IDG Research testa las preocupaciones del Ciso
La labor de esta figura es, en muchos casos, "heróica", y sus funciones se mueven en un escenario que cada vez es más transversal.
¿Cuáles son las prioridades del Ciso? ¿Cómo hacer que sus necesidades calen en las organizaciones? ¿Es la suya una profesión crítica? La división de investigación de IDG Communications, IDG Research, ha dado transparencia hoy a este panorama que es tan o más importante, si cabe, que el de combatir las amenazas. Porque para estar protegidos hay que incorporar a esta figura en las decisiones transversales, a pesar de ser un cargo que se ha creado hace relativamente poco tiempo. En este sentido, Alberto Bellé, analista principal de IDG Research, animaba a los proveedores de seguridad a estructurar un discurso convergente, simple y que haga patente lo que todo el mundo sabe: la ciberseguridad ya forma parte de la conversación de las divisiones de negocios.
El Ciso parte de una situación de complejidad, decía Fernando Maldonado, analista principal de la unidad de análisis. En primer lugar, el mercado le ofrece distintas piezas complejas que ensamblar, como si de un puzle se tratara, mientras combina las diferentes soluciones de un terreno en el que cada vez hay más fabricantes. “El Ciso necesita socios, un entorno de colaboración con una relación más estrecha”, añadía. “Además, la automatización y la velocidad cobran una importancia fundamental. Para él tiene que ser más fácil gestionar todo el abanico de herramientas con las que cuentan”.
Por otra parte, y aunque es bien cierto el mantra de que los presupuestos para la seguridad están aumentando, todavía los directores de seguridad se tienen que romper la cabeza para adentrarse en la toma de decisiones, independientemente de a qué división reporten directamente. “El conocimiento de la ciberseguridad por parte de la gente de negocio es muy variable y en muchas ocasiones son novatos. Negocio solo quiere resultados y no ve los entresijos, para llegar aquí tienes que hablar su lenguaje y aproximarte al impacto final”, resumía Bellé.
El sector debate
En este acercamiento al corazón del Ciso, uno de los ponentes que más afinó su definición fue Antonio Quevedo, director general de Audisec. El directivo comparaba su idiosincrasia con la de un superhéroe: “Tiene que saber de seguridad, legislación, negocio… Quizá la clave esté en tener las funciones bien coordinadas y delegadas pero, además de la falta evidente de talento en el mercado, muchas veces las decisiones vienen derivadas de los costes”. En este sentido, Enrique Martín, responsable de grandes cuentas de Prosegur Ciberseguridad, aportaba que su profesión es bastante crítica. “Si no tienen incidentes están cuestionados porque parece que se gasta mucho dinero en nada. Si los tienen, parece que las inversiones no funcionaron”. Además, indicaba Galo Montes, hybrid IT presales manager de HPE, que su principal preocupación es que el dato está explosionando de tal manera que se expande a muchas áreas que tiene que controlar y procesar y a las cuales no sabe cómo poner orden en muchos casos. Incluso en su conversación, destacaba Ángel Carreras, sales manager & founder de Céfiros, ellos mismos hablan de diferente tipos de Ciso según dónde estén posicionados en el organigrama y a quien reporten. “En base a esto hay que tener distinto argumentario”.
En cualquier caso, resaltaba Miguel Ángel Acevedo, gerente de ingeniería y consultoría de ciberseguridad de Telefónica, el objetivo es entrar en la mente del Ciso, a pesar de las particularidades del negocio de cada compañía. “Es importante saber lo que les duele para ayudarles, tenemos que ponernos a su lado”, aportaba Luis Miguel García, Iberia country manager de Pulse Secure. “Pero la seguridad afecta a todos y hay que convencer a todas las divisiones”, aseveraba María Gutiérrez, directora de ciberseguridad de Capgemini.
La concienciación es primordial
Como deberes para el sector, Eduvigis Ortiz, sales, alliances & marketing de Novared, apuntaba la importancia de hacerse cargo de la seguridad como “una responsabilidad de todos. Hay que sacarla de la cueva, tenemos un papel esencial en todo lo que tiene que ver con educación. Somos los responsables de crear esa conciencia en la sociedad. Esto no es solo labor del Ciso”. Gracias a esta labor, decía Agustín Muñoz-Grandes, CEO de S21sec, se ha conseguido llegar a los puestos más altos de los organigramas de las empresas. “Sus miembros quieren saber cómo les puede afectar un ataque o la legislación que les compete”. Además, incidía Daniel González, key account manager de Mobile Iron, hay temas primordiales, como que el 88% de los móviles con aplicaciones de correo corporativo no tienen seguridad. “Hay que ser conscientes de lo elemental”.
Asimismo, Ana Arenal, responsable de servicios de seguridad de Mnemo, ponía de relieve que en este contexto de positividad para la seguridad, muchas empresas optan por fabricar sus propias soluciones. “Está de moda la internalización, contar con departamentos potentes, crear desarrollos a medida y contratar talento en la medida de lo posible”, añadía Javier Zubieta, director de marketing y comunicación de Secure e-solutions en GMV. En cualquier caso, exponía Santiago Moral, country manager de Bluevoyant, el CIO el CEO y el Ciso se alinean en tres ámbitos completamente distintos.
La expansión del presupuesto, sostenía Isabel Tristán, directora de security software de IBM, viene motivada por la sociabilización de la seguridad. “Los medios de comunicación han hecho que todo el mundo hable ya de ciberseguridad, lo que ayuda a los Ciso a conseguir presupuestos”. Por poner un pero, para José María Cayuela, security specialist de Akamai, aunque el Ciso sepa las necesidades para la compañía no es tan fácil todavía convencer al decisor porque no ve los riesgos.
Tendencias
Una parte muy importante del debate la ocuparon las tendencias. En primer lugar la integración, tal y como sacó a la palestra Diego Suárez, sales executive de Continuum Security. “Es interesante combinar piezas con otros fabricantes”, exponía Samuel Bonete, cibersecurity sales manager de Netskope. “Este es un trabajo muy importante para los integradores”. Por otro lado, Germán Zurro, account executive Spain & Portugal de Rubrik, decía que los tres grandes nombres propios de los últimos años son la nube, la continuidad de negocio y la seguridad como protección. Pero, tal y como decía Jean-Paul García-Morán: “Es necesario que los Ciso aborden un programa de seguridad holístico”.
Por último, y viajando al sector de la pyme, Ricardo Maté, country manager de Sophos, explicaba que en muchos casos no pueden tomar decisiones porque no hay recursos directamente. “En este caso el benchmark es más importante que los productos que se puedan ofrecer”, concluía Sergio Martínez, Iberia regional manager de SonicWall.
