‘Lo importante, y más en el ámbito de la seguridad, no es tanto la solución o producto que vayas a seleccionar, sino el proveedor’ (Roberto González, Grupo Primavera)

  • Entrevistas

Roberto González Merino, CISO y CIO, Grupo Primavera.jpg

Tiene claro Roberto González Merino, CISO y CIO de Grupo Primavera, que en ciberseguridad hay que prestar atención a la prevención, y por eso la formación del usuario es fundamental; que los servicios gestionados son indispensables; que nadie quiere verse en una situación comprometida, pero que cuando te ves en ella lo que quieres es un buen soporte; que lo que todo el mundo tiene que tener es un EDR y que la virtualización, junto con sistemas de seguridad basados en IA, van a ser puntos clave para el próximo año.

Roberto González Merino es el CISO, y CIO, del Grupo Primavera, una empresa especializada en software empresarial para pymes con más de 55.000 clientes que suma la experiencia y el talento de Primavera BSS, Ekon, Triari Labs, Contasimple, Billage, Diez Software y Professional Software.

En su doble rol de hacerse cargo tanto de la ciberseguridad como de la gestión de TI del Grupo, dice Roberto González que en los últimos años tanto la figura del CISO como la del CIO “han evolucionado a ritmos forzados”. Un cambio que asegura que se lleva gestando desde antes de la pandemia y que, en el caso del CIO, ha pasado de encargarse de las operativas internas a tener un papel fundamental en un proceso de transformación digital que afecta a todas las unidades de negocio.

Este contenido salió publicado en el número de Enero de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Sobre el CISO dice que la seguridad ha pasado de estar circunscrita a un firewall y un antivirus a tener que adaptarse a un importante cambio tecnológico que ha aumentado los factores de riesgo.  Además de apuntar a que la mayor visibilidad del CISO, más involucrado en las diferentes unidades de negocio, les ha llevado a los consejos de dirección, asegura también el directivo del Grupo Primavera que “la pandemia ha llevado a una mayor colaboración entre el CISO y el CIO porque hemos pasado de pensar en el trabajo como un lugar físico a contemplar la movilidad”, que ha supuesto un cambio disruptivo que en ocasiones ha llevado a cambiar toda la arquitectura e infraestructura que las empresas tenían.

Preguntado por los retos a los que se enfrenta el CISO y CIO de Grupo Primavera, menciona Roberto González “el poder garantizar la misma seguridad, o incluso más, en un modelo de movilidad vs modelo físico. Garantizar de que puedas desarrollar las mismas funciones en una oficina que en el ámbito de tu casa”.

Habla también el directivo de la importancia de la educación que se le da al usuario porque “por mucho que modifiques los sistemas para que se adapten a la nueva situación, el usuario final, tanto interno de la empresa como tu cliente, también tiene que entender que su rol de usuario ha cambiado, que tenemos que evolucionar todos juntos y que se tiene que prestar también mucho énfasis en la prevención”. Añade que la mayor visibilización de incidentes de seguridad que afectan a empresas grandes está ayudando a que haya una mayor concienciación sobre la ciberseguridad.

Asegurando que le ha proporcionado más ventajas que inconvenientes, dice Roberto González que trabajar en una empresa que provee soluciones de TI “es un arma de doble filo”. Explica que trabajar en una empresa tecnológica puede hacer más fácil que se entienda y se empatice con las medidas que se tienen que implantar a nivel de seguridad en una empresa, pero también puede haber más riesgo del llamado Shadow IT por el mayor conocimiento tecnológico de los empleados, “lo que puede provocar alguna situación compleja”.

MSSP

“Para mí los servicios gestionados son indispensables y creo que, en mayor o menor medida, para todos deberían ser igual”, dice el directivo. Explica que “la principal premisa para entender no ya si es necesario, sino en qué medida se externalizan servicios, es el volumen de la empresa”, porque las muy grandes tienen recursos para tener la seguridad en casa.

La aceleración que se ha tenido que vivir con la pandemia demostró que había empresas que no estaban preparadas para todo lo que se nos ha venido encima, “y disponer de un socio, de un compañero de viaje, que te pueda ayudar a comprender la situación es muy importante, sobre todo en el ámbito de la seguridad”, dice Roberto González.

Hablamos también de la adopción del cloud y preguntamos si el ser CISO y CIO ha supuesto que dicha adopción se ha realizado de manera un poco diferente, teniendo en cuenta la seguridad  desde el principio. Dice Roberto González que parte con una ventaja, que es el trabajar en Grupo Primavera, un grupo empresarial de joven creación en el que alguna de las empresas que lo conforman han sido pioneras “en promover una solución ERP cloud” lo que hace que la nube “ya esté muy interiorizado en nuestro ADN”.

Asegurando que la evolución hacia el cloud es algo necesario, y que la seguridad es un punto a favor para su adopción, asegura Roberto González que el mercado en general se ha podido beneficiar “de la estandarización de los marcos regulatorios que todos los clouds públicos o los grandes proveedores han establecido”.

Mantiene la apuesta por el cloud también desde su rol de CIO asegurando que es muy beneficioso y que “hemos ahorrado una cantidad de tiempo enorme en aprovisionamiento de infraestructuras, con despliegues prácticamente automáticos. Además, la parte del auto escalado que te aporta el cloud es fundamental. Y si entramos en las áreas de soporte de negocio, el que todas las herramientas de soporte, o la mayoría, estén en un en un ámbito cloud también ha sido fundamental para para agilizar muchos de los de los procesos y garantizar esa disponibilidad del servicio”.

Tecnologías

En un mercado saturado de fabricantes, soluciones y propuestas como es el de seguridad, ¿cómo escoger la mejor solución? La respuesta es clara: “lo que mejor se adapte a ti”. Asegura el CISO de Grupo Primavera que no existe una fórmula mágica sino una serie de necesidades. Añade además que “lo importante, y más en el ámbito de la seguridad, no es tanto la solución o producto que vayas a seleccionar, sino el proveedor”. Explica que nadie quiere verse en una situación comprometida, pero que cuando te ves en ella “lo que quieres es un buen soporte, saber que la empresa que está detrás es un socio de confianza y que si en algún momento llegas a encontrarte en un punto delicado, vas a tener una respuesta rápida, eficiente y de confianza” y añade que “sobre todo en los últimos tiempos, lo que ha cobrado mucho peso es la respuesta o confianza que me transmite el proveedor”.

Tiene claro el CISO y CIO de Grupo Primavera que lo que todo el mundo tiene que tener es un EDR. “Cada empresa es un mundo, y sobre todo con el tema del presupuesto, pero si me preguntas qué herramienta de seguridad debería ser imprescindible en cualquier empresa la respuesta es un EDR”, asegura. A partir de ese Endpoint Detection and Response, y teniendo en cuenta el negocio, tamaño de la empresa, etc., añade herramientas de inteligencia artificial, un SOC, un CASB… En todo caso tiene también claro que se puede invertir mucho en tecnologías de seguridad, “pero creo que se debería invertir más en la formación del usuario. Creo que en la actual situación la concienciación del usuario es esencial”.

Hablando del usuario… “Lo que más está evolucionando en los últimos años, con todo el sentido, son los sistemas basados en el comportamiento del usuario y de inteligencia artificial”, dice Roberto González antes de que le preguntemos por las tecnologías que serán imprescindibles en el futuro. Al respecto asegura que “los sistemas con inteligencia artificial es lo que más va a evolucionar en los próximos años”.

De cara a 2022 dice Roberto González que “tenemos que acabar de evolucionar el tema de la virtualización”. Explica que el foco es poder aportar al usuario un entorno deslocalizado, descentralizado y seguro para su trabajo y que la virtualización facilita además la agilidad y movilidad del usuario. Añade que tradicionalmente la virtualización ha estado asociada a grandes empresas y que poco a poco está llegando a las pymes; “el aportar una solución de movilidad segura para pequeña y mediana empresa, junto con los sistemas de seguridad basados en IA, van a ser puntos clave para el próximo año”.

Rosalía Arroyo