La privacidad y el cumplimiento normativo, son aspectos fundamentales para tener un buen Gobierno IT en cualquier organización. Para hablar sobre ello, Byte TI, junto con HCL Software y DataDog, organizaron un encuentro que contó con la participación de David Caballero, CIO de Kymatio; Manuel Asenjo, CIO de Broseta; José Luis Berrocal, EMEA security sales leader de HCL Software; Carlos Castells, CIO de Serban; Daniel Damas, head of IT assurance de Nationale-Nederlanden; Alejandro Expósito, CIO de Servatrix; Jaime Alonso, sales engineering manager de DataDog e Ildefonso Vera, director de transformación digital de Isdefe.
Implementar políticas robustas de privacidad y cumplir con el conjunto de normativas existentes, proteger los datos sensibles para fortalece la confianza de los clientes son sólo algunos de los aspectos que deben tenerse en cuenta en un buen gobierno de las TI. Una correcta estrategia reducirá el riesgo de sanciones legales a la vez que mejorará la continuidad del negocio y fomentará una cultura de responsabilidad y transparencia. En este sentido tanto DataDog como HCL Software son dos firmas que están ayudando a las organizaciones a desarrollar una correcta estrategia de Gobierno IT. La primera de ellas es una una plataforma SaaS de monitoreo, observabilidad y análisis que ofrece una visión unificada de la infraestructura y las aplicaciones, permitiendo a las empresas supervisar el rendimiento y la seguridad en tiempo real. De esta forma, ayuda a las empresas a cumplir con las normativas existentes e implementa medidas de seguridad avanzadas para proteger los datos sensibles.
Por su parte, HCL Software, es la división del gigante indio HCL. En el apartado del Gobierno IT, su propuesta incluye soluciones que aseguran el cumplimiento de las diferentes regulaciones. Además, implementan sistemas para identificar, evaluar y mitigar riesgos relacionados con el incumplimiento normativo y desarrollan tecnologías avanzadas para proteger datos sensibles y garantizar la privacidad de la información.
Ambas compañías están ayudando a sus clientes a adaptarse a una realidad en la que el cumplimiento de las legislaciones empieza a ser cada vez más complejo. Tal y como explicó Ildefonso Vera, director de transformación digital de Isdefe, “o nos adaptamos o afectará a la productividad de las empresas. Tenemos cambios constantes prácticamente todos los meses, por lo que hay que estar atentos a las nuevas llamadas y a lo que sale en el mercado. Los departamentos internos de IT deben encargarse de gestionar servicios. En nuestro caso, estamos trabajando en tres direcciones: asegurar la continuidad de negocio, asegurar datos de clientes y proveedores y una tercera linea que es la seguridad de la información, porque cada vez se manejan más datos.
Alejandro Expósito, CIO de Servatrix, afirmó que en el caso de su compañía, “tenemos una ventaja y es que somos una spinoff de la Universidad Autónoma y está todo por hacer, lo cual es una ventaja ya que no tienes que adaptarte y no hay un legacy. La mentalidad tenemos tienen sobre el control o el Gobierno IT es que la ciberseguridad y la protección de los datos deben formar parte del ADN de la compañía”.
La diferencia entre las formas de operar de las empresas quedó muy clara desde el principio. Por ejemplo, y tal y como expuso Daniel Damas, head of IT assurance de Nationale-Nederlanden, “nuestra idiosincrasia es totalmente diferente a la que tienen otras firmas. Por ejemplo, en nuestro caso estamos completamente regulados. Y eso provoca que nos adelantemos a lo que pueda venir. Esto es algo que, por ejemplo, estamos haciendo con la NIS2 actualmente. El Gobierno todavñia no ha transpuesto la directiva a la legislación española, pero queremos estar preparados para cuando lo haga, así que lo que hemos hecho es adaptarnos a la IS27000”.
La privacidad y el cumplimiento normativo, son aspectos fundamentales para tener un buen Gobierno IT en cualquier organización
Carlos Castells, CIO de Serban, explicó que sus desafíos son varios: “En nuestro caso, tenemos, por un lado, el GAP tecnológico, pero por otro, estamos adquiriendo empresas en otros países que tienen regulaciones diferentes con lo que tienes que adaptarte a todas ellas. A todo esto hay que añadir que tienes que dar servicios a los clientes y mantener todas las regulaciones es complejo. La parte más importante para nosotros es por tanto la observabilidad”.
Por su parte, Manuel Asenjo, CIO de Broseta, dio prioridad a la protección. Tal y como explicó, “para Broseta el principal objetivo y lo más importante de nuestra estrategia es no perder la credibilidad por parte de los clientes. Por este motivo la protección de sus datos es una de las partes más importante”.
Como abordar la situación
Proteger datos y cumplir la normativa supone, como hemos visto, distintos retos. Pero hay algunos elementos fundamentales y que deberían ser comunes a todas las empresas. En este sentido, José Luis Berrocal, EMEA security sales leader de HCL Software, cree que “el abordaje correcto es cuando el negocio está alineado con las estrategias de TI y se automatizan las funciones. Se trata de implementar estrategias que tienen sentido. Nuestra herramienta permite que las empresas cumplan con todas y cada una de las regulaciones que existen. Entre otras cosas, realizamos un control completo de todas las herramientas que tienen implementadas las empresas”.
Por su parte, Jaime Alonso, sales engineering manager de DataDog afirmó que “las empresas que tienen éxito en el gobierno IT son aquellas que tienen una cultura adecuada. Si siguen trabajando en silo es más complicado, mientras que aquellas que tienen alineada la seguridad y el compliance con el resto de equipos y divisiones son las que tienen éxito”.
En este sentido, Ildefonso Vera afirmó que “en el caso de Isdefe, lo que intentamos es involucrar a todo el mundo en la parte de la ciberseguridad, para que todo esté alineado. Es verdad que esto genera más burocracia, pero no queda más remedio si quieres cumplir con la legislación”
Para Alejandro Expósito, “lo que es burocracia y esos procesos que son tediosos son un tema cultural. En mi caso, negocio es el que obliga a cumplir con la parte de ciberseguridad y de cumplimiento. Si no cumplimos con una normativa, en nuestro caso, puede suponer el frenazo de un determinado proyecto. Así que son los propios usuarios los que te exigen cumplir con las normas. La gobernanza está para proteger los datos”.
En muchas ocasiones “el problema es que no siempre el cliente interno está alineado. Hay veces que el cliente lo único que quiere es el sello que le permite demostrar que cumple con la normativa, pero le da igual el resto de cosas”, afirmó David Caballero, CIO de Kymatio.
Para Daniel Damas de Nationale.Nederlanden “tiene que haber un balance. Nosotros estamos experimentando con diferentes actuaciones porque el área de seguridad tiene unos patrones muy bien definidos y lo que queremos es mejorar el pipeline. Si un departamento o un usario no cumple con las reglas, entonces eres un stopper. En nuestro caso, ahora todo el mundo sabe que cuando alguien pasa una aplicación sabe que ya cumple con las normas”.
Para Carlos Castells, “es cierto que todo el mundo quiere un sello, pero ha tenido que venir una normativa para exigir que realmente se cumple con ella. Es triste que esto suceda. El problema es cambiar los procesos y la cultura de las empresas sobre todo en aquellas que tienen un cierto tiempo de existencia”.
Capacitación de empleados
Uno de los problemas principales es el relacionado con la capacitación de los empleados. Se trata de que se empapen de una nueva cultura de la ciberseguridad y eso puede resultar complejo en algunos casos. En este sentido, Damas considera que “una de las claves es la de no imponer cómo se debe actuar. Se trata de que sea el empleado el que se de cuenta de la importancia de realizar acciones con seguridad. De esta forma, si comete un error la próxima dejará de cometerlo”.
Luego está el problema de la experiencia y la edad. Aunque durante el debate, algunos participantes aseguraron que a los más jóvenes resulta difícil imponerles determinadas normas, la mayoría considera que el principal reto viene de parte de los empleados más mayores, a los que es más complejo cambiarles su forma de trabajar. En este sentido, el portavoz de Isdefe afirmó que “la gente joven acepta mejor aspectos como mesas limpias o el doble factor de autenticación”
Para el CIO de Serban, la procedencia de los empleados y los países en los que se encuentran también es un apartado a tener en cuenta: “Por ejemplo, los alemanes tienen muy clara la importancia de la seguridad, mientras que en otros países no tienen ninguna preocupación por ello”.
Manuel Asenjo, CIO de Broseta, destacó, en este sentido, la parte cultural: “en la cultura europea estamos hiperrregulados lo que nos diferencia de otras regiones del mundo y luego también es importante el apartado del apoyo de la dirección. La dirección te tiene que apoyar al 100% porque es la fórmula para avanzar”.
“Ahí la normativa ha beneficiado mucho -asegura Daniel Damas de Nationale-Nederlanden-. Cuando tu le dices al Comité de Dirección que te puedes enfrentar a problemas penales tú como persona, entonces toma conciencia de la importancia de cumplir con las normativas”. En este sentido, Alejandro Expósito consideró que “cumplir con la norma no es una cuestión del CEO, sino de todo el comité de dirección. Por eso se ve que ya se da mucha más importancia a estos aspectos por parte de los consejos”
