El CISO es el garante del dato, un activo que tiene cada vez más valor

¿Qué papel desempeña hoy el CISO?

La función del chief information security officer (CISO) o responsable de seguridad ha cambiado mucho en los últimos diez o quince años. Antes, la concepción de este rol estaba muy ligada al mundo del compliance, muy lejos de lo que hoy entendemos por ciberseguridad.

Nos ha costado mucho salir de ese concepto de seguridad tecnológica, que es solo una pequeña parte de lo que abarcamos. Ahora el discurso está más relacionado con la prevención y, sobre todo, con la seguridad del dato. Ya hay muchas compañías cuyo único activo es el dato, especialmente las fintech o startups en un buen número de ámbitos. En cualquier caso, poco a poco las empresas más tradicionales se están moviendo hacia allí.

El papel que asume el CISO tiene que ser cada vez más relevante, porque es el garante de ese activo, que cada vez tiene mayor valor. En cualquier caso, la figura del CISO está todavía en evolución, tiene que crecer más organizativamente. Queda mucho por hacer para posicionarse con un encaje más relevante, para que su función no sea vista como un área de TI o de sistemas, sino como algo que está más cerca del negocio. Es hacia allí hacia donde tiene que evolucionar.

¿Cómo se articula seguridad en Sanitas?

Cuando llegué a Sanitas la función ya existía, aunque su planteamiento estaba muy relacionado con la regulación. Antes se pensaba que la seguridad acaba cuando eres compliance, y es justo lo contrario: ese es el punto desde el que construyes.

En la actualidad estamos dentro de la función de sistemas, reportando al CIO, y nuestra función engloba cuatro áreas fundamentales. Una de ellas es de arquitectura de seguridad, que está relacionada con los nuevos paradigmas Agile. Básicamente, se trata de encajar recursos de seguridad directamente en proyectos de negocio. La vocación es que, desde la propia idea de un proyecto, haya una persona de seguridad participando. Cuanto más nos reclamen y más encajados estemos en los proyectos desde el primer día, mejor.

Otro de los pilares es el de gobierno del riesgo y compliance, básicamente es risk IT. Sanitas es una organización con una gestión muy centrada en el riesgo. Tomamos decisiones en función de lo que queremos hacer, basadas en datos e influenciadas por el riesgo. Ese pilar, donde también encajamos los temas regulatorios o el soporte TI a la función de legal, ha evolucionado muchísimo. Aquí también se incluyen temas relacionados con formación y cultura de seguridad. En una organización de nuestro tamaño, y tan intensiva en capital humano, o somos capaces de crear una cultura de seguridad o no daremos abasto.

Otra área es la de identity and access, muy relevante en un mundo digital en el que los usuarios demandan servicios ubicuos. El trabajo ya no es un lugar, sino una actividad. Los empleados quieren trabajar desde cualquier sitio y con cualquier dispositivo, y la gestión de identidad es clave. Ahí estamos siendo muy intensivos en lo relacionado con la auditoría, la trazabilidad o el acceso a los datos sensibles.

Antes se pensaba que la seguridad acaba cuando eres compliance, y es justo lo contrario

El último pilar es el que llamamos de ciberseguridad, que abarca todo lo relacionado con la detección, monitorización y respuesta ante eventos.

¿La seguridad puede ser un freno para la transformación?

No, en absoluto. Las organizaciones deben saber dónde están sus activos críticos y el riesgo al que se exponen en un viaje de transformación o de hiperconectividad. Habrá compañías con mayor o menos aversión al riesgo en función del momento en el que se encuentren.

La seguridad no puede ser una excusa. El objetivo de esta función es generar la transparencia adecuada para tomar las mejores decisiones y la confianza para hacerlo lo mejor posible. Por ejemplo, el viaje hacia la nube, desde el punto de vista de la seguridad, puede ser positivo o negativo. Si lo haces bien, puede llevarte a un punto mejor que aquel en el que estás ahora, pero si te pones en manos de una tecnología o un partner inadecuado, o si careces del control, pues tienes un problema y puede acabar peor.

El negocio tiene que entender que, en ese proceso de transformación, la seguridad es un factor y, como tal, tiene que estar considerado y presupuestado. El cliente no demanda seguridad, es algo que, entiende, viene por defecto. Nadie compra una aplicación y paga más por que sea segura. Eso se presupone, pero el negocio no solo no puede suponerlo, sino que tiene que dedicar recursos para ello. Tiene que hacerse las preguntas en torno a si tiene los recursos o el soporte adecuados. Lamentablemente, ese diálogo sigue estando todavía muy impulsado desde la función de seguridad.

¿La tecnología es la solución o hay que incluir otros factores en la ecuación?

La tecnología es una solución, pero también es un problema. Tendemos a pensar que la tecnología, que soporta nuestros procesos de negocio, es segura por defecto, y no es así. También hay que asegurar la tecnología. Incluso la tecnología de seguridad.

Otro factor muy importante es el cultural. Como sociedad, no somos conscientes de la relevancia que tiene la buena o la mala gestión de nuestros datos. A nivel personal, todo el mundo está muy preocupado con la privacidad de su información, pero no tenemos problemas en registrarnos en cualquier aplicación y aceptar todo tipo de cláusulas y condiciones. Todo el mundo está muy preocupado de lo que hacen con sus datos, pero se los damos al primero que pasa.

Cultura, cultura y cultura. La formación empieza y acaba en el tiempo, pero la cultura, si viene “de arriba”, permanece y cala. Se trata de hacer responsable a toda la organización, desde las capas directivas, mánager, empleados…; a todo el mundo. Unos porque son responsables de personas y otros porque los son de la información que tratan.

Tomamos decisiones en función de lo que queremos hacer, basadas en datos e influenciadas por el riesgo

Desde Sanitas, ahí hemos sido muy exigentes, a través de formación continua, ejercicios de phishing ético (nos atacamos a nosotros mismos como un modelo de aprendizaje), etc. Algo que ha funcionado muy bien ha sido el establecimiento de objetivos de reducción de riesgos personales que afectan a la variable económica de cada empleado.

¿Seguridad interna o externalizada?

Históricamente, esta función solía ser interna por la sensibilidad que tiene, los datos que trata o el nivel de acceso necesario. Pero ese escenario no permite escalar. La velocidad de evolución de los retos es muy elevada y, además, hay una auténtica competición por el talento en este ámbito.

Nuestra apuesta es un modelo con competencias core internas, en la medida de lo posible, que se complementa con servicios externos. Por ejemplo, no tiene sentido montar un servicio de monitorización 24/7 porque no somos una empresa tecnológica. Tenemos que ser capaces de montarlo bien, tener el control sobre ese servicio, garantizar su correcto funcionamiento, pero después hay un servicio externo que escala según las necesidades y que trabaja para nosotros.

En otros proyectos, por ejemplo, contamos con consultores especializados que nos ayudan en temas muy concretos. El modelo ideal debería ser del 50% y 50% (interno y externo). Dependiendo del momento, y de la capacidad de la compañía, esto podría variar, pero no debería bajar de ese 50% interno. Si empiezas a poner más cosas fuera que dentro, tienes un problema.

¿Se puede “pasar por encima” de la seguridad?

Yo creo que la seguridad no tiene que ser un acto de fe. Debe ser un proceso pensado, debe tener su propio business case. Hacemos seguridad porque regulatoriamente nos exponemos a multas, porque si tenemos una brecha se genera un problema de pérdida de información que afecta al negocio, así como un impacto en nuestra reputación… Tiene que haber un razonamiento basado en lo que hacemos.

Pero, a pesar de todos los esfuerzos que se están realizando, en algunas empresas todavía existe esa mentalidad que busca “puentear” la función de seguridad en determinados proyectos. Pero si después aparece un problema o una brecha, es a esta área a la que van a pedir responsabilidades.

Nuestra función no está para lavar los pecados del resto de los departamentos. Es una figura que ayuda. Su vocación es la de aconsejar y buscar el mejor camino, estimando los riesgos que presenta, pero la responsabilidad es siempre del que toma el camino.

¿Las regulaciones ayudan o suponen un reto adicional?

La regulación es positiva porque propone un marco y un lenguaje común. Permite ver si las compañías realmente invierten y apuestan, si tienen un modelo sostenible y son capaces de evidenciarlo, es decir, si además de ser compliance, por así decirlo, lo son con “un cinco raspado” o llegan al nueve y medio. Permite tener un marco en el que movernos y, además, demuestra lo que haces.

En cualquier caso, todavía falta conocimiento en los reguladores. Normalmente se trata de personas que, muchas veces, no han convivido con la empresa y con las posibilidades reales y la complejidad de implementar esas políticas. Esta visión teórica no les permite identificar si, simplemente, no son efectivas desde un punto de vista de costes, o si realmente no reducen el riesgo hasta el punto deseado.

Hace falta un mayor acercamiento, desde los reguladores hacia las empresas y viceversa. ENISA, por ejemplo, está tomando este tipo de iniciativas a través de los grupos de trabajo, pero todavía falta camino.

Otro aspecto relacionado es todo lo relativo a las multas. Hay que partir del hecho de que el riesgo cero no existe, y más en seguridad. Todo el mundo puede tener una brecha. En estos casos se debería estudiar el nivel de compliance que tiene la empresa, si invierten mucho en seguridad, si tienen foco en este aspecto, si se lo toman en serio…

Si, además del problema y del impacto reputacional, llega también la multa, se pierde doblemente. Estás castigando a un responsable de seguridad y una empresa que ha tenido foco, que se lo ha tomado en serio, que ha invertido tiempo y dinero… El delincuente ha ganado dos veces: ha conseguido su objetivo, que seguramente era un ataque dirigido y, además, el equipo de seguridad —que está haciendo las cosas bien—sufre las consecuencias.

En España estamos muy bien posicionados, tenemos un nivel muy alto desde el punto de vista de la seguridad

Habría que encontrar ese punto intermedio, conocer las medidas que ha puesto la empresa para evitar ese tipo de brechas y ataques, y las razones por las que finalmente ha ocurrido.
Por cierto, en España estamos muy bien posicionados, tenemos un nivel muy alto desde el punto de vista de la seguridad, teniendo en cuenta los presupuestos que manejamos y nuestro puesto en la economía mundial.

¿Qué te aporta la pertenencia al ISMS Forum?

Muchas veces no somos conscientes del valor que proporciona la pertenencia a una asociación como ISMS Forum. Básicamente, hace posible que podamos ayudarnos unos a otros. Cuando hay una brecha de seguridad, no hay nada que celebrar. Si le pasa a un competidor, mañana me puede pasar a mí. Lo que hay que hacer es intentar ayudar para, como sector, ser más resilientes.

Cuando hay una brecha o un problema en una empresa determinada, se tiende a dudar de todo el sector. Si un banco tiene un problema de seguridad, se pierde la confianza en todas las entidades financieras, y esto no es muy justo. Una organización como ISMS Forum nos ayuda a estar más conectados; y si hay problemas o dudas, podemos estar más cerca los unos de los otros. De hecho, yo tengo la referencia de personas que me pueden ayudar ante determinados retos, y quiero pensar que ellos también tienen mi contacto y saben cómo llegar a mí.

Esto es algo muy propio de España, de su cultura. No es tan común que ocurra en otros países. Realmente es muy importante que, como sector y como país, seamos resilientes. En ese sentido, ISMS Forum ayuda mucho.

¿Cómo visualizas el futuro inmediato desde tu posición?

Es evidente que el volumen de los datos y la complejidad del escenario tecnológico aumentan de forma exponencial, y esto no para de crecer. En este contexto, los responsables de seguridad tenemos un reto importante. En cualquier caso, como sociedad, resulta vital que cada vez seamos más conscientes de las ventajas y de los riesgos que trae este escenario hiperconectividad, y que, como ciudadanos, seamos exigentes con el modo en el que se tratan nuestros datos.

Las personas deben ser más rigurosas con el tratamiento de los datos, y los responsables de seguridad de las empresas tienen que ser muy transparentes y diligentes. Preocuparse, sí, pero, sobre todo, ocuparse de dar confianza en la resiliencia de la organización.