CyberSecurity News (CSN): Para empezar, brevemente, ¿Podrías contarnos cuál ha sido tu trayectoria profesional hasta llegar al puesto que ocupas actualmente?Luis Daniel (LD): Me inicié en el mundo de la seguridad en el último año de la ingeniería. De ahí decidí estudiar una maestría en ingeniería en seguridad a la par que inicié mi carrera profesional. Primero trabajé como consultor de Seguridad y Privacidad en una Big4. Este fue mi primer acercamiento real al mundo de la seguridad en distintos sectores de la industria.
Posteriormente salté al sector financiero. Me inicié trabajando en la Banca, donde estuve 6 años como auditor de seguridad y ciberseguridad. En la banca obtuve un perfil integral, aprendí mucho sobre normatividad, cumplimiento y gestión de seguridad a la par que aprendía sobre la parte operativa y de ciberseguridad. Esto me permitió dar mi primer salto como Manager para la división financiera de GE en México. Y actualmente me encuentro colaborando en el ecosistema FinTech y startup, en minu en donde actualmente soy CISO.
CSN: ¿Crees que las empresas invierten, tanto el tiempo como los recursos necesarios, para obtener buena ciberseguridad para proteger a todos sus empleados y usuarios?
LD: Considero que muchas empresas invierten solo lo mínimo o indispensable para sobrevivir en temas de seguridad, hasta que surge algún incidente o evento extraordinario, justo como la pandemia. Además existe una tendencia en invertir en tecnología de última generación sin tener bases sólidas en nuestros procesos y personas, nos olvidamos que la seguridad no es solo un tema de tecnología, también de procesos y personas. Y justo en este último eslabón es en donde menos se invierte. Nunca nos tomamos la molestia de conocer a nuestros empleados, a nuestros clientes y saber que es lo que necesitan para operar y cómo podemos asegurarlos, solo asumimos su necesidad de herramientas y controles con base en nuestro conocimiento y experiencia técnica, pero de eso no se trata la seguridad.
LD: Una estrategia realmente basada en las necesidades del negocio, de las personas. Antes de solicitar presupuesto para tecnología o para proyectos gigantes, pediría mucho tiempo, disponibilidad y paciencia de todos los roles dentro la empresa, desde la alta dirección hasta roles líderes y operativos para conocer de manera completa todo el negocio. En 1975 Saltzer y Schroeder definieron 7 principios para diseñar sistemas seguros, dentro de estos principios existen dos que muchos de nosotros como responsables de seguridad hemos olvidado.
Aceptabilidad Psicológica y Economía del mecanismo. El primero se refiere a diseñar un control que sea de fácil adopción para los usuarios, que no les cueste trabajo utilizarlo o que les cause aburrimiento y por ende su adopción sea complicada. El segundo trata sobre un diseño simple que a su vez facilite su implementación y verificación. Estoy seguro que si aplicamos estos principios como base de la seguridad, el negocio nos apoyaría totalmente.
LD: Un buen programa de concienciación debe incluir actividades que nos permitan comunicar, transferir conocimiento, evaluar la adopción y lograr el compromiso de los colaboradores y terceros con los que tenemos relación. Además, es importante que este programa no sea únicamente responsabilidad del experto en seguridad. Es importante apoyarnos de diseñadores gráficos y de expertos en pedagogía que nos ayuden a identificar la mejor manera de lograr que el conocimiento se quede en las personas.
LD: Retomemos el principio de Aplicabilidad Psicológica. Escuchar a los directivos, comprender sus preocupaciones, sus objetivos de negocio y escuchar a los niveles operativos. Saber que necesitan, cómo operan, nos da un enfoque holístico e integral de que debemos cubrir como seguridad en toda la organización. Existen diferentes formas de realizar esto, como focus groups, entrevistas, reuniones semanales, dinámicas por área, ejercicios de simulación. Cada estrategia debe ser adecuadamente elegida dependiendo del tipo y cultura organizacional de la empresa. Pero otra vez, esto no lo tendremos claro hasta que no conozcamos de manera integral todo el negocio.
LD: Sin duda es una magnífica opción, de libro de escuela, transferir el riesgo a un tercero. Una forma de tratamiento totalmente válida y mucho más si lo analizamos de la siguiente forma. Actualmente existe mucha regulación obligatoria aplicable a las empresas, las multas por incumplimiento o algún incidente suelen ser altísimas,pudiendo llegar a los 20.000 millones de Euros. Por lo que optar por un seguro que cubra alguna brecha o incidente de seguridad, suele ser mucho más costeable que pagar una multa. Simple análisis de costo/beneficio.
Pero las aseguradoras también están protegidas, uno de los muchos requisitos para poder contratar un seguro, es por ejemplo que cumplas con alguna regulación vigente como la LOPD, o GDPR. O que cuentes con alguna certificación de la industria como ISO. Al igual que con otro tipo de aseguradoras es importante contar con la ayuda del área de legal para poder leer y comprender cada una de las cláusulas y coberturas aplicables. Para así evitar alguna sorpresa no deseada.
LD: Evolucionar y adaptarse de manera rápida y óptima. La pandemia es un claro ejemplo de esto. Muchas empresas tuvieron que realizar en cuestión de meses o incluso semanas. La transformación digital que tenían planeada para años. Esto incluye definitivamente la reingeniería de sus procesos, la capacitación y concientización de los colaboradores. Y la implementación de tecnologías que aseguran la movilidad, en tiempo record. Contar con un enfoque de mejora continua basado en riesgos y permanecer alineados con los objetivos de negocio es el pilar fundamental para poder llegar a ese nivel de madurez y de riesgo tolerable en una empresa.
Me gustaría dar tres tips. El primero sin duda es Invertir en la gente y el talento humano. Desde la concientización de niveles operativos hasta directivos, así como entrenar y capacitar a los responsable de la seguridad. El segundo tip es quitarnos la mentalidad que la seguridad es solo un tema de tecnología e inversión. Hoy más allá de esto, la seguridad y protección de datos debe verse como un tema de negocio con un enfoque holístico para su continuidad y crecimiento. Finalmente, hagamos introspección a nuestra función de seguridad y evaluemos si realmente estamos comunicando nuestros objetivos de manera clara a los altos directivos. Si realmente nuestra estrategia está alineada con los objetivos de negocio. Cuando nosotros tengamos todo esto claro, estoy seguro que no será necesario tener una situación de pandemia para que las empresas comiencen a tomar la seguridad como algo serio.