Con más de veinte años de experiencia, comenzó su carrera en empresas logísticas, en contextos multinacionales, para pasar después al ámbito de la ingeniería, como responsable de TI regional —Turquía— de una de las firmas referencia en ese sector. El siguiente paso fue crear el área de seguridad de información de esa empresa. Después de más de diez años como CISO, en 2019 llega a Iberia para ocupar un rol de nueva creación, trabajando de la mano de IAG Tech, la empresa de TI interna del Grupo IAG.
¿Con qué objetivos llegaste a Iberia?
En esta empresa siempre ha habido una cultura de seguridad muy importante, pero con mi incorporación se buscaba adaptarse a las nuevas formas de pensar, los nuevos modelos y estrategias. Es la primera vez que Iberia cuenta con un CISO, aunque hay que matizar que formamos parte del Grupo IAG, que posee una estructura muy sólida en los ámbitos de TI y seguridad (IAG Tech), para dar servicio a las distintas aerolíneas. En cualquier caso, el conocimiento de la empresa y de los sistemas de Iberia lo tenemos nosotros. De este modo, uno de mis objetivos como CISO es entender claramente las necesidades y los proyectos de Iberia, y asegurar que se implementen de la manera más adecuada.
Hay que ayudar a que la iniciativas de negocio, desde el principio, se planteen de manera segura
Además, a finales de 2018 Iberia es nombrada infraestructura crítica, un motivo más para plantear la seguridad desde otro modelo, adecuándolo a los requisitos que marcan los tres reguladores que tenemos: el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), la Oficina de Coordinación Cibernética (OCC) y el regulador de aviación civil español, que también está muy preocupado por la ciberseguridad. De hecho, una parte importante de mi trabajo es representar a Iberia ante estas entidades, y asegurar que esos requisitos sean entendidos e implementados, y que tengan un seguimiento adecuado.
Mi modelo como CISO es estar cada vez más pegado al negocio y ser un catalizador, no un stopper, como tradicionalmente se nos considera. Hay que ayudar a que las iniciativas de negocio, desde el principio, se planteen de manera segura.
¿La pandemia ha influido en vuestras políticas de seguridad?
En Iberia llevábamos tiempo probando modelos de teletrabajo. Teníamos sistemas preparados para dar VPN a los empleados, herramientas de colaboración, etc. Lo que tuvimos que hacer es escalarlos de manera adecuada, ya que, de repente, la gente tuvo que coger un portátil y conectarse desde su casa. Sí es cierto que hubo unas semanas de trabajo intenso para capacitar al empleado y que pudiera hacer su trabajo a distancia. Pero no mucho más.
De hecho, a pesar de la necesaria contención económica, el Grupo IAG decidió en su momento que la ciberseguridad era algo en lo que se debía seguir invirtiendo, especialmente los que denominamos proyectos de transformación de ciberseguridad: más que añadir nuevos elementos, se trata de adaptar o mejorar procesos que ya existen, integrando nuevas tecnologías más competitivas y eficaces.
Además, nuestro cliente también está cambiando. Cada vez cuenta con un mayor abanico tecnológico y la pandemia ha propiciado que consuma más productos a través de webs o aplicaciones. Para dar respuesta a esa tendencia, Iberia también ha ido trabajando en funcionalidades como el chatbot que tenemos implantado, o el WhatsApp de Iberia, tecnologías en las que la ciberseguridad también tiene mucho que decir.
Mi rol está dentro de la dirección de Clientes, Transformación y Sistemas en Iberia, muy cercano a todas las iniciativas
Pero todo esto no llegó con la pandemia: es algo con lo que ya se venía trabajando. De hecho, mi rol está dentro de la dirección de Clientes, Transformación y Sistemas en Iberia, muy cercano a todas esas iniciativas, que son muy importantes y tienen una vertiente tecnológica muy fuerte. La ventaja de estar ahí, desde mi responsabilidad como CISO, es que estoy muy pegado a negocio y puedo aportar algo a esas iniciativas desde el primer momento, para que todas sean seguras.
¿Esto es algo que solo concierne al CISO y a su equipo?
Cualquier usuario de la compañía es un sensor de seguridad y para ello es muy importante la concienciación y la formación, incluso por el propio interés del usuario. A nosotros, como empresa, nos interesa minimizar la exposición a ataques tipo phishing o spam, riesgos que el usuario puede identificar y ayudar a evitar. Pero, desde el punto de vista de los usuarios, esto es algo que van a adaptar también en su vida personal, que, como la de todo el mundo, tiene un alto componente digital.
Tenemos que estar dispuestos a sentarnos, a intentar entender, e incluso a flexibilizar ciertos modelos
Tradicionalmente, Iberia ha sido una empresa muy orientada a la seguridad física, en el entorno aeronáutico, pero también debemos incidir en todo lo relativo a la seguridad digital, porque es parte de nuestro ADN. El papel del CISO en esta empresa es ser el garante de esa línea de ciberseguridad, tratar de concienciar, de incentivar la seguridad en todos los ámbitos. Esto se consigue a través de mensajes poderosos, que calen y que permitan cambiar mecanismos y elevar la cultura de ciberseguridad de la compañía. Que los empleados perciban el valor que les aporta utilizar la tecnología de manera segura, tanto en la oficina como en su vida personal.
¿Para ello son necesarias otras capacitaciones, además de las técnicas?
CISO es un término un poco manido. Se supone que es un C-level, alguien que está en el comité de dirección o muy cercano a él. Estamos hablando de una posición que es más de negocio que de tecnología.
Yo colaboro de forma activa con ISMS Forum y actualmente estoy cursando una nueva certificación —Trust-Formation Officer— con un enfoque diferente. La mayoría de los cursos se orientan a los marcos de gobierno, a los esquemas de certificación, a la estrategia o a cómo montar un plan de seguridad. Por supuesto, esta certificación entra en el ámbito técnico, actualizando conocimientos en torno a cómo están cambiando modelos como el de desarrollo seguro o la operación en cloud. De hecho, participan expertos que te cuentan de primera mano hacia dónde va el mercado y qué aspectos hay que tener en cuenta como gestor de seguridad.
Pero muchos de los compañeros de este curso tenemos habilidades técnicas de sobra. Llevamos muchos años trabajando, conocemos las tecnologías o incluso las tendencias de mercado. En algunos casos, está bien recordar otro tipo de habilidades que el CISO debe tener, como por ejemplo las soft skills, que son también importantes. Teniendo en cuenta nuestro rol dentro de la empresa, viene bien saber cómo hacer una presentación frente al comité de dirección, preparar un presupuesto y defenderlo, cómo enfrentar una rueda de prensa o impartir una ponencia… El CISO es un directivo de la compañía y tiene que transmitir los mensajes de manera adecuada.
¿La seguridad es algo innegociable o debe ir de la mano del negocio?
Es habitual pensar en los CISO como un stopper., pero no es fácil evaluar los proyectos desde el punto de vista de la seguridad. Mientras en otras áreas sí se puede establecer un plan o revisar iniciativas a alto nivel, en la seguridad hay que entrar al detalle, hay que meterse en el barro, y eso requiere tiempo y recursos.
En cualquier caso, la aproximación del CISO debería ser estar cerca del negocio, entender por qué y cómo se quieren hacer las cosas. Él y su equipo deben diseñar, desde el principio, esa manera de operar. Evidentemente, habrá que negociar con los responsables de estas iniciativas, de ahí esas soft skills que comentaba. Pero también tienen que entender que las cosas no se pueden hacer exactamente como ellos quieren, porque existe un riesgo. Es importante conocer de primera mano las soluciones, tener todos los datos para poder evaluar el riesgo de manera adecuada.
Tenemos que estar dispuestos a sentarnos, a intentar entender, e incluso a flexibilizar ciertos modelos. La ventaja es que hoy en día la tecnología permite flexibilizar muchas cosas.
Además, la tecnología se concibe muy orientada al usuario y, de alguna forma, las empresas de seguridad están empezando a operar de esa manera, eliminando los elementos de defensa por barrera para hacer que las soluciones de tecnología acompañen al servicio.
La automatización ayuda a filtrar los datos, pero es el analista de seguridad quien interpreta lo que está pasando
En ocasiones, lo sencillo es bloquear determinadas acciones hasta que se cumplan ciertos criterios, pero también debemos ser conscientes, como ejecutivos que somos, de que eso está relacionado con los costes, con el beneficio, con los puestos de trabajo…, y eso también hay que entenderlo. Hay que hacer un buen análisis de riesgos, que tenga en cuenta tanto los aspectos tecnológicos como los de negocio. Al final siempre va a ser una decisión de empresa, pero lo importante es que el CISO sea partícipe de esa decisión.
¿Podemos habar de la seguridad como de un tema puramente tecnológico?
Evidentemente, no. En seguridad, más que en otros aspectos, las personas son clave. Por mucha tecnología que tengas, si no hay nadie analizando las alertas que muestran herramientas como los gestores de eventos, la información no vale nada. El futuro es la automatización, pero eso no va en detrimento de las personas. Si hay un millón de alertas a la hora, la automatización va a permitir filtrar esos datos y poner el foco en cinco de ellas, las que realmente son clave, y ahí estará el analista de seguridad para interpretar lo que está pasando.
Los ataques los lanzan personas, y cada vez son más sofisticados. Solo un ser humano tiene la creatividad necesaria para interpretar ciertos patrones, aparentemente inconexos, e intuir que detrás de ellos se oculta un ataque orquestado. Hoy, las máquinas no son capaces de eso.
Las herramientas de automatización, el machine learning y la inteligencia artificial ayudan a separar el polvo de la paja, dan ciertas pistas o seccionan los eventos que son realmente importantes, para que el analista los interprete y determine si se trata de incidentes o de falsos positivos.
La formación basada en roles permite ajustar los conceptos de ciberseguridad al trabajo diario
En ese aspecto, IAG Tech está haciendo un buen trabajo al crear una cultura tecnológica alrededor de todos los servicios que presta a las distintas aerolíneas del Grupo IAG. Busca captar personal joven, cualificado. De hecho, el sector entero se encuentra en medio de una transformación digital y va a haber muchos proyectos interesantes en este campo. Es un buen momento para trabajar en este sector.
Pero aquí nos encontramos un gap importante en cuanto a la escasez de profesionales de ciberseguridad. Este es un tema que se debe abordar desde las etapas iniciales de formación, ir despertando esa inquietud entre los más jóvenes, seguir esponsorizando iniciativas para que los futuros profesionales quieran dedicarse a esto.
¿Cómo se extiende esa cultura tecnológica a toda la organización?
En Iberia somos más de 15 000 empleados y contamos con estrategia dirigida a todos los niveles. Para ello se trabaja en tres ejes principales. Por un lado, el referido a la concienciación, que tiene un ámbito más genérico. Básicamente, generamos mensajes, píldoras rápidas que sean capaces de captar la atención de los empleados sobre estos temas.
Por otro lado, se desarrolla una actividad más relacionada con la formación, a través de cursos dirigidos a todas las áreas de la empresa y obligatorios para todo el mundo, directivos incluidos. Eso permite que todos los empleados cuenten con una base acerca de los tipos de ataque más comunes y, por ejemplo, que puedan reconocer un posible phishing o un correo malintencionado. Además, se complementa con lo que llamamos formación basada en rol: sesiones específicas para ciertos perfiles (para financieros, pilotos, tripulantes de cabina…). Se trata de ajustar los conceptos de ciberseguridad a su trabajo, para que calen los mensajes y los empleados vean la aplicación en su día a día.
Además, esto también les sirve para que puedan generar alertas si detectan ciertas “pistas” que puedan provenir de algún tipo de ataque. Ahí es donde aparece la tercera vía: facilitar la capacidad de informar y que sepan que siempre va a haber alguien escuchando al otro lado. Los empleados pueden enviar uno de estos avisos dándole simplemente a un botón, o escribir un correo a una cuenta que recibe un analista. Evidentemente, desde el área de seguridad también estamos a su disposición. Ese feedback del usuario es muy importante para detectar vulnerabilidades.
La idea es trabajar en todas estas líneas para elevar la cultura de seguridad de Iberia y que los empleados sean sensores de seguridad, que se sientan parte de todo esto.
¿La seguridad debe ser un área interna en las organizaciones?
Hoy en día, el modelo tiene que ser híbrido, a no ser que se trate de una empresa que se dedique a ello o de alguno de esos grandes bancos que han decidido abordar todo esto de manera interna; pero incluso ellos se apoyan también en especialistas del mercado.
Hay muchos nichos que requieren una especialización, y es muy difícil entrenar eso dentro de una empresa. Si tienes un experto en respuesta a incidentes, lo ideal es no tener que utilizarlo. En algunas especialidades es mucho más útil apoyarte en una empresa experta, que vive esas situaciones todos los días y gracias a eso acumula esa experiencia tan necesaria.
Lógicamente, hay que contar con un equipo interno, porque hay temas confidenciales de los que deben ocuparse personas que sean parte de la empresa; pero para ciertas posiciones o en ciertos momentos se requiere un nivel de especialización que es muy difícil encontrar dentro de la organización.