Marina Touriño, Socia número 1 de ISACA Madrid perfila el futuro de la seguridad de sistemas en el momento de su jubilación
Comenzó en la auditoría de sistemas en 1979 y fundó ISACA Madrid Chapter junto a un puñado de compañeros en 1989, cuando la tecnología apenas empezaba a entrar en nuestras vidas tímidamente a través de multinacionales. Marina Touriño, hoy socia número 1 de ISACA, que se llama a sí misma la «abuelita» de la auditoría de sistemas, se jubila para dedicarse a sus hobbys y a cuidar de los suyos. Entrevistada por los jóvenes socios de ISACA Daniel González, responsable de Relación con Asociados y Jóvenes Profesionales de la Junta Directiva de ISACAMadrid, y Marta Barrio, joven profesional del capítulo, como experta nos deja valiosas reflexiones y una clarividente visión de futuro sobre el asociacionismo de la profesión y sus retos. Mantenerse al tanto de las novedades, comunicar lo que hacemos a socios y sociedad en general, y acercar a los jóvenes y a las pymes, son las claves del éxito para ISACAMadrid, según esta fundadora del capítulo que trajo el CISA a España.
—¿Cómo fueron tus comienzos en esta profesión y en el capítulo madrileño de ISACA?
—Empecé en 1979 en un banco internacional y aprendí de las empresas extranjeras en las que estuve. En España todavía no se mencionaba este área de trabajo. En 1989, junto a un pequeño grupo de personas, el apoyo del Consejo General del Colegio de Economistas y la Asociación de Ingenieros en Informática, montamos el grupo de ISACA en Madrid. Organizaba los cursos CISA, CISM, etc., y en la organización en USA ayudé a preparar preguntas de algún examen.
En mi época era la única mujer que andaba por ahí, pero nunca tuve realmente dificultades. Por supuesto que era un mundo de hombres. Cuando entraba en una entidad a hacer una auditoría, pensaban que era la secretaria del auditor y preguntaban que cuándo llegaba el señor en cuestión. A los pocos años ya había bastantes más mujeres en la profesión. Hay que contextuar sobre la importancia que tenía en los 90 la seguridad en tecnología. Era para los iniciados en el tema y solo las multinacionales requerían este tipo de servicios.
—Cuesta encontrar a Marina Touriño en la red ¿Las profesionales de la ciberseguridad son siempre tan modestas e invisibles?
—Yo siempre he sido más de hacer, construir y organizar la profesión, grupos, cursos… que de mostrarme. Nunca he subido nada a internet. En el mundo de la ciberseguridad no están solo las personas que vienen de informática y telecomunicaciones; hay matemáticos, físicos… Yo siempre he creído en el asociacionismo profesional, que te representa, te da herramientas, cursos en qué apoyarte, te juntas con tus pares, los que tienen tus mismas inquietudes y el mismo campo de trabajo, en nuestro caso en el mundo de las tecnologías.
—¿Crees que esta profesión debería ser más conocida entre los y las jóvenes?
En ISACA se trabajaba mucho con universidades. No es necesario centrarse en los estudios de Informática y Telecomunicaciones. Habría que abrir el espectro en comunicar o hacer planes con otras carreras. También sería muy importante la difusión entre los estudiantes de la Formación Profesional, que tiene un grado al que acceden muchos jóvenes que no sabrán que esto existe. Se llega a la auditoría y la ciberseguridad, por casualidad. Especialidades como la nuestra no se conocen lo suficiente. En estos momentos tan críticos, a raíz de la pandemia, aún es más importante la seguridad de la tecnología. ¿Cómo difundimos que existen estas profesiones?
—La seguridad, la ciberseguridad, el control de riesgos, el cumplimiento normativo… era desconocido hasta los ataques tipo Wanacry, el GPDR y ahora con la pandemia, con el teletrabajo ¿Crees que estos cambios han dado una visibilidad a la profesión?
—Quienes necesitan a los profesionales en la ciberseguridad son las entidades públicas o privadas. Al público en general le llega la típica alocución sobre el GDPR como una molestia. Aceptan las cookies, pero el riesgo está en internet y los malos de la película van por delante. La gente cuelga en las RRSS la historia de su vida, las reuniones familiares, las vacaciones… Para que se reconozca lo que hace nuestra profesión, el público debería ser consciente de a dónde van a parar sus datos. Y creo que debería buscarse un nombre asociado a “hacker” para poder diferenciar a los que roban de los que tratan de evitarlo.
—La alta dirección de las organizaciones, ¿consideran mejor ahora las profesiones relacionadas con la ciberseguridad y a los auditores?
—Absolutamente. Desde hace unos 15 años la alta dirección de las empresas tiene mucha más sensibilidad con respecto a la auditoría de tecnología y las áreas de seguridad. Desde hace unos diez años los Responsables de Seguridad o CISO de más alto nivel están al nivel de cualquier director adjunto. Dentro de las empresas vamos teniendo más peso. ISACA reúne las dos caras de la seguridad; las medidas y la auditoría, que puede certificar u ofrecer un informe de cómo está la seguridad en una empresa u organización. Es importante cómo se venda la función del auditor. Haría falta tal vez un poquito más de humildad entre los auditores y que trasladaran que van a ayudar, no a “pillar”.
La redacción de los informes de auditoría es crítica para “vender” las necesidades. En estos años he observado que los auditores puramente técnicos no saben redactar. Hay que saber redactar un informe de auditoría en una hoja y media, que explica qué se ha hecho y hablar de riesgos al directivo de la empresa, que tiene que tomar decisiones y paga la factura.
—¿Contamos bien a la sociedad y a las organizaciones qué hacemos y lo importantes que somos como profesionales?
—La tecnología hoy en día, desde las alarmas de un edificio hasta el control de los embalses cuando se suelta agua, está en todos lados, puede ser atacada y producir desastres. Las grandes compañías son conscientes, pero el tejido empresarial medio, que utiliza también mucha tecnología, habría que hacerles ver que ésta no es solo el ordenador donde tiene la contabilidad y las nóminas. Se necesita una difusión sobre lo que hacemos orientada a la mediana empresa, con acuerdos con organizaciones de pymes; son sectores que necesitan ayuda y no saben que la necesitan.
—¿Cuál es el futuro de la profesión? ¿Es tan halagüeño como lo parece ahora tras la pandemia?
—Esa franja de empresa media desde 4 trabajadores hasta 1000, no sabe lo que le puede ocurrir y ha tenido que improvisar el teletrabajo sin tener ni idea. Esto va a más, pero no solo por el teletrabajo, es porque es así el mundo que nos viene. Las posibilidades de trabajo es este área van a ser infinitas. La tecnología varía cada minuto. Mantenerse al día y a la vez ofrecer servicios fiables es todo un desafío.
—¿Qué retos técnicos o legislativos nos espera en el futuro en la profesión?
—Ser auditor es una forma de trabajar. El conocimiento de la tecnología, las debilidades de la seguridad es inherente con mantenerse al día. Uno de los retos y desafíos que yo veo es que en algún momento la nube va a pasar de moda. No sé qué es lo que vendrá, así que la única manera de desarrollar la profesión es mantenerse actualizado y hacer todas las sinergias que se pueda con todos los especialistas que pueden aportar algo. Es algo difícil porque la geopolítica a nivel mundial, con todos los grupos e intereses políticos y económicos, no lo pone fácil.
—Como miembro más antiguo de ISACA y según tu experiencia, ¿dónde debe poner el foco la organización?
—El foco debería estar en las certificaciones y no ser endogámicos. Hay que abrirse a otras realidades. La difusión es importante. Lo que se está haciendo en los últimos años: reuniones, congresos, los jueves de ISACA… es el buen camino. Hay que integrar a los asociados que están por los certificados e invitar a profesionales distintos, sin repetir a los mismos tertulianos. Debemos animar a los jóvenes a meterse en esto, que hay certificaciones, que les conviene tener porque les dan una visión global necesaria.
