Hablamos con Ana M. Castillo López. CISO en una multinacional española

CyberSecurity News (CSN): En primer lugar, vamos a empezar a hablar un poquito sobre tu trayectoria. ¿Cómo llegas a ocupar el puesto de CISO?

Ana M. Castillo (AMC): Comencé mi trayectoria en el mundo de las telecomunicaciones.

Tras pasar por varias operadoras y multinacionales del sector del Contact Center como ingeniero y responsable de redes, pasé a gestionar equipos de ingeniería que diseñaban, ejecutaban y mantenían infraestructuras de redes, sistemas y voz y, poco a poco, fui paladeando mi fascinación por la ciberseguridad y la protección de datos.

Al mismo tiempo, me embarqué en un proyecto personal en el que desarrollé un SaaS para la gestión de la ISO 27001 (www.sec4all.es) y eso me hizo entender aún más que la ciberseguridad y la gestión de riesgos posee un alcance, posibilidades de investigación y aprovechamiento, cercanos al infinito.

Al ser consciente de la amplitud del espectro de estudio y dedicación que suponía, decidí dedicarme a gestionar la ciberseguridad a todos los niveles.

(CSN): ¿Qué peso crees que tiene la concienciación, en la ciberseguridad, en la estrategia global de una compañía?

 (AMC): Me parece que es vital. Hace mucho tiempo que se habla del “Insider threat”, o la amenaza interna, y creo que debemos desterrar un poco ese concepto, o al menos matizarlo para no ver al usuario como un enemigo, sino como un aliado poco informado. 

La concienciación debe diseñarse para el usuario, con objetivos claros y medibles, debemos preguntarnos, ¿cómo se mide la concienciación? Yo lo tengo claro: debes preguntar, bien con encuestas, con quizz o con recursos gamificados, hasta averiguar cómo se enfrentan tus usuarios a situaciones potencialmente peligrosas, y entonces focalizar tus esfuerzos de concienciación en reforzarlos.

Un usuario con cultura de Ciberseguridad, es una herramienta muy poderosa en la prevención de ciberataques a nuestras organizaciones.

(CSN): Cambiando un poquito de tema, los ciberseguros han llegado para quedarse. ¿Qué visión tienes sobre ellos? ¿Crees que todas las empresas deberían de contratarlos?

(AMC): Que los ciberseguros han llegado para quedarse, es un hecho. Antes no se oía hablar de este tema, y ahora es raro la empresa que no lo ha valorado. Pero creo que estamos ante un asunto muy particular, que puede generar sentimientos encontrados entre los responsables de ciberseguridad, me explico:

• Por un lado, nos encontramos con el alto coste de estos seguros, que un CISO podría considerar que debería ser invertido antes en otra partida de ciberseguridad, dedicada no tanto a paliar costes de una brecha, sino a evitarlas.
• Por otro lado, es innegable que las juntas directivas de distintas áreas, al escuchar las estremecedoras presentaciones de las aseguradoras, que muestran perspectivas futuras repletas de ciberataques, con pérdidas millonarias y daños reputacionales, funcionan como otro tipo de campaña de concienciación, al hacerles entender la actual frecuencia y gravedad de los ciberataques, porque hablan el idioma del negocio y de la dirección.

El problema que veo aquí, es que estoy segura de que hay empresas que ya tienen contratados seguros de responsabilidad ante ciberataques, o incluso les cubren jornadas profesionales para solucionar un caso de ransomware, cuando ni siquiera disponen de un firewall de última generación o de un producto de protección de sus equipos de trabajo en condiciones

(CSN): Y para terminar, ¿qué les dirías a todos los usuarios y empresas que están y van a seguir teletrabajando en esta nueva normalidad?

 (AMC): El teletrabajo es una nueva frontera para muchas empresas de este país. Si hace mucho tiempo hablábamos de extender el perímetro de seguridad a la nube, ahora el perímetro se ha roto, ha saltado en pedazos, y debemos ser rápidos en reconstruirlo. Para ello, es imprescindible contar con el usuario, que es inteligente, quiere ayudar y está interesado en contribuir a la ciberseguridad. Y no sólo debemos ofrecerle herramientas tecnológicas para que lo haga, también hemos de robustecer las infraestructuras que soportan la carga del teletrabajo, puesto que la disponibilidad de este servicio ahora mismo está asegurando la continuidad de los negocios a nivel mundial.

Las empresas deben asumir un cambio de mentalidad, el teletrabajo ya no es una opción o beneficio en el que, si falla, hay un plan B trabajando en la oficina, porque en muchos casos, el plan B no es factible en el escenario actual.