«Toda crisis nos permite identificar oportunidades para reforzar nuestras defensas», Rosa Kariger, Global CISO de Iberdrola

Rosa Kariger. Global CISO de Iberdrola

«El principal reto de un CISO es lograr mantener una buena visibilidad de los riesgos de ciberseguridad en un entorno de creciente complejidad, no solo debido a la sofisticación de las amenazas, sino especialmente por la rápida digitalización de las empresas y de la sociedad en general», explica Rosa Kariger, Global CISO de Iberdrola, quien, además asegura en esta entrevista con Cuadernos de Seguridad, que es «fundamental no disociar la estrategia de ciberseguridad de la estrategia de resiliencia y continuidad de negocio de la compañía».

Iberdrola

—Para comenzar, ¿cómo se estructura actualmente el departamento de Seguridad de la Información de Iberdrola? ¿Cuáles son sus funciones concretas?
—En Iberdrola, la ciberseguridad no es solo responsabilidad de un departamento en concreto, sino de toda la compañía. Tenemos un modelo de gobierno que está basado en las tres líneas de defensa, para asegurar una adecuada identificación y gestión de los riesgos, con coordinación global y supervisión independiente.
La primera línea de defensa son los propios negocios y los responsables de TI que, como propietarios de la tecnología y de los procesos y servicios que soportan sus operaciones, son los propietarios de los riesgos y responsables de identificarlos y mitigarlos.

Hay especialistas designados para los entornos industriales, porque como operadores de infraestructuras críticas y proveedores de un servicio esencial para la sociedad, no solo nos preocupa proteger la información o los datos, sino también la continuidad de nuestras operaciones.

Desde la Dirección de Ciberseguridad, establecemos la normativa global y los marcos de gestión del riesgo, coordinamos y supervisamos las diferentes medidas de protección, detección y respuesta desplegadas por las primeras líneas, proporcionamos inteligencia global y aseguramos una adecuada coordinación de los incidentes y crisis de ciberseguridad. Somos la segunda línea de defensa.
Finalmente está la tercera línea, Auditoría Interna, así como los reguladores y auditores externos, que auditan nuestro modelo de control y gestión de los riesgos y el nivel de cumplimiento de las obligaciones internas y externas.

—Ante una situación sin precedentes como ha sido la crisis Covid-19, ¿cuáles son los principales retos a los que se enfrenta un CISO en la actualidad?
—Yo diría que el principal reto de un CISO es lograr mantener una buena visibilidad de los riesgos de ciberseguridad en un entorno de creciente complejidad, no solo debido a la sofisticación de las amenazas, sino especialmente por la rápida digitalización de las empresas y de la sociedad en general.

Cada vez resulta más difícil entender las múltiples interdependencias entre las distintas organizaciones de la compañía y con nuestra cadena de suministro, servicios en la nube, fabricantes de equipos, desarrolladores de software, etc., y saber en todo momento si están y estamos aplicando las medidas de seguridad necesarias para evitar posibles efectos adversos sobre nuestra compañía.

En este sentido, considero que la colaboración entre empresas, con proveedores, reguladores y agencias gubernamentales es fundamental para mejorar no solo la ciberseguridad de nuestra compañía, sino también la resiliencia de la sociedad en su conjunto.

*¿Quieres leer la entrevista completa? Pincha aquí