Uno de los temas que mayor relevancia tienen tanto en lo técnológico como en lo relacionado con el desarrollo del negocio al interior de la empresa, es la implementación de herramientas o sistemas de ciberseguridad que blinden la información, uno de los activos más valiosos con que cuentan las organizaciones. En Economía y Desarrollo dialogamos
Uno de los temas que mayor relevancia tienen tanto en lo técnológico como en lo relacionado con el desarrollo del negocio al interior de la empresa, es la implementación de herramientas o sistemas de ciberseguridad que blinden la información, uno de los activos más valiosos con que cuentan las organizaciones.
En Economía y Desarrollo dialogamos con Óscar Rodríguez, ingeniero colombiano con un amplio recorrido en el sector tecnología alrededor de la ciberseguridad en organizaciones del sector financiero, telecomunicaciones y varias del sector productivo tanto en el orden nacional como internacional.
¿Cómo fueron tus inicios profesionales y qué aprendizajes marcaron tu camino hacia la ciberseguridad?
Al terminar mis estudios de pregrado en la Universidad Javeriana de Cali, inmediatamente comencé mi carrera como Ingeniero de Desarrollo de SW en empresas de servicios locales, y posteriormente en roles de liderazgo técnico y gestión de proyectos. Durante estos primeros años, tuve la oportunidad de trabajar para clientes financieros de tal importancia como el Banco de Occidente, Banco Popular y Banco de Crédito; allí participé en proyectos de alta envergadura, lo que me permitió comprender a profundidad cómo se construyen, integran y mantienen sistemas críticos. Ese entendimiento técnico fue clave para mi transición, años después, hacia áreas de seguridad, arquitectura empresarial y consultoría, donde la protección del software y la infraestructura se volvió un eje central en las organizaciones.
¿Qué factores lo llevaron a ingresar en el mundo de la ciberseguridad?
Luego de algunos años muy enriquecedores trabajando en el sector financiero y aprendiendo del riesgo que se debe gestionar a nivel tecnológico, tuve la oportunidad de llegar a trabajar en el sector de telecomunicaciones, liderando técnicamente proyectos de integración tecnológica en compañias como Telmex y Claro; allí comencé a darme cuenta de patrones comunes relacionados con malas prácticas de seguridad (que venían resonando cada vez y con más fuerza en la industria), principalmente del lado de los desarrolladores de SW que entregaban aplicaciones a estas empresas, y de cómo no habían controles lo suficientemente estrictos que evitaran que estas aplicaciones de negocio fueran desplegadas con niveles tan altos de riesgo.
Comencé entonces a proponer ciertos controles que ayudaron en gran medida a mitigar el riesgo que llegaba por cuenta de los desarrolladores, llevándome esto a entender y a involucrarme cada vez más en temas de seguridad informática; como parte del investigar sobre nuevas tecnologías y conversar con diferentes expertos, llegué a trabajar en compañías como Oracle e IBM en las cuales lideré técnicamente propuestas de arquitectura de soluciones enfocadas en temas de integración de tecnologías, movilidad, procesos de negocio y seguridad. La visión de este tipo de compañías me ayudó a entender que la seguridad debía integrarse desde el diseño y no como un accesorio, así que luego de algunos otros cuantos años ayudando a clientes de estas empresas en Colombia y Ecuador, se abrió una oportunidad muy interesante con Veracode, una compañía norteamericana que desarrolla y distribuye soluciones de ciberseguridad enfocada en procesos de desarrollo de SW seguro, o AppSec, como se conoce al concepto de industria. Aquí ya llevo aproximadamente 8 años, y definitivamente esta experiencia me ha hecho llegar a la conclusión que la ciberseguridad no es solo tecnología, sino que realmente es un habilitador estratégico para el negocio.
Sabemos que la ciberseguridad, técnicamente hablando, es un mundo bastante grande que tiene diferentes aristas y focos estratégicos, como en el que te has especializado, específicamente Seguridad Aplicativa o AppSec ¿Cómo considera que ha impactado su liderazgo la ciberseguridad en la región?
A lo largo de estos 8 años trabajando con Veracode, he tenido la oportunidad de liderar diferentes equipos de trabajo y redes de más de 300 socios de negocio y consultores de seguridad aplicativa en LATAM, logrando una una amplia cobertura de la región. Si bien, durante mis inicios en Veracode encontré cierto conocimiento en la región respecto a la seguridad en el desarrollo de SW, se visualizaba una gran oportunidad para ayudar a las organizaciones en cuanto a los desafíos que en tal campo ya debían enfrentar con mayor seriedad. Entonces sin lugar a dudas, el primero y uno de los más importantes logros que he tenido en latianoamérica ha sido evangelizar el mercado respecto a la importancia que, por un lado tiene el SW para las organizaciones, y por otro lado la necesidad imperativa de diseñar e implementar practicas y tecnologías que permitan desplegar soluciones cada vez más seguras, ayudando a disminuir ataques y efectos colaterales que estos generan, como robo y/o secuestro de información, daño reputacional de las empresas, entre otros. Así las cosas, he liderado la implementación de una buena cantidad de programas de Seguridad Aplicativa en grandes Bancos públicos y privados, compañías de telecomunicaciones, industria aeroespacial y gobierno, en países como Argentina, Colombia, Chile, Brasil, México, entre otros.
¿Cómo ve la evolución de la ciberseguridad en Latinoamérica y cuál ha sido su contribución en ese proceso?
Latinoamérica ha avanzado significativamente en términos de la apropiación e implementación de tecnologías de ciberseguridad, principalmente en el sector privado; sin embargo aún enfrenta brechas importantes, y creo que esto se da en gran medida debido a la falta de políticas lideradas por los gobiernos que reglamenten y exijan que la ciberseguridad sea tratada con la importancia que lo requiere, a todos los niveles. En la era de la IA, estas políticas se hacen mucho más necesarias, toda vez que las personas usan capacidades cada vez más soportadas en esta tecnología (por ejemplo, redes sociales), y desafortunadamente el impacto del uso desmedido e irresponsable está siendo bastante negativo. Hay algunos países de la región que han venido liderando proyectos de reglamentación de la ciberseguridad, como Chile, Brasil, Argentina y Colombia. Entre tanto, hay otros países con iniciativas relevantes, como Perú, Panamá y Costa Rica. Sería importante que todos los países de la región estuvieran alineados en estos temas para lograr una mejor interoperabilidad y colaboración regional en términos de ciberseguridad.
De otro lado, si hablamos en términos de fuerza laboral para ciberseguridad, continua existiendo un gap importante a cubrir a nivel mundial. Según un reporte elaborado por el BID y la OEA, regiones en vía de desarrollo y países emergentes no logran generar una fuerza laboral en ciberseguridad que cubra las necesidades reales locales; en muchos casos, y debido a que los países desarrollados invierten mayor presupuesto en ciberseguridad, los talentos de regiones como latinoamérica migran en busca de mejores oportunidades y condiciones laborales. Allí hay un trabajo fuerte que se debe hacer, liderado por supuesto por los gobiernos de nuestros países, y acompañado por la academia y la empresa privada.
¿Qué le motiva a seguir trabajando en ciberseguridad?
La ciberseguridad es un campo donde cada decisión tiene impacto real en la resiliencia de un país, una empresa o una persona. Me motiva saber que mi trabajo ayuda a proteger ecosistemas completos, especialmente en una región tan diversa y desafiante como Latinoamérica. Adicionalmente, en mi rol actual, en el cual tengo la oportunidad de darme cuenta de la evolución en las necesidades de ciberseguridad de las organizaciones, puedo retroalimentar grandes compañías como Veracode para ayudar a dar a nuevas soluciones innovadoras; esa parte de innovación me apasiona y siento que aporto en gran medida a mitigar riesgos.
¿Desde su experticia la IA es hoy un factor determinante en términos de desarrollo y aportes a la ciberseguridad?
Absolutamente. Como en cualquier campo donde se quiera aplicar la IA, hablando de ciberseguridad es importante definir en dónde se quiere aplicar, por ejemplo, en detección de vulnerabilidades y amenazas, en remediación y mitigación de vulnerabilidades, entre muchos otros casos de uso en ciberseguridad.
Recientemente tenemos a la compañía Anthropic liberando de forma restringida el modelo Mythos (LLM), el cual pone la IA como core para detectar con una agilidad inimaginable miles y miles de vulnerabilidades en sistemas de información. Ahora bien, un punto importante que sucede con cualquier nuevo desarrollo o innovación de clase mundial es si se usa de forma adecuada o no: justamente la razón por la que Anthropic liberó de manera restringida las capacidades de Mythos fue debido a que tiene la capacidad de generar flujos de explotación de vulnerabilidades que, en manos equivocadas, puede ocasionar grandes problemas en sistemas de misión crítica a nivel mundial.
¿Qué sectores de la economía colombiana acusan falencias y mayores riesgos en términos de ciberseguridad?
Por razones principalmente asociadas a regulaciones de industria, normalmente las empresas del sector financiero, telecomunicaciones y salud, tal vez son las que más inversiones en tecnología hacen en términos de ciberseguridad para mitigar el riesgo impuesto por amenazas digitales. Así las cosas, si bien existen muchos otros sectores que tienen inversiones en ciberseguridad más por desición propia (por ejemplo el sector Oil & Gas), la gran mayoría de los otros sectores carece en gran medida de tecnologías especializadas en ciberseguridad; en cada uno de los sectores podemos encontrar principalmente a las principales empresas haciendo inversiones en este rubro mas por un tema reputacional, pero la gran mayoría destina inversiones en otros rubros más relacionados al negocio propio en el que están inmersos.
¿Qué consejo daría a quienes quieren iniciar una carrera en ciberseguridad?
Que comiencen por entender cómo funcionan los sistemas informáticos y el software; y especifico “software” porque sin software realmente las organizaciones dificilmente pueden funcionar. La seguridad no se aprende solo desde la teoría; se construye desde la experiencia técnica. También es clave desarrollar habilidades de comunicación, porque la seguridad es tanto un reto humano como tecnológico.

















Leave a Comment
Your email address will not be published. Required fields are marked with *