Que el mundo de la seguridad esté unido al mundo de la tecnología, y además te guste, fue el caldo de cultivo para que Juan Manuel García Dujo, actualmente CIO, CISO, DPO y algunas otras cosas más, de Cerealto Siro Foods diera un paso al frente cuando, hace cerca de 10 años, su compañía se planteara crear un departamento de Seguridad de la Información, que arrancaría de cero y dependería del Departamento de Sistemas. Recuerda el directivo que poco a poco aquello fue creciendo y en dos o tres años “ya había dos personas e incluso se empezaba a hablar de ciberseguridad industrial”.
CONTENIDO PUBLICADO
EN CIBERSEGURIDA TIC Nº2
En opinión de García Dujo la ciberseguridad ha dejado de ser “algo que hay que tener, a algo que aporta valor a la compañía”, y asegura que ha sido un reto “que el chico que siempre dice no pueda decir cómo sí hacerlo, y se le tenga en cuenta”. Con el tiempo, aquel Departamento de la Información fue creciendo, aumentando la responsabilidad, “y ahora compagino los dos roles, CIO y CISO que, aunque no sea el ideal, sí que tiene sentido”. Al final, sobre Juan Manuel García Dujo, recaen las labores de Director de Transformación Digital (CIO & CISO), DPO y Ciberseguridad OT.
Cualidades
“Ser capaz de aunar dos mundos” es una de las cualidades que debe tener un buen CISO. Habla García Dujo de capacidades técnicas y de negocio, y de empatía y actitud, y asegura que la más importante es tener una visión tecnológica transversal de toda la infraestructura de la compañía, incluidas las comunicaciones, aplicaciones, servidores, desarrollo de aplicaciones, el mundo de internet, el cloud… y con una especialización en alguna de estas áreas, porque “si sabes las tecnologías, sabes cómo protegerlas”.
El tener visión de la parte de seguridad física aporta valor, porque se tiene una foto de 360 grados de la seguridad integral de una compañía. Además, la seguridad física favorece la relación con las Fuerzas de Seguridad del Estado que es muy valiosa “porque al final todos los CISO acabamos teniendo incidentes de uno u otro tipo que pueden acabar en una denuncia,
en un proceso con las fuerzas de seguridad del Estado, con lo cual es bueno saberte relacionar con ellos y es una de las capacidades que se tienen que tener”.
Menciona también el CISO de Cerealto Siro Foods que es conveniente contar con ”una capa legal para estar al tanto de todas las directivas que afectan a la compañía a la que se sirve. Debes conocer qué base legal tienes cuando haces monitorización de datos, o conocer el lenguaje que habla el equipo legal de la compañía”, apunta, como otra de las cualidades de un buen CISO.
En cuanto a las habilidades menos técnicas, habla Juan Manuel García Dujo de “visión del negocio de la compañía en la que estás porque la compañía vive del negocio, no vive de la seguridad, la seguridad es un habilitador más para el negocio”. A esto se suma el contar con habilidades de comunicación, porque hay que saber explicar la seguridad a toda la compañía y hacer pedagogía, “sin caer en el error de vender miedo. A mí no me gusta vender miedo. Creo que es mejor explicar los riesgos y hacerles conscientes de ellos explicándoselos en un lenguaje que entiendan”. Finalmente hay dos palabras que, en opinión de este directivo, deben acompañar al CISO: confianza y templanza.
Seguridad y Amenazas
Poco a poco la seguridad está pasando de ser un gasto, una necesidad, a un elemento que aporta valor a la compañía. Va García Dujo un paso más allá, y habla del riesgo de que se convierta en una commodity; “puede que en ciertos casos estemos llegando a ser un commodity, lo cual es un riesgo” porque “no por comprar la mejor caja, ponerla y enchufarla va a funcionar y voy a ser más seguro. La ciberseguridad hay que trabajarla mucho. No es plug&play”.
Preguntado sobre cómo se escoge una solución de seguridad en un mercado plagado de fabricantes y propuestas, comentar el CIO y CISO de Cerealto Siro Foods que la ciberseguridad se ha convertido en una moda, que la mayoría de los proveedores del mercado tienen servicios de ciberseguridad y que “es imposible que todos sean buenos”. Igual que ocurre con la capa tecnológica, el boca a boca entre compañeros es bueno, sigue funcionando “y te ayuda a hacer un primer filtro”. En todo caso, apuesta el directivo por “tener pocas cosas, pero bien montadas; pocos proveedores, pero de gran confianza. El menos es más es otra de las reflexiones en este momento”.
¿Qué amenaza le quita el sueño a Juan Manuel García Dujo? “Lo más crítico es una parada de producción, que es cierto que puede venir de mil cosas, desde un ransomware a una brecha de seguridad o un problema en un proveedor”, responde el entrevistado.
Concienciación y tecnología
En Cerealto conviven dos mundos, el industrial, con sus procesos, que están interconectadas con el mundo IT, y el mundo del mundo oficina. En ambos, “la concienciación es algo fundamental” porque el usuario es la primera persona que puede parar un ataque. Pero eso sólo va a pasar si le has enseñado. No somos nativos digitales y tenemos que dar herramientas a nuestros usuarios para que sean nuestra primera arma de defensa ante un ciberataque”.
Añade García Dujo que entender que un correo es malicioso y saber que es necesario “es algo que hemos trabajado mucho en la compañía y que nos ha dado muy buenos resultados”. Más que de tecnologías básicas que debe tener cualquier empresa habla Juan manual García Dujo de salud digital, muchas realmente económicas, con las que se pueden cubrir el 80% de los riesgos de ciberseguridad. En primer lugar, menciona el CISO el “tener inventariados tus activos y saber lo que tienes”; un proceso de actualización de parches de seguridad; la concienciación al usuario; la gestión de los usuarios privilegiados; o una buena configuración de tu parque de sistemas son “buenas prácticas que limitan muchos problemas”. Además, en el mundo cloud se necesita un doble factor de autenticación, que también es bastante accesible, “y como sabemos que nos van a atacar y vamos a tener un problema, necesitamos contar con un proceso de backup, y además probado”.
Hablando de herramientas, menciona Juan Manuel García Dujo el firewall “para controlar qué pasa por tu red”, así como una solución de seguridad endpoint, que hoy se llama EDR, “que esté bien configurada”.
Mirando hacia adelante
“Simplificar la gestión de nuestra tecnología” es, en opinión del responsable de Cerealto Siro Foods, una de las cosas que echa en falta del mercado. Explica que por más que existan los SIEM y los orquestadores, cada vez se tienen más herramientas, muchas de las cuales hacen cosas parecidas y se solapan, por lo que “creo que necesitamos tecnologías que nos hagan la vida más sencilla”.
Echando una mirada al futuro, apunta el directivo que las soluciones de gestión de endpoint, incluidos los dispositivos móviles “ya están en el mercado, pero creo que son plataformas que han de evolucionar y acabar desplegándose más”. En relación con el mundo de la protección de la información, menciona García Dujo la necesidad de herramientas más transparentes para el cifrado y seguimientos de información, “porque un problema de las tecnologías de seguridad es que sólo se implantan bien cuando son transparentes para el usuario final. Si no, termina teniendo muchos frenos”. Sobre la inteligencia artificial asegura el directivo que no es magia, sino capacidad de cómputo; “al final la inteligencia artificial se basa en que tú hayas entrenado un sistema mucho y eso te cubre el 90 %, el 80 % o al 70% de tus casos, lo cual te genera muchas ventajas. Pero de cara al futuro veo más importante tener herramientas que nos simplifiquen la vida”.
