ENTREVISTAS

Paz Palomo, CISO: “La estrategia de ciberseguridad de Sacyr se articula en torno a protección, vigilancia, resiliencia y gobierno”

Home Seguridad
Dirección copiada

Las organizaciones deben tratar las inversiones en ciberseguridad como esenciales para proteger el negocio frente a incidentes costosos.

Publicado el 23 dic 2024
Paz Palomo, Sacyr

HIGHLIGHTS
“La ciberseguridad se ha convertido en un requisito básico para establecer relaciones de confianza con socios, clientes y proveedores”
“Un ciberataque lanzado desde un país puede impactar con gran facilidad a empresas y personas en cualquier otro lugar del mundo en cuestión de segundos”
“El entorno tan rápidamente cambiante de tecnologías y amenazas requiere profesionales con gran capacidad de aprendizaje, adaptación y sentido común”
“La inversión en ciberseguridad debería ser tratada como una inversión necesaria para proteger el negocio, ya que el coste de un incidente puede ser mucho mayor”
“La ciberseguridad de una entidad es tan fuerte como el eslabón más débil de su cadena de suministro”

¿Se ha convertido la ciberseguridad en un problema global de largo alcance?

Sin duda alguna. Por un lado, vivimos en un mundo hiperconectado, tremendamente dependiente de la tecnología. Nuestras actividades más cotidianas, en el ámbito personal, se desarrollan cada vez más en el ámbito digital: nuestras compras de consumo, la relación y operaciones con nuestros proveedores de servicios de todo tipo (bancarios, seguros, movilidad,…), nuestro ocio, nuestra formación, nuestra inspiración,…. Todo ello no lo imaginamos ya sin la tecnología, y para ello conectamos nuestros dispositivos a redes en las que exponemos nuestra información, nuestros datos.

¿Y cómo afecta esta situación a las empresas?

En el ámbito empresarial hemos asistido a la digitalización de muchos procesos de negocio buscando ofrecer servicios de mayor valor a nuestros clientes o eficientar los servicios existentes. Esto ha requerido el despliegue de soluciones e infraestructuras tecnológicas que se convierten en elementos sobre los que se sustenta el negocio. Al hacer accesibles esas soluciones para facilitar organizaciones distribuidas geográficamente o para entregar servicios a clientes en un mundo global, las exponemos ante posibles amenazas.

Adicionalmente, las actividades empresariales cada vez se organizan más integrando la cadena de suministro, lo que incrementa el riesgo al hacer a una organización vulnerable a las debilidades de esos terceros interconectados.

En este contexto, un ciberataque lanzado desde un país puede impactar con gran facilidad a empresas y personas en cualquier otro lugar del mundo en cuestión de segundos.

Por el lado de los atacantes, estamos ante grupos organizados de cibercriminales, que operan en redes internacionales, que cuentan con recursos, herramientas y conocimientos para llevar a cabo ataques a gran escala. Son capaces de conseguir impactos generalizados en la sociedad, a nivel global, dirigiendo sus acciones a actividades e infraestructuras críticas.

Si en fases previas de esta evolución la ciberseguridad se consideraba, en el mejor de los casos, algo deseable, actualmente se ha convertido en una necesidad, en un requisito básico, para establecer relaciones de confianza con socios, clientes y proveedores.

¿Qué tendencias en ciberseguridad cree que tendrán un mayor impacto en el futuro cercano?

Por un lado, las amenazas no dejarán de aumentar y evolucionar, y podemos esperar un crecimiento de los ataques dirigidos a conseguir interrumpir la operación, especialmente de infraestructuras y procesos críticos. Modelos de negocio como el Ransomware-as-a-Service favorecerán este escenario.

Los atacantes utilizarán tecnologías como la Inteligencia Artificial para crear ataques más avanzados, dirigidos y difíciles de detectar. Otras tecnologías emergentes como la computación cuántica traerán también nuevos retos ante los que tenemos que ir preparándonos.

En el lado de la defensa, la inteligencia artificial jugará un papel fundamental para detectar y responder a amenazas en tiempo real, automatizando la respuesta. Las técnicas de análisis de comportamiento se extenderán, permitiendo identificar actividades sospechosas, anticipar ataques y adaptar la respuesta.

El mundo IoT continuará su crecimiento exponencial y se espera que se produzca el desarrollo de protocolos de seguridad más sólidos y estandarizados y que se extiendan soluciones de protección y defensa habituales en el mundo IT.

El modelo ZeroTrust creo que se constituirá como elemento estratégico dentro de las arquitecturas y programas de seguridad, evolucionando definitivamente el concepto de seguridad perimetral a un nuevo paradigma de verificación continua de la identidad y el contexto.

¿Consideras, como se dice, que la inteligencia artificial es el gran baluarte para reforzar las defensas de las organizaciones?

La inteligencia artificial por supuesto es un instrumento que va a enriquecer y reforzar los mecanismos de defensa con los que contamos. De hecho, ya se está utilizando en organizaciones para automatizar la detección/respuesta a amenazas, para automatizar tareas rutinarias de seguridad, para detección de comportamientos sospechosos que pueden ser indicativos de actividad maliciosa o para detectar intentos de fraude.

Pero ¿podemos decir que gracias a la inteligencia artificial estaremos protegidos? Lo dudo. No olvidemos que los ciberdelincuentes son los primeros que usan la inteligencia artificial para conseguir mecanismos de ataque más complejos y más sofisticados, siempre van por delante. La misma IA que utilizamos para protegernos también es aprovechada por los ciberdelincuentes para crear phishing mucho más personalizado, diseñar malware adaptable o generar contenido engañoso. Esto incrementa la dificultad para detectar y mitigar estos ataques. La inteligencia artificial en el lado de la defensa va a ser absolutamente necesaria para poder enfrentarnos a la inteligencia artificial de los atacantes, pero no va a ser la panacea que nos permita dormir con absoluta tranquilidad.

Por un lado, las amenazas no dejarán de aumentar y evolucionar, y podemos esperar un crecimiento de los ataques dirigidos a conseguir interrumpir la operación, especialmente de infraestructuras y procesos críticos. Modelos de negocio como el Ransomware-as-a-Service favorecerán este escenario

MARÍA DE LA PAZ PALOMO, SACYR

Pensemos también en otro desafío que nos trae la inteligencia artificial que es, nada más y nada menos, que la protección de la propia IA, de las nuevas soluciones de inteligencia artificial que se están desarrollando e implementando internamente dentro de las empresas. Es fundamental incorporar la securización de estas soluciones dentro de la estrategia de ciberseguridad, protegiendo los activos que las conforman: datos, modelos, algoritmos, procesos,….

¿Cuáles son las funciones del CISO dentro de Sacyr?

En Sacyr, la función de ciberseguridad es global, cubriendo las actividades de nuestras tres líneas de negocio (Infraestructuras&Ingeniería, Concesiones y Agua) a nivel mundial.

La función primordial es desarrollar e implementar la estrategia de ciberseguridad, por supuesto alineada con los objetivos de negocio de la organización. Definir políticas, estándares, procedimientos… es por tanto parte importante de mi actividad como CISO, para lo que es necesario entender las amenazas y vulnerabilidades que nos afectan. Definir el programa anual de iniciativas de ciberseguridad y su gestión presupuestaria son actividades que realizo en este ámbito.

Supervisar las operaciones de seguridad es otra de mis funciones relevantes, gestionando el equipo de seguridad, asegurando la implementación de los controles necesarios y su correcto funcionamiento, así como la gestión de incidentes.

Adicionalmente he de supervisar el cumplimiento normativo e impulsar las acciones necesarias a implementar para que Sacyr cumpla con las regulaciones aplicables en materia de ciberseguridad

Por último, como CISO soy responsable de promover la cultura de seguridad entre los empleados de Sacyr y de comunicar a la Alta Dirección las cuestiones relevantes sobre ciberseguridad que afecten a la organización o que deban conocer.

¿Cómo desarrolla Sacyr su estrategia en torno a la ciberseguridad?

Nuestra estrategia de ciberseguridad se articula alrededor de cuatro pilares: protección, vigilancia, resiliencia y gobierno.

Creemos que es clave contar con conocimiento avanzado interno en las soluciones sobre las que hemos construido nuestra arquitectura de seguridad y nuestras capacidades de defensa. Por supuesto lo complementamos con capacidades expertas externas, con quienes trabajamos de manera colaborativa.

Más allá de la tecnología, creemos también en la importancia de los procesos. La inversión en soluciones sin establecer correctamente quién y cómo va a operar, y qué y cómo vamos a medir el uso o el cumplimiento de objetivos, es inútil.

Una de las prioridades que tenemos es continuar avanzando en el desarrollo de nuestras capacidades de resiliencia. Para ello nos apoyamos en el diálogo y la colaboración con el Negocio y la Alta Dirección.

Definir políticas, estándares, procedimientos… es por tanto parte importante de mi actividad como CISO, para lo que es necesario entender las amenazas y vulnerabilidades que nos afectan

En el ámbito del gobierno de la ciberseguridad estamos dando todavía más peso al desarrollo de la cultura de ciberseguridad. Es un área en el que tratamos de innovar continuamente para conseguir que nuestros empleados sean capaces de evitar las amenazas que a ellos se dirigen.

¿Cómo se coordina el área del CISO con los líderes de la organización?

En Sacyr existe un Comité de Ciberseguridad, liderado por el CISO, del que forman parte las Direcciones Generales corporativas así como directivos de las distintas líneas de negocio.

Ese Comité es el foro en el que se lleva a cabo la coordinación formal de las actividades de ciberseguridad en el Grupo.

¿Cómo trabaja Sacyr para que los empleados comprendan la relevancia de salvaguardar los datos?

La protección de los datos se incluye en las distintas iniciativas de concienciación que realizamos de manera periódica. Compartimos además noticias sobre filtraciones de datos que han podido afectar a otras organizaciones y que se publican en medios.

Adicionalmente a las iniciativas globales, llevamos a cabo acciones individuales de concienciación con aquellos usuarios para los que identificamos un comportamiento de mayor riesgo.

¿Existe un aumento de los costes asociados a la inversión en ciberseguridad?

Todos los analistas apuntan a que el crecimiento de la inversión en ciberseguridad seguirá creciendo en 2025. Según el informe Global Digital Trust Insights 2025elaborado por PWC, el 77% de las empresas (tanto a nivel global como en España) prevé que su presupuesto de ciberseguridad aumentará durante el próximo año.

La mayor sofisticación de las amenazas requiere soluciones más avanzadas (y más costosas) para defenderse y el aumento de la superficie de ataque requiere también mayor inversión para proteger todos los puntos de acceso. Si a esto unes los nuevos requerimientos de cumplimiento normativo, tienes los motivos por los que la inversión en ciberseguridad experimenta un incremento de manera general.

Y es que partimos de una realidad: es mucho más barato atacar que defender. Además, al atacante le basta con tener éxito una vez, mientras que el defensor ha de conseguir tener éxito siempre de manera consistente.

Teniendo esto en cuenta, la inversión en ciberseguridad debería ser tratada por las organizaciones desde un punto de vista estratégico, considerándola como una inversión necesaria para proteger el negocio. El coste de un incidente de seguridad, incluyendo la pérdida de datos, la interrupción del negocio y el daño a la reputación, puede ser mucho mayor que la inversión en medidas preventivas.

¿Garantizar la integridad de la cadena de suministro resulta crucial en estos tiempos de conflicto?

Los conflictos geopolíticos que están teniendo lugar, como la guerra entre Rusia y Ucrania o las tensiones en Oriente Medio, constituyen uno de los principales factores del incremento de las ciberamenazas que, en muchos casos, se dirigen a infraestructuras críticas o a la cadena de suministro de los objetivos que los ciberdelincuentes pretenden atacar.

Hay sectores en los que es habitual operar en distintos modelos organizativos con socios y terceros, en el ámbito de cada contrato con cliente. Esto implica una alta exposición a amenazas derivadas de la interconexión de sistemas y de accesos externos. La gestión del riesgo de la cadena de suministro y la confianza en terceros es por ello un desafío importante.

Regulaciones como DORA o NIS2 ponen un gran énfasis en la seguridad de la cadena de suministro debido a la prevalencia de ciberataques en los que actores malintencionados utilizan vulnerabilidades de herramientas y servicios de terceros para comprometer la seguridad de las redes y los sistemas de información de la organización.

La ciberseguridad de una entidad es tan fuerte como el eslabón más débil de su cadena de suministro, y es por ello que resulta imprescindible que se evalúen y gestionen de manera adecuada los riesgos de los proveedores. En este sentido, La Directiva NIS2 exige a las organizaciones que evalúen la resiliencia, la calidad y las prácticas de ciberseguridad de sus proveedores y prestadores de servicios y que incorporen medidas adecuadas de gestión de riesgos en los acuerdos contractuales. No es tarea fácil, pero todo paso contribuirá a la mejora general.

¿Existe escasez del talento en el ámbito de la ciberseguridad?

Este es un tema de debate recurrente en diversos foros, dado que existen estudios que arrojan un escenario preocupante en este sentido evidenciando una gran brecha de talento. En el caso de España, estos estudios indican que la demanda de profesionales de ciberseguridad duplica la oferta.

Más allá de las cifras de demanda vs oferta, lo que me parece muy relevante es la brecha en cuanto a habilidades que las empresas requieren de un profesional de ciberseguridad.

Por un lado, a nivel técnico, es necesario contar con un conjunto bastante diverso de conocimientos, que van desde seguridad de la red, seguridad en la nube, seguridad de la identidad,…. Si bien los conocimientos técnicos pueden adquirirse, es fundamental contar con una base amplia sobre la que construir ese conocimiento con una visión global y de interdependencias.

El entorno tan rápidamente cambiante de tecnologías y amenazas requiere profesionales con gran capacidad de aprendizaje (y de auto-aprendizaje), con capacidad de adaptación, con poca resistencia al cambio.

También se necesitan habilidades como la capacidad analítica, de resolución de problemas, y mucho sentido común. La prudencia me parece fundamental para poder proteger y responder en su justa medida, teniendo en cuenta el riesgo y el impacto en el negocio.

No quiero dejar de mencionar la importancia de la capacidad de comunicación, para ser capaz de adaptar el mensaje que se quiere transmitir al interlocutor al que lo estás dirigiendo. Dar a un usuario unas explicaciones demasiado técnicas es tan contraproducente como no dar ninguna.

En mi opinión, existe un déficit muy importante de profesionales versátiles con visión integral de la ciberseguridad.

También echo en falta talento femenino. Si bien ha habido un crecimiento importante de presencia femenina en el ámbito de la ciberseguridad en los últimos años, aún estamos lejos de contar con equipos diversos que enriquezcan las perspectivas a la hora de enfocar y dar respuesta a los desafíos de la ciberseguridad.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Ambrosio Rodríguez
Director

Director

Sígame en

Temas

Canales

Artículos relacionados

  • NOTICIAS

    Alfonso García sustituye a Juan Parra al frente de DXC Iberia

    15 Abr 2024

    por Ambrosio Rodríguez

    Compartir

  • A FONDO

    Minería de Datos o Data Mining: técnicas principales y ejemplos

    11 Jun 2024

    por Paloma Torres

    Compartir

  • ENTREVISTAS

    Jukka Parkkinen, CEO de Boogie Software Oy: "La IA reduce el coste de crear nuevos servicios y sistemas"

    15 Nov 2024

    por Rufino Contreras

    Compartir

  • NOTICIAS

    OpenAI lanza Strawberry (o1): un modelo de IA que razona como un ser humano

    16 Sep 2024

    por Redacción Computing

    Compartir

Siguiente

Alfonso García sustituye a Juan Parra al frente de DXC Iberia

Artículo 1 de 5