Así mueven ficha los CISO para hacer de la ciberseguridad un aliado
Cuatro CISO de reputadas compañías como Iberia, Mapfre, Hijos de Rivera o Fluidra avanzan el cambio de paradigma de la ciberseguridad: desde su salto a la esfera pública hasta las principales tendencias que vislumbran para los próximos doce meses. Así han hablado.
- Cómo ha cambiado el rol del CISO desde que Steve Katz inauguraba este cargo hace 30 años
- "Los CISO tienen tanta presión que las organizaciones siguen luchando para mantenerse al día"
- El 60% de los CISO teme perder su puesto tras una crisis de ciberseguridad
- Los retos actuales del CISO, a debate en 'Cybersecurity Summit'
- Tres de cada cuatro CISO están abiertos a un cambio de trabajo
En los últimos años, con el avance irrefrenable de la digitalización y el auge del consumo tecnológico, la transformación del rol del Chief Information Security Officer (CISO, por sus siglas en inglés) ha sido una de las cuestiones más recurrentes en la industria. No solo por la necesidad imperante de acercamiento al negocio, por la mejora de su capacidad de observabilidad y estado de alerta infinito, sino por la profunda metamorfosis del contexto actual.
Sobre el cambio de paradigma, las tendencias para los próximos doce meses, los retos asociados al rol y el equilibrio entre la definición de políticas de seguridad y agilidad del negocio hablan para CSO España cuatro nombres propios de reputadas compañías. Ellos son Jesús Mérida, CISO de Iberia; Guillermo Llorente, CISO de Mapfre; Ana Salazar, CISO de Hijos de Rivera; Ángel Uruñuela, CISO de Fluidra.
He aquí sus principales conclusiones.
La ciberseguridad como ente omnipresente
Lo que hace unos años era impensable es, hoy en día, una realidad. Lo confirma Mérida. “El panorama de ciberataques ha trascendido al mundo público; hace unos años los incidentes de ciberseguridad se mantenían ocultos, ahora saltan incluso a la prensa generalista”, asegura. Algo que no es de extrañar dado el grado de aceleración de la transformación digital que trajo consigo la pandemia. Desde entonces, confiesa el portavoz de Iberia, “la sociedad tiene una exposición brutal a la tecnología”; una tecnología que sirve de arma de doble filo a los cibercriminales.
En este sentido Uruñuela destaca que, con la Covid-19, el panorama de ciberamenazas se complicó. “Vivimos un pico de ciberataques con la opción del teletrabajo, pero también un agravamiento de las tensiones geopolíticas entre el bloque de Corea del Norte, China, Rusia, Irán y los países de Occidente”. Si a su entender el 2023 fue complicado, el 2024 se antoja “mucho peor”. “Las empresas continúan invirtiendo fuertemente, pero no parece que estemos ganando la batalla, las incidencias van en auge”. Llorente coincide con su colega de Fluidra: “La previsión de la tensión en el mundo continúa al alza desde que Rusia invadió a Ucrania hace ya dos años, los actores paraestatales tienen cada vez más impacto y una mayor actividad que afecta a empresas como la nuestra, que ni está relacionada con el conflicto ni tiene ese carácter crítico”.
Partiendo de este contexto, Mérida subraya un cambio en la concepción de los planes de ciberseguridad de las compañías. “Las empresas ya no conciben los planes de seguridad para evitar el ataque, sino que asumen que en cualquier momento pueden ser atacadas y fijan cómo responder. El plan de seguridad tiene que ir hoy en día orientado a la recuperación, a la resiliencia de tus sistemas; es decir, asumir que tendrás un ataque pero que vas a recuperar el servicio lo antes posible”.
Jesús Mérida, CISO de Iberia.
‘Hot topics’: dónde dirigen los CISO el foco
Teniendo en consideración la idiosincrasia del escenario actual de la ciberseguridad, los CISO de las cuatro compañías dirigen el foco hacia una serie de áreas cruciales con vistas a los próximos doce meses. La primera de ellas, una de las que más preocupaciones suscita, securizar la cadena de suministro. Ya desde el año pasado, comenta Salazar, detectaron un mayor número de intentos de ataque contra la cadena de suministro. “Desde hace tiempo trabajamos con varios equipos de respuesta, hemos desarrollado varios playbooks y nos estamos focalizando en este ámbito”. En este sentido la CISO defendía que, si un tercero quiere trabajar con Hijos de Rivera, no solo tienen que saber protegerse cuando tienen un problema, también les exigen ciertos guardarraíles estén o no conectados con sus sistemas. Esto es así; y ejemplifica: “Nosotros fabricamos cerveza, si el que nos provee la cebada sufre un ciberataque, ya no contamos con ese producto y, por tanto, impacta en el servicio”.
Por otro lado, Mérida destaca la simplificación de soluciones de ciberseguridad y la consolidación de las mismas, “algo que los CISO llevábamos pidiendo en la carta a los Reyes Magos durante años”. “No necesitamos tener 70 consolas, sino una integrada con toda la información y ser capaz de tomar decisiones ágiles de cara, sobre todo, a los ciberataques y decisiones tecnológicas o de negocio”. El CISO de Iberia vaticina que aquellas tecnologías que vayan en esa línea serán tendencia. Sin embargo, para Uruñuela, a pesar de la tendencia de consolidación que muchos fabricantes y colegas mencionan, “no creo que termine por llegar”.
Las tendencias que sí señala el CISO de Fluidra son, por un lado, la disciplina Identity Threat Detection & Response y, por otro, el cloud security. De esta última dice que será la gran tendencia del año “con un mercado que está super poblado pero que continúa siendo el siguiente paso para las organizaciones. Muchas estamos yendo a la nube, en nuestro caso somos cloud first, con lo que será fundamental”.
Ángel Uruñuela, CISO de Fluidra.
Los cuatro CISO también coinciden en el auge de la inteligencia artificial (IA) en el terreno de la ciberseguridad; no obstante, es Uruñuela quien tiene una opinión más determinante sobre el tema. “En el medio y corto plazo creo que la IA va a dar más servicio a los ciberatacantes que a las empresas o defensores. Esto no es una tesis unánime en el sector, es un debate abierto, pero personalmente creo que ellos no tienen normas, preocupaciones de data privacy, solo tienen que atacar...”. En el caso concreto de Fluidra, solo exploran la IA “siempre que tenga un valor tangible para el negocio más allá de esa etiqueta que los fabricantes han posicionado muy bien”. Para ellos, dice, el core de la IA está en DevSecOps. Siguiendo este mismo hilo, Salazar apostilla que, en su caso, están detectando un mayor uso de la IA por parte de los usuarios y del capital humano interno, siendo esto lo que más les preocupa. En este sentido, incide, aboga por la “concienciación”, “hay que tener cuidado con la información que sale de las fronteras de la organización”.
Grandes retos a abordar
Para los próximos doce meses, el reto en mayúsculas para los CISO -coinciden- está relacionado con la Directiva NIS2, la legislación a escala de la Unión Europea en materia de ciberseguridad. Así lo asegura Mérida. “El reto para el CISO español es la aplicación de la directiva, el 17 de octubre de 2024 sale la trasposición de la norma y es algo en lo que estamos todos embarcados”. Con él coincide Uruñuela, quien considera que la normativa les ayuda a “empujar en la buena dirección”; sin embargo, el directivo también dirige el foco sobre la Cyberresilience Act, que llega para que los dispositivos que los fabricantes venden a sus clientes cumplan con unos estándares mínimos de ciberseguridad.
En materia de cumplimiento, Llorente asegura que “tiene que haber una regulación suficiente, proporcional y adecuada al riesgo que corras, y el riesgo es de nuestras sociedades, las democráticas, especialmente”. Por otra parte, como reto fundamental, el ejecutivo de Mapfre pone el acento sobre una de las cuestiones ancestrales en el tablero de juego tecnológico: el talento. “Aunque las nuevas herramientas vengan dotadas de IA generativa, las organizaciones necesitan de personas cada vez más expertas para su manejo. Esto hace que las compañías requiramos talento especializado; sin embargo, el conocimiento en esas nuevas tecnologías es escaso y limitado, por lo que tenemos que ser capaces de generar y retener talento”.
Guillermo Llorente, CISO de Mapfre.
Políticas ciber versus agilidad empresarial
A pesar del incremento exponencial del número de ciberamenazas y la sofisticación de las herramientas y técnicas empleadas, hay quien todavía cree que la definición de políticas estrictas de ciberseguridad no hace sino ralentizar el negocio. Esta es, para Salazar, “la pelea continua con el resto de departamentos”. En este sentido, la ejecutiva aboga por “tener mano izquierda”. “Hay que encontrar el equilibrio entre políticas de seguridad que sean lo suficientemente estrictas para que no entren por ahí, pero lo suficientemente elásticas para que los usuarios no se vean agobiados”. Esto, considera, “tiene que ver con la parte soft [habilidades blandas] de los CISO”.
Ana Salazar, CISO en Hijos de Rivera.
Para Mérida, el enfoque a la hora de definir estas políticas tiene que ser la practicidad. “Encontrar el punto medio en el que verdaderamente estemos dando o mostrando la información de qué tienen que hacer los usuarios, pero que sea algo práctico y lo más didáctico y formativo posible”. Para él, dichas políticas no deben ser entendidas como “las tablas de la ley, mejor presentarlas de manera comprensiva para la concienciación de los usuarios”.
