‘La seguridad se convertirá en una ventaja competitiva de las empresas’ (Pablo Masaguer, CISO, Sociedad Textil Lonia)

Pablo Masaguer es el CISO de Sociedad Textil Lonia, uno de los principales grupos de moda de España y la segunda empresa por facturación en Galicia que opera las marcas Carolina Herrera & Purificación García. Llegó a ser CISO casi por casualidad, ya que empezó trabajando como administrador de sistemas; “me fueron orientando, pero desde que entré en temas relacionados con riesgos tecnológicos y seguridad no lo dejé”, nos cuenta, añadiendo que ha tenido la suerte de estar siempre en este entorno, de haber vivido cómo ha crecido la figura del CISO, de ver que ahora existen departamentos de seguridad con decenas de profesionales y presupuestos importantes.

Este contenido se publicó en el número de Febrero de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

“Depende”, dice como buen gallego cuando le preguntamos por las cualidades que debe tener un buen CISO. Depende porque… “no todas las empresas buscan ni necesitan lo mismo, ni todas quieren dotarlo de la misma dimensión. Para unas, el CISO es la persona que administra el antivirus o cualquier otra herramienta de seguridad, y para otras es la figura sobre la que puedes pivotar un programa de transformación digital”. Asegura al mismo tiempo que más que cualidades, un buen CISO debe tener determinadas aptitudes, como el ser multidisciplinar, ser capaz de empatizar, y tener creatividad “para averiguar cómo hacer las cosas sin impactar en el día a día”.

Cuando hablamos de la manera de escoger entre tanta oferta tecnológica y de fabricantes, dice Pablo Masaguer que busca “simplificar”. Asegura que está claro que hay buenos productos en el mercado y que identificarlos es relativamente sencillo. “Identificar el producto bueno y que cubre gran parte de tus necesidades no es el problema, lo difícil es el equipo. De nada te vale tener un buen producto si no te sientes cómodo con el equipo que lo va a implantar. Para mí la clave es un equilibrio entre un buen producto y tener confianza en quien va a llevar el proyecto hasta el final. Cuando haces esta ecuación la oferta se reduce”.

La seguridad está lejos de ser una prioridad para la empresa española, dice el CISO de Sociedad Textil Lonia. Añade que la regulación ha ayudado pero que, si miramos al mercado Pyme, unos por desconocimiento y otros porque hasta que no pasa algo no reaccionan, queda mucho por hacer.

Más que prioridad, se refiere Pablo Masaguer a la seguridad que acompaña al cloud como algo obligatorio; “no te queda más remedio que considerar la seguridad si te mueves al cloud, bien sea de manera híbrida, privada o pública”.

En cuanto a las nuevas tecnologías y su impacto en la seguridad, dice que tanto la nube como el desarrollo ágil, kubernetes, contenedores… “han dado lugar a soluciones o enfoques del tipo Zero Trust que proponen operar de manera segura sabiendo que hay desarrolladores que van a desarrollar las políticas de seguridad como les da la gana; que hay dispositivos IoT en los que lo que prima es que se establezca la conectividad y a nadie le importa cómo han sido desarrollados, cómo se conectan o las brechas que puedan tener”. Añade finalmente que la seguridad tiene que apoyar toda la evolución tecnológica.

Servicios de seguridad gestionados

“No solo para nosotros, para la mayoría de las empresas los servicios de seguridad gestionados son imprescindibles”, asegura Pablo Masaguer, añadiendo que es donde se encuentran los profesionales más brillantes porque “cuanto más expuestos, más aprenden y mejores servicios prestan”. Dice también que “son una condición necesaria, pero nunca suficiente”, y que eso del “CISO virtual” y los servicios que te gestionan la seguridad al 100% no funcionan porque “nadie mejor que uno mismo para saber qué es lo que hay que proteger y cuánto valen tus activos”.

Apuesta tecnológica

Cuando planteamos qué tecnologías de seguridad son básicas en cualquier empresa dice el CISO de Carolina Herrera que todo el mundo es consciente de que la mayoría de los problemas vienen de una infección en el endpoint o que el correo electrónico es uno de los principales vectores, y que por tanto es donde hay que hacer foco, junto con las comunicaciones y el trabajo deslocalizado; “empiezas por estos tres, pero la realidad es que no acabas nunca”.

Mirando al futuro, hay dos cosas que, en opinión de Pablo Masaguer, tienen que coger más peso: la inteligencia artificial y la computación cuántica, o capacidad de procesar a otros niveles y de otra forma. Sobre los planes de formación y concienciación de los que tan a menudo se habla, dice que están muy bien, pero que la realidad es que no puedes tener a los empleados todo el día en una clase, o mandándoles anzuelos a ver si pican, poniéndoles series para concienciar o píldoras para recordarles que existe un peligro; “esto tiene un límite y ya no causa el mismo efecto”. Asegura también que “hay responsabilidades que no se pueden relegar al usuario final y además es injusto pensar que porque le hayas dado una formación tenga que saber identificar el correo malicioso”.

El futuro, insiste, pasa por una computación más avanzada y una inteligencia artificial que sea “capaz de suplir al ser humano en la toma de determinadas decisiones; que venga a completarnos como usuarios y avisarnos de que nos estamos equivocando”.

Sobre si este 2022 traerá algún cambio importante en lo que a ciberseguridad se refiere, dice Pablo Masaguer que se está llegando a un punto en que quien quiere tomar conciencia de la ciberseguridad lo hace, igual que quien se quiso preparar y se está preparando para todo lo que nos viene: la digitalización, el estar constantemente conectados, etc. “No sé si será este año, o cuándo ocurrirá, pero está claro que la siguiente revolución será que seguridad se convierta en una ventaja competitiva. Es decir, hay empresas que han adoptado las medidas de seguridad necesarias, y hay otras que no. Y la realidad es que hay un mercado enorme, que es el de la ciberdelincuencia que busca obtener un beneficio con el menor esfuerzo. Y llegará un momento en el que se van a centrar ya no sólo en los bancos o esas grandes corporaciones a las que pueden chantajear de alguna manera porque saben que tienen ese capital, sino que mirarán a los demás, y algunos estarán preparados, pero habrá una representación importante de empresas que no lo estarán y serán el objetivo principal”. De forma que será la seguridad la que ofrezca la ventaja competitiva de una empresa.

Termina comentando que la seguridad es algo mucho más simple de lo que nos quieren vender, que no hay que gastarse cantidades ingentes de dinero, ni tener unos recursos o equipos sobredimensionados, sino tener criterio, saber lo que tienes, cómo lo quieres proteger y hasta dónde estás dispuesto a protegerlo.