«El CISO es la conexión entre la parte técnica, la parte de negocio y la parte de la alta dirección»

EURECAT es el principal Centro Tecnológico de Cataluña resultado de la integración de Ascamm, Barcelona Media, Barcelona Digital, Cetemmsa y CTM. Gonzalo Asensio es actualmente el CISO de Eurecat; en su y trayectoria profesional ha pasado por todas las fases que él considera que debe cubrir un CISO: la formación, conocer la base de las tecnologías, trabajar en una empresa de servicios de seguridad informática y después dirigirse a clientes finales. En esta entrevista nos da valiosas impresiones sobre una profesión en auge.

[La entrevista íntegra puede leerse en el número 314 de septiembre de CUADERNOS DE SEGURIDAD]

gonzalo-asensioLa peculiaridad del CISO

—El CISO es un cargo relativamente reciente en el organigrama de las empresas. ¿Podría resumirnos su trayectoria hasta llegar a ocupar ese puesto? ¿Cómo llegó al mundo de la Seguridad?

—Cuando yo empecé allá por el año 2000 nadie pensaba en seguridad y ni mucho menos era una profesión, no había formación especializada ni las empresas buscaban personal de seguridad.

En mi caso mi toma de contacto empezó desde el mundo de las redes, donde pude apreciar que había una carencia en materia de seguridad y la inquietud hizo que buscase información en canales de IRC, grupos de noticias, libros y documentación alternativa que se iba filtrando a cuentagotas.

Con esta autoformación empecé a realizar auditorías de seguridad, lo que ahora se llama pentesting (hacking ético), entonces éramos bichos raros que “rompíamos” sus sistemas y parecía que hacíamos magia, pero lo único que hacíamos era ver más allá de las cosas, intentar analizar los sistemas con una amplia visión de 360º y proteger a las empresas de los ciberdelincuentes (mal llamados Hackers)

Después me especialicé en sistemas de monitorización de seguridad, participando en uno de los proyectos más grandes de Europa; bajo este background pasé a coordinar un equipo de analistas de seguridad trabajando para diversos sectores, pero con especial hincapié en el sector Banca y Seguros.

Tras adquirir conocimientos en diferentes clientes decidí dar el salto a un cliente final empezando desde cero tanto en posición interna como por proyecto; allí pude desarrollar y aplicar todo lo aprendido y crecer hasta ser CISO.

Después de esta aventura me cambié totalmente de rama y fue cuando pase a formar parte de un centro tecnológico de investigación en temas de seguridad informática, el cual fue creado desde cero desde mi incorporación.

—Seguramente haya pocos trabajos que requieren una actualización tan constante de conocimientos. ¿Está de acuerdo?

—La verdad que esta profesión no se puede llevar sin estar el día, es cierto que ahora hay demasiada información y conforme tu carrera avanza te centras en otros temas priorizando puntos que antes no dabas importancia y viceversa.

No obstante es muy importante seguir al tanto de las nuevas amenazas, vectores de ataque, incidencias, etc; puede que no necesites compilar un código para lanzar un exploit pero si debes conocer que hace y qué daño puedo representar a una organización.

Como bien dijo el célebre general, filósofo y estratega Sun Tzu: “Si conoces al enemigo y a ti mismo, no debes temer el resultado a cien batallas.”

—¿Es cierto que hay escasez de profesionales altamente cualificados en aspectos de seguridad?

—Actualmente y pese a que ahora es una profesión, sigue sin haber el volumen necesario de profesionales cualificados, hay pocos y los que hay están bien ubicados tanto dentro como fuera de España.

Mi experiencia siempre es la misma ante procesos de selección, te encuentras personas que quieren girar su carrera hacía la seguridad, pero muy rara vez encuentras a alguien con más de 5 ó 7 años de experiencia dispuesta a moverse (aunque le seduzca el proyecto).

Lo que también veo que ha cambiado algo es la postura de los futuros profesionales, que por un lado quieren dedicarse a la seguridad por diversos motivos, pero no es algo con lo que vivan en su mente las 24h y si algo tiene de especial esta profesión, y concretamente el mundo de la seguridad, es que la inquietud, la sana ambición, la curiosidad y el trabajo duro son fundamentales.

Poco a poco hay cada vez más personas pensando en seguridad desde la universidad o masters especializados, seguramente en los próximos 5 años veamos un buen número de profesionales cualificados y con experiencia.

—¿Cuáles diría que son los requisitos para ser CISO?

—Un CISO debe tener unos requisitos mixtos entre la seguridad informática, los riesgos y el negocio, en modo resumen, debe ser:

  • Analítico y concreto en la toma de decisiones.
  • Buena base técnica para entender los problemas reales y hablar con su equipo.
  • Tener visión global en seguridad informática.
  • Conocedor de las normativas, leyes y buenas prácticas en materia de seguridad.
  • Saber medir y exponer mediante números los puntos de seguridad informática.
  • Conocimientos de economía son muy valorados ya que hay que hablar de ROI en materia de seguridad de la información.
  • Diplomático para gestionar las relaciones con otros departamentos.
  • • Buen comunicador para que el comité de dirección entienda los peligros, por qué y sobre todo el para qué se hacen las cosas.
  • Dotes de visión estratégica para crear un roadmap adecuado a las necesidades reales.
  • Entendimiento del negocio para poder articular las acciones necesarias siempre alineadas a la estrategia empresarial.

El día a día de su labor

—¿Cómo es el día a día de un CISO?

—En general dedicarte a la seguridad informática es un poco como vivir en un parque de atracciones, ya que cuando no pasa nada es difícil justificar tu trabajo y si pasa algo es mucho más difícil mantenerlo.

“Bromas” aparte, el día a día de un CISO depende el sector en el que trabaje, pero normalmente hacemos mucho uso de los informes de seguridad que nos vienen por diferentes vías, organizamos los comités de seguridad (donde hay miembros de diferentes departamentos), recibimos a muchos proveedores y fabricantes para ver las últimas tendencias en soluciones, participamos activamente en los procesos de selección, hacemos reuniones de equipo, presentaciones para los accionistas, controlamos la inversión en materia de seguridad, damos charlas, nos formamos en las nuevas tendencias, etc.

—¿Puede contarnos alguna anécdota técnica que ejemplifique las dificultades de la labor de los CISOS?

—Imagina que son las 2 de la madrugada y te suena el teléfono del trabajo; te dicen que hay problemas en la infraestructura de la empresa y que no saben qué ocurre.

En ese momento uno salta como un resorte, llama y coordina a su equipo para montar la guardia, vas corriendo a la empresa y te das cuenta de que los sistemas (por ejemplo la página web) no funcionan de manera correcta). En ese momento estableces y arrancas el sistema de respuesta ante incidentes, marcas reuniones de seguimiento cada 15 ó 20 minutos e informas a la dirección de lo que está sucediendo y de qué decisiones se están tomando.

En algunos casos la decisión la tiene que tomar el comité de dirección pero el CISO debe dar toda la información y respuestas necesarias para ayudar en esa toma de decisión.

Tras el incidente, se hace una reunión de cierre, puntos encontrados, puntos aprendidos y se ponen en marcha acciones para minimizar o mitigar en caso de que vuelva a suceder.

Al final un CISO articula entre la parte técnica, la parte de negocio y la parte de la alta dirección.

—¿Cuáles son los mayores retos a los que se enfrentan los CISOS en las empresas?

—El mayor reto es que la gente entienda y comprenda que poner controles de seguridad no es para hacer su vida laboral más difícil sino al contrario.

A mí me gusta hacer un símil con el coche: todos tenemos frenos en nuestro coche pero esto no hace que siempre estés parado, al contrario, gracias a los frenos podemos ir más rápido pero sobre todo seguros ya que en caso de ser necesario hacemos uso de los mismos; pues lo mismo pasa en el mundo de la seguridad, los controles (frenos) son para ayudar al negocio a alcanzar sus objetivos y esto debe ser comprendido por toda la organización.

Quizá el mayor reto es “cambiar” la cultura de la empresa hacía un modelo de gestión de riesgos embebida en toda la organización.

—Internet, cloud, big data, los dispositivos móviles…. ¿Todo son retos en el mundo de la Seguridad?

—Cualquier tecnología debe ir acompañada de la seguridad, ya sea antigua, actual o nueva; es cierto que este mundo digital es muy cambiante y por tanto siempre salen nuevos retos para seguridad: protección de los dispositivos móviles, sensores IoT (Internet of Things), wearables, entornos cloud de diferente índole, etc.

Lo importante del avance tecnológico es que se base en el principio de Security by Design, es decir pensar en seguridad desde el comienzo ya que de esta forma no sólo se mejoran los costes asociados a una mala gestión de la seguridad sino que además ayuda a que las personas adopten mejor las nuevas tendencias tecnológicas.

—¿Qué recomendaría, a quien estuviera interesado, para iniciarse en el mundo de la Seguridad?

—Yo siempre recomiendo a las personas que me preguntan que primero conozcan la base de las tecnologías, es decir que aprendan a administrar sistemas operativos distintos, a gestionar bases de datos, a llevar dispositivos de redes y comunicación, etc. y una vez con esa base aprenda un poco de cada disciplina dentro de la seguridad para luego profundizar en la que más les guste.

Por ejemplo dentro de seguridad hay varias ramas, como análisis forense informático, análisis de malware, prevención de fraude tecnológico, pentesting, reversing, monitorización de seguridad, cumplimiento normativo, biometría, etc.

Lo ideal es conocer un poco de todas y mucho sobre una o varias para poder llevar tu carrera en ese sentido.

En cuanto a saltos de carrera, lo idea es siempre empezar en una empresa de servicios de seguridad informática ya que con esto adquieres mucho conocimiento de diferentes entornos, problemáticas, varios interlocutores, sectores con necesidades variadas, etc.

Después pensar si se quiere mover uno a un fabricante para profundizar lo máximo en esa tecnología y finalmente ver si quiere ir hacía un cliente final donde crear carrera en un único sitio o dedicarse a la investigación (que es lo más diferente, peculiar, pero al mismo tiempo interesante)

—¿Qué papel juega la Seguridad en las empresas y en una institución como EURECAT? ¿Diría que es percibida como una traba u obstáculo o como un área imprescindible que hay que tener en cuenta?

—La seguridad dentro de EURECAT es fundamental ya que nos apoyamos en investigación, desarrollo e innovación y sin seguridad no podemos avanzar por estos caminos.

Es cierto que las prioridades cambian, pero a día de hoy se apuesta por un marco de control sostenible para la organización y para nuestros partners.

Obstáculos siempre hay y, es más, te diría que hasta resultan divertidos; es importante que un CISO sepa tener respuestas concretas en cada empresa, en cada proyecto o iniciativa para que de una manera contundente se pueda defender la postura de seguridad informática.

—Desde distintos segmentos del mercado se defiende la necesaria integración de la seguridad física y la lógica. ¿Cuál es su opinión al respecto?

—Yo soy partidario de que todo lo que se une si suma es positivo. En este caso en concreto yo también poseo el TIP de Director de Seguridad Privada y pese a que no soy un experto en la materia me ha ayudado a entender sus necesidades, su forma de trabajar y sobre todo ver que son mundos diferentes.

No obstante es cierto que cada día más vemos casos y ejemplos de cómo la parte safety (seguridad física) y la parte security (seguridad lógica) se cruzan. Por ejemplo, cuando vemos el caso real del hacking a los coches mediante técnicas de security y con ellos son capaces de parar el coche, desviarlo, etc… entonces estamos comprometiendo también la parte del safety.

Es importante que cada actor tenga su especialización pero también es importante trabajar de manera conjunta, unificando criterios y pensando en el bien y en los intereses comunes.

Es muy probable que con los nuevos reglamentos de seguridad privada e instituciones gubernamentales se vayan creando perfiles mixtos para dirigir dos áreas en una, pero bajo mi punto de vista es mejor primero probar a trabajar a través de herramientas como comités y ver si aporta valor esa unión. Dependerá de cada caso si esto es viable o no.