‘La concienciación del usuario es un pilar básico de una buena estrategia integral de seguridad’ (Roberto Alunda, Mediapro)

No hay un camino definido para llegar a ser responsable de ciberseguridad. Lo habitual es que la inquietud personal y profesional vaya creando un camino plagado de autoaprendizaje. En el caso de Roberto Israel Alunda Espinosa, actual Global CISO del Grupo Media Pro, los inicios se dieron en el mundo de las telecomunicaciones, desde donde ha llevado la infraestructura de seguridad, sido responsable de comunicaciones y responsable de TI, entre otros, hasta llegar al cargo que ocupa actualmente.

Respecto a la evolución de la figura del CISO, dice Roberto Alunda que ha pasado “de ser una figura inexistente a liderar la seguridad de las empresas”. Asegurando que no hay dos empresas iguales a la hora de establecer directrices de IT o seguridad, dice también que la del CISO debería evolucionar a una figura que centralice todos los aspectos de seguridad, desde los relacionados con los procesos de negocio a los de usuario o la infraestructura, “para poder establecer una estrategia única y global”.

Sobre el futuro del CISO “está muy ligado a la importancia que, por fin, después de muchos años, se está dando a la seguridad”, dice Roberto Alunda, añadiendo que a media que las empresas entiendan y aumenten la importancia de la seguridad que debe darse a los activos y usuarios, “el CISO como tal se convertirá en una figura clave para la empresa, si no lo es ya”.

Comenta también el CISO Global de Mediapro que la figura del CISO debe evolucionar hacia un espacio único; “no todas las empresas tienen una seguridad independiente, sino que suele recaer dentro de los departamentos de IT, y creo que debería ser independiente”, manteniendo por supuesto la fluidez y colaboración con el resto de departamentos.

“Ser un buen gestor” es una de cualidades que debe tener un buen CISO. Añade Roberto Alunda que también debe tener “un background técnico importante” y destaca que tener una foto global de la seguridad de una empresa desde la base de conocimientos técnicos, además de normativos, “facilita establecer una estrategia de seguridad adecuada para la empresa”. No se olvida de mencionar la necesidad de tener una visión empresarial que permita al CISO “adaptar la seguridad a la empresa, y no al revés”.

Amenazas y tecnología

Preguntado por los principales retos de seguridad a los que se enfrenta Mediapro, comenta el CISO de esta compañía que se tienen los comunes a todas las empresas, como es “la necesidad de evolucionar constantemente tus sistemas de seguridad para hacer frente a las nuevas amenazas que aparecen continuamente”. Añade que un reto importante es la concienciación, formación y actualización en seguridad de los usuarios, para después identificar como retos específicos de Mediapro el tamaño y la dispersión de la compañía, que tiene 60 sedes repartidas en 40 países y un core de negocio muy variado, por lo que “establecer un conjunto de estrategias y políticas únicas no siempre es fácil”.

La amenaza que le quita el sueño es… “el ransomware, como a todo el mundo”, además del phishing, porque una vez robada la identidad del usuario se pueden generar incidentes de seguridad que realmente no se detectan de manera inmediata y en general suelen tener consecuencias destacables, asegura Roberto Alunda.

La concienciación del usuario “es fundamental. Es un pilar básico de una buena estrategia integral de seguridad”, dice el CISO Global de Mediapro, añadiendo que “es la primera línea de defensa porque los sistemas de seguridad que vienen después están para cuando esta línea ya se ha traspasado”. Dice también Roberto Alunda que la seguridad dentro de la empresa “es tan importante o más que la externa”, algo que hace años sonaba extraño pero que el tiempo ha demostrado y que se ha ido aterrizando en los sistemas de gestión de identidades y accesos, tecnologías SSO (Single Sign-On), cuentas privilegiadas, etc.

Sobre la inteligencia artificial, que muchos consideran imprescindible y otros cuestionan, dice Roberto Alunda que “depende mucho de las expectativas que se tenga en torno a ella”. Explica que nadie espera que una IA sea capaz de establecer una política de seguridad teniendo una foto global del grupo, entendiendo el negocio y gestionando un equipo, y por lo tanto hay que tener otro tipo de expectativas. Dice también el directivo que con la inteligencia artificial se mejora muchísimo la anticipación de amenazas; que el procesamiento de datos y la toma de decisiones de manera automatizada es algo espectacular y que, en general “el apoyo de la IA en la ciberseguridad es fundamental”. No se olvida de recordar que las amenazas son cada vez más sofisticadas y que “hay que estar preparados casi con las mismas armas”

Basado en su experiencia, la protección de endpoints, “si es posible con sistemas EDR”, además de la seguridad en la capa DNS, los enfoques Zero Trust, segmentación de redes y seguridad interna son los pilares básicos de seguridad.

En seguridad, ¿todo es tecnología? “Yo creo que el factor humano es importante”. Explica que la formación y concienciación del usuario es el primer paso hacia un sistema de seguridad, y que la externalización de los servicios, el contar con un gran equipo de seguridad “es una de las claves del éxito. La combinación de personas y tecnologías es en lo que se debe basar una buena estrategia de ciberseguridad”.

Sobre las tecnologías que serán necesarias en un futuro, menciona el CISO de Mediapro que no son otras que las que ya están empezando a implementarse, como arquitecturas SASE basadas en entornos SD-WAN, un camino que “nosotros quisimos iniciar hace cinco años con las condiciones que había entonces y que la mayoría de las empresas tendrán que seguir, si no lo han hecho ya”.

Asegurando que ya nadie se acuerda de lo que sucedió en la pandemia, del impacto del teletrabajo, responde el directivo que “habrá que ver cómo evolucionan los requerimientos de las empresas”, porque todo parece indicar que a finales de año los empleados volverán de manera masiva a las oficinas. “En esa situación, ¿se volverá trabajar como antes? Los requerimientos de las empresas, ¿serán los anteriores?”, son algunas de las preguntas que plantea Roberto Alunda, añadiendo que hay que esperar lo que nos depara este año en seguridad.

Rosalía Arroyo