José Fernández autoridad portuaria de valencia

Entrevista con José Fernández, CISO de la Autoridad Portuaria de Valencia

Nombre: José Fernández
Cargo y empresa:
CISO de la Autoridad Portuaria de Valencia
Fecha de nacimiento: 15-11-1969
Estado Civil: casado
Hijos: ninguno
Deportes que practica: esquí
Hobbies: historia y montar en moto
Estudios: Licenciado en informática
Personas a su cargo: ninguna
Antigüedad en la empresa: seis años
Trabajos anteriores: Ingeniero Preventa, Jefe de Proyecto, Responsable Técnico, Arquitecto de soluciones tecnológicas

¿A qué se dedica la parte principal del presupuesto de TI de la empresa?

Fundamentalmente a la contratación de servicios profesionales de soporte a la operación y mantenimiento, así como a la gestión de proyectos para el despliegue y mantenimiento de aplicaciones.

¿En qué área se está invirtiendo más este año?

En el desarrollo de proyectos de software.

¿Qué proyecto es del que está más satisfecho?

El despliegue de las medidas de aseguramiento del endpoint.

Si le pusieran todos los beneficios de la empresa a cargo del departamento de TI, ¿qué le gustaría implementar?

Un plan estratégico TIC que incluyese planes de modernización tecnológica, adecuación de la estructura departamental, transformación digital de la empresa, etcétera y todo ello de forma alineada con los objetivos de negocio establecidos a corto, medio y largo plazo.

¿La seguridad es un problema?

La respuesta intuitiva sería que sí, pero en los tiempos que corren tenemos que asumir que es una cuestión más a considerar y que en un futuro debería afrontarse de forma natural, del mismo modo que se gestiona el presupuesto, las necesidades funcionales, el cumplimiento regulatorio y cualesquiera otros requerimientos que existen a todos los niveles: departamento, proyecto, sistema…

¿Se puede trabajar desde casa?

Como en el caso anterior, es muy posible que el nivel de madurez tanto técnico como, sobre todo, cultural nos impida ver con naturalidad el teletrabajo. Hay trabajos que por su naturaleza no pueden realizarse en remoto (servicios de vigilancia, talleres, mantenimiento de instalaciones, etcétera), pero casi todos los trabajos de índole administrativa permiten trabajar desde casa.

¿Qué tendencias principales observa en el mundo TIC?

El uso de todo tipo de servicios en la nube, IoT/IIoT y el modelo de seguridad de confianza cero. Los dos primeros aportan grandes ventajas en determinados escenarios, pero es necesario tener muy presentes los desafíos que conllevan (seguridad, pérdida de control sobre el dato…). El último es una consecuencia inevitable de la evolución del escenario, con un perímetro difuminado debido, fundamentalmente, al uso de servicios en la nube y la deslocalización del usuario.

Bajo ningún concepto en su móvil puede faltar…

El correo electrónico y las aplicaciones de mensajería instantánea, por no hablar de todas las aplicaciones de acceso a servicios online de almacenamiento, banca electrónica, etcétera. El móvil se ha convertido en un dispositivo imprescindible con un grandísimo potencial debido a la constante mejora de sus prestaciones, lo cual abre la puerta a nuevas posibilidades.

¿Cuál es la herramienta que realmente le cambió la vida?

Es difícil elegir sólo una, pero diría que el GRC. Disponer de un control y gestión unificado de todos los objetivos, proyectos, medidas, informes, cumplimiento normativo, gestión de riesgos, cuadro de mando, etc. en una única herramienta ofrece una visión de conjunto y una potencia de gestión difícil de conseguir con herramientas “manuales” como las hojas de cálculo.

¿Harto de solucionar los problemas tecnológicos de la familia y amigos? ¿Qué le suelen pedir?

Sí, aunque cada vez menos. Por lo general, el nivel de conocimientos en tecnología del usuario medio empieza a ser razonablemente bueno y esto les hace más autónomos. Muchas veces no saben configurar el acceso a determinados servicios desde sus dispositivos, pero también problemas de hardware: PCs que entran directamente en la BIOS al arrancar porque la pila se ha gastado, discos duros cuya partición de arranque del SO se ha ido al garete…

¿Tiene cuenta en redes sociales? ¿En cuáles?

Sí, cómo no, pero debo reconocer que no soy nada de contar mi vida ni de una gran actividad en ellas. De hecho, hace tiempo abrí cuenta en FaceBook e Instagram por tema de hobbies y prácticamente no las uso. Sin embargo, presto más atención a nivel profesional, donde uso LinkedIn.

¿Qué es eso de la transformación digital? ¿Slogan o necesidad?

Es aprovechar las TIC para incrementar la productividad y hacer más cómodo nuestro trabajo. Se impone a la fuerza, aunque ciertamente todavía me sorprende el nivel de “analfabetismo digital” de muchas personas. La actual situación de pandemia y teletrabajo forzoso para mucha gente, ha obligado a bastantes usuarios “perezosos” a ponerse las pilas en el uso de herramientas colaborativas, por ejemplo. A algunos les ha supuesto un mal trago, pero la mayoría han descubierto un mundo nuevo lleno de posibilidades. Parece mentira que todavía haya quien usa el correo electrónico para todo, pero creo que también hay que evangelizar desde las áreas TI de la empresa.

¿Lo del I+D+i, es una leyenda urbana?

Creo que es imprescindible la investigación y el desarrollo y es una pena que la inversión en esa área sea tan reducida en nuestro país. Vuelve a ser una cuestión cultural, se ve como un gasto cuando debería verse como una inversión y los gobiernos (y empresas) deberían favorecerla. Siempre recuerdo con tristeza la famosa frase de Unamuno “¡Que inventen ellos!” … así nos va.

Una solución de seguridad, ¿en la nube u on-premise?

Históricamente ha habido reticencia al uso de servicios en la nube, en general, precisamente por una cuestión de seguridad, lo cual es muy cierto si no se hace siguiendo unas buenas prácticas. Sin embargo, la potencia y velocidad de actualización de una solución de seguridad en la nube no tiene rival en casos como, por ejemplo, el sandbox o la inteligencia de amenazas. Hay que considerar las ventajas e inconvenientes: ¿tiene nuestra organización capacidad de operar una herramienta on-premise?¿Si vamos a la nube, será factible una migración no traumática a otro proveedor?¿Creará una dependencia inasumible hacia el proveedor?

El barco autónomo, ¿mito o realidad futura?

En este momento me parece más una propuesta de futuro que una posibilidad viable, pero con el tiempo podría ser factible. ¿Qué hubiésemos pensado hace dos décadas del coche autónomo?

¿Cuáles son los principales ciberataques que se reciben en un puerto?

Principalmente intentos de phishing no dirigidos y escaneo de puertos, aunque ha habido algún walling (muy burdo, todo hay que decirlo) u algunos ataques con enlaces maliciosos en mensajes y documentos de los cuales no existían todavía IoCs y que se han cortado gracias a la detección de TTPs por parte de nuestro EDR.

En un puerto, ¿es más difícil gestionar la seguridad física o la cibernética?

Probablemente mi visión no sea objetiva, pero creo que las amenazas físicas son menos cambiantes y no resulta tan complejo hacerles frente que en el caso de las amenazas cibernéticas. También hay que reconocer que los esfuerzos en la gestión de recursos para la seguridad física (personal de policía portuaria fundamentalmente) son más complejos que en el caso ciber, donde es más factible la automatización mediante el uso de herramientas tecnológicas. Todo ello tendría que verse reflejado en la dotación presupuestaria.

>