Interviews
Navegar por la ciberseguridad: Ideas y consejos de Niel Harper, CISO de Doodle
Tiempo de lectura: 6 minutos
Opciones de idioma
Índice
Comparte este artículo
A medida que nuestras vidas se entrelazan más con el mundo digital, la necesidad de una ciberseguridad sólida nunca ha sido mayor. Desde proteger los datos confidenciales de la empresa hasta salvaguardar nuestra información personal, nunca ha habido tanto en juego.
Hablamos con Niel Harper Director de Seguridad de la Información y Responsable de Protección de Datos de Doodle, para comprender mejor este panorama en constante evolución. Recientemente ganó un Senior Professional Award con ISC2 una importante organización sin ánimo de lucro especializada en formación y certificaciones en ciberseguridad. A principios de este año, un anuncio de Lacework en el New York Times también lo destacaba como líder destacado en ciberseguridad.
En esta entrevista, hablaremos de su trayectoria y su papel en Doodle, de las tendencias en ciberseguridad, de cómo proteger los datos de los clientes y de cómo las pequeñas y medianas empresas (PYMES) pueden protegerse en este panorama en constante evolución.
Conoce a Niel Harper, CISO de Doodle
Háblenos de usted y de lo que le inspiró para dedicarse a la ciberseguridad.
Mi inspiración para dedicarme a la ciberseguridad surgió de mi interés por crear redes y sistemas informáticos resistentes.
Mi carrera empezó hace unos 20 años, cuando obtuve mi diploma universitario en sistemas de información especializados en telecomunicaciones. Allí me introduje en este campo y recibí formación práctica en el despliegue de servicios comerciales de Red Digital de Servicios Integrados (RDSI).
Mi primer trabajo real fue en Cable & Wireless, donde trabajé como técnico de telecomunicaciones en las operaciones diarias de un proveedor de servicios de Internet en Barbados. Mi último trabajo en el sector de las telecomunicaciones fue como Director de Operaciones de Red para AT&T Wireless, donde dirigí un equipo responsable de las operaciones y el mantenimiento de una red móvil GSM.
En 2002, obtuve mi primera certificación relacionada con la ciberseguridad -Auditor Certificado de Sistemas de Información (CISA)- y, al año siguiente, hice la transición a la ciberseguridad como Director de Auditoría Interna y TIC para un proveedor de servicios de telecomunicaciones en las Antillas Neerlandesas.
En 2022 me incorporé a Doodle y desde entonces dirijo los equipos de Operaciones de TI, Seguridad y Cumplimiento.
Niel Harper, CISO de Doodle, en el New York Times. Fuente: Lacework.
Las amenazas más acuciantes a la ciberseguridad
En su opinión, ¿cuáles son las amenazas de ciberseguridad más acuciantes a las que se enfrentan las empresas hoy en día?
El ransomware -un tipo de software malicioso que bloquea o cifra los datos de una víctima y exige el pago de un rescate para restaurar el acceso- sigue siendo una amenaza importante. Sin embargo, se ha vuelto aún más frecuente a medida que los actores de amenazas centran su atención en la extorsión cibernética.
El clima geopolítico actual también contribuye al aumento de los ataques a organizaciones por parte de adversarios estatales altamente experimentados y bien organizados.
Además, muchas empresas siguen sin estar preparadas para hacer frente a los riesgos a los que se enfrentan por parte de terceros (como los ataques a la cadena de suministro).
Por último, el uso de la IA generativa por parte del personal y los actores externos de amenazas es tanto una oportunidad como una amenaza, pero muchas empresas aún no comprenden plenamente sus implicaciones.
Garantizar la seguridad de los datos de nuestros clientes
¿Cómo garantiza Doodle la seguridad de los datos de sus clientes, especialmente con sus productos?
En Doodle, no dependemos de las herramientas de seguridad como sustitutas de unos controles de seguridad sólidos. Nos centramos principalmente en los aspectos básicos de la ciberseguridad: gestión de identidades y accesos (IAM), gestión de configuraciones, gestión de activos, gestión de vulnerabilidades, pruebas de penetración y gestión de riesgos de terceros, entre otros. Cualquier herramienta se superpone para apoyar la orquestación, la automatización y la defensa en profundidad.
Existe un "tono desde arriba" centrado en el riesgo, y el ciberriesgo es un tema recurrente en las reuniones de la junta directiva y los ejecutivos, así como un elemento clave en el marco de gestión del riesgo empresarial (ERM). Doodle también se somete anualmente a auditorías SOC 2 Tipo II, Cyber Verify y GDPR.
Crear una cultura de concienciación sobre la seguridad
¿Cuál es la clave para crear una cultura de concienciación sobre la seguridad entre los empleados?
El aspecto más crítico para crear una cultura de concienciación sobre la seguridad es un fuerte "tono desde arriba". La concienciación en materia de seguridad debe empezar por la dirección, que influye en la cultura de la empresa y orienta las acciones de sus equipos.
Por ejemplo, en Doodle, el consejo de administración y la dirección ejecutiva son sensibles y están en sintonía con el impacto potencial de los riesgos cibernéticos en múltiples dimensiones de la empresa. Su apoyo en términos de apropiación del riesgo, mensajes eficaces, financiación adecuada y predicar con el ejemplo es esencial para inculcar las prácticas de seguridad correctas entre el personal.
También impartimos un programa dinámico de formación sobre concienciación en materia de seguridad que aprovecha el aprendizaje en línea, los consejos y trucos habituales, las simulaciones de phishing, los ejercicios de simulación y la formación específica para cada función.
Nuevas tendencias en ciberseguridad
¿Qué tendencias o tecnologías emergentes en ciberseguridad le entusiasman o preocupan más?
Me entusiasma especialmente el aluvión de atención que se presta a la creación de capacidades cibernéticas. Estamos viendo cómo se concentran importantes recursos en la creación de capacidades dentro de los Estados-nación para protegerse mejor de las amenazas en línea.
Debo elogiar a actores clave como el Foro Global para la Ciberexperiencia (GFCE), el Banco Mundial, la Unión Europea, el Foro Económico Mundial, la Organización de Estados Americanos (OEA), el Cyber Peace Institute y otros por su trabajo en este ámbito.
Entre las preocupaciones en el horizonte de las amenazas que están en primera línea de mi mente se incluyen los riesgos de los grandes modelos de lenguaje (LLM) y la IA, el Internet de las Cosas (por ejemplo, dispositivos inteligentes, coches conectados, ciudades inteligentes, etc.), la criptografía cuántica segura y la ciberguerra y el ciberespionaje patrocinados por el Estado.
Ideas y consejos para las empresas
¿Qué consejos daría a las empresas, especialmente a las PYME, para proteger mejor sus datos y mantener la confianza de sus clientes?
Las PYMES deben contar con alguien a nivel ejecutivo y operativo que entienda y asuma el ciberriesgo como un riesgo empresarial estratégico. Con esto quiero decir que la responsabilidad de la ciberseguridad no debe delegarse en un responsable de TI o un administrador de sistemas, porque es mucho más que un riesgo tecnológico.
Una persona cualificada y con experiencia debería trabajar en el desarrollo y ejecución de la hoja de ruta de ciberseguridad de la empresa. Si no se dispone internamente de este conjunto de habilidades, deberían considerar la contratación de un Director de Seguridad de la Información (CISO) virtual o fraccional para supervisar la gestión del riesgo cibernético.
Como se mencionó en un comentario anterior, las organizaciones no deben considerar las herramientas sofisticadas como una panacea o un sustituto de la ciberseguridad eficaz. Deben crear un inventario de sus sistemas y datos críticos ("joyas de la corona") y aplicar controles sólidos basados en la importancia de esos sistemas y activos de información para la empresa.
Gracias, Niel, por compartir tus conocimientos y experiencia.
Scheduling