'La seguridad es una carrera de fondo prácticamente sin meta' (Carlos Asún, CISO Food Delivery Brands)

  • Entrevistas

Carlos Asun, CISO Food Delivery Brands

Carlos Asún es el CISO de Food Delivery Brands. Tiene claras cuáles deben ser las cualidades de un buen CISO; que los servicios gestionados son imprescindibles, pero que no debes atarte a ningún proveedor; que es necesario contar con un buen SIEM y un excelente SOC y que este 2021 podría ser el año de volver a las oficinas.

“Ser asertivo, proactivo, empático, resolutivo, flexible, buen comunicador, dar confianza y estar muy puesto en la tecnología” son algunas de las principales cualidades que debe tener un buen CISO, una figura que tiene que interactuar con muchas áreas de negocio, que durante los últimos tiempos ha ganado peso dentro de las empresas, con cada vez más presencia en los consejos de administración. Nos lo cuenta Carlos Asún, CISO de Food Delivery Brands, un grupo que opera en 36 países a través de las marcas Telepizza, Pizza Hut, Jenos’s Pizza y Apache Pizza.

Este contenido salió publicado en el número de Marzo de 2021 de la revista IT Digital Secutity. Descárgatela.

Sobre la evolución del papel de CISO en los últimos años, dice Carlos Asún que ha cambiado muchísimo pero que también depende del tipo de empresa y el tipo de sector en el que se opere, algo que también influye en cuánto se prioriza la seguridad. En todo caso, la seguridad es cada vez más prioritaria dentro de las empresas, “la seguridad es un no acabar, una carrera de fondo prácticamente sin meta”.

Un año después de que la pandemia nos recluyera en nuestras casas e impactara en todo el mundo, ¿qué han aprendido los CISO? Dice Carlos Asún que hay que tener en cuenta un aspecto diferenciador: las empresas y CISOs que hubieran tenido la suerte de tener el teletrabajo implantado probablemente no les haya afectado mucho, como es el caso de Food Delivery Brands, “pero hay empresas que han tenido muchos problemas, que además les ha impactado en el negocio, y para los que la pandemia ha supuesto un antes y un después”.

Y los CEO, ¿han aprendido algo de ciberseguridad durante la pandemia? “Me gustaría hablar con un CEO que estuviese en contra del teletrabajo hace un año, a ver qué piensa ahora. Seguro que más de uno se va a pensar dos veces el mantener el teletrabajo”.

Cloud

La migración a la nube se hace… “teniendo la seguridad en mente desde el principio”, dice Carlos Asún. Asegura que la “adaptación al cloud es muy importante” y que si bien es cierto que tenemos sistemas que aún no están en la nube por diferentes circunstancias “si lo que queremos es minimizar el riesgo y ahorrar en costes la idea es ir al cloud sin ningún tipo de duda”. Añade que previamente hay que hacer un buen análisis de riesgos y establecer controles de lo que puede pasar en esa migración.

“Para mí es primordial”, dice el CISO de Food Delivery Brands cuando le preguntamos por el papel que juegan los servicios de seguridad gestionados. A Carlos Asún le gusta la variedad y contar con los mejores, y asegura que es necesaria “mucha coordinación y mucha comunicación entre los proveedores que le prestan diferentes servicios”.

¿Cómo se encuentra al mejor proveedor? “Con mucho análisis, preguntando mucho, con RFIs y RFPs muy potentes, muchas entrevistas, reuniones e intentar no atarse mucho al proveedor porque somos humanos, nos podemos confundir, pueden pasar cosas a lo largo del tiempo y si no estás muy atado a ese proveedor la transición a otro en mucho más fácil”.

Tecnologías de Seguridad

Preguntamos también a Carlos Asún cuáles cree que son las tecnologías básicas de seguridad que se deben tener, sin las cuales no se puede estar. “Depende mucho del tipo de empresa y el sector en el que estés”, responde en un primer momento para después mencionar WAF como un elemento importantísimo, “tener un buen SIEM y un excelente SOC, porque si tienes un muy buen SIEM y un SOC mediocre estás totalmente vendido”. ¿On premise o como servicio? “Cada empresa es un mundo y tiene que escoger lo mejor. Para mí es en modo servicio gestionado en todos los aspectos porque es muy sencillo a la hora de salir y cambiar. Si compras una herramienta de SIEM ya estás atado. La tecnología cambia mucho y los que hoy son muy buenos mañana pueden no serlo”, explica Carlos Asún añadiendo que, teniendo estas herramientas, el SIEM y el SOC en modo servicio, pierdes algunas cualidades, “pero sabes que, si mañana tienes que cambiar, la transición es rápida, el trastorno es mínimo. Pero es mi opinión”.

Seguimos hablando de tecnologías y de herramientas, que en seguridad son muchas, muchísimas. Como imprescindibles hemos hablado del WAF, del SIEM, del SOC; también menciona el NAC, sobre el que dice que es “una herramienta muy potente a nivel interno de la empresa”, así como el PAM, CASB, ISD/IPS… y llegamos a los simuladores de ataque y vigilancia de la darkweb como elementos a tener muy en cuenta.

2021

Sobre si este año prevé un cambio significativo en torno a la seguridad, menciona que existe la posibilidad, para muchas empresas, de que sea el año de volver a las oficinas, y eso significa que habrá que devolver los equipos a las oficinas, equipos que habrá que revisar después de meses sin demasiado control si dichas empresas no lo han hecho.

“Si hablamos de otros aspectos, me imagino que todo lo relacionado con la inteligencia artificial irá a más, y a lo mejor podremos encontrar algo nuevo que nos pueda ayudar en la parte de seguridad”, añade Carlos Asún, sin olvidarse que “los ataques siempre van a estar ahí, cada vez van a ser más sofisticados y tenemos que estar proactivamente preparados para que cuando nos pase podamos reaccionar de la mejor manera posible con esos niveles de resiliencia que demuestre tener cada empresa”.