ENTREVISTAS | Vídeos | 28 OCT 2020

"Riesgo cero significa negocio cero"

Alain Sanchez, Ciso de Fortinet para EMEA, analiza cómo ha cambiado el rol del Ciso en los últimos años a tenor de la importancia de la ciberseguridad en la transformación digital, y cómo ya forma parte de las estrategias de innovación y negocio de las empresas.
Alain Sanchez, entrevista FortinetPlay

 

Con más de 20 años de experiencia en el mundo de redes y telecomunicaciones, y después de haber pasado por compañías como Accenture, Huawei, Alcatel-Lucent o Nortel, Alain Sanchez es, desde 2018, Ciso de Fortinet para la región de EMEA. El directivo es un convencido de que la seguridad y la innovación forman parte de la misma estrategia y, por ello, asegura, el rol del Ciso ha cambiado completamente en el último lustro. 

 

¿En qué posición de mercado se encuentra Fortinet en un contexto marcado por la pandemia de coronavirus, el repunte de amenazas a las organizaciones y la aceleración de los procesos de transformación digital?

Antes de la crisis, Fortinet ya era líder de mercado. Pero lo que hemos visto, desde el mes de febrero, es una aceleración de algunas de las tendencias clave que ya habíamos abordado previamente. Como ejemplo, está el hecho de que la seguridad y la red han convergido, se encuentran en una sola disciplina. Las redes se diseñan al mismo tiempo que se concibe la ciberseguridad. Hablo de aceleración porque los analistas más optimistas decían que para el año 2023 nos íbamos a encontrar con más de un 40% de la fuerza laboral de las empresas realizando tareas de teletrabajo. Y, en pocos días, lo que ha sucedido es que esta estadística ha alcanzado cotas del 90%. Francamente, nadie ha podido preverlo. El trabajo en remoto nunca fue ideado, desde el punto de vista de la red y la seguridad, para soportar tantos flujos de información crítica. No es sostenible crear primero la red y luego su seguridad, se debe hacer a la vez. Nos hemos encontrado con gente que no tenía dispositivos portátiles corporativos en sus casas y empezaron a trabajar, en los primeros días de confinamiento, con equipos familiares. Por ello, mantenemos la idea de que la red y la seguridad son objetos de un mismo prisma. A esto le añadimos la filosofía zero trust (confianza cero), que es un concepto mal significado. No quiere decir que no haya que tener confianza en los clientes o en los empleados, sino que cada una de las transacciones elementales de un dispositivo, persona o aplicación, debe tener unas máximas de garantías y derechos de acceso en tiempo real que cambien con la naturaleza de la transacción. Verificar la realidad de cada actividad se ha convertido en una obligación. Desde un punto de vista humano, la toma de decisiones ha cambiado. En lugar de haber dos o tres etapas, la presión de mantener la continuidad de negocio ha generado que las decisiones se hayan tomado mucho más rápido. También se han utilizado plataformas de conferencia que, al principio, no tenían el nivel de protección actuales. Ha habido un movimiento de ida y vuelta entre poca seguridad y mucha conectividad y viceversa. Se ha dado más protagonismo a los líderes de negocio; y ahora el Ciso ya se encuentra en una posición ejecutiva. Para poder acceder a las esferas de decisión ha tenido que aprender un nuevo idioma, el de los riesgos. Su labor es traducir los indicadores técnicos y convertirlos en riesgos financieros para poder intercambiar información con los ejecutivos y pedir más recursos y presupuestos. 

 

Para mitigar riesgos, los Ciso intentan reducir complejidades. Para ello, buscan soluciones holísticas y automatizadas, que se hablen entre sí, disminuyendo, por tanto, el número de proveedores de ciberseguridad. 

Hace un lustro, tener muchas aplicaciones de seguridad era una forma de riqueza; una manera de comprar IT en la que las empresas querían el mejor antivirus, el mejor sandbox, programa de securización de correo electrónico… Y después se hacía la integración. Ahora no hay tanto presupuesto ni tiempo para esto. Las empresas no pueden permitirse esperar varios meses para integrar dos elementos clave de la seguridad. La plataforma integrada es la solución. Lo hemos comprobado en el número de ventas que hemos hecho en el primer semestre del año.

 

¿Esta necesidad responde también al cambio de mentalidad de los Ciso que comentaba antes? ¿Cuáles son sus demandas?

Nos piden que les ayudemos a traducir el idioma tecnológico al financiero y de riesgo. La buena noticia es que ahora el que echa un vistazo a la red puede ver el estado de la compañía. Los flujos de información son el reflejo de la actividad, de los datos internos que se comparten con los clientes. También se puede ver cuáles son los riesgos asociados a no poder mantener la continuidad de negocio. La red guioniza las prioridades de las operaciones y los distintos escenarios de desarrollo. El Ciso antes era el ‘señor no’, decía no a los proyectos, y ahora dice cómo vamos a poder hacer cualquier plan teniendo riesgos mínimos, porque el riesgo cero no existe. Riesgo cero significa negocio cero. Pero se pueden priorizar las inversiones. En estos debates el Ciso entra cada vez más.

 

"El Ciso ha tenido que aprender el idioma de los riesgos para acceder a las esferas de decisión"

 

¿Podría afirmar, entonces, que el Ciso ya tiene una silla en la Alta Dirección de las compañías?

Poco a poco; ese reto todavía no ha terminado. Hay que tener en cuenta que hace solo cinco años no existía prácticamente la figura del Ciso como profesión. Era un enlace para el departamento de TI, pero reportaba a escalas muy bajas, hasta que su discurso llegara al CIO. Su trabajo era no molestar al negocio con las nuevas versiones de antivirus, por ejemplo. Ahora, el CEO le pregunta si existe la viabilidad de comprar una u otra compañía, si su nivel de seguridad está alineado con los requerimientos legales. El Ciso tiene la capacidad de contestar a esta pregunta porque tiene la visibilidad suficiente para ello. Está entrando en las decisiones estratégicas de las compañías teniendo en cuenta el nivel de seguridad que se reflejan en los indicadores de riesgo. Su rol ha cambiado completamente. 

 

Dentro de su interlocución con los Ciso, ¿qué recomendaciones les da para que dejen de ser las ‘personas no’ y empiecen a tomar decisiones de innovación y negocio?

La relación entre las inversiones de seguridad y la innovación ha cambiado. Antes se trataba de impedir que se tomasen decisiones con demasiado riesgo técnico. Ahora, hablamos de decidir o no si ir a la nube, o elegir entre propuestas de distintos proveedores. El miedo del Ciso era antes que el paso a la nube no tenía marcha atrás; ahora, con lo que Fortinet propone, la seguridad está por encima de la elección de proveedores. Las políticas están por encima de las ofertas de nube, lo que permite una forma de libertad en la elección de un proveedor cloud. Ya existe la libertad de que algunos elementos que las empresas tienen en la nube pueden volver a su control,  a su centro de datos, por ejemplo, por motivos de políticas de privacidad. Como Fortinet, nuestro trabajo no es recomendar ir o no a la nube con uno u otro proveedor. Somos un jugador puro de seguridad, no de nube. Permitimos tener la visibilidad de los riesgos de manera independiente de dónde se ubiquen los datos, las aplicaciones y los procesos de seguridad. Hemos permitido tener arquitecturas híbridas de manera transparente y automatizada. Ofrecemos esa libertad. 

 

¿Qué partida del presupuesto de TI debería ir destinada a la ciberseguridad?

No hay una cifra mágica que te asegure estar protegido al 100% y a la que si no llegas tengas muchos riesgos. Este panorama cambia dinámicamente. El hecho de hablar al mismo tiempo de innovación en redes, como el 5G, y de la innovación en seguridad de manera conjunta, quiere decir que los presupuestos aumentan. Estamos más en el rango del 7% al 10% en las partidas presupuestarias para la ciberseguridad que del 2% al 5%. Esto, sin incluir los recursos humanos. Ya hay entre cuatro y cinco millones de puestos de trabajos que están sin ocupar por falta de expertos, a pesar de que la inversión ya está aprobada para ello por parte de las organizaciones. Esto es un problema. Desde Fortinet hemos abierto nuestras plataformas de formación de manera gratuita. Todo el sector gana cada vez que alguien adquiere cultura y conocimientos de nicho. Se crean puestos de trabajo y, a su vez, se fomenta un mundo más seguro. El presidente ejecutivo del Foro Económico Mundial (WEF, de sus siglas inglesas), Klaus Martin Schwab, en su libro La Cuarta Revolución Industrial asegura que el mundo digital y el físico van a ser un solo mundo. Pero advierte que no vamos a disfrutar de los beneficios de esta revolución si no aseguramos las conexiones. Cada vez que se aumenta el conocimiento en términos de seguridad, ganamos en poder aprovechar los beneficios de la revolución industrial. La educación es básica en todos estos procesos.

 

"Las redes han de diseñarse al mismo tiempo que se concibe la seguridad"

 

¿Corre riesgo de fracaso esta nueva revolución industrial por falta de seguridad? ¿Se siguen fabricando tecnologías de uso masivo sin contar con la protección desde el diseño?

El hecho de que haya un riesgo de no aprovechar los beneficios de esta Cuarta Revolución Industrial lo dice Martin Schwab. Es una forma muy llamativa de avisar de la importancia de que haya acuerdos entre estados para asegurar también el mundo virtual. El nivel,y los recursos de los ciberdelincuentes,es muy alto y hay que poner orden y diplomacia. Imagina que cuentas con un sensor biológico para curarte de una enfermedad y alguien lo compromete; sería una pesadilla. Yo creo que esta revolución va a tomar más tiempo, pero se va a culminar igualmente. La sociedad no quiere brechas de seguridad si este nuevo mundo afecta al biológico. El hecho de que vayas a poder hacer una operación quirúrgica a distancia, gracias al 5G, que pueda salvar vidas es un gran paso. Pero si en este proceso entran los ciberdelincuentes de lleno se puede convertir el sueño en pesadilla.

 

¿Qué valoración hace de la madurez de España en ciberseguridad con respecto a la región de EMEA?

Es una geografía muy madura. Recuerdo perder mi cartera en el centro de Madrid hace años y poder hacer todo el papeleo en Internet, algo que no era posible en países como Italia, Alemania, Reino Unido o Francia. La madurez de la ley digital de España es más alta que la de muchos de sus vecinos. Pero cada innovación lleva sus riesgos, tiene que seguir con el mismo nivel e integrar la ciberseguridad a la ley digital. También tiene un gran nivel de expertos y docentes en ciberseguridad. Nuestros expertos españoles de Fortinet son de los mejores del mundo. 

 

TE PUEDE INTERESAR...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios