Daniel Zapico, CISO corporativo de Globalia, participó este mércoles el III Foro Ciberseguridad 2020, organizado por el diario ‘El Economista’. En sus intervenciones, además de abordar el tema del encuentro (‘Los retos de la migración a la nube’), habló sobre el rol del Chief Information Security Officer en una organización, así como la importancia de esta figura en el grupo Globalia y la absoluta implicación de éste en materia de seguridad.
En su opinión, es importante que el CISO forme parte del comité de dirección o, al menos, reporte directamente al consejero delegado: “Eso empodera muchísimo”, explicó. “Así se hace en Globalia y no somos una excepción”. Una de las cualidades que se valora cada vez más en los CISO es su capacidad de comunicación, interna y externa: “A veces las compañías no entienden para qué necesitamos medios. Por eso es importante reportar directamente, ya que a veces los intermediarios, sin mala intención, deforman el mensaje”.
🔸#ForoCiberseguridadeE
— elEconomista.es (@elEconomistaes) March 4, 2020
🗣️ Daniel Zalpico, @globalia: “El presupuesto de ciberseguridad no debe salir sólo del área de IT, sino que debería completarse con partidas del área de RRHH para formación de empleados”
🔎 La ciberseguridad en empresas, a debate pic.twitter.com/QBEwu5anwE
Zapico, un profesional con más de 19 años en tecnología de la información y seguridad, también dejó claro que, pese a los innegables puntos comunes, seguridad y tecnología son dos asuntos bien distintos; incluso existen ya requisitos legales para separarlos claramente en determinadas circunstancias. “Hace poco estuve en una reunión en la que nos mencionaban como si nos ocupáramos de la informática. Me recordó a la serie ‘The IT Crowd’. Esto no es IT, tiene mucho de personas, de concienciación, de didáctica, de educación…” En este sentido, añadió que Globalia posee CIOs (Chief Information Officer) en cada unidad de negocio y todos “con un nivel de involucración altísimo”: “Cuando hablan conmigo nunca dicen ‘lo tuyo’ sino ‘lo nuestro”.
Dejó claro también el concepto de corresponsabilidad: el CISO tiene su rol y su responsabilidad, pero la responsabilidad última es del consejo de administración. “Siempre digo que hay que analizar y luego transmitir a la dirección los riesgos y las oportunidades para que tomen sus decisiones. No hay que pensar sólo en lo que nos puede pasar, sino en las oportunidades competitivas”.
Desmitificando el ‘cloud’
En lo referente al tema central de la jornada, Zapico dejó claro que el ‘cloud’ es parte importante en la estrategia de Globalia pero quiso desmitificar algunos aspectos instalados en el imaginario colectivo y subrayó la necesidad de explicar bien el concepto a las organizaciones. “El ‘cloud’ no es seguro ni inseguro por definición. Las empresas a veces toman la decisión de ir a ‘cloud’ por moda. Hay que analizar si tiene sentido para tu modelo de negocio y si puede resultar más barato o más caro, que depende de tu forma de trabajar. ‘Cloud’ no es una sola cosa, sino que tiene que ir acompañado de cambios en procesos, en paradigmas y en organizaciones. ‘Cloud’ no es magia. Es un servicio del que te provee un tercero y te evita una serie de problemas, pero no elimina todo el riesgo. La responsabilidad de los datos, por ejemplo, no es del proveedor, es tuya”.
En todo caso, no quiso dejar de subrayar las ventajas de la nube: “Es una gran oportunidad para bien. Nos da una capacidad que antes no teníamos. nos permite centrarnos en cosas de las que antes no nos podíamos ocupar y delegar otras más operativas. No tiene vuelta atrás”.
En el coloquio, moderado por el periodista Antonio Lorenzo, participaron cuatro profesionales más, con distintos perfiles relacionados con la ciberseguridad: Xavier Gracia (Deloitte), Miguel Ángel Cervera (Microsoft España), Alan Abreu (Hiscox España) y Alejandro Ramos (ElevenPaths). La jornada fue inaugurada por Arturo Espejo, jefe de los servicios ténicos de la Guardia Civil, y clausurada por David Cierco, director general de Red.es.
