La Ciberseguridad está ganando cada vez más importancia en un entorno en la que la digitalización y los ciberdelitos están en pleno auge. Por ello, revisamos con nuestro CISO, Eduardo López Ruano, cómo y porqué las empresas han de actuar proactivamente y realizar refuerzos de la seguridad en torno a sus productos y procesos. Además, profundizamos la importancia de someterse a auditorías de terceros independientes para garantizar una ejecución robusta e impecable en la tarea de proteger los datos más sensibles de los stakeholders más vulnerables: los clientes.
<<< Cumple con las regulaciones gracias a nuestra solución Recordia >>>
1. Un placer tener un momento contigo para esta entrevista. Tu puesto quizá es un poco extraterrestre todavía, ¿Qué rol desempeña un CISO en la empresa?
¡El placer es mío!
El rol que desempeña un CISO es ser capaz, no solo de controlar qué está sucediendo y para que se utiliza la información de la organización, sino también tener un concepto claro de qué información se tiene, para qué se usa, dónde se guarda y los riesgos o problemas que pueden suceder, como incumplimientos en materia de protección de datos, fugas de información o riesgos reputacionales, por ejemplo.
A mí siempre me gusta usar este ejemplo; antes los de IT eran estas personas raras metidas en una sala de CPD ellos solos y la verdad que cada vez está cambiando más, por suerte, y ahora la seguridad es una parte del negocio, ya no es tanto una muletilla.
2. ¿Ha sido asimilado el rol entre otros departamentos de una empresa, como desarrollo o técnico?
En Comunycarse el rol del CISO ha sido bastante bien asimilado, porque ya se tenía cierta cultura de seguridad y un ENS de nivel medio. Desde que he llegado, nos hemos recertificado y se han conseguido grandes logros con el apoyo de toda la organización, que siempre han estado abiertos al cambio para mejorar día a día la seguridad de la organización.
Por experiencias pasadas que he vivido, un empleado de seguridad no suele ser bienvenido, ya que suelen ser los que levantan la alfombra e inspeccionan que se ha hecho hasta el momento. Sin embargo, este es un paso muy importante ya que permite no vivir anclados en el pasado, renovando las infraestructuras y estando alerta ya que un descuido puede suponer un impacto muy grave en negocio.
3. ¿Qué fue lo que despertó en ti el interés por la ciberseguridad?
El hecho de poder participar desde un punto de vista tecnológico en la generación de negocio y asegurar que las cosas estén bien hechas de principio a fin, ya que no basta con que los sistemas funcionen. La presencia de seguridad en el negocio es relativamente reciente y cuenta con un peso cada vez mayor.
4. ¿Por qué a pesar del avance tecnológico en materia de ciberseguridad y de la inversión y esfuerzo en seguridad, vemos tantas brechas y fugas de datos?
Muchas empresas han llegado tarde y mal.
Los problemas de seguridad no son de hace 5 años, no se puede hacer un nuevo proceso o una nueva aplicación e incluir la seguridad una vez ya se ha desarrollado. La seguridad ha de incluirse y estar desde el diseño y por defecto, si no es así, es absolutamente imposible que después sean igual de seguros, y, aunque así fuera, va a ser mucho más caro porque requerirá rediseñar cada proceso.
Generalmente se ha priorizado la venta respecto a la seguridad del proceso, lo cual conlleva riesgos y problemas que pueden ocurrir. Según datos estadísticos del INCIBE (Instituto Nacional de Ciberseguridad de España), una parte muy importante de las compañías son atacadas al menos una vez al año, lo que supone que te van a atacar sí o sí, y si no te ha tocado este año, te tocará el siguiente. Por eso hay que estar preparados y, sobre todo, evolucionar, porque los principales ataques que impactan a las organizaciones ahora mismo serán muy diferentes dentro de 5 años.
5. ¿Cómo crees que debe ser un plan de acción frente a un quiebre o problema de seguridad o normativa? ¿Cómo debe ser la comunicación con un cliente en caso de ser responsable el proveedor?
En primer lugar, y es algo que no se tiene en muchas empresas, el plan debe existir. En muchas ocasiones parece que tenemos más o menos claro lo que tenemos que hacer, pero una vez llega el momento, empezamos todos a dar vueltas como pollo sin cabeza y al final no se va a ningún lado.
El plan tiene que ser claro y estar probado, no puede ser que esperemos a que ocurra algo para plantear esto. Ha de haber contramedidas que hagan que un ataque se quede en un susto y no en un robo masivo de la base de datos de clientes. Y, sobre todo, tenemos que tener un plan basado en qué riesgos puede haber. Si, por ejemplo, tienes un riesgo de reputación, tienes que tener una forma de comunicar claramente a tus clientes lo que ha sucedido y cómo lo estas solventando en un período corto de tiempo, no puedes esperar 3 o 4 días.
6. ¿Qué certificaciones consideras que son indispensables o importantes para una empresa que desarrolla su actividad en el sector IT?
Sin duda la ISO 27001 que, por suerte, acabamos de adquirir hace un par de meses en Comunycarse. Es una certificación que, aunque quizá no ha tenido muchas actualizaciones a lo largo de los últimos años (la última versión es del 2017 y hay muy poquitos cambios respecto a la del 2013), es crucial. Se trata de una norma reconocida por la organización Internacional de Normalización, en la que participan más de 150 países y sirve para demostrar que cumples ciertos requisitos mínimos de seguridad, sin que seas tú mismo el que asegura que “lo hacemos todo muy bien”. Todas las empresas tecnológicas medianamente serias deberían tenerla. A nosotros nos ha certificado AENOR, que es un referente en España, y nos da tranquilidad el saber que estamos haciendo las cosas bien.
7. Siguiendo con el tema de las certificaciones, en julio de 2021 Comunycarse obtuvo el Esquema Nacional de Seguridad, ¿cuál es su importancia y por qué tan pocas empresas en España la tienen?
Su importancia está muy relacionada con la 27001, ya que es una norma muy parecida desde un punto de vista de seguridad de la información, y si no se exigiera sería un error ¿Por qué? Porque se trata de datos sensibles de los ciudadanos y organismos públicos, por lo que fuga de estos tendría un gran impacto y deben tratarse con cierto cariño.
8. Normativas como MIFID II o la GDPR obligan a diversos sectores como la banca o las energéticas a grabar las llamadas con sus clientes, ¿Qué tienen que tener en cuenta las empresas al contratar una solución de grabación?
Estas empresas deben tener en cuenta diversos aspectos. Asegurar que los datos se almacenan de forma cifrada y se utilizan solo para los propósitos acordados, se realiza la grabación exigida por la ley, es accesible en caso de requerimiento judicial, y la más importante, que la solución elegida cuenta con procesos robustos de seguridad de la información que garantice la protección de la información en todo momento.
9. ¿Cuál es el valor añadido de Recordia?
Recordia es una solución que cumple todos los aspectos anteriores, porque tiene la posibilidad de custodiar las grabaciones durante los plazos requeridos, almacena toda la información cifrada y cuenta con medidas de seguridad que impiden el acceso a la información por parte de terceros no autorizados. Además, se encuentra dentro del alcance certificado en el ENS e ISO27001 y se trabaja internamente por mejorar día a día la seguridad, no conformándonos con estos sellos. Además, contar con AWS como proveedor supone una capa extra de seguridad tanto para Recordia como para el resto de las aplicaciones de la organización.
10. Para terminar, ¿Qué le recomendarías a un startup que quiere empezar en el sector de IT en materia de ciberseguridad? ¿Es complicado en materia de costes, tecnología o calidad?
Respondiendo primero a la segunda pregunta, podría parecer que es más complicado, pero realmente es todo lo contrario.
Hay muchísimos proveedores tecnológicos, como en nuestro caso AWS, que ofrecen una capacidad de almacenamiento, monitorización y cumplimiento de normativas, que por sí misma una startup no podría alcanzar. La nube ha conseguido que emprender e innovar sean mucho más asequibles, pagando únicamente por lo que consumes y por el tiempo que lo haces, dejando atrás los tiempos en los que un servidor costaba miles de euros.
Esto es una gran noticia para los emprendedores y para ideas que, en otros tiempos, no habrían podido salir adelante por un motivo puramente económico.
Si quieres saber más sobre cómo Recordia puede ayudar a tu empresa a reforzar la seguridad y cumplir con normativas internacionales, haz clic aquí.