“Un trabajador incluso sin privilegios administrativos puede llegar a comprometer la empresa entera”

Entrevista a Israel Nadal, CISO de un importante grupo empresarial.

CyberSecurity News (CsN): Tanto si un profesional viene del mundo técnico como si no, ¿cómo de importante es que un CISO hable tanto el lenguaje técnico como el de negocio?  ¿Te resulta más complicado comunicarte con tu equipo técnico o con los directivos del grupo?

Israel Nadal (IN): El CISO precisamente es la figura intermedia, es la pieza clave que une el departamento técnico con la directiva; por lo que debe de conocer el lenguaje técnico, ya que si no lo conoce parte de la información transmitida por el departamento técnico se pierde en el camino, a la directiva. 

Como anécdota os puedo contar que en una auditoría que hice a una gran empresa, perdí más tiempo explicándole al CISO, lo que era una vulnerabilidad que en descubrirla.

Actualmente, no me resulta difícil la comunicación con ningún departamento, ya que suelo simplificar cada información que me llega, tanto de un departamento como de otro.

CsN: Ahora que hemos mencionado la alta dirección de una compañía. Uno de los grandes retos que siguen afrontando por lástima este rol dentro de una compañía es la comunicación con la dirección en el sentido que aún cuesta al CISO hacer ver a ella, la importancia de la ciberseguridad para por ejemplo conseguir más recursos. Desde tu propia experiencia o bien desde tus conocimientos por la situación de otros colegas, ¿qué opinas al respecto?

IN: Es muy difícil para alguien que no está puesto en ciberseguridad, hacerle ver que la inversión en ciberseguridad, es rentable a la vez que aporta un valor añadido a la empresa. El problema es que no nos damos cuenta de la seguridad hasta que la ponemos a prueba.

Israel Nadal, CISO de un importante grupo empresarial

Hay estudios que demuestran que la inversión en ciberseguridad es y debe de ser una pieza clave para el crecimiento y madurez de una empresa. La ciberseguridad puede llegar a ser una gran ventaja competitiva, y precisamente el trabajo del CISO es hacer ver esto a la directiva. 

CsN: Actualmente, los ciberdelincuentes son tan ingeniosos que el despiste inconsciente de un empleado (engañando a un empleado de la compañía), puede llevar a la empresa a una situación de crisis. ¿Cómo trabajáis la concienciación y formación base en ciberseguridad? ¿Colaboras con el DPO del grupo, por ejemplo, en crear una cultura en torno a la protección de los datos dentro de la compañía? 

IN: Aunque no se habla mucho del término APT (Advanced Persistent Threat), o la mayoría de campañas de espionaje industrial, casi todas coinciden en lo mismo: que empiezan por un trabajador despistado o inseguro. Esto nos lleva a un escenario en el que podemos tener la empresa entera comprometida, por lo que necesitamos profesionales capacitados para detectar estas amenazas. Precisamente llevo años estudiando las campañas APT, y el vector principal de entrada suele ser la parte humana. Un trabajador incluso sin privilegios administrativos dentro de la red interna, puede llegar a comprometer la empresa entera y que nuestros sistemas de seguridad no funcionen, porque se trata precisamente de una campaña diseñada para nosotros, lo que llamamos ataque dirigido. 

¿Qué quiero decir con esto? Pues que la capa humana de la ciberseguridad es vital, por lo que a diario pongo particular énfasis en la concienciación en ciberseguridad.

He trabajado como DPO, por lo que la cultura en protección de datos es algo que llevo muy al tanto en mis actuaciones. Colaboro con el DPO e impartimos entre los dos las charlas de concienciación, yo trabajo un poco más la parte de medidas proactivas, y el DPO la parte legislativa. 

CsN: Existen casi tantas soluciones y productos de ciberseguridad como ciberataques. En un mercado aparentemente tan “saturado” de empresas de ciberseguridad, ¿cuáles son tus requisitos a la hora de elegir un partner en este sector? ¿Qué filtros debe de pasar? ¿Piensas desde el primer momento en ir directamente a empresas líderes muy conocidas o estás dispuesto a valorar nuevas soluciones e innovaciones de startups? 

IN: No tengo un partner del que sea fiel seguidor, pero me gusta Trend Micro por su sencillez, soy muy perfeccionista por lo que siempre estoy probando y probando…

Para mí los requisitos que deben de pasar las soluciones de ciberseguridad son:

-Economía, se debe de ajustar a los presupuestos de la empresa. Hemos de tener en cuenta el gasto con la criticidad de los servicios a proteger. 

-Sencillez, el manejo debe de ser sencillo, con lo que cualquiera sin grandes conocimientos pueda operar el sistema. 

-Seguridad, parece algo obvio, pero he visto soluciones de ciberseguridad inseguras.

Otra opción es desarrollar tu mismo las herramientas, en mi caso y junto con el equipo de desarrollo, estamos trabajando en una herramienta de prevención del fraude online. No puedo decir mucho, porque precisamente está en desarrollo, pero es una herramienta que usará inteligencia artificial, para saber si una operación bancaria puede ser fraudulenta o no.

CsN: El número de ciberataques no para de crecer. ¿Cuál crees que es la principal carencia del sector?

IN: El número de ataques crece, porque al fin y al cabo todo se ha reducido prácticamente al tema económico. Quitando un porcentaje bajo, la mayoría de ataques a las empresas vienen porque hay un móvil económico detrás. 

La principal carencia del sector es la poca inversión que se hace tanto en equipos como en personal especializado. Escucho mucho lo de: “falta talento en ciberseguridad”, pero creo que lo que realmente falta son inversiones y concienciación. Normalmente no se suele apreciar los años de dedicación y el gran esfuerzo, tanto personal como económico, que hace un profesional de la ciberseguridad, y eso se traduce en los sueldos y en descontento de los profesionales del sector.

CsN: Uno de los nuevos productos en ciberseguridad que más popularidad está teniendo en este momento, es el llamado ciberseguro para empresas. Ya existen muchos ciberseguros lanzados por los principales fabricantes o aseguradoras que dan una amplia cobertura reactiva. ¿Has planteado o planteas incluir este producto en tu empresa? ¿Cómo lo valoras? 

IN: Sí, creo que el ciberseguro es algo necesario y creo que debería de hacerse obligatorio en algunos casos.

El problema viene en que, hay que leer bien las pólizas, y con detenimiento. En muchos de los casos, tendremos que llegar a una negociación con el seguro, para la inclusión de ciertas cláusulas. 

CsN: Y finalmente Israel, ¿cómo ves el futuro próximo de la ciberseguridad?

IN: El futuro de la ciberseguridad lo veo muy unido a la inteligencia artificial y el machine learnig. La automatización de la ciberseguridad será clave en el futuro; la automatización como método de mitigación de amenazas, pero esto también tendrá su doble cara, porque los cibercriminales lo usarán en su favor. Al fin y al cabo, es un poco como el juego del ratón y el gato.

Otra rama de la ciberseguridad que tendrá mucho auge será la parte forense, pues cada día aumentan las filtraciones de datos de las empresas a causa de trabajadores descontentos, o despistados.

En el futuro la ciberseguridad formará parte activa en nuestras vidas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba