José Costa es el CISO de Tugboat Logic, una plataforma tecnológica que fue adquirida por One Trust en 2021. Costa asumió el cargo en 2019, tras haber trabajado en PwC Canadá durante más de una década.

Según dijo a SiliconRepublic.com, el papel puede ser a la vez emocionante y estresante a veces debido a las prioridades siempre cambiantes a medida que la empresa crece.

«Los CISO son responsables de permitir que la empresa siga expandiéndose y adoptando la tecnología lo más rápido posible sin incurrir en demasiados riesgos», dijo.

“It’s never about blocking initiatives or tech strategies, but about informing the rest of the management team about potential risks and working with them to develop pragmatic mitigation strategies that are not too costly or slow to implement.”

‘How will you maintain your trust in the market if you do business with shady customers?’
– JOSE COSTA

¿Cuáles son algunos de los mayores retos a los que se enfrenta en el panorama informático actual?

Desde encontrar el talento adecuado y asegurarse de retenerlo hasta los nuevos riesgos de seguridad, la ciberdelincuencia, la respuesta a incidentes y los cambiantes requisitos normativos, no faltan retos en el panorama actual de las TI.

Si tuviera que elegir una, diría que se trata de la gestión de la seguridad en la cadena de suministro. Esto, por supuesto, requiere establecer un sólido proceso de gestión de riesgos de los proveedores.

Sin embargo, también se trata de gestionar a esos proveedores a lo largo de su ciclo de vida y de capacitar al resto del equipo para que mitigue activamente los riesgos de seguridad proporcionándoles las herramientas y el apoyo adecuados. La mitad de la batalla consiste en asegurarse de que los empleados de la organización comprendan que la seguridad es responsabilidad de todos y que todos son responsables.

¿Cómo están abordando la transformación digital?

Nuestra organización está revolucionando los mercados de la gobernanza, la gestión de riesgos y el cumplimiento (GRC), el medio ambiente, la gobernanza y la privacidad y la seguridad, y yo diría que estamos impulsando una importante transformación del sector.

Estamos interrumpiendo el mercado de los productos de GRC heredados que normalmente se centran sólo en las grandes empresas y son caros, toscos y extremadamente difíciles de implementar. Esos productos heredados no satisfacen las necesidades de la mayoría de las organizaciones que necesitan una solución para gestionar eficazmente sus programas de cumplimiento y establecer la confianza con sus clientes, proveedores y partes interesadas. Estamos llenando ese vacío con la automatización, la facilidad de uso, la orientación y la tecnología para hacerlo accesible.

Internamente, estamos transformando algunos de nuestros procesos para seguir creciendo de forma sostenible sin perder nuestra agilidad y dominar la nueva categoría de mercado que estamos definiendo. Lo estamos consiguiendo dotando a nuestros empleados de habilidades digitales e implementando tecnología que puedan utilizar para tomar decisiones basadas en datos con gran rapidez.

También estamos impulsando y adoptando nuestra cultura de dar prioridad al cliente y a las personas. Si hemos aprendido algo de estos años de pandemia, es que la capacidad de adaptarse rápidamente a los cambios drásticos es fundamental para el éxito de cualquier organización. Vemos la transformación digital como un viaje, y si lo hacemos bien no creo que terminemos nunca de transformarnos.

¿Cómo se puede abordar la sostenibilidad desde la perspectiva de las TI?

Creo que es mucho lo que las TI pueden hacer no sólo por la sostenibilidad, sino por otras iniciativas de ASG. En primer lugar, debe empezar por lo pequeño, definir sus valores, alinearlos con su organización y defenderlos.

Así es como empezará a tener un impacto, y verá cómo estos valores se extienden por su organización. Te ganarás la confianza de tu equipo y de tus clientes con la transparencia y la autenticidad.

La sostenibilidad no es un ejercicio de marcar casillas: si usted no cree en las iniciativas, sus empleados y partes interesadas tampoco lo harán. Son cosas que le importan a la gente y le ayudarán a retener a sus empleados y clientes si las hace bien.

After you have a good idea of your values and what you want to implement, start ensuring that your vendors adhere to them. When deciding who we use as a vendor, we have a choice, and we need to start asking some hard questions.

Creo que también podemos trasladar el mismo pensamiento a nuestros clientes. Esto puede ser una decisión más compleja, pero también tenemos la opción de decidir a quién vender nuestros servicios o productos. ¿Cómo vas a mantener tu confianza en el mercado si haces negocios con clientes dudosos o te relacionas con proveedores que no se alinean con tus valores?

¿Qué grandes tendencias tecnológicas cree que están cambiando el mundo?

La intersección entre ética y tecnología es bastante fascinante. Estamos en un momento en el que podemos conseguir grandes cosas con la conectividad entre aplicaciones y el intercambio de datos en general. El amplio abanico de innovaciones que pueden lograrse combinando datos de diferentes fuentes, interpretándolos y presentándolos de diferentes maneras puede ser realmente impactante y valioso.

La unión de datos de múltiples fuentes en tiempo real podría permitirle tomar decisiones sobre su negocio sobre la marcha y ser verdaderamente ágil. Esto puede dar miedo muy rápidamente si no protegemos a los interesados y regulamos el uso de esos datos para asegurarnos de que no se utilicen de forma no intencionada que pueda perjudicar a las personas o traspasar los límites de las libertades personales.

La transparencia y el establecimiento de la confianza serán cruciales y los profesionales de la seguridad tendrán un papel esencial en ello.

¿Cómo podemos hacer frente a los retos de seguridad a los que se enfrenta actualmente su sector?

Puede que esto no sea muy popular, pero creo que nos vendría bien un cambio normativo y legislativo que sea ágil y pueda adaptarse rápidamente a los cambios tecnológicos.

Establecer algunas expectativas básicas en torno a la postura de seguridad de las empresas puede parecer una iniciativa costosa en este momento, pero ¿debemos esperar a que algo salga mal? ¿Debe alguien perder mucho dinero o resultar herido para empezar a pensar en la aplicación de las expectativas básicas de seguridad para el funcionamiento de una empresa? No, debería ser proactivo.

Al fin y al cabo, casi todas las industrias dependen en gran medida de la tecnología y las posibles consecuencias podrían ser desastrosas si algo saliera mal.

El concepto de seguridad no puede ser una idea tardía. La confianza no es algo que se construye sobre los procesos existentes, sino algo que hay que implementar por diseño, y la confianza por diseño no es una palabra de moda. Por ejemplo, nadie construiría primero un puente y luego enviaría el tráfico a través de él para probar su integridad estructural.

La seguridad está integrada en el proceso de construcción de un puente porque la ingeniería estructural existe desde hace mucho tiempo. La ingeniería informática es una ciencia muy joven, pero tenemos que empezar a pensar en integrar los conceptos de seguridad a medida que construimos y transformamos nuestras empresas y no como un parche aplicado a posteriori.

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.