La sede corporativa de Iberia, en Madrid, ha sido escenario de un nuevo encuentro de Conservas Guillén by Trend Micro, el programa de radio enlatada de Raúl Guillén, director de estrategia de ciberseguridad de Trend Micro, que dedica una nueva entrega a Jesús Mérida, CISO de la aerolínea, nombrado a finales de 2023 Top 10 CISO de Europa y Middle East, padre de dos hijos, aficionado al baloncesto, seguidor del Real Madrid y fanático de la música, entre otras cosas.
Centra Raúl Guillén la conversación en el rol del CISO en un momento en el que “la mayoría de los comités de dirección entienden que la ciberseguridad es parte importante del negocio”. Pero empecemos por el principio, ¿qué es un CISO y cuál es su rol? Un CISO (Chief Information Security Officer) “es el máximo responsable de la seguridad de información de una gran compañía. La persona que gestiona los riesgos de ciberseguridad”, respondía Jesús Mérida. Aclaraba el directivo que el CISO debería estar posicionado adecuadamente dentro de la estructura de gobierno de una compañía, tener una posición cercana al comité de dirección, reportando a la alta dirección. Aseguraba el directivo de Iberia que “todavía no se ha dado el caso de que existan CISOs que sean parte o miembros de ese comité de dirección, pero la mayoría nos estamos posicionando en ese comité extendido, en esa parte cercana al comité de dirección en la que se tiene en cuenta la ciberseguridad para la toma de decisiones de negocio”.
Apuntaba Raúl Guillén que el nivel de madurez de las compañías respecto a la ciberseguridad en ese proceso de transformación digital en el que están inmersas la mayoría de las empresas, “dice mucho de dónde se coloca al CISO”.
Planteada a la cuestión de qué ha cambiado en la última década, dice Jesús Mérida que el CISO ha pasado de ser un manager técnico especializado en seguridad “a ser una persona de negocio, preocupada por el negocio y adaptando el servicio de ciberseguridad a las medidas, proyectos y capacidades de ese negocio”.
Está de acuerdo el director de estrategia de ciberseguridad de Trend Micro en que el CISO debe ser un ejecutivo que “tiene que entender el negocio para poder ayudar al negocio”.
El papel del nuevo CISO es mucho más expuesto, “pero también es cierto que tienes mucha mayor visibilidad y tienes mucha mayor información para trabajar correctamente tu función”, comentaba Mérida, añadiendo que no hay que olvidar que el conocimiento, las habilidades técnicas, son un requisito del CISO; “lo que tenemos que trabajar es qué pesos deben tener las distintas habilidades de un CISO”, asegura Jesús Mérida.
Reflexiona el CISO de Iberia que la evolución que se ha producido en las empresas de darle más importancia a la ciberseguridad en los últimos años, “ha venido respaldada por la transición del rol del CISO”, que ha pasado de una posición más técnica a una posición más de negocio y, “desde mi punto de vista, de una posición más de stopper, a una más de enabled”.
¿Cuáles son las habilidades o las capacidades que debe de tener un CISO? Tiene claro Jesús Mérida que un CISO no tiene que ser experto en tecnología, pero sí entenderla; “tienes que entender muy bien cómo está montada y dimensionada tu empresa, qué estructura tienes, qué arquitecturas, etcétera” y, además, de cara a negocio, “entender tus procesos de negocio y poner los controles adecuados a tu proceso, porque lo que me vale a mí, a lo mejor a otro compañero, incluso a otra aerolínea, no le vale”.
Comenta Raúl Guillén que en las grandes empresas existe la figura del BISO (Business Information Security Officer), un CISO que está más cerca de un negocio en concreto dentro de esa empresa, porque “en ese subir el nivel de entender el negocio, cada negocio tiene sus peculiaridades y sus marcos regulatorios”. Decía el directivo de Trend Micro, resumiendo las principales capacidades que debe tener un CISO: la capacidad técnica, conocimiento de negocio y entender los distintos marcos regulatorios.
“El CISO tiene una labor muy complicada: hablar de conceptos muy complicados a gente que no le interesa”, asegura en un momento de la entrevista Jesús Mérida. Añade que hay que encontrar el lenguaje y el momento adecuado para transmitir un concepto complicado de una manera que parezca sencilla. Apuesta el responsable de ciberseguridad de Iberia por utilizar conceptos que se entiendan, como son los riesgos, “porque todo el mundo entiende de riesgos”.
Tener capacidad de asertividad es otro elemento que debe acompañar al CISO, “porque no dejamos de ser alguien al que se le pide autorización, y hay veces que los riesgos están por encima de lo asumible”.
Tras hablar de las habilidades de un CISO, redirige la conversación Raul Guillén a las funciones planteando que la primera es la de “definir la estrategia de ciberseguridad de la compañía en función de las necesidades organizativas”. Para Jesús Mérida, “la estrategia es clave en un CISO. Debes tener una visión a corto, a medio y a largo plazo” y, como la tecnología cambia constantemente, “tener claro cuál es la joya de la corona y lo que tienes que proteger”. Añade el directivo que el “CISO tiene que ser la persona de confianza del comité de dirección” y con quien debe tenerse “una relación fluida” que, además, debe ser constructiva y bajo un modelo de Trusted Advisor que permita que, cuando haya un problema, te escuchen.
“La ciberseguridad para mí es un habilitador, un acelerador, un elemento que te permite ser más competitivo que otras compañías. Una inversión que te ayuda a ser más dinámico, más eficiente, más resiliente”, asegura durante la conversación Raúl Guillén.
