Javier Tobal, CISO de Astara: «Hace 5 años, sólo las grandes empresas tenían un CISO»

Hace cinco años entrevistamos a Javier Tobal, actual CISO de Astara. En ese tiempo han pasado muchas cosas y la tecnología y la ciberseguridad ha evolucionado de forma muy rápida. Así que hemos querido entrevistarle nuevamente y basándonos en las respuestas que dio en aquel momento para comprobar si estaba en lo cierto.

Entrevista con Javier Tobal, CISO de Astara

Han pasado cinco años desde que te entrevistamos, ¿qué ha cambiado en el mundo de la ciberseguridad en este tiempo?

Mi percepción personal está condicionada por el entorno en el que me movía entonces y mi situación actual. Hace cinco años, estaba en una Fintech con un alto componente tecnológico, un equipo muy compacto (150 empleados) y en un momento expansivo en forma de nuevos desarrollos, servicios, herramientas, etc. Ahora estoy en una organización mucho más grande (3.000 empleados en 20 países) pero, a su vez, con una estructura y una actividad más convencional.

En mi opinión, el principal cambio en los últimos años es el número de empresas que cuentan ahora con equipos propios de ciberseguridad liderados por un responsable de ciberseguridad (CISO, director de seguridad de la información o equivalente). Hace cinco años, sólo las grandes empresas, las organizaciones con un perfil tecnológico o entornos muy regulados (finanzas, infraestructuras críticas) disponían de un CISO en plantilla. Ahora ese número se ha multiplicado por diez al incorporarse empresas de menor tamaño y de todos los sectores.

Por otra parte, los cibercriminales se han especializado, los ataques se han industrializado y son cada vez más dirigidos y llegan a impactar a más organizaciones, más grandes y más preparadas. Muchos de los ataques que detectamos están muy elaborados con una preparación importante para identificar y conocer las víctimas potenciales muy de cerca.

En esos cinco años, ¿qué es lo que más te ha sorprendido que ocurriera y qué es lo que creías que se iba a producir y no ha sucedido?

Como comentaba anteriormente, me sorprende que tengan éxito los ataques contra grandes organizaciones, con numerosos controles de seguridad, herramientas de protección de primera línea y que pasan regularmente auditorías de ciberseguridad. De alguna manera, se confirma que nadie es invulnerable.

En el apartado más concreto de la ciberseguridad, y desde la perspectiva de estos cinco años, me sorprende la lentitud con la que se están adoptando mecanismos de automatización de funciones de ciberseguridad. Por ejemplo, las soluciones SOAR (Security Orchestration, Automation and Response) no se han generalizado como pensaba hace cinco años, ni en el número de organizaciones que las podían adoptar ni en el número de casos de uso donde aplicarlas. Otro ejemplo, desde mi punto de vista, es la inclusión de la seguridad en los equipos que aplican metodologías DevOps. La implantación de DevOps, favorecida por la universalización de infraestructuras basadas en Cloud, fue relativamente rápida pero la evolución hacia DevSecOps no es tan generalizado como parecía hace cinco años.

Has cambiado de compañía, pero no de trabajo. ¿Difiere mucho llevar la ciberseguridad de una compañía como Astara de la anterior empresa?

Absolutamente. La cultura empresarial, a cierto nivel, determina la mayoría de las decisiones, sobre todo en aspectos como el apetito de riesgo, la inversión en ciberseguridad, la capacidad de influir en el negocio desde, en general, las áreas relacionadas con el riesgo (ciberseguridad, cumplimiento, ESG, etc.). Aunque se puede elaborar un conjunto de buenas prácticas en ciberseguridad que aplicarían a casi todas las organizaciones, no existen dos organizaciones iguales y los factores que pueden variar de una a otra son innumerables: la priorización de controles, la forma de implementarlos, las personas implicadas, los proveedores de servicio con los que colaborar, la preparación del personal, … todo es diferente.

Actualmente, ¿cuáles son los principales retos a los que te enfrentas?

Destacaría un reto que creo que comparto con muchos responsables de ciberseguridad y que se puede resumir como «hacer más con menos» o «mitigar los riesgos no tolerables con recursos limitados». De forma recursiva, la respuesta a este reto suele plantear otros nuevos retos. Por ejemplo, se puede delegar algunas tareas de ciberseguridad en las áreas usuarias para que éstas sean responsables de la ciberseguridad como parte de su propia operativa. También se pueden reducir los riesgos mediante la anticipación de controles, aplicando criterios de ciberseguridad al diseño de nuevos procesos, a la selección de proveedores o a las decisiones estratégicas sobre nuevos negocios, fusiones o adquisiciones.

En general, ¿qué es lo que marca el mundo tecnológico actual? ¿Y en el mundo de la ciberseguridad?

Ambos aspectos deben ir en paralelo, porque la ciberseguridad debe dar respuesta a la evolución de los sistemas de información. Los tres elementos que marcan las tecnologías de la información actualmente, en mi opinión, son:

• La omnipresencia de la inteligencia artificial.
• La sustitución de sistemsa tradicionales basadas en software y hardware propio por soluciones tipo SaaS (Software as a Service) que facilitan su utilización y despliegue por equipos sin formación técnica avanzada o, incluso, por áreas de ngocio y funcionales no técnológicas.
• La hiperconectividad extendida a todas las ubicaciones, todas las personas, todos los dispositivos y todos los repositorios de información. Por fin, podemos hablar de sistemas «100% online».

En el campo de la ciberseguridad, tenemos que mencionar otra vez la inteligencia artificial (tanto como amenaza en manos de los cibercriminales como ayuda para los equipos de seguridad defensiva); la arquitecturas SASE (Secure Access Service Edge) y el desarrollo obligado de la criptografía post-cuántica.

Si tuvieras todo el presupuesto que quisieras, ¿qué implementarías?

Permítaseme la broma, «implementaría» un equipo de ciberseguridad que combinara personas con experiencia, capacitación técnica, motivación, muy colaborativo, resistencia al estres y buen humor.

Entiendo que esa no es la respuesta esperada, así que paso a enumerar mi lista personal de los deseos:

• Arquitectura Zero Trust extremo a extremo que: 1, verifique de forma continúa la identidad del usuario, la legitimidad de los servicios a los que accede, el contexto de uso (ubicación geográfica, fecha y hora, dispositivo, red de acceso); 2, ajuste dinámicamente los permisos y el comportamiento esperado comparado con los usos registrados en el pasado; y 3, monitorice en tiempo real el comportamiento de todo los usuarios e identidades del sistema.

• Una gestión de identidades que incluyera todos los elementos de los sistemas: usuarios humanos, bots, agentes de IA, aplicaciones, microservicios, repositorios de datos, proveedores externos, etc. Por ejemplo, cada agente de un sistema IA debería tener su perfilado como cualquier otro usuario del sistema y debería asumir un rol definido.
• Un centro de formación específico de ciberseguriad, que generase talento de ciberseguridad dentro de las organizaciones, tanto para reciclar personas procedentes de otras áreas, como para formar al personal recién incorporado, o para actualizar al equipo existente. Este centro debería tener entornos de prueba (Cyber Range) y participar en iniciativas fuera de la organización: ejercicios CTF (Capture The Flag), desarrollos de código abierto (Open Source) o foros donde compartir inteligencia de amenazas.

Hace cinco años, el usuario era el eslabón débil, ¿sigue siéndolo? ¿cómo hacemos para que deje de ser uno de los puntos débiles?

El usuario sigue siendo uno de los eslabones más débiles porque es imprevisible, aunque cada vez está más formado en el uso de la tecnología y eso ayuda a reducir el riesgo asociado. Siendo prácticos, tenemos que gestionar al usuario como un elemento del sistema: «inventariarlo», evaluar su criticidad, valorar su exposición al riesgo, añadir controles a medida en función de estos parámetros, etc.

Además, no debemos diseñar sistemas donde el usuario sea la única línea de defensa, sino un elemento más de protección adicional a otros controles existentes. Y, por supuesto, en caso de incidente no hay que culpabilizar al usuario, hay que animarle a que alerte del problema con la confianza de que no será castigado ni señalado por ello.

Hace cinco años no se hablaba de la cultura de la ciberseguridad en la empresa, ¿tan importante es? ¿Cómo se establece?

Es muy difícil transformar la cultura de una organización interviniendo sobre un solo componente. Como comentamos anteriormente, las actividades globales relacionadas con la ciberseguridad hay que repartirlas y extenderlas a todas las áreas de la organización. En el caso de la cultura hay que buscar aliados en todos los equipos, personas más concienciadas o experimentadas, para extender esa preocupación e interés al resto de miembros del equipo. En alguna ocasión, he tenido buenos resultados nombrando hackers internos (White hat hackers) en los equipos más críticos para fomentar desde dentro las buenas prácticas relacionadas con la ciberseguridad y ayudar a sus compañeros a entender y aplicar las políticas de seguridad.

Por último, haz de pitoniso y dentro de 5 años te volvemos a entrevistar, ¿qué tecnologías van a transformar el mundo TIC y cuáles van a ser indispensables para las empresas?

Aún a riesgo equivocarme, yo apuesto por: la IA Generativa basada en agentes autónomos que interactúen con otros agentes y con colaboradores humanos para realizar tareas cada vez más complejas. La extensión de la computación cuántica aplicada a cada vez más organizaciones y en nuevos casos de uso (más allá de la criptografía y las simulaciones de fenómenos biológicos). Y, por último, la proliferación de contenido sintético falsificado o «DeepFakes» (imágenes, vídeos, voces, personajes públicos, etc.) impulsará el desarrollo de nuevas tecnologías de certificación de autenticidad y trazabilidad digital, seguramente, mediante el uso de Blockchain e identidad digital descentralizada.