“Cuando hablamos de ciberseguridad, hablamos también de reputación, de continuidad de negocio y de capacidad para seguir operando con normalidad”
Osborne es una compañía con una historia muy larga, pero también con una clara vocación de innovación e internacionalización. Desde tu posición, ¿cómo se equilibra la protección de ese legado con la necesidad de avanzar tecnológicamente?
Grupo Osborne tiene una historia muy sólida, y precisamente por eso el equilibrio no está en elegir entre proteger el legado o avanzar tecnológicamente, sino en evolucionar apoyándonos en esa base. La tecnología debe permitirnos avanzar sin poner en riesgo la operación ni la esencia del negocio.
En ese sentido, nuestra aproximación ha sido siempre combinar dos ideas: por un lado, mantener unos sistemas robustos y fiables que garanticen la continuidad, y por otro, incorporar de forma progresiva aquellas soluciones que realmente aportan valor al negocio. No se trata de adoptar tecnología por tendencia, sino con un criterio claro de madurez, utilidad y encaje en nuestro entorno.
De hecho, en Osborne, la transformación digital no es algo reciente; forma parte de nuestra evolución desde hace años, aunque entonces no se denominara así, de hecho, ruando me incorporé a la compañía hace más de 25 años, quedé gratamente sorprendido por el nivel tecnológico de los sistemas informáticos desplegados y las capacidades del equipo de personas que los gestionaban.
Además, al tratarse de un grupo con actividades muy diversas, es clave entender bien las particularidades de cada negocio y acompañarlas con soluciones adecuadas, pero siempre sobre un marco común que nos dé coherencia y control. Debemos tener en cuenta que en el Grupo Osborne se gestionan negocios de muy diversa índole y con necesidades muy específicas, pasando por sectores como la elaboración y distribución de vinos y bebidas espirituosas, a la cría y elaboración de productos derivados de cerdo 100% ibérico bellota, la producción de caviar o la gestión de restaurantes, enoturismo y centros de visitas.
La ciberseguridad, en este contexto, forma parte natural de ese equilibrio: no solo como elemento de protección, sino como habilitador para poder innovar con garantías. En definitiva, se trata de avanzar, pero de forma ordenada, sostenible y alineada con las prioridades del negocio.
En una compañía con marcas tan reconocidas, ¿qué peso tiene la ciberseguridad en la protección de la reputación, la confianza del consumidor y la continuidad del negocio?
La ciberseguridad tiene un peso muy importante, porque al final no solo protege sistemas o datos: protege algo mucho más valioso, que es la confianza. En una compañía con marcas tan reconocidas como las nuestras, esa confianza se construye durante muchos años, pero puede verse afectada muy rápido si ocurre un incidente relevante.
Cuando hablamos de ciberseguridad, hablamos también de reputación, de continuidad de negocio y de capacidad para seguir operando con normalidad. Un problema de seguridad puede impactar en procesos internos, en la relación con clientes y partners, e incluso en la imagen que el consumidor tiene de la marca.
Por eso la entendemos como una responsabilidad compartida y como una parte natural de la gestión del negocio. No se trata solo de poner tecnología o controles, sino de trabajar con una visión preventiva, de concienciación y de resiliencia, para intentar estar preparados y responder lo mejor posible ante cualquier situación.
En términos de madurez, ¿cuáles han sido los avances más relevantes que habéis impulsado en los últimos años en materia de seguridad de la información?
En los últimos años hemos hecho un esfuerzo muy importante en este ámbito, y pensamos que eso se nota claramente en el nivel de madurez que tenemos hoy. No ha sido solo una cuestión de invertir en tecnología, que también, sino de ir construyendo una seguridad mucho más completa, incorporando procesos, procedimientos y una forma de trabajar más estructurada.
Hemos ido reforzando capacidades, mejorando la monitorización, la prevención y la respuesta, y sobre todo entendiendo que la seguridad no puede depender solo de herramientas, sino también de cómo se organiza y se gestiona internamente.
Y en ese camino ha sido muy importante apoyarnos en empresas especializadas como Secure&IT, que nos aportan experiencia, conocimiento y una capacidad muy específica en un entorno que cada vez es más complejo. Al final, creo que la combinación entre inversión, trabajo interno y colaboración con partners especializados es lo que realmente nos ha permitido avanzar de forma sólida en estos últimos años.
En un grupo empresarial con distintas áreas de negocio, marcas y ubicaciones, ¿cómo se consigue una visión homogénea de la seguridad sin perder flexibilidad operativa?
Creemos que la clave está en tener una base común muy clara, con unos criterios, unas políticas y unas formas de trabajo compartidas en todo el grupo, pero al mismo tiempo mantener la flexibilidad necesaria para adaptarse a la realidad de cada negocio. Al final, no todas las áreas tienen los mismos riesgos ni las mismas necesidades operativas, y eso hay que entenderlo bien.
En estos años hemos avanzado mucho precisamente en esa dirección, reforzando tecnologías, procesos y procedimientos que nos permiten tener una visión más homogénea de la seguridad, mayor visibilidad y una capacidad de respuesta más coordinada. Pero esa homogeneidad no significa rigidez; significa contar con un marco común sólido sobre el que luego se puedan hacer ajustes en función del contexto y de las particularidades de cada actividad.
Pensamos que el equilibrio está ahí: en definir bien los estándares, la gobernanza y la forma de trabajar, pero sin perder el sentido práctico. La seguridad tiene que acompañar al negocio, no entorpecerlo, y para eso es fundamental combinar consistencia con capacidad de adaptación.
La inteligencia artificial está transformando tanto la forma de trabajar de las empresas como las capacidades de los atacantes. En nuestra Jornada de Ciberseguridad, en la que formaste parte de la mesa redonda “Cómo proteger el negocio en la era de la IA”, comentabas que en Osborne empezasteis creando una política para usuarios sobre Inteligencia Artificia, pero, luego tuvisteis que ir viendo, en cada caso, qué teníais bajo vuestro control. Llevasteis a cabo formaciones y retos con la idea de “quitar el miedo” a la IA y concienciar. Para, después, ordenar, categorizar y securizar la información. ¿Qué habéis aprendido en ese proceso? ¿Cómo se consigue que los empleados vean la IA como una herramienta útil, pero la usen con criterio y responsabilidad?
Lo que hemos aprendido hasta el momento en este proceso que, por supuesto, no ha concluido, es que la adopción de la IA hay que abordarla por capas y con bastante sentido práctico. En nuestro caso, lo hemos ido entendiendo en tres ámbitos. Los dos primeros están mucho más ligados a la productividad personal de los usuarios, y el tercero ya tiene más que ver con la transformación de procesos de negocio.
El primer ámbito sería el uso más individual y asistido, enfocado a ayudar a las personas a trabajar mejor en su día a día: buscar información, resumir contenido, estructurar ideas, redactar mejor o ahorrar tiempo en tareas habituales. Ahí el valor es bastante inmediato, pero también exige unas pautas muy claras para que el uso sea seguro y responsable.
El segundo ámbito sigue estando dentro de la productividad personal, pero ya con un nivel más avanzado de integración en el entorno de trabajo. Es cuando la IA no solo ayuda de forma puntual, sino que empieza a acompañar de una manera más continua en herramientas y contextos corporativos, con acceso a más información y con más capacidad para aportar contexto. En ese punto, la gobernanza, la clasificación de la información y el control de accesos pasan a ser todavía más importantes.
Y el tercer ámbito es el que ya mira claramente a los procesos de negocio. Ahí no estamos hablando solo de ayudar a una persona a ser más eficiente, sino de incorporar capacidades de IA en procesos concretos de la organización para automatizar tareas, mejorar decisiones, ganar trazabilidad o hacer más eficaces determinadas operativas. Y ese salto exige un nivel mucho mayor de orden, orquestación, control y madurez, porque el impacto ya no es individual, sino organizativo.
Creemos que una de las claves es precisamente no mezclar esos tres planos. No intentar correr antes de tiempo. Empezar por los casos más cercanos al usuario, acompañarlos con formación, con reglas de uso y con una labor de concienciación para quitar el miedo, y a partir de ahí ir madurando todo lo relacionado con la información, la seguridad y el gobierno antes de llevar la IA a ámbitos más críticos del negocio.
Y en cuanto a cómo conseguir que los empleados la vean como una herramienta útil, pero la usen con criterio, para nosotros la clave está en explicarla bien y en hacerla cercana. Cuando las personas entienden que la IA les puede ayudar de verdad en su trabajo, deja de verse como algo abstracto. Pero al mismo tiempo, si entienden bien qué tipo de información pueden usar, en qué contexto y con qué precauciones, la adopción es mucho más responsable y sostenible.
Desde la perspectiva del riesgo, ¿qué aspectos os preocupan más?
Desde la perspectiva del riesgo, lo que más nos preocupa es, sobre todo, perder el control sobre la información y sobre el uso que se hace de ella. Al final, cuando hablamos de IA, una parte muy importante del reto no está solo en la tecnología en sí, sino en cómo se utiliza, con qué datos se alimenta y en qué contextos se aplica.
Nos preocupa, por ejemplo, que se comparta información sensible sin la debida conciencia, que se utilicen herramientas fuera del marco establecido o que se tomen decisiones apoyadas en resultados generados por IA sin el nivel adecuado de supervisión. También nos preocupa el riesgo de dar por válidas respuestas o contenidos que pueden parecer sólidos, pero que no siempre lo son si no hay criterio, contraste y contexto.
Además, también nos preocupa mucho cómo va a impactar esta evolución en el propio ámbito de la ciberseguridad. Es evidente que el uso de la IA va a hacer que los ataques sean cada vez más sofisticados, más rápidos de preparar y también más accesibles para perfiles de atacante con menos conocimiento técnico que hasta ahora. Eso eleva claramente el nivel de exposición y obliga a estar mucho más atentos a cómo evoluciona el escenario.
En ese sentido, esperamos que los fabricantes y proveedores de soluciones de seguridad sean capaces de evolucionar sus herramientas de protección al mismo ritmo, o al menos a un nivel comparable, para poder responder de forma eficaz a esta nueva realidad. Porque si algo está claro es que esta tecnología no solo va a mejorar capacidades defensivas, sino también ofensivas.
Y junto a todo eso, está también la velocidad. La adopción de estas tecnologías avanza muy rápido, muchas veces más rápido que la capacidad de las organizaciones para ordenar, gobernar y securizar su uso. Por eso creemos que el mayor riesgo no es solo tecnológico, sino también de gobierno: no tener suficientemente claro qué se puede hacer, con qué herramientas, con qué información y bajo qué reglas.
En nuestro caso, por eso lo estamos abordando de forma progresiva, combinando concienciación, formación, políticas de uso y trabajo sobre la información. Porque al final, más que frenar la IA, de lo que se trata es de conseguir que se utilice de forma útil, segura y responsable.
¿Crees que las compañías están preparadas para gobernar el uso de la IA de forma segura o todavía existe una brecha entre la velocidad de adopción y la capacidad de control?
No nos atreveríamos a opinar por todas las empresas, porque cada organización estará en un punto distinto. Pero, por lo que vemos en conversaciones con otros colegas y también por nuestra propia experiencia, sí creemos que todavía existe una brecha entre la velocidad de adopción de la IA y la capacidad real de gobernarla de forma segura.
La tecnología está avanzando muy rápido, y no siempre ese ritmo va acompañado del mismo nivel de orden, control y criterio. En ese contexto, aquellas organizaciones que ya parten de un modelo sólido de gestión de la información y de gobierno del dato, fiable y seguro, están claramente en ventaja, porque tienen una base mucho más preparada para adoptar la IA con seguridad y sentido.
Por eso, más que frenar la adopción, el reto está en acompañarla con políticas claras, formación, clasificación de la información y un marco de uso responsable.
¿Qué tipo de mensajes funcionan mejor para que la ciberseguridad deje de percibirse como una obligación o una barrera y se entienda como una forma de proteger el negocio?
Creemos que los mensajes que mejor funcionan son los que conectan la ciberseguridad con la continuidad del negocio, la confianza y la capacidad de seguir operando con normalidad.
Cuando se plantea solo como una obligación, una norma o una restricción, es lógico que muchas veces se perciba como una barrera, sobre todo porque la seguridad suele introducir incomodidades en el día a día del empleado y ahí aparece un rechazo bastante natural.
Por eso es importante explicar bien por qué esas medidas existen. No están para complicar el trabajo, sino para proteger operaciones, procesos, información y, en definitiva, la capacidad de la compañía para funcionar con normalidad ante cualquier incidente.
Además, en ese proceso de concienciación ayudan mucho tanto los casos que vemos a diario en los medios como las situaciones más cercanas que todos escuchamos en nuestro entorno personal. Las noticias sobre empresas que sufren ataques y el impacto real que eso tiene en su actividad, o incluso los fraudes y problemas de seguridad que vemos alrededor nuestro, hacen que el mensaje resulte más tangible y fácil de entender internamente.
Al final, la ciberseguridad se entiende mucho mejor cuando deja de presentarse como un freno y se comunica como una forma de proteger lo que hace posible el negocio.
¿Qué papel debe jugar el CISO en esa labor de evangelización interna? ¿Debe ser un perfil cada vez más cercano al negocio y menos exclusivamente técnico?
Creemos que depende en gran medida de la estructura, la envergadura y el nivel de madurez de cada organización. No siempre el papel del CISO puede ser exactamente el mismo, porque no todas las compañías cuentan con los mismos recursos, ni con el mismo tamaño de equipo, ni con el mismo reparto de responsabilidades.
En organizaciones donde el CISO dispone de un equipo técnico sólido, con perfiles especializados en distintas áreas de ciberseguridad, probablemente puede delegar más esa parte y trabajar más cerca del negocio, de la gestión del riesgo, de la priorización y de la interlocución con la dirección. En esos casos, su papel puede estar más orientado a traducir la seguridad en impacto de negocio, continuidad operativa y toma de decisiones.
En otros entornos, sin embargo, el CISO necesita mantener un perfil claramente técnico, capaz de entender bien los sistemas, las arquitecturas y las tecnologías que se están utilizando para proteger la organización. Y si la parte de comunicación con los órganos de gobierno no es una de sus fortalezas, probablemente tendrá que apoyarse o delegar esa labor en perfiles superiores o en otras figuras de dirección.
Y luego hay muchos casos intermedios, que probablemente son más habituales de lo que parece, donde el CISO tiene que ser capaz de ponerse la gorra técnica en unos momentos y la de gestor en otros. Es decir, entender lo suficiente la realidad tecnológica para tomar decisiones con criterio, pero también tener la capacidad de explicar riesgos, prioridades e implicaciones en un lenguaje comprensible para el negocio.
Por eso, más que hablar de un perfil menos técnico, quizá hablaríamos de un perfil más completo y adaptable. La cercanía al negocio es cada vez más importante, sin duda, pero sin perder la capacidad de comprender el fondo técnico de lo que se está gestionando.
En anteriores proyectos tecnológicos has destacado la confianza como un elemento clave en la relación con un partner. En ciberseguridad, donde se trabaja con aspectos especialmente sensibles, ¿qué significa para ti confiar en un partner?
Para nosotros, confiar en un partner en ciberseguridad va mucho más allá de que tenga conocimiento técnico o una buena solución. Eso es importante, por supuesto, pero en un ámbito tan sensible como este, la confianza también tiene que ver con la tranquilidad de saber que entienden bien tu realidad, que actúan con criterio y que responden cuando realmente hace falta.
Al final, en ciberseguridad se trabaja con información, procesos y situaciones especialmente delicadas, y por eso es fundamental sentir que el partner no solo conoce la tecnología, sino que comprende el contexto del negocio, sus prioridades y el impacto que puede tener cualquier incidente en la operación.
Confiar también significa contar con alguien que no se limita a prestar un servicio, sino que aporta experiencia, propone mejoras continuas y se mantiene actualizado sobre nuevas herramientas, tendencias y formas de afrontar un entorno que cambia constantemente. Esa capacidad de anticiparse y de ayudarte a evolucionar también forma parte del valor real que esperas de tu colaborador.
Hay otro aspecto muy importante: que mantenga su independencia respecto a fabricantes o soluciones concretas. Porque eso da mucha más confianza a la hora de analizar tus necesidades con objetividad y de recomendar la mejor opción en cada caso, no simplemente la que más interese desde un punto de vista comercial.
En definitiva, confiar en un partner es saber que tienes delante a alguien con criterio, honestidad, experiencia y vocación de acompañarte a largo plazo, no solo resolviendo problemas, sino ayudándote a tomar mejores decisiones y a reforzar de verdad tu postura de seguridad
Si hablamos del medio plazo, ¿cuáles serán las grandes prioridades de ciberseguridad para Grupo Osborne?
Si hablamos del medio plazo, creemos que una de las grandes prioridades va a seguir siendo la capacidad de adaptación. Las infraestructuras tecnológicas, los modelos de consumo de aplicaciones y la propia forma en la que las organizaciones operan están evolucionando de manera constante, y eso nos obliga a revisar continuamente si las soluciones y procedimientos que tenemos siguen siendo los adecuados.
En muchos casos, no se trata solo de incorporar nuevas herramientas, sino también de adaptar, sustituir o incluso eliminar aquellas que ya no responden igual de bien a las necesidades del negocio o al contexto de riesgo actual. Es un ejercicio constante, al que hay que prestar atención prácticamente a diario, porque la tecnología, los entornos y las amenazas cambian muy rápido.
Junto a eso, también va a ser clave todo lo relacionado con la inteligencia artificial, no solo por las oportunidades que ofrece, sino por la necesidad de establecer modelos claros de gobierno y protección, tanto de los datos como de los propios modelos que se vayan implantando. Si queremos que la IA aporte valor de una forma sostenible, tendrá que hacerse sobre una base segura, controlada y bien gobernada.
En definitiva, el reto va a estar en seguir evolucionando la seguridad al mismo ritmo que evoluciona el negocio y la tecnología, manteniendo una revisión constante de las capacidades, de los procedimientos y de los nuevos riesgos que van apareciendo
¿Qué tendencias crees que van a marcar la agenda de los responsables de tecnología y CISO en los próximos años?
Creemos que una de las grandes tendencias que va a marcar la agenda de los responsables de Tecnología y CISO en los próximos años va a ser, precisamente, la necesidad de adaptarse de forma constante a un entorno tecnológico cada vez más cambiante. Las infraestructuras evolucionan, los modelos de consumo de aplicaciones también, y eso obliga a revisar de manera continua si las soluciones, los procedimientos y los controles siguen siendo válidos o si hay que adaptarlos, sustituirlos o incluso eliminarlos.
Junto a esa necesidad de adaptación, va a ganar todavía más peso todo lo relacionado con el gobierno de la información y del dato. Porque cada vez es más evidente que no se puede avanzar con seguridad en transformación digital o en inteligencia artificial si no existe una base sólida, fiable y bien gobernada sobre la que apoyarse.
Y, por supuesto, la inteligencia artificial va a ocupar un lugar central, tanto por su potencial como por los riesgos que introduce. No solo habrá que prestar atención a la protección de los datos, sino también al gobierno, supervisión y securización de los propios modelos que se vayan implantando.
Además, creemos que Responsables de Tecnología y CISO van a tener que trabajar cada vez más cerca del negocio, traduciendo la tecnología y la seguridad en continuidad operativa, resiliencia, eficiencia y toma de decisiones. La parte técnica seguirá siendo esencial, pero será igual de importante la capacidad de priorizar, comunicar y acompañar a la organización en ese proceso de cambio.
En definitiva, pensamos que la agenda de los próximos años va a estar muy marcada por la necesidad de combinar adaptación, gobierno, seguridad e innovación con mucho sentido práctico.