Parafraseando la copla: ¿cómo es posible ser CIO y CISO a la vez y no estar loco? En esta dicotomía ejerce profesionalmente Alberto López de Solaria, que compatibiliza con equilibrio las TI y la ciberseguridad, dos ámbitos que no siempre congenian dentro de las organizaciones.
¿Cómo congenia las funciones de CIO y CISO que usted representa dentro de Solaria?
A. L.: Teniendo las ideas muy claras, conociendo debidamente la estrategia corporativa, lo importante, lo crítico, prioridades y demás cuestiones clave que permitan tomar las decisiones más acertadas en todo momento, dado el entorno específico de Solaria. Priorizamos criterios de ciberseguridad, por encima de todo proyectos de sistemas, de toda arquitectura, de todo despliegue, etc. Hay excepciones, por supuesto, en base a riesgos aceptables, etc.
Hay proyectos, por ejemplo, en cuyos diseños y ejecuciones pueden acontecer discrepancias en cuanto a qué es lo óptimo para un CIO y qué lo es para un CISO. Por ello, hay que tomar en consideración los riesgos, el riesgo aceptable, estrategias transversales y no solo aquellas propias de los departamentos de sistemas de información y ciberseguridad. Hay que tener una visión holística, de 360 grados.
Sin duda, y aunque hay una labor previa de análisis y valoración de escenarios por mi parte, y salvo que haya un riesgo aceptable asumible y ‘correcto’, la figura y directrices del CISO tendrán más peso en la toma de decisiones.
Para que puedan confluir ambos cargos, entre otros (CDO, CTO, etc.), en mí, en una sola persona, solo se puede justificar por el número de personas que somos en Solaria, y por la actividad de la que hay que responsabilizarse. Me refiero a la actividad subyacente a la de negocio, y no a la de negocio en sí. La actividad del negocio en sí es enorme, dado el crecimiento global que estamos disfrutando. Pero debajo de esa actividad de negocio, por situarla y exponerla de alguna manera, hay una actividad relativa a infraestructuras tecnológicas, a ciberseguridad, gestión de datos e información, riesgos, etc.
Esta actividad, de la que soy responsable a nivel global, es ciertamente manejable. La misma va in crescendo, sustentada por una clara estrategia y actividades operativas centralizadas en mí.
Estoy conformando procesos globales, sin duda escalables y adaptables a todo lo que está por venir. Esto debe tener una base y una serie de criterios simples y centralizados.
¿Los presupuestos y recursos profesionales están centralizados en Tecnología o se dividen por equipos de trabajo?
A. L.: Está centralizado en mí, dotando a cada proyecto de los recursos, presupuestos y la ponderación que corresponde en cada momento.
¿Qué prioridades de Seguridad pueden chocar con las prioridades de Tecnología?
A. L.: Generalmente suelen ser las clásicas. Para llevar a cabo una reducción de costes, de tiempos de mantenimiento, recursos especializados, etc., en infraestructuras, se tiende a la homogeneización de sistemas, marcas, modelos, servicios, etc.
Estos pueden redundar en menores costes en tecnología, economía de escalas, etc., pero puede traer de cabeza a ciberseguridad, por haber metido todos los huevos en la misma cesta, por expresarlo llanamente. Esto es un caso simplificado, ya que de aquí hay muchas derivadas y muchas decisiones colaterales.
Si hay heterogeneidad, para ciberseguridad, más costará implementar parches (hablo de vulnerabilidades publicadas, no de zero-day), sí, pero también hay que estudiar la probabilidad de que se vean afectadas en un momento concreto en el tiempo todas las marcas y modelos de sistemas desplegados, de su arquitectura, grado de exposición, etc.
Tanto para un CISO como para un CIO, mayor heterogeneidad, aunque suponga menor riesgo o probabilidad de sufrir ataque, etc., implica mayor especialización de los RRHH técnicos, certificaciones, formación, proveedores, etc., con el coste que ello supone para la empresa.
Ejemplos hay muchos. Pero tal y como estableces en la pregunta, es cuestión de valorar y priorizar, y en esto es muy importante estar alineado con las directrices de la alta dirección, la estrategia corporativa.
Resulta efectivo evangelizar a nivel de sistemas y de seguridad al mismo tiempo
¿Qué urgencias de Tecnología pueden verse frenadas por las necesidades de seguridad?
A. L.: Despliegues de infraestructura IT u OT en entornos inadecuados, no coordinado debidamente con ciberseguridad, etc. Habilitar el trabajo en remoto, que no el teletrabajo, sin estudio previo y visto bueno por ciberseguridad. Entornos inadecuados para cubrir la confidencialidad, la disponibilidad o la integridad de la información. En definitiva, generalmente suele haber mayor discrepancia en cuestiones técnicas que estratégicas.
A la hora de poner en marcha un proyecto, ¿cuáles son los objetivos que se ponen por delante?
A. L.: Seguridad por diseño y que, dado el crecimiento de Solaria, esto se mantenga atado en el medio y largo plazo. Mejora continua. Ciclo PDCA. Cuando un proyecto no se aborda sin contemplar su colateralidad, afecciones y derivadas a corto, medio y largo plazo, estamos cometiendo un grave error. Todo esto genera mucha carga de trabajo, pero en ningún momento se debe obviar u omitir.
Su doble posición, ¿le permite mejor evangelizar dentro de su compañía? ¿Combina la función de poli bueno y poli malo?
A. L.: Totalmente, ya que no solo evangelizo a nivel de sistemas, sino a nivel de ciberseguridad también. Y resulta altamente efectivo. Cuando los compañeros/as preguntan habitualmente por cuestiones de sistemas, mis respuestas aúnan esa resolución del sistema, educación sobre ello, así como concienciación en cuestiones de ciberseguridad. Mato dos pájaros de un tiro, redundando en una concienciación más efectiva, ya que parte de una necesidad que nace en el cliente interno. Generalmente, la concienciación en ciberseguridad nace en nosotros. Su exposición suele nacer y proceder desde el departamento de ciberseguridad.
¿Cuál es la estrategia de digitalización de Solaria, y cómo se integran los diferentes ingredientes de ciberseguridad y tecnológicos?
A. L.: Solaria Energía y Medio Ambiente tiene, sin duda, un enorme potencial en este sentido, si bien, hay mucho recorrido ya realizado. En Solaria, la estrategia de digitalización se basa en explotar unos y otros avances tecnológicos, los más adecuados para cada proceso o conjunto de procesos, de manera variable en el tiempo, con objeto valor. La digitalización debe impulsar el negocio, y no solo quedarse en cubrir una necesidad.
Desde mi posición se debe aportar asesoría, consultoría con carácter interno, al igual que lo espero también de los propios proveedores al dimensionar un proyecto o servicio.
Impulsar el negocio de la mejor manera posible es primordial. La sostenibilidad, por ejemplo, es una variable muy importante y de mucho peso en los procesos de Solaria y, por lo tanto, en la estrategia de digitalización.
El big data está dentro de la estrategia de digitalización de Solaria, como no podía ser de otra manera. La explotación de los datos, en los que nos basamos y tomamos decisiones tras su transformación, es clave. La cultura organizacional en torno a las personas, los procesos y los sistemas de información es la piedra angular en Solaria. La transformación de los procesos, dado el crecimiento que estamos experimentando, sin duda adquiere un gran protagonismo, de manera continua, en Solaria.
Tenemos que ser más y más eficientes, y esto conlleva, dentro de la estrategia establecida en mis departamentos, la capacitación y empoderamiento de los usuarios.
La responsabilidad como CISO & CIO
Como CISO
Seguro que es una respuesta típica, pero mi cometido no puede ser de otra manera: velar por el mejor estado de la ciberseguridad para la compañía a nivel global, así como su mejora continua.
Esto implica conocer el negocio y ser parte de la estrategia de la compañía, analizar y revisar los procesos, las personas, tecnologías, servicios, etc., para cuidar de la empresa, su actividad y su imagen. El estado de la ciberseguridad es totalmente variable, volátil en el día a día. No puedes hacer un despliegue de productos, de servicios, de políticas, etc., y desentenderte por un tiempo. En absoluto.
Como CIO
Cuidar de la estrategia de la empresa a nivel de sistemas, servicios, procesos e infraestructura con ámbito global. La estrategia se conforma en torno al estado actual, presente, y futuro de la compañía. La visión y misión es muy importante, tanto a nivel corporativo como a departamental.
La capa subyacente a estos estados son los procesos de la compañía, en continuo cambio y evolución. Son algo que debemos entender y dominar, como para ser precursores del crecimiento de los departamentos, de las personas y de la compañía.
