«Uno de los grandes desafíos de la figura de un CISO es conocer profundamente el negocio y definir una estrategia de ciberseguridad alineada al mismo», explica Diego Durantes, Chief Information Security Officer en AENOR, en esta entrevista con Cuadernos de Seguridad, quien además destaca la formación y concienciación de los profesionales que trabajan en la organización como uno de los pilares básicos sobre los que se asienta la ciberseguridad en AENOR.
— Para comenzar, ¿cómo está estructurada el Área de Seguridad de la Información de AENOR de la que usted es su responsable? ¿Cuáles son los pilares básicos sobre los que se asienta la estrategia de ciberseguridad de AENOR?
El Área de Seguridad de la Información se encuentra englobada dentro de la Dirección Tecnologías de Información y Comunicación, que lidera el CIO de AENOR.
Los pilares básicos sobre los que asentamos la ciberseguridad en AENOR son auditoría continua; monitorización y respuesta; formación y concienciación a las personas que trabajan en AENOR.
En los últimos cinco años la compañía ha realizado un importante esfuerzo inversor en sistemas y políticas de ciberseguridad que ha implicado un salto exponencial en la operación. Y esto enmarcado en un proceso de transformación en el que la digitalización juega un papel fundamental. Los tres ejes de este proceso de transformación son: transformación cultural, digitalización de procesos y operaciones y crecimiento del impacto de la marca AENOR en los grupos de interés de nuestros clientes.
— Hoy en día, ¿cuáles son los grandes retos y desafíos a los que se enfrenta la figura profesional del CISO?
Uno de los grandes desafíos de la figura de un CISO es conocer profundamente el negocio y definir una estrategia de ciberseguridad alineada al mismo. De nada sirve implementar mil y una herramientas si con ello se impide el funcionamiento del negocio o el ámbito de la empresa.
— ¿Cree que la ciberseguridad se ha convertido en una prioridad para las empresas y entidades españolas?
Hoy en día hablar de ciberseguridad es un tema habitual y cotidiano, ya que finalmente el gran trabajo de algunas entidades públicas ha calado en la sociedad, la gran labor de difusión hace que muchas empresas se planteen cada vez más destinar una parte del presupuesto al área de ciberseguridad para proteger y concienciar a sus empleados.
— ¿Qué protocolos y acciones lleva a cabo AENOR para concienciar y potenciar a una fuerza laboral de diferentes perfiles profesionales en la importancia de la ciberseguridad?
Desde la Dirección Tecnologías de Información y Comunicación se llevan a cabo distintas iniciativas en diversos formatos para hacer llegar a todas las personas trabajadoras de AENOR la importancia de la ciberseguridad, ya sean píldoras, vídeos, newsletters, etcétera.
— La Inteligencia Artificial es una herramienta valiosa en la lucha contra las ciberamenazas, ¿cómo está cambiando el panorama de la ciberseguridad ante esta y otras tecnologías?
La Inteligencia Artificial no es nueva dentro del ámbito de ciberseguridad, ya existían, y ahora cada vez más, una gran cantidad de productos donde la Inteligencia Artificial ayuda a proteger y prevenir ciertos ámbitos de la ciberseguridad. Actualmente, muchos fabricantes ponen por delante en su discurso que disponen de una IA, pero ya lleva en el mercado, ayudándonos, mucho tiempo.
— Un elemento fundamental hoy en día es la colaboración y coordinación entre departamentos en aspectos de ciberseguridad, ¿cómo se articula esta función transversal con las diferentes áreas de una entidad como AENOR?
Como he mencionado anteriormente, el Área de Seguridad de la Información se encuentra englobada dentro de la Dirección Tecnologías de Información y Comunicación de AENOR con lo que todos formamos parte de un todo con un fin común, dar cobertura a la compañía y acompañar al negocio, con lo que colaboración entre áreas es fundamental para el cumplimiento de los objetivos.
— ¿Cree que los departamentos de ciberseguridad y TIC forman parte de la estrategia de las grandes entidades y compañías?
En el caso de AENOR desde luego. Como he comentado anteriormente, la organización está inmersa en un proceso de transformación en el que la digitalización, y, por lo tanto, la Dirección Tecnologías de Información y Comunicación, juega un papel fundamental.
— ¿Qué aspectos del ámbito de la ciberseguridad se deberían potenciar y mejorar?
Todas aquellas que tengan el mismo objetivo marcado, que no es otro que el alineamiento con el negocio dentro de la compañía.
