Esto es Primera Defensa, un podcast en donde entrevistamos a especialistas en ciberseguridad para aprender de sus experiencias y acerca de las tendencias que impactan a la seguridad informática corporativa e industrial de las organizaciones de América Latina. Mi nombre es Fernando Johan y te invito a escuchar las experiencias frente a amenazas cibernéticas que han tenido nuestros invitados, cómo han aprovechado las tendencias de la industria, qué cosas hacen para estar preparados para los interminables retos en ciberseguridad y los consejos para que estas amenazas no afecten la continuidad de sus negocios. En este episodio de Primera Defensa damos la bienvenida a Aymet Pimentel, líder de WOMC-MX y presidente de WOM Strategy, cuya trayectoria refleja un compromiso inquebrantable con la inclusión y la excelencia en ciberseguridad. Aymet lidera una comunidad de mujeres líderes en tecnología y seguridad y ha sido pionera inspirando y movilizando a las mujeres en el ámbito de la ciberseguridad en América Latina. La previa incluye roles claves en consultoría y dirección organizacional, ya la van a escuchar a ella, destacándose por su habilidad desarrollando alianzas estratégicas y gestionando riesgos cibernéticos. Aymet es una figura emblemática en la lucha por una industria más inclusiva y segura y ahora me callo yo y los dejo con la entrevista. Este podcast llega a ti gracias a Ticofra Cyber Security. Protegemos la información de las organizaciones con talento especializado y tecnología avanzada. Bienvenida Aymet. Te tengo que preguntar inicialmente porque en principio quienes hayan leído tu podcast han dicho que no hay una ciberseguridad. Por algo no estoy segura, pero todo lo que lo syrupo con tu perfil o incluso con la introducción que acabo de hacer, ven como que tu perfil dicen que no está ganando con libertad y necesitanевичos para estas purlp. Seguro. Mi primera pregunta obligada viene a preguntarte ¿como se siente en la información conectada de sobrecruửet con la ciberseguridad ante una managersia? Hola, buenos días. Pues mira, lo que ocurre es que dentro de mi formación que es la consumen ree te couch Lamar-C<|yo|>er en informática, và que ves un poco de todo, no? Óthego, qué dåfy i estou a entender. No entiendo nada. Bueno, vas a ensayar un ratículo a mí. S trataré en acuarias. R s colorful pierwszlo e ins Comedy thueata. Eso é claro. como responsable de un área de tecnología, te tienes que enfrentar con la ciberseguridad. Porque pues tienes empleados que están exponiendo a la organización a temas de ciberseguridad y tienes una organización que proteger. Entonces, quieras que no, cualquier director de tecnología tendrá que enfrentarse a los temas de ciberseguridad sí o sí. Y vos, ¿qué anécdota, qué experiencia personal tenés con esto? ¿Algún evento traumático, algo que haya marcado tu carrera en términos de ciberseguridad? ¿O más bien has sido un aliado? Fíjate que yo lo veo que sí, has sido un aliado. Porque parte de mi formación, como bien dices, yo estoy muy enfocado a sistemas preventivos. Y pues ciberseguridad es un sistema preventivo. Siempre tratas de poner muchísimas cosas para defenderte, pensando que no te va a llegar la hora en que te toque estar en un riesgo consumado. Entonces, mi formación un poco paralela a los temas de tecnología, o más que paralela, complementaria, con temas de sistemas de gestión, con temas de auditoría, con temas de prevención de riesgos en general, de prevención de fraudes, de prevención de un montón de cosas dentro de la organización, me ha llevado a que sea de manera natural la forma en que me he enfrentado a los temas de ciberseguridad. ¿Por qué? No he tenido ningún tema hasta hoy, y toc, toc, de que no me pase, porque siempre fui muy preventiva. ¿Y quién es? Dígame, dígame. Lo que sí te puedo decir es que gente de la industria y gente que era cercana a los directivos de los consejos con los que yo me movía, sí tuvieron problemas. Entonces, eso hacía que mis alertas se activaran aún más de lo que siempre fui, de preventiva. Te iba a hacer la pregunta específicamente porque hablabas de un montón de espacios que suelen tener otros interlocutores. ¿Con quién te toca hablar estas cuestiones de alineamiento interno en torno a la ciberseguridad? Vos hablabas de la organización. ¿Quiénes son los que están del otro lado? ¿A quiénes te toca convencer de tener de aliado a la ciberseguridad? Pues, en mi experiencia fue muy fácil, porque solamente tenía un grupo de personas que estaban en la organización, y yo siempre tenía al director general arriba de mí. Ah, claro, un director. Entonces, solamente tenía que hablar con el director general, y como miembro del comité de estrategia, yo era coordinadora de las estrategias a nivel regional, entonces era mucho más fácil lograr que, pues para empezar, nos dieran un presupuesto digno para poder establecer los controles, porque ese es el tema principal en las organizaciones, ¿no? ¿Cómo les justificas que necesitas tanto presupuesto para algo que ellos ni siquiera tienen en mente qué va a pasar? Porque toda la gente dice, a mí no me va a pasar, ¿no? Totalmente, y a mí me diste pie porque tu foco está mucho más orientado en el núcleo de la estrategia, que es lo que acabas de mencionar. Este espacio, la estrategia lo comparte en tanto y en cuanto hay alineamiento, y esto lo hemos hablado en capítulos anteriores, pero no es un espacio de estrategia puro. ¿Cuál es tu definición de estrategia? Pues mira, para mí la estrategia es una diferencia, es una, ¿a dónde estoy yo ahora? ¿A dónde quiero llegar? Y eso me da una brecha, ¿no? Esa brecha se tiene que convertir en tu estrategia, porque si tú no conviertes esa brecha a tu estrategia, pues vas a estar dando o estableciendo, creando proyectos que van a ir paralelos, rodeando a dónde quieres llegar, pero sin una visión clara. Primero tienes que ponerte bien clara la visión a dónde quieres llegar, para que con los pies en la tierra puedas establecer un estado actual de cómo me encuentro y a dónde quiero llegar. Y la estrategia no es más que eso. ¿Cómo voy a cubrir esa brecha de a dónde quiero llegar? Para que se vuelva en un mapa, en una ejecución y en una ruta, en un destino para que la organización llegue ahí. Ahora, vos sabes que nosotros tuvimos la suerte en este show de, de entrevistar a CISOs de toda Latinoamérica. Y quizás porque nos tocó siempre empresas importantes, quizás porque conviene que esa sea la forma en la que contamos nuestra historia, casi nunca estos CISOs tienen problemas de alineamiento estratégico. Entonces, empresas de bancos, aerolíneas, empresas de e-commerce. Yo he encontrado una respuesta muy positiva. Yo le pregunto a los CISOs, ¿cómo haces para pelearte con el gerente general o con el board? Y siempre recibo de respuesta, no, yo no me peleo. Yo digo las cosas como son y ellos entienden que los riesgos son altísimos y después me dan presupuesto. Un poco lo que me acabas de decir vos. Es verdad eso. La empresa promedio latinoamericana, promedio no, digamos las más chiquitas de las empresas grandes, tienen este nivel de alineamiento que nunca, parece que tenemos una panacea, digamos, en este espacio. ¿Vos cómo lo vivís eso? Pues yo te voy a decir que creo que te mintieron. Yo también les dije que creo que me están mintiendo en ese momento, pero ellos sostuvieron su posición. Fíjate que estuve en una reunión recientemente la semana pasada donde había personas súper, súper top, súper CISO, súper en tecnología, los puestos más altos y ese fue un tema. ¿Cuántas veces hemos peleado? Dijo una persona. ¿Cuántas veces hemos peleado por pedir a las direcciones, a los boards que en el comité más alto, en el comité directivo, en donde se hace el análisis de presupuestos y estrategias, esté el CISO? Y te puedo decir que ahí dijeron que un 80% de las veces no es así. Claro. Y son personas que lo han hecho. Y son personas que lo están viviendo en carne propia. Entonces creo que te mintieron. Bueno, entonces ya que tenemos este espacio de pequeña coincidencia, porque el público, o sea, te voy a ser honesto, a mí me encantaría que el CISO de FEMSA, que fue nuestro invitado, o el CISO de Globant o el de Mercado Libre, que todos fueron nuestros invitados, escuchen este programa y no se lo quieran perder. Pero en realidad entiendo que nuestro público es gente del espacio de ciberseguridad, que no son gerentes generales de empresas multinacionales que cotizan en Nasdaq. Entonces, ¿cómo se continúa? O sea, dame el corolario de esa anécdota. ¿Cómo hace alguien que está en el espacio de ciberseguridad, que sabe que hay una vacancia estrategia con la empresa? ¿Cómo hace para que esto cobre visibilidad en su espacio? Fíjate que yo creo que estamos un poco al lado de la ciberseguridad. Fíjate que yo creo que estamos un poco al lado de la ciberseguridad. Y es que la ciberseguridad es un poco al revés en la actualidad. Típicamente tú, cuando vas a construir una organización, una empresa, siempre piensas, tengo que tener al de finanzas, al de recursos humanos, a veces, no siempre, porque dicen, ahí se va a ir dando, pero tengo que tener al de contabilidad sí o sí, y al de producción y al de ventas. Entonces yo creo que las organizaciones están muy enfocadas en esa cadena de valor que se ve o en ese espacio de la ejecución, más que de la planeación. Entonces yo creo que las organizaciones están muy enfocadas en esa cadena de valor que se ve o en ese espacio de la ejecución, más que de la planeación. Entonces yo creo que las organizaciones están muy enfocadas en esa cadena de valor que se ve o en ese espacio de la ejecución, más que de la planeación. Yo creo que la diferencia es eso, estamos muy enfocados en el hacer. Y yo te voy a decir una cosa, como mujer y como latina y como muchos latinos, a nosotros nos gusta estar en la operación. Y ese es un issue. Porque cuando empiezas a tener puestos de mando y empiezas a tener puestos en donde te exige más la estrategia, te cuesta desprenderte de la operación. Te cuesta decir, ¿sabes qué?, voy a delegar otro operador. No, totalmente. voy a delegar porque piensas que solo lo vas a hacer bien tú. Entonces, ese es un issue como personas. Entonces, si hay un CISO que de alguna manera fue creciendo, creciendo y llegó a estar en el comité directivo, qué maravilla, porque ahora lo único que va a tener que hacer es hablar como alguien que no es técnico. Porque lo que te digo que estamos haciendo al revés es que tenemos a toda la gente en la operación, pero cuando llegas al puesto estratégico, ahora cómo le explico al board lo que le tengo que explicar sin decírselo técnico para que me entienda y no me cierre la puerta del presupuesto. Entonces, ahora, ¿qué estamos viendo? Que la gente muy técnica, ¿qué está haciendo? Power skills, soft skills. ¿Por qué? Porque nos faltan cuando somos técnicos esas habilidades blandas que nos ayuden a ser parte del negocio, parte de la estrategia, parte de la técnica, parte de la operación, y poder complementar todo esto. Entonces, en mi caso muy particular, pues puede ser que soy un ente extraño, porque yo empecé en la operación, pero también empecé en la parte de sistemas de gestión, de prevención, de auditoría, y entonces eso fue como complementando, pero no es algo que se da fácil, Fernando. A mí me llevó 20 años. Entonces, tiene que ser un proceso. Ahora tenemos muchos entrenamientos que te pueden complementar esa parte de visión, de negocios, de skills blandos con tu parte técnica. Está bien, porque la fórmula un poco sería, si vos como partícipe del espacio técnico, ves que hay un desalineamiento con la estrategia, lo que te está faltando no es más técnico, sino que lo que te está faltando es un relacionamiento más humano. Para mí los negocios son algo completamente humano, es un espacio de intercambio de valor humano, no es como conectar la computadora al tomacorrientes. ¿Qué pasa? ¿O qué debería ser la preocupación de quienes no ven esto? ¿Qué pasa cuando estrategia y ciberseguridad no hablan entre sí, no hay alineamiento, no tenemos ese universo? Fíjate que yo creo que lo que falta es evaluar los puntos críticos de éxito de todos los sistemas, y siempre, aunque para ciberseguridad siempre se dice, el eslabón más débil es la persona, yo te digo que si quieres hacer una buena implementación en ciberseguridad, pues vas a empezar por un análisis de riesgos, por ejemplo. Y para hacer el análisis de riesgos, ¿qué necesitas? Pues gente que conozca la organización, pero también necesitas gente que conozca la cultura de la organización, porque no es lo mismo poner sanciones porque hay incumplimientos, porque hay incumplimientos, porque hay incumplimientos, en una organización donde no estamos acostumbrados a poner sanciones, a llegar a una organización que está súper estructurada, que dice, si llegaste tarde cinco minutos tres veces, la siguiente vez ya te descuento el día. O sea, todo depende, y esto no es más que cultura organizacional, y eso es lo que cada vez la gente que estamos en la operación, a veces somos parte de la cultura organizacional porque trabajamos ahí, compartimos los valores, pero no lo vemos como algo, o no se asimila como tal, es lo que quiero decir, lo haces por inercia. Entonces, cuando tú estás en procesos de ciberseguridad y no conoces la cultura de la organización, tienes un tema que resolver antes de avanzar, porque debes de saber si la gente realmente va a ir al curso a escucharte para el awareness, o realmente va a darle clic porque es súper curiosa y te va a meter en un problema. O sea, eso que falta para mí es como, ¿cómo? Como decir la parte intermedia de un sándwich. O sea, todo lo que está adentro, todo lo que va a formar la cultura organizacional, la que va a formar ese conocimiento del negocio. Yo creo que una de las grandes debilidades que tenemos la gente que estamos muy metidos en la parte técnica, es la falta de conocimiento del negocio. Si tú ya eres un CISO y entonces ya estás con el conocimiento del negocio, ya sabes las políticas, ya sabes las reglas, ya vives la vida, ya sabes las reglas, ya sabes las reglas, ya vives la cultura de la organización, seguro va a ser más fácil. Seguro. Y vos actualmente, vos tenés un rol en donde venís un poco de afuera. Venís con una mirada externa a las organizaciones. No quiero decir a decir cómo se hace, pero sí a ayudar a que las cosas se resuelvan mejor, ¿no? Y acá en este espacio somos muy adictos al chisme. Y no hace falta que nos digas el nombre y el apellido, en lo más mínimo. Pero, ¿algún logro que hayas tenido, alguna historia que de repente abriste la puerta, te encontraste con algo y eso se pudo resolver, empujar, concretar? Pues mira, yo creo que me siento afortunada y agradecida porque logros en la carrera profesional he tenido bastantes en el sentido de que soy hands-on, como te digo, aunque tenga puestos directivos, me gusta estar ahí, me gusta entrar de repente a la operación, a ver cómo lo están haciendo, porque es una parte interesante también de aprender de la gente que está colaborando contigo. Y hasta cierto punto mentoreas, ¿verdad? Claro. En ese acercamiento con la gente que está en tu equipo, tú puedes decirle, ah, bueno, pues yo creo esto, yo lo haría así. ¿Tú qué opinas? Y ese intercambio que a veces uno minimiza es una forma de dar una breve mentoría en un proceso especial. Sí. Sí. Sí. Sí. Sí. Sí. Sí. Sí. Entonces yo te puedo comentar que en la organización en la que yo inicié, porque para que tú lo sepas y lo sepan los que nos escuchan, trabajé 30 años en una sola organización. ¿Ok? Entonces es una vida. Es una vida. Yo no veo... Totalmente. Yo no veo muchas personas... Un formato que no existe más. Un formato que no existe más. Ajá. Probablemente en nuestras nuevas generaciones no va a existir. Pero eso no es porque yo no... Imagínate si no hubiera tenido logros, no creo que hubiera durado 30 años para empezar. No, no, claro. entonces entré como gerente del sistema sí, fui involucrándome cada día más en temas diversos como te estoy diciendo en temas de auditorías y logros te puedo decir los primeros de la organización hablando de principios de los 90 y no calculen mi edad pero sí, por ejemplo ser la primera filial en un grupo internacional y siendo mexicana te lo repito y mujer pues es un doble reto porque aunque estemos hablando de América Latina si tú vas a otros países siempre es un issue ser mujer romper la brecha, no nada más se trata de romper la brecha en ciberseguridad es la brecha en el liderazgo en general entonces fuimos la primera filial dirigida por afortunadamente el equipo que yo dirigía en tener la primera certificación hizo 9000 para un grupo internacional después la primera en tener OSHA 18000 después ISO 1400 o sea teníamos un sistema súper robusto de integral pero si tú dices y eso que tiene que ver con ciberseguridad o eso que tiene que ver con sistemas porque todo estaba basado en un sistema o sea todo lo que hacíamos para los sistemas de gestión lo basábamos en el RPE en las políticas informáticas hablábamos el negocio las necesidades y la tecnología de tal manera que todos los sistemas de gestión se basaban en el RPE todo fuera integrado. Y eso yo creo que esa es la maravilla o el logro más importante que te puedo decir. El integrar las necesidades de la técnica con la operación y con los clientes. Porque al final de cuentas, si yo como directora de tecnología no podía asegurar que se cumplían los requisitos del cliente, pues también tenía un problema. Pero es importante que te des cuenta que formas parte también de esa cadena de complementos. Bueno, y hoy estás en un espacio distinto, ¿no? ¿Por qué no nos contás un poquito de WOM y cómo es tu día a día en WOM? En WOM Strategy nosotros lo que tenemos es una comunidad en donde tratamos de compartir conocimientos y experiencias de mujeres talentosas para que puedan servir como una inspiración o pues servir para otras mujeres que no han tenido las oportunidades que han buscado o que están buscando nuevas oportunidades. Te puedo platicar que actualmente es una comunidad que va creciendo. La creamos en pandemia. Estoy presidiendo esta organización y me encanta estar todos los días en contacto con mujeres talentosas, a veces súper más jóvenes que yo, pero inspiradoras de igual manera, a veces de mi edad, a veces más grandes y siempre colaborando. ¿Y es tarde en algún momento para formarse? Formarse en ese espacio. Lo digo en especial por el universo de las mujeres, ¿no? Que en algún momento ven interrumpida por decisiones que las más de las veces son propias, pero ven interrumpido el desarrollo de sus carreras profesionales y a veces uno tiende a decir, bueno, pero ahora me voy a poner a aprender qué es un pineapple y qué es un bus y qué sé yo. Ahora voy a aprender sobre informática y ciberseguridad. ¿Se vuelve tarde en algún momento? No, fíjate que formo parte también de otra organización que se llama WOMC, que supongo que es la que más interesa para la audiencia que tenemos aquí, que es Latin Women in Cybersecurity. Y yo soy la líder para México. En este caso, yo creo que no es tarde. Tenemos, la verdad, yo cada día quedo más sorprendida. Tenemos muchísimas mujeres jovencisísimas que apenas están terminando la universidad y son talentosas. Y tenemos mujeres que están haciendo sus primeros acercamientos por necesidad, porque me hackearon, porque vi que en mi trabajo hubo este problema. Entonces, yo creo que ciberseguridad, al igual de lo que te he venido platicando, es un área que necesita de muchas profesiones. Tenemos ciberabogadas, tenemos psicólogas especializadas en ciberseguridad. Entonces, no importa la carrera en la que estés, tú necesitas tener awareness. Necesitas saber cuáles son el 1, 2, 3 para estar protegido en ciberseguridad. Y necesitas saber cómo la ciberseguridad impacta tu vida en el día a día. O sea, ya hablar de ciberseguridad ya no es algo que solamente es especial para los muy super top level de conocimientos en informática. No. Hablar de ciberseguridad es importante hasta para nuestros hijos. Porque hoy, bueno, yo ya tengo hijos muy grandes, pero, hoy, ¿qué pasa? Viene Navidad, vienen las fiestas, viene todo esto. Y lo primero que los niños piden es una tablet, ¿no? Claro. Y los papás se las damos. Pero no les damos las reglas que tienen que tener para ciberseguridad, ¿no? Sí, totalmente. ¿Y te preocupa la cuestión de la diferencia o la asimetría de género en el espacio? ¿O te parece que es un componente? ¿O te parece que es un componente de cómo funciona? Pues, más de que me preocupa, me ocupa. Ok. Estoy trabajando constantemente en asegurar que más mujeres entren al rubro de la ciberseguridad. Porque, como te venía yo diciendo, cuando nosotros estamos trabajando como personas muy técnicas y no tenemos ciertas habilidades, hoy te las están dando. Pero yo creo que como mujeres tenemos ya algunas habilidades, por naturaleza, somos, sin llegar a una guerra de género, somos empáticas, trabajamos un poco más en equipo. Imagínate una mujer que nunca tuvo un entrenamiento en ciberseguridad. Imagínate una mujer que nunca tuvo un entrenamiento en liderazgo y que solamente está en su casa y recibe un X cantidad de dinero que le tiene que funcionar para toda la quincena. Pues, qué mejor manejo de presupuesto que una ama de casa, ¿no? Y son habilidades que... Que no te enseñaron. Entonces, yo creo que hoy en día hay que sacarle potencial a esas habilidades que tenemos las mujeres y que las traemos de manera natural para complementar y aprovechar mejor las oportunidades que se necesitan. Está con cifras y con estadísticas demostrado que las empresas que están lideradas por mujeres tienen resultados más rápidos favorables. Es una cuestión de pelearse por las que quedan, porque hay poquitas. Exacto. Y tenemos tres preguntas más. Una más de índole personal y después... Bueno, en realidad son las tres de índole personal. La primera es algo que dejar. Si alguien va y escucha el highlight de este capítulo y dice, mira, algo que me llevé de la entrevista con Aymed es que... Es que nunca es tarde. Es que siempre hay muchas cosas para aprender. ¿Y sabes qué? Que hoy en día tenemos una ventaja. Hay muchísimas cosas a la mano que son gratuitas, muchas cosas que tú puedes aprender de manera... Hay muchas organizaciones. WOMC tiene entrenamientos gratuitos para mujeres en alianza, por ejemplo, ahorita con Microsoft. Y no todas las organizaciones grandes, absolutamente todas, tienen espacios gratuitos de aprendizaje. Y no todas. No solo para mujeres. Entonces, el primer mensaje es, nunca es tarde. Hoy puedes aprender algo nuevo y siempre tienes oportunidad de aprender algo nuevo. El chiste es no detenerse. Seguir creciendo constantemente. Fantástico. Y una más. Cuando Aymed deja de trabajar y quiere cortar con el estrés laboral, ¿qué haces? Bueno, pensé, no, pues ya me voy a dedicar al relato. Al relajamiento, como dices tú, del estrés, porque si era mucho. Pues viajar un poquito, disfrutar a mis hijos, porque pues te digo que ya están grandes. Tengo uno de 24 y una de 27. Entonces dije, no, pues tengo que estar con ellos, porque si no se van a casar y ya no voy a estar con ellos, ¿no? Entonces empecé a hacer eso. Lo disfruté muchísimo. Pero a los cinco minutos nos llegó la pandemia. Así es que, pues fue forzoso el encierro. Y fue realmente para mí, fue una forma... Agradecí la pandemia, porque fue una forma en la que estuve, pues, integrada con toda la familia de una manera natural, porque no había de otra. No había de otra. Entonces, eso es. Pero después, cuando traes un ritmo acelerado de tantos años, entonces es difícil que te quedes en ese estatus de relajamiento. Entonces siempre buscas, como te dije hace ratito, aprender algo. Nunca es tarde. Buscas como hámster que tienes ahí siempre la energía para hacer algo nuevo, ¿no? Y esta es la última. Y esta es... La única pregunta que hemos repetido a todos, sin excepción. Y tiene que ver con la ciberseguridad, pero de un modo muy personal. ¿Vos sos una ortodoxa de las contraseñas o más bien sos de poner password 1234 en todos lados? Súper cuidadosa con las contraseñas. Jamás haría un 23. Muy bien. Ahmed, ha sido un placer entrevistarte. ¿Querés dejarnos? ¿Querés dejarnos algo en particular de todas las cosas que haces a donde la gente pueda entrar? ¿Algún proyecto, algún link, algún sitio? Obviamente después lo podemos poner en las notas. Pero si tenemos que empujar a la gente en alguna dirección, ¿a dónde tendrían que ir a visitar? Dado que este es un espacio para temas de ciberseguridad, yo los invito a seguir las redes de WOMC. www.womc.org Somos una organización sin fines de lucro que justamente buscamos reducir la brecha de ciberseguridad en... Perdón, la brecha de talentos en ciberseguridad. Hacer más mujeres talentosas, visibilizarlas. Y siempre hay espacios para todos. Hay muchas oportunidades, muchas charlas gratuitas y también entrenamientos. Muchas gracias, Ahmed. Hasta pronto. A ti, Fernando. Muchas gracias.