"La figura del CISO ha evolucionado bastante, y más que tiene que evolucionar" (Mónica de la Huerga, Sopra Steria)

Los datos no sólo crecen y se multiplican, sino que se extienden fuera de las empresas, la transformación digital, que ahora vuelve a ser digitalización, está generando enormes oportunidades, pero estas oportunidades llegan con trampa, porque a medida que los datos, la propiedad intelectual y el valor de la marca evolucionan, se convierten en objetivos de los ciberdelincuentes. Al frente de estos retos el CISO, el responsable de la ciberseguridad de las empresas, en encargado de hacer cumplir las políticas y de llevar la nave por aguas seguras.

Este contenido está publicado en el número de Abril de la revista IT Digital Security, disponible desde este enlace.

Mónica de la Huerga es, desde hace seis años, la CISO de Sopra Steria, una consultora europea de tecnología de la información establecida en septiembre de 2014 tras la fusión de Sopra Group y Groupe Steria. De la Huerga acumula muchos más años de experiencia y asegura que la figura del CISO ha evolucionado bastante, “y más que tiene que evolucionar”. Nos cuenta en una entrevista que se ha pasado de un rol técnico, de ser considerados unos frikis que estaban en su cuarto de servidores rodeados de cables y que además utilizaban unas siglas súper raras, a un rol más estratégico; “al final es el rol de un directivo, que tiene que conocer la visión estratégica de la compañía a nivel de negocio y a nivel de supervivencia básica de la empresa”, dice Mónica de la Huerga. Se ha pasado, comenta, de tener poca visibilidad, de ser el Pepito Grillo que va diciendo lo que no se puede hacer, a asumir un papel de alto nivel con el que poder decir a la dirección: “ahí están los riesgos y habría que tomar estas medidas”.

“Tomando las decisiones con mucha tranquilidad”, dice Mónica de la Huerga cuando le preguntamos cómo escoger la solución adecuada en un mercado tan saturado de fabricantes y propuestas como es el de la seguridad. “A la hora de elegir proveedor o partner que te acompañe en todos los temas de seguridad hay que tener claro cuáles son tus objetivos, cuáles son los riesgos que has identificado, haciendo por ejemplo auditorías internas, cuáles son las medidas que quieres tener… Y cuando tienes esa visión clara, ir a esos partners, a esos proveedores de servicios de seguridad, preguntarles qué es lo que me ofreces, con qué niveles de servicio me lo ofreces, con qué calidad, con qué seguridad, valga la redundancia, me das estos servicios de seguridad; y una vez que tienes eso, ya es acomodarte al que más se acerque a lo que tú tienes en mente como solución de ciberseguridad”.

Otro reto es mantenerse al día. Iniciar un proyecto o implantación que en dos años se queda obsoleto con lo rápido que cambia el mercado no es extraño en el mundo de la tecnología, ni tampoco en el de la seguridad. Dice Mónica de la Huerga que, aunque el rol del CISO sea un poco más directivo, se mantiene la parte técnica, “seguimos siendo esos frikis que utilizan siglas que nadie más entiende”. Se trata de estar al día, de escuchar todas las fuentes y evitar eses ruido ensordecedor que te va a impedir tomar una decisión correcta y sin criterio. “Tenemos que mantener la tranquilidad y tratar incluso de adelantarnos un poco a lo que va a venir. Se trata de mantener un poco la calma y tratar de estar siempre al día con esas redes que tenemos a niveles de CISO, a niveles de CIO, para ver cuáles son las tendencias”.

Y en esta vorágine de cambios, en este aceleramiento de la tecnología, ¿qué papel juegan los servicios gestionados de seguridad? ¿son cada vez más imprescindibles? ¿es hacia donde se va? “Yo creo que eso al final también depende un poco de cada empresa”, responde Mónica de la Huerga. Asegura que en los últimos tiempos sí que ha habido un fuerte aumento de la contratación de servicios gestionados, a veces derivado de falta de profesionales disponibles, de presupuestos… “En nuestro caso hemos optado por tenerlo en casa directamente. Nosotros tenemos nuestros SOC, y de hecho hacemos procesos de transformación digital y ofrecemos esos servicios a nuestros propios clientes”.

Amenazas internas

Seguimos hablando con Mónica de la Huerga y ponemos sobre la mesa el problema de las amenazas internas. Según datos de 2019, el 68% de las empresas se sienten vulnerables a los ataques internos y un 73% confirman que son cada vez más frecuentes. Reconoce la CISO de Sopra Steria que sí que es cierto que “siempre nos fijamos más en las amenazas que tenemos desde el exterior y esas amenazas internas las damos un poco más de lado o no les prestamos atención”, pero que, ante nuestra insinuación de que los altos directivos se tomen más licencias con las políticas de seguridad, “no se hace una discriminación en función de jerarquías”. La compañía realiza de manera habitual campañas de concienciación y formación a los empleados, sesiones de refresco y se cuenta con un blog en el que se publican artículos por parte de los equipos de seguridad de Sopra Steria.

“No es más peligroso el alto directivo aun cuando, lógicamente, la información que maneja es más sensible y en caso de que sea un ataque dirigido va a ser un foco”, dice Mónica de la Huerga, añadiendo que hay que llevar a cabo tareas de sensibilización y de concienciarles que se deben aplicar no sólo en el trabajo, sino en su propia vida personal”.

Lo básico, el cloud y la continuidad

Sobre las medidas básicas de seguridad que se deben tener, Mónica de la Huerga tiene claro que debe partirse de contar con una solución antivirus, el sistema operativo en regla y todos los parches de seguridad actualizados, y luego ir añadiendo capas. “No vas a evitar que te hackeen”, dice, “porque al final los malos tienen un negocio y lo que les distingue es su alto nivel de profesionalización y de compromiso con su actividad. Nos guste o no nos guste son unos profesionales, ese es su negocio y hacen todo lo que está en sus manos para conseguir su objetivo”.

Se trata, insiste la CISO de Sopra Steria, de optar por una seguridad por capas, de ponerles trabas, que les cueste su esfuerzo. A la hora de decidir qué tecnología se quiere aplicar se parte de “hacer un análisis de qué es lo que quiero proteger, qué es lo que me pasaría si alguien accede a esa información o a ese sistema, cuál sería el coste en dinero o el coste a nivel reputacional de que tengas una brecha, y en función de eso hacer lo que puedas”, asegura, y añade que “todo lo que sea adelantarnos y todo lo que sean esas herramientas para poder prevenir esos incidentes y sobre todo, el impacto que podría tener ese incidente, siempre será bienvenido”.

Pregunta obligada es cómo se hace frente, como responsable de la seguridad de una empresa, a la adopción del cloud. “Con Cautela y con calma, para qué negarlo”, responde Mónica de la Huerga. Dice que el cloud es como cualquier otro servicio en el que hay que preguntarse qué expectativas tengo y qué es lo que se quiere tener y que lo importante de la nube es que genera la sensación de que se ha perdido el control, de que no se sabe si el proveedor nos está dando lo que queremos, si está protegiendo como nosotros lo haríamos… “Pero en realidad es tan sencillo como sentarse con los proveedores y establecer por contrato los requisitos de seguridad y, sobre todo, ver qué servicios y qué medidas de seguridad tienen ellos. Al final el mensaje que hay que transmitir es: el cloud tampoco es algo peligroso per se, no hay por qué desconfiar, hay que asegurarse de que los servicios que tú quieres te los están ofreciendo”.

Sobre el impacto de GDPR, dice que en España la LOPD ya nos tenía bien preparados y que ha servido “para poner más en valor el rol del CISO y de todos los roles asociados a seguridad, porque no deja de ser más que definir un conjunto de medidas que hay que poner en marcha para proteger ese dato”. Y no se olvida de la figura de la DPO, “que no hay día que no hable con ella”.

Entre las tareas del CISO está el elaborar planes de contingencia y de continuidad de negocio, que parecen ser la asignatura pendiente de la empresa española; “tienes que valorar los riesgos y, sobre todo, poner en marcha planes de contingencia. Sin esos planes de contingencia es cuando ya no tienes nada que hacer”.  Asegura Mónica de la Huerga que en el caso de su compañía se realizan análisis de riesgos, se cuenta con estrategia de backup, se hacen pruebas de restauración con la frecuencia debida porque “puedes tener un backup, pero puede estar haciéndose mal y justo el día que necesites no funciona”.

Vuelve a insistir es que es importante la concienciación, porque podemos poner todas las medidas técnicas que tengamos, poner capa tras capa, pero si al final alguien va a pinchar en un enlace que no debe y la consecuencia va a ser que vamos a tener una brecha de seguridad, “lo único que nos va a salvar ahí va a ser precisamente nuestra capacidad de reacción, esas herramientas que vamos a tener para detectar y para contener esos incidentes de seguridad y esos ataques y, sobre todo, esa capacidad de recuperación ante un posible desastre. Yo creo que eso es lo más importante, esa capacidad de recuperación y esa capacidad de ser proactivos para prevenir y para mitigar y contener esos posibles ataques lo antes posible”.

Rosalía Arroyo