Aunque no sea una compañía típica de seguridad informática, tal y como se entiende, Fujitsu viene suministrando servicios de seguridad durante 40 años, prácticamente, desde que salió al mercado. John Swanson, responsable de la lucha contra las amenazas y de crear nuevos servicios que demandan sus clientes, deja claro el compromiso que Fujitsu tiene por este ámbito: “En 2016, nuestra corporación fijó la ciberseguridad como uno de los cuatro pilares estratégicos en conjunto con cloud computing, analytics e Internet de las Cosas”. Este fue el punto de partida para la génesis de un negocio global de seguridad a través de unidades geoestratégicas que trabajan de forma combinada por todo el planeta.
Bajo un marco común, la división que lidera Swanson despliega su política de alianzas en dos direcciones: “Entre los partners tecnológicos contamos con grandes nombres como CheckPoint ySymantec. Pero la tecnología en sí misma no resuelve todos los problemas, por lo que nuestro segundo tipo de socios son consultores o terceras partes que aportan skills especiales a nuestra organización”.
Dada su amplia visión profesional, el directivo está en condiciones de asegurar que su ámbito de negocio está creciendo en todas las áreas geográficas, si bien con diferentes ritmos: “Las compañías estadounidenses en general tienden a gastar un poco más en seguridad. Las europeas van por detrás, pero están recortando distancias a marchas forzadas y Fujitsu está trabajando fuerte para dotarles capacidades”. Con relación a España, John Swanson considera que “hay mucho talento y grandes oportunidades para reforzar el negocio de la ciberseguridad”. En nuestro país, uno de sus principales clientes es la Junta de Andalucía, para la que Fujitsu está haciendo el filtrado, el control y la securización de la navegación de todos los usuarios del entorno público, que son más de 300.000 empleados que se conectan a Internet. Fujitsu también está securizando el contenido de todas las webs de publicaciones oficiales de la Junta, así como controlando y facilitando todo el tráfico de la Junta hacia organizaciones externas, gobierno central y redes de educación.
Índice de temas
Los CISO españoles
Por lo general, los CISO españoles se muestran bastante desanimados a la hora de combatir con el malware con el que están condenados a convivir. De hecho, estos responsables de seguridad no suelen permanecer mucho tiempo en su puesto de trabajo, cuando suceden ataques devastadores en sus centros de trabajo. “Reconozco que los CISO tienen delante de sí una dura tarea y su papel es gestionar el riesgo de sus organizaciones”, apostilla. Desde su punto de vista, la madurez es el aspecto definitivo, “y es que las organizaciones necesitan ser más maduras en sus servicios financieros y necesitan invertir más en seguridad y ser más eficientes. Incluso muchas de ellas todavía no cumplen con el inminente Reglamento Europeo de protección de Datos (GDPR)”.
Los conceptos de privacidad y ciberseguridad bajo diseño son los conceptos claves para abordar la nueva etapa
John Swanson vuelve a tocar la llaga: “Lo tienen complicado por tema presupuestario y tienen que gastar más recursos en tapar agujeros que en ser proactivos en la defensa contra el cibercrimen”. Las empresas deben abordar una transformación cultural y el negocio tiene el reto de cambiar; para el CISO, la responsabilidad es soportar ese cambio y gestionar todo el riesgo asociado al negocio con su presupuesto asignado.
“En estos procesos de transformación digital, la seguridad tiene que estar embebida en los procesos de forma absoluta. Si no se contempla la seguridad desde el principio y se mira a posteriori, los costes se triplican”, sentencia rotundo. Por consiguiente, desde Fujitsu se habla de seguridad bajo diseño (‘by design’).“Los conceptos de privacidad y ciberseguridad bajo diseño son los conceptos claves para abordar la nueva etapa”. El directivo calcula que el 40% de las empresas están preparadas para el nuevo reglamento europeo: “Hay que pensar en negocio, no es seguridad, es privacidad y gestionar datos perosnales. Las grandes compañías lo entienden y están dedicándose a llegar en condiciones al 25 mayo”. En el Reino Unido, según explica, existe una ley de privacidad que ya cumplen muchas empresas y por lo tanto no supondrá un salto muy cualitativo y cuantitativo en comparación con el GDPR.
Por lo que se refiere a las nuevas amenazas, considera que todavía es pronto para conocer las implicaciones reales del criptojacking de bitcoin y otras divisas, y que el ransomware se sitúa entre las más preocupantes: “El peligro del malware como Wannacry no estriba tanto en el coste económico, que no fue tan alto, pero sí resulta muy dañino para la reputación de las organizaciones públicas y privadas. Con Wannacry el sistema sanitario inglés fue colapsado y tuvo efectos colaterales para enfermos y profesionales”. A Swanson le parece una ironía que sea una inteligencia artificial (la de los buenos) la que tenga que combatir a la inteligencia artificial (la de los malos), y más que una batalla, se trata de una “carrera (muy) larga”.
Una carrera de fondo en ciberseguridad
John Swanson es responsable del desarrollo de la cartera de ofertas de ciberseguridad de Fujitsu, incluyendo gestión de servicios de seguridad y consultoría. Esto incluye inteligencia de amenazas cibernéticas, detección avanzada de amenazas y servicios de respuesta cibernética, así como servicios más específicos para asegurar la amplia gama de Fujitsu Cloud, la atención de usuario final y las capacidades de red.
John tiene casi 20 años de experiencia en seguridad de la información en el gobierno y los sectores comerciales en una amplia gama de disciplinas, incluyendo sistemas de información, gestión de seguridad en grandes empresas globales, centros de operaciones de seguridad, gestión de servicios de seguridad, gestión de riesgos de seguridad y cumplimiento. En la actualidad se centra en los aspectos empresariales de la seguridad de la información y en cómo Fujitsu puede ayudar a los clientes a desarrollar capacidades de seguridad de la información más maduras dentro de sus organizaciones.
El directivo se unió a Fujitsu Services en septiembre de 2010 y ha cumplido una serie de funciones de seguridad de la información, incluyendo consultoría, asesoría y entrega; además de haber liderado previamente la salida de preventa y oferta de seguridad para permitir que la unidad de negocios de Fujitsu y la seguridad cibernética ofrezcan crecimiento de ingresos. Antes de incorporarse a la firma japonesa, Swanson ocupó el cargo de director de seguridad de BT dentro de una transformación global de escritorio para un gran departamento gubernamental. Con anterioridad, había trabajado para Airbus en un papel de liderazgo estratégico de defensa de redes informáticas y también sirvió durante 20 años en la Royal Air Force, trabajando como un alto funcionario de ingeniería donde cubrió con éxito una serie de proyectos.
John Swanson es ingeniero colegiado y graduado de la Universidad de Cranfield, donde completó un BEng en Ingeniería de Sistemas Electrónicos y un máster en Diseño de Sistemas de Información. En la actualidad, John está casado, tiene una hija y vive en Wiltshire, Inglaterra.