Hace casi cinco años que Lena Smart es la CISO de MongoDB, un sistema de gestión de bases de datos de código abierto. Llegó a la compañía con la experiencia de haber sido CISO en la empresa internacional de tecnología financiera Tradeweb, y de haber trabajado como CIO y CISO de la Autoridad de Energía de Nueva York, la organización eléctrica estatal más grande del país.
Dicen de ella que tras convertirse en la CISO de MongoDB ha implementado programas que han transformado la postura y la cultura de seguridad de la empresa. Smart es, además, un miembro activo de la comunidad de ciberseguridad. Es socia fundadora de Cybersecurity at MIT Sloan (CAMS), creado con el fin de mejorar la ciberseguridad de infraestructuras críticas, que permite a los líderes de seguridad del mundo académico y del sector privado colaborar para abordar los problemas de seguridad más desafiantes.
Preguntada a través de un cuestionario por las cualidades que debe tener un buen CISO, comenta Lena Smart que los responsables de seguridad “están aprendiendo constantemente”. Asegurando que la de ciberseguridad es una industria que cambia constantemente, dice “un CISO no puede dormirse en los laureles” y que “necesita sentir el deseo de seguir aprendiendo y cuestionando para ser eficaz en el trabajo”.
«Hoy tengo voz en nuestro equipo ejecutivo y nuestra junta directiva valora mi opinión»
No cabe duda que ser CISO es complicado, pero serlo de una empresa de tecnología es diferente. Por un lado, se sobreentiende una alta concienciación sobre la ciberseguridad, por otro, no solo tienes que proteger la empresa para la que trabajas, sino los productos o servicios que tu empresa ofrece a los clientes. Como CISO, la de MongoDB es responsable de todo lo relacionado con la seguridad; es a la primera a la que se llama “cuando algo sale mal, y posiblemente nunca reciba una llamada cuando todo va bien”, comenta, añadiendo que en una empresa de tecnología “también existe un elemento de cómo se integra la seguridad en nuestros productos. Considero que mantenerlos en equipos separados, pero con conexiones sólidas, es la mejor manera de gestionarlo”, y asegura que “esto me deja a mí, el CISO, pensar en qué es lo mejor para la empresa en general, mientras contamos con expertos en seguridad del producto que trabajan en el meollo de la cuestión”. En todo caso, “si hay un problema de seguridad causado por la nube, nuestro producto o cualquier otra cosa, mi equipo generalmente se encarga de mitigarlo”, explica.
También preguntamos a Lena Smart, quien en más de una ocasión ha comentado que los CISO son los responsables de construir una cultura centrada en la seguridad, cómo ha evolucionado la figura del CISO en los últimos años. Responde explicando que cuando ella comenzó como CISO, “el puesto no era una prioridad para la mayoría de las empresas, y la seguridad era una ocurrencia tardía. Hoy tengo voz en nuestro equipo ejecutivo y nuestra junta directiva valora mi opinión. Esto también se aplica a los recursos”. Añade que, a medida que los riesgos de tener un equipo con fondos insuficientes se han hecho cada vez más evidente, se ha pasado de luchar por los recursos a recibir mucho apoyo de la alta dirección.
Probablemente 2023 será recordado con el año de la explosión de la IA Generativa. No es que las empresas no hayan estado trabajando con inteligencia artificial y machine learning desde hace años, es más, podríamos decir que quizá esta sea la primera vez que los defensores van por delante de los atacantes, pero ChatGPT ha supuesto una verdadera revolución que ha impulsado el lanzamiento de numerosas herramientas. Preguntada por cómo la Inteligencia Artificial cambiará el rol del CISO, responde Lema Smart que “nuestro trabajo como CISO será comenzar a agregar rigor y pruebas a la IA a medida que la implementen los proveedores y otras empresas”. Explica que en MongoDB hay una política interna “clara y fácil de entender, que cubre qué es la IA, qué se puede hacer con ella y qué se debe evitar”. Recuerda también que se están discutiendo nuevas regulaciones para comenzar a poner barreras en torno a la IA y que, “como CISO, dependerá de usted asegurarse de que su organización cumpla con esas regulaciones”.
En un mercado saturado de fabricantes, soluciones y propuestas, ¿cómo escoger? Lena Smart propone tres tareas: 1. Reunirse con el CISO de la empresa para conocer sus valores culturales en materia de seguridad; 2. Mire atentamente el documento de presentación. ¿Cubre todos los puntos destacados o es humo? Asegura que esto es fácil de detectar haciendo algunas preguntas específicas; 3. Verificar las propuestas con los cohortes, o lo que es lo mismo, con la comunidad de CISO; “tengo una gran red de CISO y organismos profesionales con los que trabajo en estrecha colaboración. Puedo llamar a cualquiera de ellos y decirles ‘¿ha utilizado ABCCompany en su entorno? ¿Alguna vez has oído hablar de ellos?’”. A partir de ahí, si se siente cómoda con la cultura y la oferta “sigo adelante”.
“el ransomware sigue siendo algo que todos los CISO conocen y que intentan evitar a toda costa”
También preguntamos a Lena Smart qué le pediría a un fabricante. Responde con una analogía: “Hemos construido esta casa realmente segura, tiene rejas en las ventanas, una gran puerta de metal con una llave enorme y un perro guardián, y paredes fuertes, pero es tu responsabilidad cómo amueblas la casa y dónde pones tus cosas más importantes. Y también es tu decisión quién tiene la llave de esa casa. Ese es el tipo de tranquilidad que quiero de cualquier proveedor de seguridad con el que hable o con el que pueda estar pensando en trabajar”.
Preguntado por el tipo de amenaza que le quita el sueño, menciona la directiva de MongoDB que “el ransomware sigue siendo algo que todos los CISO conocen y que intentan evitar a toda costa” y que “una cultura de seguridad sólida («no hacer clic en el enlace») es una de las mejores formas de manejar el ransomware. Si limitas la introducción de malware en primer lugar, tendrás muchas posibilidades de no infectarte”.
En opinión de Lena Smart, “un programa de capacitación sólido que sensibilice a todos sobre sus roles y responsabilidades en materia de seguridad”, junto con un Single Pane Of Glass para conocer en todo momento el estado de seguridad actual, son tecnologías que considera indispensables en cualquier compañía.
¿Qué le haría fracasar como CISO? Antes de responder explica que el CISO tiene la responsabilidad final en todo lo relacionado con la seguridad; “no importa dónde se originó o qué pudo haberlo causado, usted es el rostro de la seguridad, es su trabajo solucionarlo y asumir la responsabilidad de por qué sucedió. Esto puede ser una píldora difícil de tragar, pero en última instancia es lo que conlleva tener el título de CISO”. Dicho esto, tiene claro Lena Smart que “una falta de comprensión sobre las necesidades comerciales de MongoDB me convertiría en un CISO fallido. Si mis políticas y procedimientos no ayudan a que nuestro negocio crezca, he fracasado. Se trata de un acto de equilibrio difícil, pero del que la mayoría de los CISO son conscientes”.
Terminamos preguntando a Lena Smart por la áreas o tecnologías emergentes de la ciberseguridad. En su opinión “la IA será un gran foco en términos de comprender dónde se utiliza internamente, para qué utilizamos los datos y quién tiene acceso a ellos”.
