La figura del CISO ha evolucionado mucho en los últimos años y hoy día se contempla como una figura clave en el negocio de cualquier compañía data driven o cualquier gran compañía. Como en todo, existen sectores más sensibles que otros en relación a la ciberdelincuencia y el sector del juego y juego online podría ser uno de ellos. Para conocer mejor cómo es el papel del CISO en este sector, desde CyberSecurity News hablamos con Luis Miguel Brejano, CISO de Codere.

Cybersecurity News (CsN): Cuando hablamos con CISOs y nos cuentan sus historias profesionales, vemos como la mayoría vienen de la parte técnica, del mundo hacking, pero no todos. Hay algunos que vienen del mundo de la consultoría o incluso del cuerpo policial. ¿Cómo es tu historia y cómo llegaste al rol de CISO actual?

Luis Miguel (LM): Mi historia ha sido una historia de evolución, desde el rol de consultor de seguridad hasta CISO en empresa final. Tras varios años de consultor de seguridad externo me incorporé a Vodafone España en el departamento de Seguridad  Lógica donde participé en proyectos de ciberseguridad y privacidad de muy alto nivel sobre gestión de riesgos, seguridad de la información y cumplimiento normativo. Unos años después, la compañía de telecomunicaciones Ono me ofreció el puesto de Manager de Seguridad corporativa, lo que suponía un desafío profesional importante y donde tendría que aportar toda la experiencia en seguridad anterior adquirida en una gran “telco” multinacional, para aplicarla en una “telco” española, no tan grande. 

Tras pasar por otras compañías como Grupo Santander, En 2017 CODERE decidió incorporar la figura de CISO a su estructura para apoyar al CIO Corporativo y a su Director de Seguridad tecnológica en la estrategia global de ciberseguridad y privacidad y en la implantación de un Plan Director de Seguridad global para todos los países donde opera y tiene presencia: España, Italia, Argentina, México, Panamá, Colombia, Uruguay y Brasil. Acepté este gran reto y desde 2017 formo parte del gran equipo de profesionales de CODERE, en un sector de enorme complejidad técnica y operacional. 

CsN: Podríamos mencionar muchos retos a los que os enfrentais en vuestro día a día. ¿Cuáles destacarías?

LM: Sin duda la gestión de los riesgos. Toda compañía, en el ejercicio de su actividad, está  expuesta a riesgos tecnológicos, regulatorios y de privacidad. A medida que profundizamos en la revisión de los riesgos de los proyectos o de los procesos del negocio, los CISOS vamos catalogando los riesgos. Nuestra tarea es hacer el levantamiento de esos riesgos para analizarlos y proponer los requisitos o contramedidas que puedan paliar total o parcialmente esos riesgos. Nos enfocamos en garantizar la confidencialidad, integridad y disponibilidad de la información, para que nuestro negocio evolucione y sea competitivo

CsN: ¿Qué parte de la estrategia de ciberseguridad suele externalizar a empresas proveedoras especializadas?

LM:  La estrategia en ciberseguridad no se externaliza, pero sí la operación. Me explico, la estrategia en ciberseguridad de una compañía va ligada a la estrategia de negocio y digitalización, por lo que es complicado que una empresa proveedora aporte valor en este sentido. En el caso de CODERE, la estrategia en ciberseguridad está definida en un Plan Director de Seguridad y Privacidad trienal, alineado con los objetivos de compañía y dotado de presupuesto y recursos. Todas las iniciativas parten de este plan y tienen unos objetivos de control claros y definidos. Esto nos permite diversificar con varios partners la gestión y/o la operación, pero manteniendo una visión global y de control sobre los objetivos. 

CsN: El CISO por un lado podríamos decir que hace de intermediario y traductor entre la parte de negocio de la compañía y la parte técnica. ¿Consigues que ambas partes se entiendan? 

LM: En líneas generales es así, el CISO debe detectar los riesgos en los procesos de negocio o en los proyectos con implicación de datos sensibles, analizarlos y elevar sus conclusiones y recomendaciones técnicas de seguridad. Buscamos reducir el apetito de riesgo de ambas partes y dar una solución equilibrada entre seguridad y negocio.

CsN: Sabemos que el flujo de comunicación en el sector de la ciberseguridad es muy importante para mejorar la protección global de todos. ¿Cree que queda mucho que hacer aún para obtener el flujo de comunicación deseado? ¿Crees que se podría mejorar mucho más incluso el propio flujo de comunicación entre diferentes CISOs?

LM: Efectivamente, en un mundo hiperconectado donde la información fluye globalmente por las redes de comunicaciones, también lo hacen las amenazas. Los patrones de ciberataques se repiten y replican a través de los cinco continentes, por lo que estar permanentemente informado sobre nuevas vulnerabilidades, ataques 0 Day o campañas dirigidas de phising o malware es una de las prioridades de un CISO.