'El cloud no viene ni a ni a resolver ni a empeorar la situación a nivel de seguridad' (Elena García, Indra)

“El buen CISO será aquél que lleve a cabo la estrategia que necesita su compañía y el negocio que defiende”. Lo dice Elena García Díez, CISO de Indra desde hace más de dos años, con casi once de experiencia en Inteco –actual Incibe, y algunos más en otras compañías. Añade que la visión y las exigencias que tiene ahora mismo la ciberseguridad, cada vez más visible, están impactando en esas cualidades del buen CISO, están traspasando el conocimiento técnico para añadir capacidades más comunes a otros entornos, como los de liderazgo, comunicación con el fin de que “todos entiendan la necesidad de la seguridad y la estrategia de seguridad para que puedan participar activamente en ella”.

Este contenido salió publicado en el número de diciembre de 2020 de la revista IT Digital Secutity. Descárgatela.

Añade Elena García que hay que encontrar el sitio en el que tiene que estar el discurso del CISO “dependiendo de la situación, dependiendo de la compañía y dependiendo del objetivo del reporte, de la comunicación y de la estrategia que estemos siguiendo en cada momento”.

Hacer que seguridad sea una prioridad dentro de las empresas es un camino que están recorriendo cada vez más compañías y que se ha visto impulsado por el contexto COVID. Asegura Elena García que no es un camino nuevo, que hace años que a nivel de política pública, tanto a nivel europeo como a nivel español, “se viene trabajando en sensibilizar al tejido empresarial en la necesidad de mejorar su seguridad para mejorar la calidad del servicio y su progresión”.

De la pandemia hemos aprendido mucho, dice la CISO de Indra, añadiendo que lo importante “es quién lo ha aprendido”. Entre las cosas buenas que se han aprendido este año destaca “que los usuarios están mucho más preparados para cambio, que podemos cambiar más rápido de lo que pensamos, que podemos trabajar o impulsar proyectos y adaptarlos de manera más rápida”, recoge refiriéndose a esos proyectos que las empresas tenían previsto implantar en años y se han visto acelerados, implantados en meses debido a la situación.

La pandemia también nos ha enseñado que los riesgos están ahí; “sabíamos que hay un fuerte mercado de ciberdelincuencia, pero con la llegada de la pandemia el número de ataques dirigidos y generalizados se ha incrementado exponencialmente, y hemos aprendido que el riesgo es real y que el incidente se produce y se materializa”.

Que el riesgo de los ciberataques es real ya lo sabían los responsables de ciberseguridad. Al fin y al cabo es para lo que preparan a sus empresas, y pocos son los que no han sufrido algún incidente, grande o pequeño. Ese riesgo, a menudo obviado u olvidado por alta dirección de las empresas, se ha puesto sobre la mesa, se ha colado en el prime time de las televisiones, en las portadas de la prensa generalista. Sobre lo que han aprendido los CEO, explica Elena García que durante la pandemia los CEO han pedido a sus empleados cambiar la forma de trabajar, el lugar de trabajo “sin que se redujese la productividad y sin que se redujese ninguna de las condiciones que nos pedían cuando estábamos aquí, y que lo hiciéramos en tiempo récord”. Y han aprendido que sí, que podemos hacerlo, “pero que la seguridad tiene que estar desde el principio”.

Cloud

“El cloud se aborda con naturalidad, como una evolución tecnológica más, como un cambio en un sistemas de gestión más”, dice Elena García. Tiene claro la CISO de Indra que el cloud “no viene ni a ni a resolver ni a empeorar la situación a nivel de seguridad”, porque “el marco de seguridad es el mismo, las políticas son las mismas, los controles son los mismos”.

Añade la directiva que cuando se habla de cloud se habla de un proveedor más, “un proveedor que también está ofreciendo los servicios de seguridad que acompañan a toda su infraestructura cloud”, lo que convierte en “una oportunidad el poder llevar el marco de seguridad que ya tienes a otro entorno, estableciendo unos parámetros claros, unas responsabilidades claras, unas obligaciones de comunicación, de coordinación, e integrando esa nueva realidad o ese nuevo entorno –que ya no es sólo nuestro CPD”.

Servicios de Seguridad

Hablar con la CISO de Indra de la importancia de los servicios de seguridad gestionados es excesivamente obvio. Salva la situación Elena García asegurando que lógicamente son fundamentales y que “aunque seamos proveedores, yo como CISO tengo un proveedor de confianza y un proveedor de lujo muy cerca”. El tener el proveedor en casa es una oportunidad que permite, por ejemplo “tener unas capacidades de escalabilidad en mis necesidades muy rápidas”.

En todo caso asegura también Elena García que “la experiencia y la demanda es, al fin y al cabo, la misma que cualquier compañía” y que los servicios de seguridad gestionada es como el cloud: una oportunidad de hacer las cosas de manera diferente. Si consigues que te dé eficiencia, que mejore tu capacidad de rendimiento y el nivel de seguridad que ofreces al entorno de la compañía, fenomenal”.

Los imprescindibles

Preguntamos a Elena García cuál sería la capa básica de seguridad sin la cual no puede estar una compañía. La respuesta genera un debate en sí mismo; “No entiendo una capa básica tecnológica”, dice añadiendo que lo que entra en debate no es tanto la tecnología sino “¿cuáles son los procesos o las personas a los que no podría renunciar?”.

El planteamiento de la CISO de Indra es: “pensemos en cuáles tienen que ser los pilares del marco de control y con eso veamos qué tecnología la tienen que acompañar. No hay una tecnología imprescindible per se. Y además, el mundo de las soluciones de seguridad ahora mismo es tan amplio, está evolucionando tanto… No hay una tecnología, lo que se tiene que tener claro es cuál es el objetivo y cuáles son los marcos de control que resultan imprescindibles”.

Si tuviera un cheque en blanco Elena García no buscaría una solución tecnológica. Si pudiera escribirle una carta a los Reyes Magos “lo que pido no es tecnología, pido personas”. Explica que los equipos de seguridad tienen que ser capaces de aprovechar más la información y que toda la tecnología que ayude a automatizar, a liberar a los equipos de cierta capa de operación y dedicar mayor esfuerzo a la inteligencia, es fundamental hoy en día. Pero, “el problema ahora mismo no es la tecnología, son los profesionales”.

Añade que si CISO tiene que evolucionar “el equipo tiene que evolucionar con él, le tiene que ayudar”, y que ese profesional de la seguridad que estaba muy centrado en la tecnología “tiene que proyectarse también a comunicar mejor, a reportar mejor, a construir mejor el discurso, a explicarle directamente mejor al usuario cuál es la su parte de responsabilidad, a combinar la tecnología de una manera flexible...”. Dice Elena García que “el profesional del producto no nos vale” sino que se necesitan “verdaderos profesionales de seguridad que acompañan la función de seguridad en todos sus niveles”.

En 2021 no se esperan más cambios. 2021 será “el año de la consolidación de todos los proyectos, de todas las iniciativas y de todas las necesidades” que se han planteado en 2020. Añade que la visibilidad de la ciberseguridad que se ha producido este año ha llevado a muchos responsables empresariales a tener una actitud más proactiva con lo que se estaba haciendo en sus organizaciones y que este 2021 también será el año de “asentar cuánta información sobre la seguridad, el nivel de riesgo e incidentes y peripecias de nuestra función quieren seguir viendo o no. Ese es el único cambio que habrá que ver”.

Women4Cyber Spain

 

Elena García Diez forma parte de la junta directiva de Women4Cyber Spain el capítulo español de Women4Cyber.eu que se estableció oficialmente el pasado mes de octubre y que busca dar visibilidad y potenciar el talento femenino en el ámbito de la ciberseguridad. Entre las líneas de actuación que propone esta organización destaca la creación de una comunidad que promueva las mejores prácticas y visibilice los referentes femeninos del sector; promover programas de formación en ciberseguridad y tecnología que atraigan más talento femenino; potenciar la presencia de mujeres en el mercado laboral de la ciberseguridad a través de distintos programas; incrementar la presencia de mujeres en la Investigación e Innovación (I+I) en ciberseguridad y en el campo de las tecnologías emergentes; apoyar y dar forma a políticas a nivel nacional y de la UE que estén en consonancia con los mensajes de Women4Cyber y establecer y coordinar alianzas nacionales e internacionales del ámbito de la ciberseguridad a nivel público y privado.