«Estoy convencido de que la concienciación es el pilar fundamental de la seguridad de la información»
Pedro Montero lidera la unidad de GRC y es el CISO del Grupo Guadarrama Proyectos Educativos. Es un profesional de ciberseguridad, con más de 15 años de experiencia en el diseño e implementación de estrategias de seguridad de la información. Como CISO, ha liderado iniciativas de transformación digital segura, gestión de riesgos y ciberresiliencia, alineándose con estándares reconocidos como ISO 27001, NIST y COBIT 2019.
Posee una sólida combinación de habilidades técnicas y estratégicas, respaldadas por certificaciones. Su objetivo es garantizar la protección de los activos digitales, fomentar la cultura de seguridad y mantener el cumplimiento normativo.
Llevas cuatro años en la Universidad Alfonso X El Sabio, actualmente, ocupando el cargo de CISO en la entidad. ¿Cuáles han sido los cambios más importantes en la compañía en este sentido? ¿Qué proyecto(s) destacarías?
Efectivamente, llevo cuatro años trabajando en la Universidad Privada de Madrid, que es la Universidad Alfonso X El Sabio. Inicialmente, yo llegué a la UAX como mánager de GRC y, al año siguiente, pasé a ser el CISO de la entidad. En la actualidad, ocupo el cargo de CISO del Grupo.
Cuando ingresé en la universidad, me encontré con una institución gestionada de manera tradicional, donde la cultura de ciberseguridad era prácticamente inexistente. Para ilustrarlo con una analogía, era como llegar a un terreno vacío en el que primero había que colocar los cimientos antes de construir todo lo relacionado con la seguridad de la información.
Lo primero que hicimos fue llevar a cabo un análisis de riesgos para evaluar la situación de la UAX en materia de ciberseguridad. Gracias a este proceso y con el apoyo de Secure&IT, logramos identificar los riesgos existentes y diseñar un Plan Director de Seguridad que nos sirviera como hoja de ruta para orientar nuestras acciones.
Uno de los logros más destacados que hemos alcanzado en este ámbito ha sido la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en toda la UAX, basado en la norma ISO 27001. Además, hemos obtenido la certificación ISO 27001 en nuestras clínicas odontológicas, un área en la que consideramos que este reconocimiento aporta un valor especialmente significativo.
En la UAX habéis lanzado la campaña “Business & Tech” en la que, según comentas, se aborda el negocio y la tecnología como un todo. ¿Qué importancia tiene la digitalización en educación? ¿Cómo están afrontando las instituciones esta transformación? ¿Cuál es la tendencia?
La digitalización es un paso imprescindible, tanto en este como en cualquier otro sector. No avanzar en este sentido implica quedar fuera del entorno empresarial. En el ámbito educativo, la digitalización permite un acceso global e internacional, no solo al negocio, sino también al conocimiento. Esto nos da la capacidad de ofrecer nuestro catálogo de servicios a todos los estudiantes, sin importar dónde se encuentren, al mismo tiempo que promovemos un conocimiento global y compartido.
Además, tecnologías como la inteligencia artificial nos brindan la oportunidad de personalizar el ritmo y las necesidades de aprendizaje de cada estudiante, lo que resulta en un proceso educativo más efectivo y de mayor calidad.
Otro aspecto clave es el desarrollo de competencias digitales, tanto en estudiantes como en docentes. Este avance también supone un desafío en términos de seguridad. Gestionamos múltiples aplicaciones y debemos garantizar tanto su uso seguro como la protección de la información que manejan, asegurándonos además de que cumplen con todos los requisitos normativos. En nuestro caso, al ofrecer servicios a nivel internacional, también debemos cumplir con las distintas regulaciones aplicables para asegurar un servicio de excelencia.
Por lo que me cuentas, ¿dirías que la digitalización se ha convertido en una necesidad competitiva para vosotros?
La UAX se posiciona como una de las universidades privadas más competitivas en nuestro país en este ámbito. Uno de nuestros pilares fundamentales es la innovación y la integración de nuevas tecnologías en todos los procesos educativos.
En particular, estamos realizando una fuerte apuesta por el uso de la inteligencia artificial (IA). En la universidad fomentamos su adopción y la consideramos una herramienta clave que aporta un gran valor, tanto a los estudiantes como a los docentes. La IA no solo facilita un aprendizaje más personalizado y efectivo, sino que también enriquece la experiencia educativa y fomenta la excelencia académica.
En la actualidad, la información es un activo muy valioso. ¿Crees que, en general, se es consciente de los riesgos de no protegerse y de las consecuencias que puede tener?
En este contexto, es importante distinguir entre las empresas que operan bajo una regulación estricta, y que, por tanto, tienen una mayor conciencia y rigor en la ejecución de políticas de seguridad, y aquellas que no enfrentan esa misma presión regulatoria.
Según mi experiencia, las empresas menos presionadas por normativas suelen ser mucho más laxas en la gestión de riesgos. Carecen de una verdadera cultura del riesgo y, a menudo, subestiman la posibilidad de sufrir incidentes. Predomina la mentalidad de «a mí no me va a pasar», algo que, lamentablemente, está lejos de la realidad, porque los incidentes siempre terminan ocurriendo.
En el ámbito educativo, echo en falta una mayor concienciación sobre la importancia de implementar medidas de seguridad adecuadas. A menudo, se percibe la seguridad como algo “incómodo” porque exige más tiempo, revisiones adicionales y controles estrictos. En muchos casos, se ven estas medidas como un trámite obligatorio más que como una necesidad esencial.
Existe una falta de percepción de la magnitud y frecuencia de los ciberataques. No siempre se tiene en cuenta que el cibercrimen es una industria en sí misma, que opera de manera organizada y constante. Tampoco se consideran suficientemente las graves consecuencias que podría tener una brecha de seguridad, como la exfiltración de datos de estudiantes o pacientes. Estos incidentes pueden generar daños reputacionales y económicos significativos, afectando profundamente la confianza y la viabilidad de instituciones como la nuestra.
Algunos estudios sitúan al sector educativo en el punto de mira de los ciberdelincuentes, llegando a cuantificar el aumento de ataques en el último año en un 250%. Os enfrentáis a grandes retos en el ámbito de la seguridad de la información y el elevado nivel de riesgo es un factor muy importante. ¿Cómo afrontáis los desafíos?
En la UAX somos plenamente conscientes de que formamos parte de un sector que es objeto de constantes ataques. Por esta razón, era fundamental para nosotros implementar un Sistema de Gestión de Seguridad de la Información (SGSI), algo que hemos logrado con éxito. Este sistema nos proporciona una base sólida para gestionar nuestra seguridad de manera integral.
Sin embargo, en muchas ocasiones, nos vemos obligados a enfrentar los retos según van surgiendo. Por ejemplo, la publicación de nuevas normativas en materia de ciberseguridad puede convertirse en una palanca clave para impulsar determinados proyectos.
En este sentido, considero esencial contar con un partner experto como Secure&IT. Su conocimiento del sector nos permite integrar eficazmente los nuevos requerimientos de seguridad con los objetivos estratégicos de la organización, lo que resulta crucial para cumplir las expectativas y prioridades de los consejos de administración. De esta forma, conseguimos alinear nuestras iniciativas de ciberseguridad con el éxito y sostenibilidad del negocio.
Según estos mismos estudios, la mayoría de los incidentes se producen por intrusiones en los sistemas, mediante ataques de ingeniería social y debido a errores humanos. En este sentido, ¿qué importancia le dais a la formación y concienciación en materia de seguridad de la información?
Estoy convencido de que la concienciación es el pilar fundamental de la seguridad de la información. No basta con que los empleados apliquen la normativa; es esencial que entiendan por qué lo hacen. Es decir, por qué la formación, la concienciación, las normas y las buenas prácticas son herramientas valiosas no solo en el ámbito laboral, sino también en su vida personal.
Debemos aceptar que, como usuarios, somos objetivos directos de los ciberdelincuentes, no solo las entidades o empresas. Es fundamental abandonar esa falsa sensación de seguridad en la que muchas veces vivimos.
Un ejemplo claro es cómo, en ocasiones, somos capaces de exponer nuestra vida de manera constante en redes sociales, sin pensar en las consecuencias, mientras que dudamos y cuestionamos un formulario requerido por una institución oficial. Esto refleja una desconexión en nuestra percepción del riesgo.
Por supuesto, es importante ser cautelosos con los datos que compartimos y aplicar siempre el sentido común. Sin embargo, muchas veces no somos conscientes de que la información que publicamos voluntariamente en redes sociales puede proporcionar a los delincuentes todo lo que necesitan para atacarnos. Por eso, fomentar una cultura de la seguridad y educar sobre los riesgos reales es imprescindible para protegernos, tanto a nivel individual como colectivo.
Vuestro compromiso con la seguridad de la información es absoluto. ¿Cuál es vuestro objetivo a medio plazo en este ámbito?
Nuestra intención es extender el modelo de gestión que actualmente tenemos en la Universidad al resto de los negocios del grupo. Esto implica implementar el Sistema de Gestión de Seguridad de la Información (SGSI), basado en la norma ISO 27001, en toda la organización. Nuestro objetivo es lograr una gestión unificada de la seguridad de la información, con directrices comunes que se apliquen a todos los negocios del grupo.
Además, queremos incorporar la inteligencia artificial (IA) en la gestión de la seguridad, un desafío significativo pero lleno de potencial. Estoy convencido de que la IA puede desempeñar un papel crucial en la prevención y detección de incidentes de seguridad. Sin embargo, su mayor impacto estará en la automatización de procesos, permitiéndonos gestionar la seguridad de manera más eficiente y proactiva.
De manera paralela, es esencial trabajar en la concienciación de los empleados y usuarios respecto al uso adecuado de estas herramientas de inteligencia artificial. Por ello, estamos evaluando cómo gestionar e implementar de manera eficaz estas aplicaciones en toda la UAX, asegurándonos de que su adopción esté alineada con nuestros estándares de seguridad y los objetivos del grupo.
Estamos a primeros de año y es un buen momento para hablar de inquietudes y previsiones… ¿Qué aspectos son los que más te preocupan?
Los ataques de phishing y ransomware son una preocupación constante, ya que estas amenazas no solo están siempre presentes, sino que siguen ocupando titulares por su capacidad de causar estragos en organizaciones de todo tipo. Para una institución como la UAX, un ataque exitoso podría tener consecuencias devastadoras en múltiples frentes: legal, económico y, sobre todo, reputacional. La información sensible que manejamos, como los datos de estudiantes y pacientes, nos convierte en un objetivo particularmente atractivo para los ciberdelincuentes.
Además, lo que hace estos riesgos aún más alarmantes es la profesionalización del cibercrimen. Hoy en día, los atacantes no son individuos aislados, sino organizaciones estructuradas que operan con recursos, tiempo y dedicación, y que centran su atención en entidades como la nuestra. Este nivel de sofisticación y persistencia hace que los riesgos estén siempre presentes, incluso en sistemas que se perciben como robustos.
Es natural preocuparse por estos aspectos, y esta preocupación debe traducirse en medidas preventivas sólidas y una estrategia proactiva que abarque desde la educación y concienciación del personal hasta la adopción de herramientas avanzadas, como la inteligencia artificial, para detectar y neutralizar amenazas antes de que puedan materializarse. Mantenernos un paso adelante en este campo es crucial para proteger tanto nuestros activos como la confianza que depositan en nosotros nuestros estudiantes y pacientes.
¿Cuál es la visión de futuro de la UAX con respecto a la seguridad de la información?
Nuestro principal objetivo es continuar liderando la innovación en el ámbito de la educación. Sin embargo, esta innovación debe ir siempre acompañada de un uso confiable y seguro de las tecnologías que implementemos, garantizando la protección tanto para nuestros empleados como para los estudiantes y usuarios de la organización.
Para mí, es esencial asegurar que todos los avances tecnológicos estén respaldados por un marco sólido de seguridad. Este compromiso no solo es un objetivo clave, sino también uno de los mayores desafíos que enfrentamos como organización.
La seguridad debe integrarse desde el inicio en cada proyecto, permitiendo que la innovación se desarrolle sin comprometer la protección de la información ni la confianza de quienes confían en nosotros. Este enfoque es fundamental para mantenernos a la vanguardia, al tiempo que aseguramos que el impacto de nuestras iniciativas tecnológicas sea positivo, confiable y sostenible.