“Resisten los que se adaptan” (Belén Pérez, CISO, Grupo Nueva Pescanova)

“Muchísima capacidad de aprendizaje”. Esta es la primera cualidad del CISO que menciona Belén Pérez durante la reunión online que mantenemos con la CISO de Grupo Nueva Pescanova. No es la única. Añade que el aprendizaje es continuo, no sólo en lo que a tecnologías de seguridad se refiere, que parece algo obvio, sino en cómo se hacen las cosas en la empresa que protege “porque si quieres ayudar tienes que escuchar mucho y entender cómo se hacen las cosas y por qué”, lo que lleva a necesitar “mucha empatía”. Explica la directiva que hay que sentarse con perfiles muy distintos: “me siento con el operario de una fábrica que me cuenta por qué hace las cosas y cómo las hace, y con mis compañeros de sistemas, que me cuentan por qué hacen lo que técnicamente están haciendo y los problemas que tienen, y luego tengo que subir al comité de dirección y explicar, hablando su lenguaje, qué es lo que se tiene que arreglar y por qué”.

Este contenido salió publicado en el número de Noviembre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

A la capacidad de escucha y empatía hay que añadir el de resiliencia “porque somos de los que nos caemos 50 veces y nos volvemos a levantar porque no nos queda otra”, asegura Belén Pérez,  asegurando que la figura del CISO sí que ha evolucionado, se ha pasado de un perfil mucho más técnico a una figura más cercana a la gestión, responsable del análisis de riesgo y su impacto en la compañía, que habla un lenguaje de más alto nivel. “Somos el Gateway”, dice sonriendo la CISO de Grupo Nueva Pescanova explicando que los responsables de ciber tienen que saber traducir la información técnica a una junta directiva a la que no puedes hablar de tecnología.

Preguntamos a Belén Pérez si la ciberseguridad se ha convertido en una prioridad para la empresa española. Dice que “evidentemente” es una prioridad, y que cuando no se ve así se tienen dos problemas: uno el entenderlo y otro el abordarlo. Por otra parte, añade, hay que tener en cuenta el contexto, que en España es muy particular porque según datos del INE prácticamente el 99% de las empresas tienen menos de 250 empleados; se asume, además, que en las más pequeñas está esa persona que vale para todo y que “lo mismo te configura la impresora que las reglas del firewall” y en donde la ciberseguridad es un tema obviado hasta que algo pasa. En este segmento pyme “sí que queda mucho por hacer”.

Lecciones aprendidas

“Quizá la lección que hemos aprendido es que no hay verdades ni respuestas categóricas”, dice Belén Pérez cuando le preguntamos por el impacto de la COVID-19. Explica que lo que antes era un “no” rotundo después ha sido posible, “y esto nos tiene que valer, y enseñar a que habrá momentos y llegarán acontecimientos inesperados en los que tendremos que se capaces de reaccionar rápidamente”

Los CEOs, ¿han aprendido más de seguridad que lo que les hubiera gustado? Responde la CISO de Nueva Pescanova que el impacto de la pandemia en los CEOs ha sido más de adaptación; “se han dado cuenta de que hay otras opciones y otra forma de hacer las cosas. Resisten los que se adaptan. Los que son capaces de adaptarse al momento y pelear por quedarse ahí”.

Cloud

Se habla del cloud como si fuera la solución a todos nuestros problemas, “pero no se dan cuenta de que es la ubicación de un tercero y hay que aplicar seguridad, y mucha gente se olvida de ella”, asegura Belén Pérez, añadiendo que el gran reto de la migración a la nube es el “analizar y decidir quién se encarga de la seguridad. No olvidarse de que ir al cloud no te exime de tener en cuenta la seguridad”.

El mayor peso que el CISO tiene como gestor se ve influenciado porque la necesidad de prestar más atención a la seguridad ha incrementado los presupuestos, el personal destinado y la mayor adopción de servicios de seguridad gestionados. Al respecto dice Belén Pérez que los recursos son limitados y que es complicado encontrar expertos, lo que lleva a que a muchas compañías adopten servicios de seguridad gestionada; añade que los malos no esperan a que estés preparado y que en muchas ocasiones se adoptan este tipo de servicios “por rapidez”, porque el merca do de seguridad es tan cambiante es casi imposible estar al día. Puntualiza también la responsable de ciberseguridad de Nueva Pescanova que estos servicios “son uno más del equipo”.

Tecnologías de seguridad imprescindibles

Reconoce ser buena gallega cuando responde “depende” a la pregunta ¿qué tecnologías de seguridad crees que son imprescindibles en una empresa?”. Dice el que principio básico en seguridad es que la seguridad 100% no existe y que “en seguridad ni hacemos magia ni milagros, eso se lo dejamos a otros”, para después explicar que cada empresa es un mundo, que el nivel de madurez es diferente al de todas las empresas del entorno, que los recursos que se tienen para abordar la seguridad también pueden ser completamente distintos y que “tienes que escoger las soluciones y servicios que vayan mejor a tu empresa”, porque de poco vale que una empresa invierta en una tecnología si luego no tiene quién se lo gestione, no va saber qué hacer con ello “y encima va a generar una falsa sensación de seguridad”.

Asegura por tanto Belén Pérez que el primer paso que debe dar cualquier empresa es analizar “qué es importante para mí, aquello que si me falla me va a generar mayor impacto en el negocio, y a partir de ahí invertir los recursos en minimizar ese riesgo. Esa es la clave. Saber qué es lo importante e invertir siempre que se pueda lo máximo posible”.

Mirando hacia el futuro, preguntamos a la CISO de Grupo Nueva Pescanova por aquellas tecnologías que considera que serán prioritarias. Habla de dos ejes principales, “uno que es el gran olvidado” y que no es otro que el ser humano, responsable de la mayoría de los fallos de seguridad “y donde menos invertimos”; asegura que si bien el ser humano es el eslabón débil de la cadena, “también puede ser nuestra mayor defensa”, y por eso un mayor esfuerzo en formación, concienciación, entrenamiento y evangelización.

Es segundo eje es toda aquella tecnología que ayude a anticipar la respuesta; “todo lo que sea predicción e inteligencia artificial, todo lo que ayude a correlar información, detectar amenazas y anticiparnos para estar preparados en la respuesta”.

No le gusta a Belén Pérez hablar de predicciones cuando le preguntamos si prevé algún cambio significativo en 2022. Asegura en todo caso que “seguiremos peleando y trabajando duro en ciberseguridad, porque ni alguien no se dio cuenta de que hay que meter el proceso de ciber dentro de las compañías no le va a quedar otra que hacerlo”.

Menciona también la directiva el reto del cambio normativo respecto a las adecuaciones de reglamentos europeos que no se abordaron en su momento asegurando que “a los CISOs siempre nos viene bien la normativa”.

Rosalía Arroyo