Aventuras de un CISO en Rooted

Roberto Baratta
Roberto Baratta
CISO en Novagalicia Banco.

Tengo que reconocer que, tras dos experiencias en Rooted, no solo le he cogido cariño si no que me siento como en casa. Quién lo iba a decir hace un año, cuando me convencieron para dar una ponencia…., ¡y repetir este año!

Desde la posición de un CISO de una “gran empresa”, Rooted no deja de suponer una mezcla de desconfianza, curiosidad y excitación. El talento por metro cuadrado es deslumbrante, la juventud (bueno, hay de todo ya…) insultante y el desparpajo arrebatador. En definitiva, un cóctel explosivo para los que nos dedicamos más a la gestión que a la técnica y el “counterfeiting”.

En mi reciente segunda experiencia he constatado para mi deleite que el nivel nacional del ramo es excelente, por ser comedido. Uno ya ha pateado mundo en esto y siempre tenemos ese deje de que lo de fuera…, yo que sé…  Y lo que más me ha gustado, y le da una perspectiva y futuro a la profesión (y a Rooted), es que la orientación empresarial es muy relevante. Sin dejar la investigación y el “pure hacking”, nuestros profesionales (y los que están en ciernes) ya van mostrando una buena vocación empresarial, orientación al servicio y al cliente, que me hubiera costado creer de no haberlo constatado con estas, mis orejas. A ver si somos capaces de dar cabida a este talento en la piel de toro, sin proselitismos ni demagogias, que por ahí fuera también se está muy bien, se aprende mucho y ellos vienen aquí también, ¡qué caray!

Dicho esto, la fase de transformación del I+D+i en seguridad a productos y servicios aún tiene camino por delante. Supongo que el emprendimiento es una buena vía, a pesares de los pesares, de lo tremendamente complejo que es iniciar un negocio o una empresa en esta querida tierra nuestra. Esta transformación también requiere de normalización en la cualificación y formación. Tenemos un guirigay de títulos, nombres, cursos, masters que poco ayudan a dejar claro al mercado quiénes somos, qué hacemos y de qué sabemos. Condición sine-qua-non para ser reconocidos como sector y que el regulador ampare las competencias y funciones que otros, como la seguridad física o seguridad privada, si tienen. Iniciativas hay, talento y ganas también, ¿qué falta? Quizás sentido común…

De lo más relevante, bajo mi punto de vista, la proliferación de canales de exflitracion en APT’s avanzados utilizando técnicas muy novedosas. Incluso diseñando protocolos propietarios para aprovechar WiFi, por ejemplo, como canal. APT’s por cierto que están cobrando un nuevo protagonismo al pasar del mercado más “tradicional” del ciberdelito y fraude, a formar parte de un hipotético arsenal para la ciberguerra. Cabría pensar en un futuro que crear, disponer o estar en disposición de utilizar uno de estos artefactos, pudiera ser un delito de posesión de “armas de guerra” como hoy en día ya constituye prueba en los casos más relevantes de hacktivismo o ciberdelito.

Divertido también encontrar a mis colegas del mundo más “serio”; permitidme la expresión, de consultoras, operadoras, partners, bancos “camuflados” tras dejar el traje de diario y aparecerme en camiseta negra y vaqueros…, vamos que estábamos todos. Que satisfacción, además, me resultó comprobar que entiendo la mayor parte de las ponencias…, ¡no hay como esforzarse!!

Larga vida y salud a Rooted, tenéis un incondicional en mí, ya lo sabéis.