"En Adif hemos apostado claramente por un modelo Zero Trust" (Esther Mateos, Adif)
- Video
Hace unos años la presidenta de Adif, Isabel Pardo de Vera, impulsaba el nombramiento de cinco nuevos directores generales en el marco de la estructura organizativa que destacaba las áreas estratégicas de actividad de la compañía. Y una de esas áreas estratégicas es la seguridad, a cuyo cargo está María Esther Mateo Rodríguez, a quien pudimos entrevistar en el marco del I Foro ITDS centrado en Zero Trust.
Lo primero que preguntamos a la directora general de Seguridad, Procesos y Sistemas Corporativos de Adif es si cree que la empresa española está concienciada en ciberseguridad. La respuesta es tan compleja como la propia situación del mercado. Asegura no desvelar nada cuando dice que existe un alto nivel de riesgo, un perímetro inmenso que proteger y una necesidad de hacer una gran inversión, y que los ciberdelincuentes no hacen sino esperar el momento, el vector de ataque y el objetivo, “con lo cual la situación es compleja, pero mirándola conozco con optimismo porque tenemos por delante un reto grande”.
Asegura al mismo tiempo Esther Mateos que las empresas sí que están concienciadas pero que “hace falta un cambio cultural para que el problema no sea exclusivamente del CISO y su equipo, sino de toda la compañía”.
El aumento que ha habido de ataques de ransomware, phishing o ataque al CEO son algunos de los retos a los que se enfrenta el CISO postpandemia. Además, asegura la directiva de Adif, con el COVID “hemos sido todos conscientes de que el trabajador es el eslabón más débil, junto con la cadena de suministro”. Finalmente menciona un tercer aspecto que debe contemplarte como reto: la fiebre por implantar tecnología.
Zero Trust, el modelo de seguridad que se impone en la empresa y que es el motor que ha impulsado este primer Foro ITDS es también una apuesta dentro de Adif donde “no concebimos ya otra forma de protegernos frente a modelos previos”. Añade Esther Materos que además del ámbito IT “tenemos un ámbito OT que requieres de un modelo diferente. En eses sentido hemos apostado claramente por el modelo Zero Trust”. Menciona la directiva la capacidad del modelo de promover una visibilidad total sobre lo que hay conectado a la red; la doble autenticación; el control de acceso en función a los roles; una tecnología que además encuentre patrones extraños; monitorización continua del estado de seguridad de la red, así como la capacidad de respuesta hacia el ataque; “con lo cual para nosotros, Zero trust es una apuesta firme, junto con la securización del cloud”.
Preguntamos a Esther Mateos por la madurez de Adif en los diferentes pilares que deben tenerse en cuenta en el modelo Zero Trust. Menciona la directora general de seguridad de Adif que el gran reto de la compañía es alcanzar el nivel de madurez en OT que ya se tiene en IT y que uno de los grandes retos tiene que ver con los endpoints de la parte OT, “y en donde más tenemos que centrarnos en Adif”, sin que eso signifique que no haya “margen de mejora” en otros pilares de Zero Trust.
La falta de talento es, desde hace tiempo, un problema en el mercado tecnológico, más en el seguridad, y mucho más cuando además se tienen que tener en cuenta aspectos como el OT o el cloud. ¿Crees que se están dando los pasos necesarios para para abordar esta problemática? Comenta que el problema parte desde la inexistencia de una formación reglara que permita conocer los pasos que a priori tiene que dar una persona para tener las competencias necesarias; “creo en eso hay que mejorar” porque “todavía creo que no tenemos claro lo que debe estudiar alguien que se quiera hacer especialista en ciberseguridad en el ámbito OT”, por ejemplo.
“Apasionante”, así prevé Esther Mateos el futuro de la ciberseguridad en un momento de cambio tecnológico hacia el 5G, la inteligencia artificial o el IoT.