El pasado 1 de mayo de 2022, GMV Secure eSolutions llegó a una mayoría de edad (más). Se cumplieron 18 años (La mayoría de edad de los CISOs Pioneros) desde que su Dirección General nombrase un CISO para la compañía y lo incorporase al Comité de Dirección de la empresa.

Esta decisión, alienada con la visión innovadora y pionera en seguridad propia del ADN de GMV, se ha revelado con el paso del tiempo tan pionera como acertada. Sin embargo, el mercado TI del momento la valoró con una mezcla de curiosidad y sorpresa, en línea en el contexto de mercado de la seguridad de entonces.

En 2004 se acababa de publicar UNE 71502, que evolucionaba BS 7799, y que en 2005 se transformó en ISO 27001. El Esquema Nacional de Seguridad y las leyes PIC llegarían seis años después, aunque ya estaban vigentes LSSICE y LOPD (con reglamento LORTAD).

El mercado se autodenominaba en 2004 como de “seguridad informática”, con algunas empresas avanzadas que ya nos aplicábamos la denominación de “Seguridad de la Información”. Términos posteriores como “Seguridad Integral”, “Seguridad Convergente” se empezaban a intuir, y la “ciberseguridad” no estaba siquiera acuñada en los términos actuales.

La respuesta ante las amenazas de entonces era fundamentalmente tecnológicas, y  empezaban a superar la definición del perímetro de seguridad (Keep Good Guys In, Keep Bad Guys Out) con o sin antivirus de pasarela y detectores de intrusos, para empezar a emplear  cortafuegos en alta disponibilidad en dos niveles y segmentación de redes internas, con algunas iniciativas de sandboxing y los primeros SIEM. Los más valerosos gestionaban vulnerabilidades y hacían pentesting. No había virtualización, las nubes eran cosa del hombre del tiempo, pero a falta de Ransomware, estaban los virus de macro de Office o el ILoveYou. Ya se atacaba a las organizaciones vía XSS o SQLi, pero no salían en los medios y casi siempre “atacaban a otros”, porque no había obligación de reportarlos a la Autoridades.

En este entorno de riesgos tan ciertos como infravalorados, muchas organizaciones no priorizaban las necesidades de seguridad o las postponían indefinidamente. Una tarea esencial del CISO era la evangelización sobre la necesidad de su función, el valor que aportaba y lo necesaria del mismo. Un mensaje que era habitualmente recibido con escepticismo, cosa que lamentablemente sigue ocurriendo.

Lo que hace 18 años fue visión pionera de GMV, en la actualidad es una práctica profesional razonablemente establecida con cientos de profesionales que se definen en este rol. Numerosas organizaciones, sea por convencimiento o por requisito legal, han incorporado al CISO a su organigrama. Aún queda avanzar en la independencia de la función, dela mejora de los medios de que dispone, y de su posición en la organización y, para tener siempre interlocución directa con la Dirección sin necesidad de intermediarios.

Feliz mayoría de edad, compartida con todos los CISOs. Y felicidades por el trabajo hecho estos años. ¡Quien lo hubiera predicho! ¿o no? ¿Fuimos tan pioneros?

Mariano J. Benito, CISO, GMV Secure eSolutions y miembro Grupo Seguridad Autelsi.