27 de Mayo de 2024

De los primeros virus informáticos a una completa estrategia de ciberseguridad

Cuando Luis Budge Soriano empezó a trabajar en ciberseguridad, hace 24 años, se enfocaba básicamente en combatir virus informáticos, proteger el perímetro de las redes con un firewall y evitar la fuga de información. Hoy, con tantos dispositivos conectados y el trabajo remoto, la superficie de ataque ha aumentado considerablemente. Por eso, Luis emplea tecnologías avanzadas para detectar y responder a las amenazas de manera rápida y eficiente.

Tras estudiar Ingeniería de Sistemas en la Universidad de Lima, ha reunido una vasta experiencia en diversas industrias y un enfoque integral en la gestión de riesgos tecnológicos. Actualmente, trabaja como Chief Information Security Officer (CISO) Corporativo en el Grupo Unacem.

¿Qué te llevó a especializarte en seguridad de la información?
La oportunidad se dio cuando entré a trabajar en el departamento de Seguridad de la Información del Banco de Crédito del Perú, en el año 2000. Aunque en esa época no había mayor regulación (como la hay ahora), el Banco vio la importancia de gestionar los riesgos tecnológicos que podían afectar la información —que es el activo más importante de las empresas—, con un enfoque basado en la confidencialidad, la integridad y la disponibilidad de la información. En ese momento, identifiqué que ese tema novedoso de seguridad de la información, que recién comenzaba a conocer, sería algo importante y crítico para las empresas en el futuro. Así fue. A lo largo de mi carrera, he presenciado una evolución impresionante en el campo de la ciberseguridad.

¿Cómo ha sido esta evolución?
Cuando comencé, la seguridad informática se centraba principalmente en proteger las redes y los sistemas contra virus informáticos, y evitar la fuga de información por accesos mal controlados o por la posibilidad de un hackeo. Sin embargo, con el tiempo, el panorama de las amenazas ha evolucionado drásticamente. La proliferación de dispositivos conectados, el trabajo remoto, el crecimiento del internet de las cosas (IoT) y el aumento de amenazas sofisticadas como el ransomware y el phishing han llevado a un enfoque más holístico y proactivo de la ciberseguridad. 

Hoy en día, la ciberseguridad no solo trata de defender contra ataques conocidos, sino también se anticipa y mitiga amenazas emergentes. Esta labor requiere una comprensión profunda de las motivaciones y las tácticas de los actores malintencionados, así como el uso de tecnologías avanzadas, como la inteligencia artificial, para detectar y responder a las amenazas de manera más rápida y eficiente.

En ese sentido, ¿cuáles son tus retos como CISO Corporativo en el Grupo Unacem?
Mi misión, como CISO corporativo del Grupo Unacem, consiste en mitigar los riesgos tecnológicos basados en un ataque avanzado de tipo malware que comprometa nuestra infraestructura o genere una potencial fuga de información sensible. Nos enfocamos en una sola visión corporativa con un control eficiente de los ciberriesgos. 

El Grupo Unacem opera en cinco países de la región, Perú, Estados Unidos, Ecuador, Chile y Colombia. Los retos que se enmarcan dentro de mi función son, en primer lugar, definir una estrategia común al grupo que gestione los principales riesgos a los que estamos expuestos. En segundo lugar, estandarizar la tecnología de ciberseguridad en toda la corporación, en busca de la mejor protección y eficiencia. 

Asimismo, establecer un marco de gobierno de ciberseguridad que permita hacer un seguimiento al detalle y una medición constante de los avances, con la utilización de los indicadores de performance (KPI). También, mientras que las unidades de negocio deben operar y ejecutar, el corporativo ayuda a dar visibilidad a los riesgos que se deben gestionar. Finalmente, al tener una estrategia corporativa, podemos ser eficientes, lograr una economía de escala en servicios especializados, tener mayor capacidad de negociación en licenciamiento y una reducción sustancial en gastos de consultoría debido al liderazgo y la visión corporativa.
    
¿En qué consiste la estrategia de ciberseguridad de la compañía?
La estrategia está diseñada con base en el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología, y considera los siguientes dominios: gobierno de ciberseguridad; identificación de activos digitales y riesgos; protección de los activos de información; detección de amenazas; respuesta a incidentes; recuperación y restauración de los sistemas y datos afectados.

¿Cuál es tu experiencia laboral anterior a Unacem?
Han pasado 27 años desde que comencé a trabajar como ingeniero de sistemas, 24 años dentro de la rama de ciberseguridad o seguridad de la información y 20 años en posiciones gerenciales. Inicié mi vida laboral en IBM, donde trabajé como operador del Centro de Cómputo durante tres años. Luego, pasé al Banco de Crédito del Perú (BCP) como analista de seguridad de la información, por otros tres años. La experiencia en el BCP me llevó a ser contratado por la consultora Deloitte para liderar los servicios de consultoría en seguridad de la información. Ahí, asumí una gerencia a los 28 años, y permanecí en esta empresa siete años y medio. 

Posteriormente, se me presentó la oportunidad de ser el CISO del BBVA Perú, un gran reto por lo complejo de gestionar los aspectos cibernéticos y de prevención del fraude en una institución financiera. Fue una experiencia trascendental en mi carrera, ya que trabajé bajo un modelo corporativo liderado desde BBVA España. Mi experiencia posterior al BBVA y anterior al Grupo Unacem fue en el Grupo Romero, donde me encargué de la definición y el despliegue de la estrategia de ciberseguridad en las empresas del grupo, desde su centro de excelencia Excellia.

¿Podrías comentar algún proyecto que haya sido importante en tu experiencia profesional?
Podría comentar la iniciativa relacionada con la implementación del sistema de monitoreo de fraudes en un banco, con todos los procesos operacionales asociados. Fue un proyecto complejo, pero clave para proteger a los clientes de situaciones de fraude bancario. El proyecto clave en mi función actual es la implementación de la estrategia de ciberseguridad en el Grupo Unacem.

¿Cómo crees que la digitalización y la transformación digital impactan actualmente la seguridad de la información en las empresas?
Considero que la transformación digital, que todas las empresas sin excepción abordan hoy en día, genera un impacto significativo en la seguridad de la información, debido a que existe un inevitable aumento de la superficie de ataque. 

Con la adopción de nuevas tecnologías y la virtualidad, las empresas han incrementado la cantidad de puntos de entrada que pueden ser explotados por ciberdelincuentes. Además, hay una mayor complejidad de la infraestructura tecnológica, a partir de la mayor digitalización de los procesos. Igualmente, hay nuevos modelos de negocio y riesgos asociados, por ejemplo, la nube cambió muchas de las formas de trabajar y trajo consigo nuevos riesgos que debemos gestionar.

Por su parte, los ciberdelincuentes aprovechan la digitalización y la adopción de nuevas tecnologías para desarrollar ataques más sofisticados y difíciles de detectar. Las empresas requieren una cultura de seguridad sólida en toda la organización, lo que implica la formación y la sensibilización del personal sobre las mejores prácticas de ciberseguridad.

En tu opinión, ¿cuáles son las tendencias emergentes en seguridad de la información que las organizaciones deberían tener en cuenta?
Hay varias tendencias emergentes en ciberseguridad que las empresas deben tener en cuenta para protegerse de la mejor forma. Entre las más destacables, puedo citar la inteligencia artificial (IA) y el machine learning, que se usan cada vez más para mejorar la detección de amenazas, automatizar los procesos de seguridad y fortalecer las defensas contra ataques sofisticados. 

También, se usa la seguridad basada en la confianza cero (Zero Trust Security), que promueve la idea de que las organizaciones no deben confiar automáticamente en nada dentro o fuera de su red, incluso si proviene de fuentes confiables. En su lugar, se requiere una autenticación continua y una evaluación del riesgo antes de otorgar acceso a recursos digitales.

Del mismo modo, con la creciente adopción de soluciones en la nube, es crucial implementar medidas de seguridad sólidas para proteger las aplicaciones y los datos almacenados en entornos de nube pública, privada e híbrida. Otra amenaza importante es la extorsión digital, ya que los ciberdelincuentes aprovechan vulnerabilidades en sistemas y redes para cifrar datos y exigir rescates. Por eso, la prevención, la detección y la respuesta efectivas a los ataques de ransomware son cruciales.

Finalmente, existe la preocupación por la privacidad de datos y el cumplimiento normativo. Las organizaciones deben asegurarse de cumplir con los requisitos legales y proteger adecuadamente la privacidad de los datos de sus clientes y empleados.

Aparte del tema laboral, ¿qué te gusta hacer en tus tiempos libres?
Disfruto mucho de ir a la playa en familia. En la medida de lo posible, en verano nos mudamos allá. Además, me encanta el tenis, todos en mi familia practicamos este deporte y mis hijos compiten en sus respectivas categorías tanto en el Perú como en el extranjero en esta disciplina. Otro tema al que le dedico mis tiempos libres son los autos antiguos y clásicos, me apasionan. Tengo dos autos totalmente restaurados, aunque me queda poco tiempo para disfrutarlos.

¿Cómo viviste la etapa universitaria en la Ulima?
Disfruté mucho mi etapa universitaria, hice una muy buena red de contactos y amigos excepcionales. Debo decir que mi esposa es de la Universidad de Lima también, ella terminó la carrera un par de ciclos después que yo. La Universidad ha cambiado mucho desde que yo salí, en los noventa, pero es reconocida como siempre como una de las mejores del país. Es muy probable que mis hijos estudien en el extranjero como deportistas calificados, sin embargo, si deciden quedarse en el Perú a estudiar, definitivamente me encantaría que lo hagan en mi alma mater.