Blog del CCI

lunes, 6 de julio de 2015

Entrevista: Un músico, experto en Ciberseguridad Industrial

Entrevista publicada originalmente en la Revista Sistemas ACIS (Colombia) 

Samuel Linares, aclamado como uno de los especialistas iberoamericanos más importantes en este concepto que produce insomnio a más de un ingeniero de sistemas, aceptó sin protocolos la entrevista.  
En la hoja de vida de Samuel Linares ya no caben ni los títulos ni los reconocimientos recibidos en el mundo entero, como uno de los mejores en ciberseguridad industrial. No obstante, se declara músico antes que un profesional de las tecnologías de información y las comunicaciones.

“Realmente no soy un tecnólogo, sino un músico. Me gradué primero en mi carrera musical que en la tecnológica, y llevo tocando profesionalmente en grupos desde hace más de 25 años. Toco el piano, acordeón y congas en distintos grupos, principalmente de latin jazz y salsa”, cuenta sin ningún aspaviento.

Literalmente, se “lo rapan” en diferentes encuentros para que narre sus experiencias de más de 15 años trajinando con el concepto que pone en jaque  a más de un “encumbrado” ingeniero de sistemas. Y Linares como si nada. Su sencillez está muy lejos de aquellos que viven ensimismados con sus egos de bits y de bytes.

Su recorrido en las lides del mundo informático va desde la integración de sistemas hasta la gestión de proyectos multinacionales y multiculturales, como se lee en una de las reseñas con su nombre en la virtualidad. Director de Servicios de Ciberseguridad de Intermark Tecnologías; experto evaluador de la Comisión Europea; Experto CIIP (Protección de Infraestructuras Críticas de Información de ENISA (Agencia Europea para la Seguridad de la Información y de las Redes) y gerente del equipo de seguridad M45 del clúster TIC de Asturias.

Linares describe así sus mayores logros en la tecnología. “Creo que haber sido el principal promotor del concepto y término ´Ciberseguridad Industrial´ en nuestro idioma, es algo de lo que estoy muy orgulloso. Recuerdo hace unos años, cuando uno buscaba contenidos en español en cualquier buscador de internet, y no se mostraban resultados. Hoy, el término es aceptado internacionalmente e incluso es parte de las agendas de muchos países. Sin ir más lejos, en España están en proceso de desarrollo de un esquema nacional de ciberseguridad industrial, dice sin el más mínimo asomo de arrogancia.

Hoy es Senior Lead Technologist en Booz Allen Hamilton.

Y terminado el preámbulo, entramos en materia.

Revista SistemasDesde su experiencia, ¿la convergencia de la seguridad cambia el actual panorama de riesgos en las organizaciones? ¿De qué forma lo hace?
Samuel Linares: Absolutamente. Tenemos el privilegio (y el reto) de estar asistiendo a cambios muy importantes en el panorama de riesgos corporativos y personales que nos rodea. Las amenazas, cada vez más avanzadas y dirigidas; el perfil de exposición -creciente de forma exponencial-; y, sin duda,  la convergencia de la seguridad, hacen que la aproximación tradicional para la gestión del riesgo en la que la probabilidad era uno de los parámetros a tener en cuenta, no sea igual de efectiva que en el pasado. Hoy en día, necesitamos proteger (en mayúsculas) nuestras organizaciones,  nuestras naciones, y nosotros mismos, y no podemos considerar esta protección de forma aislada,   desde los ámbitos ciber o físico. Necesitamos una aproximación holística e integrada, no dependiente de la probabilidad. Es un hecho que las amenazas y debilidades existen y que en cualquier momento, una acción determinada de un atacante (o incluso una acción no deliberada de nuestra fuerza de trabajo) puede afectarnos, por lo que debemos buscar nuevas aproximaciones que cubran este nuevo entorno.

RS: La invasión de "las cosas", representada en dispositivos que transmiten y hablan sobre las personas, ¿qué retos adicionales trae para la seguridad y control en las organizaciones?
SL: Estas "cosas" en realidad no sólo hablan sobre las personas, sino también sobre el entorno, los procesos, otras máquinas o "cosas". En definitiva, más datos y más información que pueden ser explotados, positiva o negativamente, por un tercero. El perfil de exposición de las organizaciones y de las personas se multiplica día a día, y las capacidades analíticas disponibles también. El mayor reto al que estamos expuestos es el tratamiento integral de la privacidad, la ciberseguridad, la seguridad física, la medioambiental, la seguridad personal y de otros aspectos operacionales.

RS¿Se requieren nuevos estándares de seguridad y control para enfrentar el reto de la convergencia tecnológica?
SL: Muy probablemente. Homogeneizar y consensuar los principios básicos de este nuevo entorno sería muy beneficioso para el mercado, las organizaciones y los profesionales. Todos somos conscientes que desde el elemento más básico, si preguntamos a 10 organizaciones o profesionales, cuál es la  definición de ciberseguridad o de internet de las cosas, recibiremos 10 respuestas distintas. Si vamos más allá en busca de buenas prácticas o métodos, la diversidad no hace sino aumentar. Cuanto antes lleguemos a unos conceptos y aproximaciones comunes, lograremos madurar como industria. Sin embargo, no soy demasiado optimista en este sentido. Infortunadamente, es un hecho que los estándares y buenas prácticas siguen un ritmo bastante más lento que la actual evolución tecnológica y de las organizaciones.

RS: En el marco de la convergencia tecnológica, ¿cómo define el nuevo perfil del CISO (Chief Information Security Officer)? ¿Cuáles son sus características más relevantes?
SL: El perfil del CISO es indispensable en este nuevo entorno convergente, puesto que la protección de la información es uno de los pilares básicos. Sin embargo, mi percepción (totalmente personal) es que debe pasar a ser un perfil de soporte a uno nuevo, que a mí me gusta denominar CPO (Chief Protection Officer), encargado de la protección integral de la organización, tanto física como lógica (ciber) y que debe reportar de forma directa a (y formar parte de) la alta dirección de la organización. Es indispensable que el nuevo CISO, sin ser un experto en el resto de aspectos de la protección de la organización, sí tenga unos conocimientos básicos de los mismos, de forma que pueda entender, participar y proponer en esa aproximación de protección integral.

RS¿Cuál debe ser la postura del CISO (Chief Information Security Officer) frente a esta convergencia tecnológica? ¿Proactiva? ¿De qué forma?
SL: Sin lugar a dudas, proactiva, aunque sólo sea por instinto de supervivencia. En primer lugar, el CISO debe adquirir conocimiento y experiencia en los ámbitos que hasta ahora veía desde la distancia (seguridad física, seguridad laboral, etc.); y, de forma paralela, establecer vínculos con los responsables de esas prácticas en la organización, de forma que el intercambio de experiencias y conocimiento enriquezca las aproximaciones individuales y sirva para construir la integral.

RS: Desde su experiencia, ¿qué consejos prácticos le daría a las empresas que van a enfrentar el reto de la convergencia tecnológica?
SL: Curiosamente, mi consejo principal es que comiencen por las personas, no por la tecnología. Es indispensable establecer relaciones personales basadas en la confianza entre los distintos miembros del equipo que debemos involucrar, de forma que se construya un ecosistema interno robusto, en el que compartir conocimiento, experiencias y posteriormente información, sea una realidad. Después, de forma casi natural, deberemos definir y desarrollar (consensuadamente) los procesos necesarios. Y, finalmente, contar con las soluciones tecnológicas necesarias.

RS: ¿Considera la necesidad de generar una nueva cultura que rija las condiciones de seguridad en las organizaciones y los entornos sociales?
SL: Creo que esta es precisamente una de las conclusiones que emanan de mis anteriores respuestas. Sí, necesitamos generar una nueva cultura, de ahí que mis recomendaciones se centren inicialmente en las personas y no en la tecnología.
 
RS: ¿Qué papel debería jugar la Academia, en el marco de la convergencia tecnológica y la gestión de seguridad de información?
La Academia tiene una oportunidad muy interesante en este ámbito. Como estamos viendo, son necesarias nuevas aproximaciones, metodologías, modelos de gestión y gobierno, y sin duda nuevas tecnologías, que la industria de forma general no será capaz de desarrollar por sí misma. Las organizaciones suelen estar centradas en sus procesos productivos, y la Academia puede adoptar un papel decisivo en la investigación, desarrollo e innovación en este nuevo ámbito, proponiendo nuevos caminos a seguir.

RS: Los Estados en los diferentes países ¿cómo deben asumir los nuevos retos de la convergencia tecnológica, frente a la seguridad de la información?
SL: De forma inmediata, con la más alta prioridad. La economía, sociedad e infraestructuras de un Estado pueden verse altamente afectadas por un incidente en este nuevo entorno, por lo que deben impulsarse iniciativas públicas y privadas en todos los ámbitos, de cara a gestionar y mitigar en lo posible estos nuevos riesgos. Como en cualquier organización, una estrategia, soporte y gobierno claro, son necesarios desde los más altos estamentos. El establecimiento de unas líneas base de protección para determinadas organizaciones e infraestructuras críticas, viene desarrollado habitualmente por la publicación de la legislación y regulación necesaria; y, por supuesto, la búsqueda de los incentivos adecuados a la industria deben ser actividades a incluir en la agenda.

RS: ¿Cuáles recomendaciones daría usted para minimizar los riesgos que corre la información, impactada por la convergencia tecnológica?
SL: No podemos proteger lo que no conocemos. En primer lugar, debemos "conocernos" mejor, identificando los datos e información que tratamos, gestionamos y "emitimos" (como organización, como infraestructura y como individuos parte de ese ecosistema), para proceder a su clasificación (aproximación tradicional). Analizar nuestros procesos, tecnologías e infraestructuras, nos permite ser conscientes de nuestras debilidades. Mantener una conciencia situacional avanzada sobre el entorno de amenazas al que estamos expuestos y, sobre todo, involucrar a todas las personas, áreas y departamentos en este camino, ofreciendo el máximo valor, personal y profesional, a quienes participen. La única manera de conseguir protegernos en una forma adecuada es construir un ecosistema basado en la seguridad y la confianza, establecido sobre relaciones personales basadas en la colaboración, la coordinación y el compromiso mutuo.

RS: ¿Cómo inciden los desarrollos tecnológicos en su vida personal? ¿Son vitales?
SL: No necesariamente. Procuro diferenciar en lo posible mi vida personal de la profesional y no soy un "adicto" a la tecnología, más bien lo contrario. Disfruto mucho más de un fin de semana sin conectividad en las montañas de Asturias o de una noche en el desierto cerca de Abu Dhabi cuando tengo oportunidad, que en la sección de tecnología de una galería comercial.

*Cuestionario preparado conjuntamente con Jeimy J. Cano M., director de la revista.

Sara Gallardo M.Periodista comunicadora, universidad Jorge Tadeo Lozano. Ha sido directora de las revistas “Uno y Cero”, “Gestión Gerencial” y “Acuc Noticias”. Editora de Aló Computadores del diario El Tiempo. Redactora en las revistas Cambio 16, Cambio y Clase Empresarial. Ha sido corresponsal de la revista Infochannel de México y de los diarios “La Prensa” de Panamá y “La Prensa Gráfica” de El Salvador. Autora del libro “Lo que cuesta el abuso del poder”. Investigadora en publicaciones culturales. Gerente de Comunicaciones y Servicio al Comensal en Andrés Carne de Res, empresa que supera los 1800 empleados; corresponsal de la revista IN de Lanchile. Es editora de esta publicación.

No hay comentarios :

Publicar un comentario en la entrada