Qué retos deben de afrontar? ¿Qué es lo que más les preocupa?
Desde CyberSecurity News, hablamos con Manuel Barrios, CISO del Grupo Oney y uno de los CISOs confirmados como speaker para uno de los eventos exclusivos del sector de la ciberseguridad de este año, CISO Day 2019.
CyberSecurity News (CSN): Me gustaría comenzar nuestra entrevista, con una pregunta fundamental para entender mejor el trabajo de un CISO. Como responsable de la estrategia de ciberseguridad de una entidad financiera global como es Oney, ¿qué es lo que más te preocupa en tu día a día Manuel?
Manuel Barrios (MB): Como entidad financiera, una de las mayores preocupaciones es poder perder la confianza de nuestros clientes por un incidente de seguridad. Eso requiere crear una estrategia de seguridad desde un punto de vista holístico que dé cobertura a los requerimientos normativos y proporcione una lista de controles y medidas de seguridad que intenten mitigar los riesgos a los que estamos expuestos.
CSN: Uno de los temas más destacados de 2018 fue la implementación del nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). Casi un año después de la implementación, ¿cómo ha sido el proceso de adopción en su empresa y como lo ha vivido usted como responsable de ciberseguridad?
MB: No lo he podido vivir en primera persona ya que llevo poco en la organización, pero los resultados en la actualidad puedo decir que son realmente buenos, había una muy buena base de cumplimiento con el anterior reglamento de protección de datos, por lo que la adecuación ha ido con buen ritmo.
Se ha contado además con apoyo externo para finalizar los pequeños flecos que quedaban por lo que se podría decir que la adecuación ha sido un éxito.
CSN: Si miramos al pasado reciente, puede que probablemente la figura del CISO y la importancia que rodea a esta figura, no existiera antes. ¿Qué opina al respecto? ¿Cree que cada vez más, el CISO es tenido en cuenta a nivel de dirección estratégica dentro de la empresa?
MB: En las grandes empresas normalmente existía la figura de director de seguridad y en la gran mayoría esta figura estaba muy orientada puramente a la seguridad IT, viéndolo generalmente como una ampliación del departamento de sistemas.
En la actualidad, la dirección al tener más consciencia del impacto que produce en el negocio un incidente de seguridad y también impulsado por los requisitos normativos como el ENS, ISO 27001 y otras, se ha requerido una persona en la organización que tenga una visión global de la seguridad, que no solo tenga un fuerte background tecnológico y de seguridad lógica, sino también de cumplimiento normativo y con conocimiento del negocio.
También los últimos ciberincidentes han ayudado a que la dirección de las compañías tomen consciencia de la importancia de la seguridad y que esta no es un gasto si no una inversión por lo que la seguridad no puede dejarse a la deriva haciendo que responsabilidades se diluyan en distintas personas o departamentos.
Son pocos los lugares donde los CISO tienen un lugar en el Board, pero cada vez se propicia más la situación donde la dirección nos tiene en cuenta a la hora de tomar ciertas decisiones estratégicas.
CSN: A la hora de valorar a las empresas proveedoras de ciberseguridad, ¿qué valora más, un buen producto o un buen servicio?
MB: Considero que debe existir un buen equilibrio entre ambas cosas, aunque una elección del mejor producto si no se cuenta con un buen servicio, tanto por parte del fabricante como del integrador de nada sirve. Es fundamental contar con buen socio a la hora de la implantación, soporte y acompañamiento en el mismo.
CSN: Si le digo la palabra “cloud”, ¿qué se le viene a la cabeza? Según varios estudios, será el 2019 el año en el que gran parte de las empresas españolas den el salto a la nube. Sus beneficios son claros pero, ¿encuentra alguna barrera? ¿Es la desconfianza a sacar del core de la empresa los datos, la principal barrera?
MB: Me viene a la cabeza una palabra que ha estado de moda en los últimos años y que en mi opinión, últimamente se llama cloud a muchas cosas que realmente es un hosting tradicional de toda la vida… La principal barrera, es el asumir el riesgo de transferir la gestión de la seguridad a un tercero, por hacer una comparativa, es similar a cuando dejamos nuestros hijos a cuidado de un tercero, a priori se sabe que le va a cuidar, pero generalmente, nunca le dará el mismo cariño que le das tú.
CSN: Llevamos un tiempo ya hablando sobre IoT. Y sin darnos cuenta, el Internet Of Things, poco a poco va siendo parte de nuestras vidas. Coches conectados, compras por altavoces inteligentes, ropa inteligente o múltiples dispositivos con los que poder pagar totalmente en cualquier lugar. Como experto en ciberseguridad, ¿cómo valora el auge del IoT? ¿Un entorno retador?
MB: Es el entorno que ha roto el perímetro de la seguridad, la hiperconectividad y todos los frentes que ha abierto el IoT ha provocado que nos tengamos que preocupar de elementos que nunca antes habíamos tenido en mente a la hora de diseñar una estrategia de seguridad, cosas tan simples como un proyector, una tv, un termostato, o una bombilla ya vienen con conectividad a Internet y por tanto es un elemento más a servir como punto de entrada o de pivote para un potencial ataque.
Por tanto respondiendo a tu pregunta, un entorno 100% retador que se ha introducido en nuestras vidas, tanto en el uso personal como corporativo con demasiada rapidez
CSN: Pongamos sobre una balanza las amenazas procedentes del interior de una empresa (amenazas en su aspecto más amplio), y las procedentes del exterior. ¿Hacia dónde se inclinaría la balanza?
MB: Personalmente inclinaría la balanza más hacia las amenazas e incidencias internas son muchísimos más los incidentes que ocurren en las organizaciones por los propios “insiders” que por amenazas procedentes del exterior, generalmente por descuidos, malas prácticas o falta de concienciación.
CSN: Por último Manuel, hablemos sobre capacitación en ciberseguridad. Como director de la estrategia de ciberseguridad de Oney, conoce la importancia de estar rodeado de buenos expertos y profesionales. ¿Cree que es fácil en España encontrar buenos perfiles técnicos y estratégicos del sector de la ciberseguridad? ¿Cree que se está fomentando el talento joven dentro del sector?
MB: Estamos en una burbuja donde hay más demanda que profesionales, esto ha originado que los salarios de los perfiles se disparen y a su vez haya mucha rotación en las empresas. También se da, que como hay tanta demanda, mucha gente decide dar el salto al mundo de la ciberseguridad sin tener la preparación adecuada y por tanto hace que los procesos de selección generalmente sean largos obligando a descartar muchas posiciones y los pocos que suelen encajar en el perfil muchas veces están fuera de la banda salarial que se puede ofrecer.
La buena noticia (al menos así lo percibo) es que sí que se está fomentando el talento juvenil, muchas consultoras están dando cabida a perfiles junior donde iniciar su carrera en el mundo de la seguridad generando una muy buena cantera, ahora habrá que ver el panorama a cinco años si no ocurre que haya más perfiles que puestos de trabajo…