2024: diario de un CISO

Ha sido un año muy intenso. Tengo ganas de pasar página, relajarme y plantearme nuevos paradigmas. Confío en que las decisiones que he tomado durante estos últimos doce meses me lleven a un mejor puerto del que partí. En el fondo, sigo siendo un ingenuo: aún me apasiona la ciberseguridad.

Desde enero reporto directamente, como CISO, al consejo de administración. No paso por el CIO ni por el COO. Impresionante, ni en mis mejores sueños hubiera imaginado semejante grado de responsabilidad en aquella flamante empresa del IBEX 35.

En ciber no puedes convencer a nadie. Sólo puedes dejar una semilla de conocimiento y esperar que germine. Sobre todo, cuando hablas a los miembros del consejo. Estas son algunas de las simientes que he intentado plantar en 2024.

Primero, no he mostrado necesidad, ni de recursos ni de aprobación. Simplemente, he ido proporcionando evidencias y formas de protegernos de cada uno de los ataques que hemos sufrido, desde los “deep fakes” de audio con la voz de nuestro CEO que convencieron a nuestro departamento de finanzas para pagar a una cuenta fuera de nuestro sistema una cifra millonaria, hasta la pieza de “malware” que, durante meses, estuvo filtrando información sobre nuestros clientes a una dirección IP fuera de Europa.

Segundo, he transformado el problema complejo de la ciberseguridad en una suma de elementos comprensibles dentro de un entorno de transparencia. Para cada uno de ellos, he seleccionado a un líder que ha construido un equipo multidisciplinar de protección y detección, involucrando también a nuestros proveedores. Todas las métricas de seguimiento, incluyendo nuestros objetivos, se publican en la Intranet. Todas nuestras reuniones están abiertas a toda la organización. Además, hemos acordado la definición de valor con nuestros auditores internos y externos. Las actividades que no proporcionan ese valor definido y esperado se eliminan rápido, en semanas.

Tercero, he construido alianzas con otros departamentos clave de la organización. Dos ejemplos: el primero, como en 2023 no fuimos capaces de atraer nuevo talento de ciber, apostamos por enfocarnos en la diversidad de nuestros colegas. Hemos entrenado y formado, en sintonía con el departamento de recursos humanos, de forma divertida, compitiendo con otras formaciones online, a empleadas internas que querían dar un cambio a su vida profesional y sentirse valoradas. Hemos demostrado que podemos identificar y cultivar talento dentro de nuestra empresa. El segundo ejemplo, colaboramos día a día con nuestro departamento de comunicaciones: informamos a nuestros clientes sobre elementos de seguridad que implementamos día a día a través de los canales y redes sociales que prefieran.

Cuarto, me he rodeado de buenos profesionales y mejores personas, capaces de hacer suyos nuestros objetivos de desarrollo sostenible. Una mezcla heterogénea: desde psiquiatras, antropólogos, científicos de datos, y algún que otro ingeniero. Todas las evaluaciones, salarios y condiciones del departamento del CISO son conocidas por todos sus miembros. Mi apuesta personal para todos mis colaboradores es clara: su valor profesional aumenta en el mercado por el hecho de trabajar con nosotros.

Quinto y último, he creado un grupo de voluntarios que siguen los avances sociales que ya nos están impactando: las implementaciones de inteligencia artificial, la personalización que requieren los clientes en la provisión de los servicios que compran, los nuevos modelos de negocio que están apareciendo con una frecuencia cada vez mayor, las nuevas regulaciones europeas que entran en vigor en 2025 y, finalmente, las opciones reales de protección que ofrecen los ciberseguros.

Quién sabe, quizá haya sido este mi último año completamente dedicado a la ciber. Cada vez me atrae más la posibilidad de enseñar: cambiar la vida, a mejor, de profesionales, jóvenes o no, motivados para aprender de la experiencia de aquellos que comenzamos nuestra carrera profesional en el mundo de la seguridad hace ya algunas décadas. Estoy deseoso de contarles en primera persona todo lo que me hubiera encantando haber leído o escuchado cuando comencé mi andadura profesional.

Your browser is out-of-date!

Update your browser to view this website correctly.Update my browser now

×