Entrevista con Ignacio Pérez, CISO de AST
Nombre: Ignacio Pérez
Cargo y empresa: CISO de AST
Fecha de nacimiento: 1981
Deportes que practica: esgrima histórica y perderme por el monte
Hobbies: ¿Viajar? En su momento la astronomía, pero ahora la tengo olvidada como la lectura, el cine, el teatro, los museos, el rol o los videojuegos.
Estudios: Ingeniería técnica en informática de sistemas
Antigüedad en la empresa: un año y medio
Trabajos anteriores: Más de diez años en el sector privado, involucrado en proyectos en más de una treintena de clientes como Contract Manager y Responsable Técnico, consultor y administrador tanto de redes como de sistemas
¿A qué se dedica la parte principal del presupuesto de TI de la empresa?
No somos una empresa al uso. Y eso se refleja en nuestros costes. ¿Dónde termina el TI y donde comienzan nuestros servicios? Aragonesa de Servicios Telemáticos (AST), es una entidad de derecho público cuya misión es proporcionar servicios y soluciones de alto valor en el ámbito de las tecnologías y servicios de la información y telecomunicaciones a la Administración de la Comunidad Autónoma de Aragón y los organismos públicos de ella dependientes.
Esto quiere decir que básicamente nos dedicamos al TI, es nuestro «core» de negocio. El desarrollo, mantenimiento y evolución de aplicaciones y soluciones tecnológicas es constante. el año pasado AST participo en 588 proyectos, con valores que van de los casi tres millones de euros a proyectos menores de mil euros o sin coste adicional.
Por su coste económico, y dificultad, es relevante el servicio de difusión de las señales de televisión y de radio (con más de 300 repetidores en toda la comunidad). AST realiza una función fundamental en la vertebración digital del territorio aragonés. Nuestras infraestructuras son usadas en ocasiones por operadoras de telefonía, permitiendo cobertura en lugares en los que económicamente no es rentable para un operador privado. Lo mismo pasa con la fibra óptica. Aragón por su enorme superficie, difícil orografía y escasa densidad de población plantea un reto enorme llegar a cubrir las necesidades de conectividad. Necesidades que a la postre permiten el desarrollo de actividades económicas y sociales que permiten conservar la población, de otra manera se verían obligadas a la migración.
Por otro lado, los proyectos asociados con la administración electrónica también son fundamentales. Mantenemos más de dos mil aplicaciones… Y el mantenimiento requiere desarrollo, evolución, cambio de tecnologías. Aquí la inversión también es considerable.
Alguno podría decir que esto no es IT de nuestra empresa, que son encargos. Pero sería como algo a medias: usamos los mismos servicios que prestamos. En los últimos tres años hemos renovado 20.000 ordenadores, los nuestros incluidos, con un conjunto de modelos estandarizados. Lo mismo nuestras comunicaciones, a efectos prácticos nuestras oficinas son unas más entre las 1800 ubicaciones de las que trabajamos.
¿En qué área se está invirtiendo más este año?
Este año coincide que estamos en plena renovación tecnológica, especialmente en los CPD (cabinas, servidores, pilas tecnológicas), así como la mayor parte de la infraestructura de telecomunicaciones en toda la comunidad.
Por otro lado, no todo es inversión económica, si hablamos de tiempo invertido, el personal del CAU da soporte a 55.000 empleados públicos, su labor es inmensa. Y con todo consiguen dar un buen servicio.
¿Qué proyecto es del que está más satisfecho?
Hay algunos que han tenido un gran impacto, como participar en el equipo que ha liderado la implantación y certificación de la entidad en la ISO 27001 y en la ISO 9001. Al igual que renovar la certificación con categoría Alta en el Esquema Nacional de Seguridad.
Sin embargo, el proyecto que más me apasiona es la creación del AST.CERT y la evolución que espero de este órgano tenga. Confió en ir aumentando su capacidad operativa, mientras disfruto de la creatividad que bulle en torno a la seguridad.
Y el proyecto más importante en el fondo es ir logrando que la seguridad forme parte del ADN de cada proyecto y actuación de AST. Como algo natural e intrínseco.
Si le pusieran todos los beneficios de la empresa a cargo del departamento de TI, ¿qué le gustaría implementar?
Aquí hay trampa: mi empresa no busca beneficio económico y básicamente toda la empresa es el departamento TI… Lo que no significa que no me gustaría que hubiera muchísima más inversión en IT, particularmente en seguridad. ¿Quién no desea eso?
Al final, dependiendo de los recursos de los que se dispone se abordan dos materias:
Nuevos proyectos para dar nuevas soluciones tecnológicas y servicios.
Aumentar la seguridad de esos mismos servicios. A menor presupuesto en seguridad mayor apetito del riesgo se ve obligada a asumir una organización, y viceversa.
¿La seguridad es un problema?
Claro, es una forma de verlo. Al final, la seguridad es una competición, si perdemos en la competición podemos tener problemas terribles. Una competición en la que participamos, lo queramos o no. Por eso es crucial ser conscientes de nuestra participación y mantenernos en forma. La seguridad es un proceso, no un estado.
Por otro lado, la seguridad también un reto que nos estimula a mejorar nuestras soluciones. Es un poco como la carrera espacial: los desarrollos que se hicieron para ir al espacio sirven para tener mejores materiales en nuestro día a día. Lo mismo ocurre con la seguridad en el código, revisando el mismo para evitar vulnerabilidades también se termina por mejorar su eficacia y eficiencia, a la par que su resiliencia. Al final cosas como, la virtualización y hoy en día la «dockerización» se desarrollaron para dar más seguridad en la dimensión de la disponibilidad, y eso trae muchas otras ventajas.
¿Se puede trabajar desde casa?
Hemos tenido la mayor experiencia de teletrabajo de la historia. Hay actividades productivas que no se pueden hacer en casa, y muchas otras que el impedimento es procedimental, no técnico. En uno de mis primeros trabajos me dieron un móvil y un portátil… y si mientras desayunaba veía que tenía problemas en una fábrica en Polonia, no salía en todo el día de la cocina. También he dirigido proyectos desde el salón de mi casa, coordinando técnicos de Barcelona, Bilbao, Madrid, Valencia y Zaragoza. Como he dicho, tiene más que ver con la cultura de la organización que con los medios técnicos.
Creo que, tras la situación actual, con el COVID-19, muchas organizaciones se van a plantear su relación con el teletrabajo. Integrándolo con más naturalidad.
Es verdad, que hay gente que no rinde igual en casa. Como el que necesita ir a la biblioteca a estudiar. Por otro lado, cuando uno teletrabaja suele tender a trabajar más horas… En mi opinión: lo ideal es un modelo mixto. Permitiendo que el día en que uno tiene que hacer un trabajo más reflexivo se pueda quedar en casa, con menos ladrones de tiempo, y otros en la oficina facilitando el intercambio de ideas y la socialización. No dejamos de ser seres sociales, necesitamos relacionarnos entre nosotros.
¿Qué tendencias principales observa en el mundo TIC?
La virtualización de aplicaciones, ya sea como programación «serverless» o principalmente con el uso de contenedores (docker). Es verdad que esto no es nada novedoso, pero el salto al uso de contenedores percibo que es más lento que, en su momento, el cambio de servidores físicos a virtuales. La virtualización de redes es otro cambio de paradigma.
Pero si tengo que destacar un cambio que se viene es el auge de la ciberdelincuencia y su capacidad extorsionadora. Este ha sido el año del «Ramsonware» dirigido, y me temo que esto solo es el principio. Es un negocio muy rentable que ha llegado para quedarse. Cuando nuestras medidas «anti-ramsonware» sean suficientemente sofisticadas, buscaran nuevos vectores de ataque. ¡Bienvenidos al «Salvaje Oeste digital»!
Bajo ningún concepto en su móvil puede faltar…
Una buena batería y la «rugerización», todos mis teléfonos personales han sido como mínimo IP67. Mi anterior teléfono, un CAT S60 se me acabo rompiendo atravesando un rio: la estanqueidad es una cualidad que se pierde con el tiempo. ¡Echo de menos su cámara térmica! Supongo que al final, lo que busco es un teléfono que no me deje tirado cuando lo necesite.
Y como aplicación una herramienta de escaneo de redes. De forma rápida te permite hacer comprobaciones rápidas cuando no tienes el ordenador cerca (sin llegar a tener un Kali en el móvil…). El resto de aplicaciones las que tendrá la mayor parte de la gente.
¿Cuál es la herramienta que realmente le cambió la vida?
Virtualización, monitorización y «Ticketing», mas como conceptos que como herramientas. Me explico:
Virtualización: Vale, no estoy descubriendo el mundo, pero cuando comencé a trabajar eran los inicios de la virtualización. Una vez, a un cliente que estábamos animando a dar ese salto se le rompió el servidor de SAP. Estuve 36 horas seguidas trabajando, sin dormir. Logramos recuperar el servicio. Con virtualización no habría habido interrupción en los servicios. Desde entonces optó por la virtualización hasta en los puestos de usuario, y creó un CPD de respaldo. Con una inversión ajustada a su tamaño, pero tomándose en serio la necesidad de continuidad de negocio.
Hoy en día la nueva virtualización son los «docker», un cambio de paradigma tan revolucionario como lo fue el otro, pero que avanza en la misma dirección: abstracción entre las aplicaciones y los elementos que las sustentan. Con la programación «serverless» no lo tengo tan claro, se depende mucho de la tecnología que lo sustenta y dificulta la portabilidad.
Monitorización, en sentido amplio. Desde la clásica de consumo de recursos (hay millones de soluciones en el mercado desde software libre de gran calidad como zabbix o nagios, hasta opciones privativas absolutamente espectaculares). Esta visibilidad te permite reducir tus tiempos de reacción (el placer de resolver un problema antes de que un usuario se dé cuenta) a estudiar la capacidad de tu entorno pudiendo calcular de antemano que necesidades vas a tener.
Pero también es monitorización los IDS, las herramientas SIEM, etc. Es decir: visibilidad. Muchas veces no sabemos cómo de comprometido esta nuestro entorno. Hay ataques que pueden parecer inocuos hasta que dan el golpe. Hoy en día, si van a secuestrar tu organización, cifrando los datos, primero tendrás una incursión durante bastante tiempo en la que los delincuentes estudiaran el funcionamiento, harán movimientos laterales y escalaran privilegios. Y cuando cuenten con los privilegios adecuados (habitualmente cuando tengan acceso al software de «backup» ) es cuando actuaran.
Por otro lado, la monitorización te da métricas: Lo que no se mide no se puede mejorar.
«Ticketing». Aquí me refiero en procedimentar y poner medios para controlar los flujos de trabajo. Una organización en que su departamento de IT está continuamente cambiando el foco de su atención según suene el teléfono está abocada al fracaso. Sus soluciones serán demasiado variopintas, dependerán mucho de contactar con el técnico concreto que realizo una u otra actuación, muchas implantaciones estarán a mitad, etcétera. Conclusión los empleados estarán más estresados, habrá más errores humanos y se quedaran más cosas por hacer.
Hay que clasificar el trabajo, poner ordenes de prioridad, asignar recursos, documentar… Lo mismo vale para los tickets para un CAU, que la gestión de proyectos, que la investigación de incidentes (RTIR), que incluso para la gestión del riesgo.
Y en este caso, el estudio de las métricas tiene que evitar caer en problemas que vayan contra la propia organización. No todo puede regirse bajo los mismos SLA. Hay elementos en los que hay que ser raudo en la respuesta, y otras tareas de mantenimiento que requieren reflexión, constancia e investigación. Es un equilibrio complicado.
Me dejo muchas otras cosas en el tintero, como el automatismo. Pero por decir tres básicas.
¿Harto de solucionar los problemas tecnológicos de la familia y amigos? ¿Qué le suelen pedir?
En mi caso no me suelen reclamar muchas cosas. Poco a poco esa brecha digital a nivel de usuario va desapareciendo: por un lado, la usabilidad es cada vez más sencilla y por otro lado cada vez estamos más familiarizados con nuevas tecnologías. De estudiante sí que me pedían más cosas, y muchas veces los que te pedían trabajar gratis no pasaban de conocidos.
De lo que sí he tenido mucha experiencia es en tareas de «helpdesk». Es un puesto muy poco valorado, tanto desde el punto de vista técnico como económico. Y sin embargo haría que todos los ingenieros estuvieran un año en ese puesto antes de hacer otras cosas. Mira, hace no tanto me llamarón un día de vacaciones por un supuesto problema de seguridad asociado a un usuario de alto nivel. Al usuario le había atendido un técnico especialista… no habían sido capaces de hablar entre ellos, como si lo hicieran en idiomas distintos. El usuario estaba molesto porque sentía que le habían tratado como un ignorante, sin que el técnico entendiera el problema que tenía… Y el técnico fue incapaz de generar confianza, de adaptar su lenguaje de manera comprensiva y de entender el problema de fondo. Al final el técnico se sintió atacado por un usuario arrogante… Cuando hable con ellos, ambos estaban molestos con el otro. Al final, logré rebajar la tensión, hacerles sentir a gusto y entender que el problema no era tan complejo, era un mero problema de configuración… A veces cuanto más sabemos más complicadas se nos ocurren las causas, tenemos que acordarnos de la «navaja de Ockham».
Aprendí muchas cosas cuando era el único soporte técnico en el turno de tarde para 300 supermercados, cosas como decir aprieta el «pichorro» (porque algo con ese nombre no da tanto miedo como RJ45)… O la paciencia y cariño que había que dar a los que gestionaban el tráfico de una pequeña compañía de autobuses local, ellos eran antiguos conductores que se sabían todos los problemas de las rutas de cabeza, pero con los teclados iban como el «vuelo del gavilán», dando vueltas antes de pulsar la tecla correcta.
Con esto no quiero decir que la gente no ha de aprender a manejar sus herramientas de trabajo. Pero sí que hay que entender su contexto, para que ese aprendizaje sea un estímulo y no una pesadilla. Los problemas tecnológicos suelen ser más sencillos que los problemas humanos.
¿Tiene cuenta en redes sociales? ¿En cuáles?
Sí que tengo. En su momento me planteé eliminar aquellas con orientación profesional (¡separad las redes profesionales de las de tu vida privada!) por los riesgos que conlleva (OSINT, o directamente «meteduras de pata»). Sin embargo, aportan ciertos beneficios. Es un poco como esta entrevista: por un lado, me expongo, pero por otro lado da difusión a las actividades de mi entidad.
LinkedIn (https://www.linkedin.com/in/sticnet/), lo use durante años para dar confianza a mis clientes. Lo sigo manteniendo tanto por costumbre, como por una ventana a contactos profesionales: algún potencial proveedor que quiere explicarte su solución; perfiles de referencia que siempre cuelgan algo interesante; etcétera. Al final es una medida de transparencia: este soy yo y este ha sido mi recorrido para llegar aquí.
Y twitter (@sticnet). Hay que entender que aquí mi perfil es más relajado, que no es una cuenta corporativa, pero con una clara orientación profesional. Siguiendo a la gente adecuada, por este medio, te ayuda a estar al día de muchas tendencias de seguridad. La noche que surgió «WannaCry» me ayudó mucho en la búsqueda de información de lo que estaba ocurriendo.
También estoy en otros foros y medios que se pueden considerar redes sociales, pero que no son de acceso público. En seguridad no se puede ser una isla: hay que compartir información.
¿Qué es eso de la transformación digital? ¿Slogan o necesidad?
Si te quedas en el slogan tienes un problema. El mundo digital es un complemento necesario en gran parte de las actividades productivas. Ayuda claramente en la eficiencia y eficacia.
Desde las AA.PP. se vive como una necesidad, tal y como reflejaba «Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos». Desde entonces hay un esfuerzo constante por potencia esa administración digital. Donde poco a poco se impone la posibilidad de realizar trámites de forma telemática, sin necesidad de gastar un día en ir de ventanilla a ventanilla. Por otro lado, en multitud de otras funciones internas las nuevas tecnologías se integran en el día a día, permitiendo acceder a la información que se necesita, cuando se necesita.
¿Lo del I+D+i, es una leyenda urbana?
Es una visión en la que invierten los jugadores líderes. El que no innova sigue a los que lo hacen, y los que no, desaparecen: «Duc, sequere, aut de via decede »
Es cierto que hay sectores cuya I+D+i igual no es tan vistosa, pero su aporte es un valor diferencial. Eso no significa que uno esté haciendo I+D+i en toda su actividad, si no en aquellos elementos que le aporten valor. Es decir, yo antes de desarrollar una solución especifica consulto el mercado e indago si ya existe una solución comercial, o de software libre, que pueda cubrir adecuadamente mis necesidades. Pero lo que sí intentamos es estar al día, en la vanguardia de las soluciones tecnológicas. También estamos explorando vías de colaboración con la Universidad de Zaragoza en cuestiones de investigación de Ciberseguridad, pero todavía está en una fase muy temprana. Pregúntame en unos años.
¿En la nube u «On-Premise»?
Ni lo uno, ni lo otro: hibrido. O mejor dicho dependiendo de las circunstancias. La nube ha traído multitud de innovaciones, no solo en el concepto en sí, sino también en cómo hacer las cosas. Los contenedores de software y sus orquestadores es algo a copiar en los CPD internos de la organización. Migrar de aplicaciones monolíticas, que condicionan la capacidad de actualización de las plataformas tecnológicas en las que se sustentan y por tanto a sus vulnerabilidades, frente a una arquitectura de microservicios. También es increíblemente sencillo desplegar nuevas soluciones, permitiendo respuestas habitualmente impensables en un entorno «On-Premise».
Con todo en la nube llueve y truena. Frente a sus innumerables ventajas, también han surgido nuevos riesgos:
Lo primero que hay que asumir es que no se puede garantizar la confidencialidad a nivel alto. Es decir, si tus activos de información son lo suficientemente interesantes como para que un actor global tan poderoso se fije en ti. Me refiero a situaciones como el espionaje de Petrobar por parte de la NSA ¿No ocurrirá eso ahora? ¿Quién me garantiza que el proveedor «Cloud» no indaga en mi contenido? Para un gran número de organizaciones este es un riesgo que pueden asumir, posiblemente su información no es tan relevante como para que te espié un país, o que si lo hace no va a interferir en tus actividades. Vamos, que, si yo estuviera en una fábrica de pienso, seguramente tendría el servidor de correo en la nube.
Por otro lado, un mal planteamiento puede crear una dependencia absoluta con tu proveedor. Puedo desarrollar todo un entorno basado en «serverless», pero si resulta que la política de precios del proveedor cambia y deja de resultarme adecuada, puede ocurrir que no tenga la capacidad técnica para migrar esa configuración a otro entorno. Hay que pensar en la nube un poco como en un CPD. Igual no percibes los problemas eléctricos, pero si hay un problema de facturación, o legal, tienes que poder migrar tus servicios.
En seguridad no hay una solución que sea perfecta, sino un compromiso entre tus recursos y los riesgos residuales que tienes que asumir.
En AST apostamos por el «Cloud» Hibrido, donde combinamos nuestro «Cloud» privado con «Cloud» público donde veamos la conveniencia. Nuestra licitación de Transformación digital de «Datacenters» ya refleja esta filosofía.
¿Las AA.PP. están suficientemente digitalizadas?
No te sabría decir. El mito dice que seguramente no. Pero también el mito dice que el empleado público trabaja lo justo y yo sigo metiendo más horas que un reloj. Hay mucho prejuicio. Supongo que quedarán muchos elementos por digitalizar, pero lo que es seguro es que también hay muchísimo digitalizado. Me explico, nosotros damos soporte a más de 2000 aplicaciones propias. El año pasado programamos por encima de las 110.000 horas… y se solicitaron 7.282 despliegues. En tres años hemos terminamos de cambiar 20.000 ordenadores… Una administración como la aragonesa tiene aproximadamente el mismo personal como algunas multinacionales. Sin embargo, nuestro modelo de negocio es mucho más variado y complejo. En nuestro caso, tenemos desde oficinas de empleo, hasta residencias de mayores, juzgados, hospitales, el 112… Entornos cuyo funcionamiento, requerimientos de disponibilidad o seguridad son muy dispares. En la mayor parte de las empresas, su core de negocio es más compacto y homogéneo; por lo que su digitalización es más sencilla.
Conclusión, vamos por el buen camino, pero es un proceso en el que hay que seguir avanzando.
¿Cómo se soluciona la comunicación digital entre Administraciones y personas tecnológicamente no avanzadas (mayores)?
No es mi campo de trabajo, por lo que hay otros profesionales que te sabrían responder con más conocimientos. A título personal puedo intuir los cursos que se dan (he participado en alguno de divulgación en «ciberseguridad»), los puntos de acceso en centros cívicos y el esfuerzo en UX que se está haciendo de cara a las aplicaciones. Y si todo falla, la administración sigue contando con numerosas ventanillas de atención al ciudadano.
¿Qué servicios son los que más solicitan las AA.PP.?
Tampoco es mi ámbito específico, por lo que no lo toméis como dogma. Para empezar los de cualquier organización: herramientas colaborativas y de comunicación, un entorno fiable y resiliente donde dejar sus activos de información. Un acompañamiento en el desarrollo de proyectos que permitan aumentar sus capacidades, bien sea mediante el uso de automatismo que permita una mayor eficiencia o desarrollando nuevas formas de contacto con el ciudadano, con su propia administración.
Y todo esto se manifiesta de las formas más dispares: desde las videoconferencias de los juzgados a los sistemas de comunicación ante incendios forestales son dos caras de la misma moneda, que requieren de tecnologías muy diferentes.
Aquí cada proyecto es fascinante y completamente diferente.