Las flores primero

El momento que más me costó preparar no fue el discurso sino elegir para quién eran las flores.

Al final de la noche entregué cuatro ramos: a mi madre, a mi mujer, a Rocío (la mujer de Javier) y a Carmen, que lleva décadas tejiendo Comillas Alumni y fue quien, con una frase seca y cariñosa, nos empujó hacia el escenario: «Venga, que hay que empezar.»

Cuatro mujeres sin las que la noche, y el libro, no habría existido. No lo dije con palabras largas ni bonitas. Las flores lo dijeron mucho mejor que cualquier otra frase.

Eso fue el 27 de mayo en el Campus Arrupe.

Un evento que no parecía una conferencia

El Club de Ciberseguridad y Privacidad de Comillas Alumni organizó la presentación. Pero desde el principio hubo una decisión de diseño: esto no iba a ser una conferencia.

Javier Jarauta y yo entramos por el lateral derecho de la sala mientras hablábamos. Sin anuncio. Sin presentador que dijera «y ahora, un aplauso para…». El público nos vio entrar como quien llega a una conversación que ya había empezado.

La ambigüedad era deliberada. No queríamos que la sala sintiera que asistía a un acto. Queríamos que sintiera que estaba dentro de algo.

Después del recorrido por la sala, y antes de subir al escenario, paramos en la primera fila. Varios asientos reservados y muchas personas que no estaban ahí por casualidad.

El arco de treinta años

Lo que siguió en el escenario fue, en el fondo, un recorrido por una trayectoria que empezó exactamente en esa Universidad.

Hace casi treinta años, siendo estudiante de ICAI, me planté en un examen de ingreso, muy duro, para lograr estudiar donde siempre había querido. Una vez dentro, varios años después, acabé en la puerta de la clase de seguridad informática que impartía Javier Jarauta. No podía llegar a tiempo porque tenía trabajo en el banco, pero le pregunté si podía presentar el Proyecto Fin de Máster igualmente. Me dijo que sí y ese proyecto fue sobre los «Sistemas de Gestión de Seguridad de la Información (SGSI)«, cuando en España casi nadie sabía lo que era eso.

Esa conversación de pasillo es, si lo pienso ahora, el origen de todo lo que vino después.

Carlos Manuel Fernández y Boris Delgado estaban en la primera fila. Varios años de trabajo conjunto en Interfactor Europa, el actual Credit Agricole. Dos años preparando una auditoría para algo que nunca había sido auditado en España. El resultado fueron varias primeras certificaciones en el país: la de la norma UNE 71502 (Actual ISO 27001), una de software original y otra de continuidad de negocio. Carlos y Boris convirtieron ese PFM universitario en un proyecto real, con consecuencias reales.

Fernando Vega, también en primera fila, me contrató al poco tiempo para entrar en SIA. De esa colaboración nació el método de gestión de seguridad de SIA, que luego se replicó en todos sus clientes, el método había escalado para implantarse a escala. Nada de eso estaba planificado de antemano.

Tony Olivos, CEO de Babel, fue la parte absolutamente imprescindible para hacer el cambio que más impacto personal me produjo en mi etapa profesional. Cuando Babel llamó, traje tres ideas: hiperautomatizar la seguridad, diseñar los datos con ingenieros de datos desde el principio, y aplicar inteligencia artificial agéntica a los procesos de seguridad. La ciberseguridad no como problema a resolver sino como respuesta que se construye con herramientas presentes y reales.

En la última silla estaba Elena Márquez. La encontramos en el recorrido y Javier le preguntó, con toda la naturalidad del mundo, cómo había dejado que yo la embarcara en trabajar en ciberseguridad. Elena diseñó la maravillosa portada del libro, pero, la pregunta de Javier apuntaba a algo más preciso. Durante años repetí que nadie se preocupaba en conseguir que las personas cambiaran de actitud. Ella es la prueba de que ese argumento tiene consecuencias reales cuando alguien se toma en serio este hecho. Creo que Elena fue de las primeras personas en poner la comunicación como vehículo para el cambio cognitivo de las personas en seguridad.

Entre Carlos, Boris, Fernando, Tony y Elena hay más de veinte años de historia. No son hitos en un currículum. Son personas que apostaron, contrataron, llamaron o diseñaron en el momento preciso y todas al servicio de la sociedad.

Entre ellos, el pegamento que sujeta todo en la vida, la familia y los amigos. No podría existir mejor primera fila.

Las preguntas que importaron

Javier y yo llevábamos las preguntas preparadas. Algunas las habíamos ensayado. Pero hay preguntas que, aunque las esperas, te cogen de improviso cuando llegan en voz alta delante de un auditorio.

Javier me preguntó:

¿Qué diría tu padre si leyera este libro?

La pregunta, por un momento, me impacto tanto que no supe cómo seguir, sentí perfectamente que mi padre estaba en la sala, a mi lado, era absolutamente consciente de ese hecho.

Es la pregunta más difícil del libro, y lo es porque no tiene respuesta cómoda. El libro salió el día de su cumpleaños. No fue un gesto simbólico que elegí a posteriori para darle sentido al proyecto. Fue la fecha desde el principio. Era la única fecha posible.

Lo que dije en el escenario fue algo parecido a eso. No lo recuerdo con precisión. Pero sé que no recurrí a la respuesta bonita. Y sé que él estaba ahí escuchando.

Javier también me preguntó:

El libro dice que en algún momento la seguridad deja de ser una disciplina técnica y se convierte en una pregunta moral. Pero tú fuiste CISO en el banco. ¿No te estás contradiciendo a ti mismo?

La respuesta honesta es que no. No porque la contradicción no exista, sino porque haber sido CISO es exactamente lo que me permite ver el problema. Cuando estás dentro del sistema y tienes que tomar decisiones con información incompleta, bajo presión y con recursos limitados, la pregunta técnica se agota muy pronto. Lo que queda es una pregunta de gobierno: quién decide, con qué criterio, y quién responde cuando algo falla. Eso es una pregunta moral, no una pregunta técnica, o no sólo técnica.

Carmen Jiménez preguntó algo que nadie más habría preguntado con esa naturalidad:

¿Con todo lo que has vivido, qué le dirías hoy al Juan que estaba de pie en esa puerta hablando con Javier?

Le dije que probablemente lo mismo que Javier me dijo entonces. Que siga adelante, que no tenga miedo, que se arriesgue y que lo importante es mantener siempre el objetivo durante el camino.

La tesis, con más calma

El título del libro es una metáfora, pero también es una herramienta.

La seguridad de una organización se puede representar en una matriz de nueve celdas: tres ejes de actividad (Prevención, Detección, Recuperación) cruzados con tres dominios (Físico, Lógico, Humano). En teoría, una organización que gestiona su seguridad de forma completa debería tener presencia en las nueve.

En la práctica, la mayoría opera con cuatro o cinco celdas, concentradas en un bloque.

La Prevención acapara en torno al 80% de la inversión en seguridad. Tiene una lógica comprensible: si evitas que algo pase, no tienes que gestionar el daño. Pero hay una trampa en esa lógica. El libro la formula así: «La prevención es el control más deseado y el más traicionero, porque su éxito se parece demasiado a la nada.»

Cuando la prevención funciona, no pasa nada. No hay incidente que medir, no hay coste de brecha que calcular, no hay titular. Eso hace muy difícil justificar la inversión ante un comité de dirección. Y hace muy fácil recortarla cuando hay presión presupuestaria.

Las celdas más vacías, en la mayoría de las organizaciones, son las del dominio humano. La Detección humana, la Recuperación humana, la Prevención desde el comportamiento de las personas. No desde la tecnología que rodea a las personas, sino desde la formación, la cultura y la consciencia de los propios empleados.

Un sistema con dos defensas técnicas magníficas y una persona sin formación adecuada es un sistema con una brecha del tamaño exacto de esa persona. No más pequeña. No mitigada. Del tamaño exacto.

Eso no es una metáfora. Es lo que ocurre en el 90% de los incidentes graves que he analizado.

Lo que queda

La presentación duró poco más de una hora. Hubo turno de preguntas del público. Vendimos ejemplares. Firmé algunos.

Pero lo que me llevé de esa noche no cabe en ninguna de esas métricas.

Me llevé la imagen de esas personas en la primera fila. Treinta años condensados en pocos asientos. Me llevé la pregunta de Javier sobre mi padre, que no tiene respuesta pero que merece hacerse. Me llevé a Carmen diciéndonos «venga» con la misma autoridad tranquila con la que lleva décadas gestionando lo que ningún organigrama recoge.

Me llevé también algo que no esperaba: la sensación de que el libro ha empezado a tener vida fuera de mí. Que la gente en esa sala lo leerá y lo cruzará con sus propias organizaciones, sus propios silos, sus propias celdas vacías.

Eso es lo que quería cuando lo escribí. Tardé en saber que era eso lo que quería, pero lo era.

Puedes ver la nota de prensa del evento en ICAI: https://www.comillas.edu/noticias/el-club-de-ciberseguridad-y-privacidad-analiza-los-grandes-desafios-de-la-proteccion-corporativa/