“Los directores de seguridad ganan influencia en las empresas”
Bob Kalka, vicepresidente de IBM a cargo de la Security Business Unit
Los ataques de la ciberdelincuencia son el flanco débil de la cadena de valor en la era digital. Este fue uno de los mensajes que dejó Bob Kalka en su visita a Madrid para participar en una jornada que, efectivamente, fue abundante en mensajes. Por ejemplo, este: la respuesta convencional de añadir capas de soluciones y parches para cada brecha potencial de seguridad es altamente ineficiente ante la sofisticación de las amenazas.
Tras el cierre de la conferencia, Dinero tuvo la oportunidad de conversar con Kalka, vicepresidente de IBM a cargo de la Security Business Unit, una estructura que, curiosamente, ha sido creada con la reorganización de enero de este año. No es que IBM descubriera súbitamente el problema [el propio Kalka lleva 21 años ocupándose de lo que ahora se conoce como ciberseguridad]. Esta fue su explicación: “Tradicionalmente, en IBM se había considerado que la seguridad debía formar parte de todas sus actividades, en cada línea de la organización ha habido siempre un equipo especializado en seguridad”. En los últimos años, IBM ha adquirido 26 empresas de esta especialidad y conjugando esas fuerzas ha llegado a ser la segunda compañía del mundo en servicios de seguridad. Deme un argumento de por qué es preferible poner la seguridad en manos de IBM y no en las de una empresa especializada, que vende seguridad y nada más que seguridad? En primer lugar, IBM vende muchas otras cosas, pero tiene 12.000 clientes de sus servicios de seguridad; son nuestras credenciales. En respuesta a su pregunta: es indiscutible que asistimos a un cambio de perspectiva. Es obvio que nuestros clientes usan productos de seguridad, pero lo que vemos son docenas y docenas de productos ofrecidos por docenas de vendedores. Al mismo tiempo, ¿qué ocurre dentro de sus organizaciones? La seguridad está en la agenda de los comités de dirección y de los consejos de administración. Tanto los CIO [ chief information officer] como los CISO [ chief information security officer] son convocados a la planta noble para informar sobre lo que se hace en materia de seguridad. Es lógico que el escrutinio permanente obligue a ver las cosas de manera diferente. ¿Cuál es la diferencia? Hasta ahora, el CISO – allí donde existía– ha tenido una visión amplia, periférica, de los riesgos de seguridad en su organización, que normalmente son muy variados. Por consiguiente, opta por apoyarse en proveedores externos que le suministran productos orientados al tratamiento de cada riesgo [...] Llega un momento en el que el CISO se pregunta cómo optimizar su tiempo y su presupuesto trabajando con menos vendedores. Personalmente, me consta el caso de un cliente en Estados Unidos que paga facturas por el mantenimiento de 288 herramientas de seguridad adquiridas a 65 proveedores diferentes . Hay quien opina que hay demasiados competidores en este mercado, pero mi impresión es que su número aumenta.... Tiene una forma práctica de medirlo: para todas las categorías de productos y servicios de seguridad, Gartner ha definido 14 cua-