José Ignacio Mora Pérez puede parecer un nombre más, pero es el del CISO más joven a cargo de una entidad pública en España. Y eso ya lo hace ser un profesional al que mirar con respecto y escuchar lo que tiene que decir.
Aunque no podamos decir el organismo para el que trabaja, sí que podemos confirmar que gracias a su combinación de soft skills y conocimiento técnicos ha llegado a responsabilizarse de la ciberseguridad de un ente público de primer nivel. Una estrategia donde cumplimiento normativo, gestión de riesgos y gobernanza de los datos tienen especial protagonismo.
Eres el CISO más joven en una empresa del sector público. ¿Cómo se llega hasta eso? ¿Qué ha sido clave en este ascenso?
Llegar a ser CISO de manera tan temprana es una mezcla de varios factores, preparación académica, constancia, tener una visión clara del objetivo a conseguir desde el primer momento y saber identificar y aprovechar la oportunidad cuando se presenta. Sin duda la preparación y el trabajo constante han sido clave, pero también he tenido la fortuna de encontrar oportunidades en momentos adecuados y no dudar en tomarlas, algunas veces escuchando los consejos de familiares y amigos.
El ascenso ha sido el resultado de combinar conocimientos técnicos, una mezcla de soft skills y estar en el sitio adecuado en el momento adecuado. La edad puede llamar la atención, pero las personas que han tomado la decisión de confiar en mí, incluso con mi corta edad, han valorado más la confianza que he podido generar en ellos y los resultados mostrados. Para que te tengan en cuenta para un puesto de tanta responsabilidad hay que demostrar primero con actos que mereces esa confianza.
Pero antes de estar en un organismo público, tiene una experiencia ¿Cuál ha sido tu trayectoria? ¿Qué te ha aportado?
Comencé mi carrera profesional en el mismo organismo público en el que soy CISO en la actualidad pero desarrollando funciones en el área de TI. Nada más acabar el máster de Ingeniería de Telecomunicación en la ETSIT UPM, escuela que me ha enseñado no solo una gran cantidad conocimientos técnicos y prácticos sino también, como dice mi padre, me ha enseñado a pensar y a saber cómo afrontar retos nuevos y cambiantes, comencé en el área de TI como he comentado anteriormente, donde aprendí a entender cómo se construyen las aplicaciones, la visión del equipo de desarrollo y donde suelen aparecer los riesgos, con responsabilidades de administrador de seguridad y sistemas y ayudante del CISO. Esta etapa me permitió conocer de primera mano la infraestructura de la compañía y los desafíos técnicos que implican mantener entornos seguros y disponibles, además como ayudante del CISO comencé a tener la visión de la segunda línea de defensa, la gestión de riesgos, cumplimiento normativo y estrategia de ciberseguridad
Finalmente, asumí la posición de CISO. En estos dos años el ascenso ha sido muy veloz, pero me ha ido aportando un conocimiento de la organización muy amplio desde las personas hasta los sistemas, lo cual es muy útil a la hora de realizar las funciones como CISO. Más que una sucesión rápida de cargos, ha sido una evolución basada en el aprendizaje continuo y la capacidad de asumir nuevos retos para conseguir el objetivo que tenía desde que finalicé mis estudios.
Responsabilizarse de la seguridad de un organismo público tiene muchos retos hoy en día. ¿Cuáles son para ti los principales? ¿Cuáles son tus principales líneas de trabajo?
Como bien apuntas, la seguridad de la información en un organismo público tiene numerosos retos, cada vez más complejos y cambiantes. Entre ellos destacaría el cumplimiento de los marcos normativos que nos aplican (ENS, RGPD, etc.), el incremento de la exposición digital debido a la transformación tecnológica de los últimos años, la limitada concienciación y formación en ciberseguridad, la gestión de terceros y proveedores y la protección frente a amenazas cada vez más sofisticadas.
A todo esto hay que sumar la creciente capacidad de los actores maliciosos a través del uso de inteligencia artificial en campañas y ataques, que obliga tanto a las organizaciones públicas como privadas a mantener una vigilancia constante y una capacidad de respuesta casi inmediata.
En este sentido, mis principales líneas de trabajo se centran en tres ejes. El primero es el gobierno y la gestión del riesgo, integrando la seguridad en la estrategia de la organización y asegurando el cumplimiento normativo. El segundo es el fortalecimiento de las capacidades de prevención, detección y respuesta ante incidentes, impulsando la mejora continua y garantizando la protección de los sistemas y la anticipación a las amenazas. Y el tercero, que considero un pilar básico, es el desarrollo de una verdadera cultura de seguridad, porque el simple cumplimiento de certificaciones no resuelve el problema, la ciberseguridad es cuestión de procesos y personas. La formación continua en un entorno como el de la seguridad que cambia cada día es muy importante y estar formados es una obligación para todos los profesionales .
El mundo hacia el que nos dirigimos cuenta con ciberamenazas basadas en IA como estándar ¿Crees que el cibercrimen está ganando la batalla? ¿Qué esperas de las ciberamenazas?
Hablar de IA es hablar de revolución. El escenario ha cambiado mucho tras la incorporación de la IA tanto en los ataques como en la defensa, la batalla ya no es humano vs humano, hemos llegado al momento de IA vs IA.
Hacer una valoración de cómo van a evolucionar las ciberamenazas es tan complicado como lanzar una moneda al aire y que caiga de canto pero está claro que en un mundo totalmente digitalizado las amenazas se han multiplicado exponencialmente. Además, la combinación de inteligencia artificial y computación cuántica podría situarnos ante desafíos de seguridad sin precedentes, especialmente en ámbitos como la criptografía, la protección de datos y las infraestructuras críticas.
«Hablar de IA es hablar de revolución»
Pero si dejamos de lado los escenarios extremos, no creo que el cibercrimen esté ganando la batalla, aunque sí está aprovechando con enorme rapidez las nuevas capacidades tecnológicas. Históricamente, los atacantes han tenido una ventaja natural, solo necesitan encontrar un punto débil, mientras que los defensores debemos proteger toda la superficie de ataque. La IA amplifica esa ventaja permitiendo automatizar campañas, personalizar fraudes a gran escala, generar malware más sofisticado o lanzar ataques de ingeniería social prácticamente indistinguibles de las comunicaciones legítimas. Sin embargo, la misma tecnología está fortaleciendo la capacidad de defensa, los sistemas de detección son más rápidos, los procesos de respuesta están cada vez más automatizados y la capacidad de anticipar amenazas mejora constantemente gracias al análisis masivo de datos.
Si tuvieras delante a otros CISOs o responsables de TI de empresas ¿Qué consejos les darías? o dicho de otra manera ¿Qué aprendizajes te gustaría compartir?
Personalmente, prefiero escuchar antes de hablar. Gracias a esta actitud he aprendido muchísimo de CISOs y responsables de TI que considero referentes en el sector, profesionales que además me han tendido la mano y compartido su experiencia sin juzgar mi juventud o mis años de trayectoria.
Si humildemente tuviera que compartir algunos aprendizajes con otros responsables de seguridad, el primero sería no olvidar que nuestro trabajo trata de personas antes que de tecnología. Creo que uno de los factores más importantes en nuestro trabajo es la humanidad porque aunque despleguemos las mejores herramientas del mercado son las personas quienes toman las decisiones y hacen posible que una organización funcione.
«Prefiero escuchar antes de hablar»
El segundo aprendizaje, y que he escuchado en numerosas ocasiones, es hablar para ser entendidos. Puede sonar lógico pero hay tantos términos técnicos, tantas siglas y tantos conceptos de nicho que cuando se habla con personas que no son del sector es difícil que los entiendan y tratar de bajar a la tierra los conceptos de ciberseguridad que algunos son abstractos es un trabajo complicado pero que debemos tratar de hacer para, como decía antes, ser entendidos.
Si algo he aprendido en conversaciones con otros CISOs es que la combinación de humildad, aprendizaje continuo y orientación a las personas suele tener más impacto que cualquier tecnología o proceso por sí solo. Porque, en última instancia, nuestro trabajo es proteger el futuro de nuestra organización.