Entrevista exclusiva per a la Festibity

David Mañas Jaime, actual Vicepresident de Cloud Services & Cybersecurity a T-Systems Iberia.
Informàtic, Format a l’IESE, EADA, i a la UAB entre d’altres. Ha desenvolupat la seva trajectòria professional en el sector de les TIC i les telecomunicacions. Ha ocupat diversos càrrecs directius centrats en serveis de núvol, infraestructures i seguretat digital.

—

Com ha canviat la manera en què les empreses adopten el núvol en els últims anys? Quins errors o malentesos són més comuns?

Inicialment, la migració al núvol tenia com un dels seus objectius principals era l’escalabilitat de les solucions, la reducció de costos i l’accessibilitat de la informació, en molts casos sense prioritzar la protecció de la informació. A més, l’adopció del tipus de cloud ha anat canviant del privat, d’accés restringit, al multicloud, utilitzant un conjunt de proveïdors de núvol públic combinat amb solucions locals. D’altra banda, l’auge regulador que vivim en els últims anys està donant especial importància al núvol sobirà, que garanteix el compliment regulador nacional i comunitari sense realitzar noves inversions.

Aquesta evolució, no obstant això, ha estat una mica forçada pel context i el canvi de la necessitat de reduir costos a l’exigència de comptar amb un entorn cloud que impulsi la innovació i la transformació digital. Per això, un dels errors principals és precisament la falta d’una estratègia clara que asseguri la creació d’entorns cloud optimitzats per a les necessitats de l’empresa, en el moment de maduresa digital en el qual es trobi i que tingui en compte la flexibilitat del sistema per a garantir el compliment i seguretat de les dades. Les empreses necessiten combinar el millor de cada proveïdor, però amb marcs que assegurin la transparència, la portabilitat i el control sobre els actius digitals crítics. En T-Systems som agnòstics en les plataformes de Cloud, amb el que aportem el millor de cada solució centralitzant la gestió i integració de tots els sistemes com a únic proveïdor.

Des del teu punt de vista, quin paper juga el núvol en la transformació digital del sector públic? Quines diferències observes respecte al sector privat?

Les tecnologies cloud són crucials en la digitalització de qualsevol organització. Dins del sector públic, a més, permet innovar i democratitzar els serveis per als ciutadans i fer més eficient la gestió dels recursos públics amb una infraestructura IT segura, eficient i fiable. No obstant això, en l’àmbit intern el seu desplegament exigeix una atenció especial en la seguretat de la informació que manegen, que és crítica en molts aspectes. Parlem de la provisió de millors serveis sanitaris, judicials, administratius, gestions amb la hisenda pública… En aquest punt el cloud sobirà té molt a aportar, ja que garanteix les funcionalitats, el control total de les dades, la interoperabilitat, i el funcionament independent de l’administració; però d’acord amb les normatives europees.

Moltes organitzacions veuen la seguretat com un cost, no com una inversió. Com es pot canviar aquesta percepció?

El major dels costos és patir un incident de seguretat, per exemple el cost mitjà d’un atac ransomware és superior als 2m€. Els incidents de ciberseguretat no paren d’augmentar. De fet, INCIBE va registrar l’any passat un increment del 16,6% en comparació amb 2023 i des del SOC de T-Systems a Bonn s’han detectat 12.000.000 atacs als nostres 500 sensors honeypot, 100.000 detalls d’ús indegut en punts d’accés PK i 5.000 virus i malware. És imprescindible invertir en ciberseguretat per a protegir els actius digitals i la informació confidencial enfront d’atacs que poden paralitzar l’activitat o danyar la reputació. L’arribada de la IA ara, i la IA quàntica en un futur pròxim, exigeix una atenció encara major si fos possible. La ciberseguretat en negoci es tradueix en confiança digital. Si no ofereixes garanties als teus clients, sigui consumidor o una altra empresa, triaran qui sí que la hi ofereixi, i aquest és el valor de negoci de la ciber. Serà un factor clau en la reputació i en l’elecció de consum.

“És imprescindible invertir en ciberseguretat per a protegir els actius digitals i la informació confidencial.”

Quines amenaces emergents us preocupen més actualment?

Hem de tenir en compte que els hackers utilitzen la IA tant o més que nosaltres. Si és el cas, la solen usar com a catalitzador per a la sofisticació i velocitat dels ciberatacs, incloent-hi el ransomware de pròxima generació (RaaS) i els atacs de phishing hiperpersonalitzats. Així mateix, l’expansió de la superfície d’atac a causa de l’adopció massiva del IoT i l’explosió d’identitats en entorns multicloud i distribuïts, és una cosa a la qual parar-li esment, ja que fa imprescindible l’adopció rigorosa d’arquitectures Zero Trust per a assegurar que cap usuari o dispositiu és automàticament de confiança, independentment de la seva ubicació. En un futur pròxim, com deia abans, arribarà possiblement la computació quàntica, per a la qual ja ens estem preparant per a avançar-nos a les possibles amenaces que pugui portar.

La regulació europea (com el NIS2 o el DORA) està marcant el futur de la seguretat digital. Com impacta en la feina diària d’una consultoria?

Forma part del treball que fem per als nostres clients. Els ajudem a complir amb els requisits de NIS2 i DAURA garantint una implementació sense contratemps. Avaluem el potencial de l’estratègia de ciberseguretat, per a, en cas de detectar bretxes, implementar mesures que eliminin qualsevol vulnerabilitat. En aquest procés, moltes companyies necessiten el suport d’un soci de confiança que els guiï, els ajudi a garantir la seguretat de les seves xarxes i sistemes d’informació i a aplicar els requisits i protocols que marqui la directiva a tots els nivells.

S’està parlant cada vegada més del “Green Cloud”. Quina relació hi veus entre sostenibilitat i transformació digital segura?

Totes les accions de qualsevol sector han de contemplar el seu impacte sobre el medi ambient. Com més digitalització, més impacte es generarà. Per aquest motiu, estem adscrits al Pacte per la neutralitat climàtica dels centres de dades, cerca aconseguir aquesta neutralitat en 2030, operem ja de manera exclusiva amb electricitat verda en els nostres centres de dades. Els avanços que ja hem aconseguit deixen clar que aquests centres de dades verdes són possibles. Per exemple, en el Centre de Processament de dades de Cerdanyola del Vallès, a través de la instal·lació de panells fotovoltaics, hem aconseguit reduir la petjada de carboni en un 89%.

Cal no oblidar que aquesta base sostenible ha de ser intrínsecament segura. Una estratègia de Green Cloud coherent implica l’optimització i l’ús eficient dels recursos, i la ciberseguretat és la garant d’aquesta eficiència. Els sistemes segurs i ben governats consumeixen menys recursos, ja que eviten la despesa energètica associada a la recuperació d’incidents, la replicació de dades no controlada o l’execució de processos maliciosos.

“Una estratègia de Green Cloud coherent implica l’optimització i l’ús eficient dels recursos, i la ciberseguretat és la garant d’aquesta eficiència.”

Quins són els projectes més destacats que esteu desenvolupant actualment a T-Systems Iberia en l’àmbit del cloud o la ciberseguretat?

Amb l’objectiu de respondre a la creixent demanda de solucions sobiranes a Europa, oferim totes les nostres solucions cloud com una única unitat de serveis i solucions. La diem T-Cloud. Aquesta plataforma reuneix totes les ofertes i solucions de cloud, garantint un enfocament multicloud des d’una única font amb el grau desitjat de funcionalitat i sobirania. En lloc de sistemes tancats, T-Cloud integra una àmplia varietat de plataformes i serveis en un ecosistema de partners sense fissures. A més de solucions de cloud de hyperscalers i serveis de consultoria, T-Cloud també ofereix infraestructures en el cloud propi de Telekom.

Dins de T-Cloud es troben solucions europees de cloud públic i cloud sobirà operades en centres de dades certificades d’alta seguretat situats per diferents països d’Europa; cloud privat, que ofereix una forma segura i rendible de migrar les aplicacions de SAP i no SAP i ofereix suport específic per a la transformació digital, i cloud híbrid.

Com es lidera un equip en un àmbit tan especialitzat i en constant canvi?

Em sembla indispensable generar confiança en l’equip per a poder anticipar-nos i adaptar-nos al que vingui. Escoltar és la base per a construir escenaris de futur, avaluar riscos i preparar a l’organització (transformació permanent i formació) per a aprofitar oportunitats en lloc de sofrir impactes. Per a això, hem d’entendre que aquesta capacitat d’escolta no és passiva, sinó activa i estratègica, per la qual cosa és important crear canals i interns i externs, que permetin recollir veus diverses i tenir la humilitat d’acceptar que les millors idees o advertiments poden venir de qualsevol part de l’organització o de l’ecosistema. Cal dedicar molt de temps a discutir del futur.

“Escoltar és la base per a construir escenaris de futur, avaluar riscos i preparar a l’organització”

Cap a on creus que evolucionarà el binomi Cloud + Ciberseguretat en els pròxims 3-5 anys?

Per descomptat, estarà profundament marcat pel concepte de la sobirania digital europea i el sorgiment del cloud sobirà. La ciberseguretat tindrà un enfocament important de geolocalització, control i autonomia de les dades, la qual cosa es traduirà en solucions que garanteixin que la informació crítica, especialment la de sectors regulats, romangui gestionada sota lleis i jurisdiccions europees, fins i tot quan s’utilitzin hyperscalers globals. Aquesta evolució tecnològica i legal convertirà la sobirania en un requisit de seguretat no negociable i la ciberseguretat deixarà de ser només una funció de protecció perimetral per a centrar-se en la governança de dades. Crec que el focus estarà a construir cadenes de subministrament digitals resilients i transparents, on la seguretat i el compliment normatiu siguin indistingibles, assegurant que el desplegament multicloud compleixi estrictament amb l’autonomia i els valors digitals de la Unió Europea.

“La ciberseguretat deixarà de ser només una funció de protecció perimetral per a centrar-se en la governança de dades”

Com vas arribar al món del Cloud i la Ciberseguretat? Com ha evolucionat el teu rol dins d’una empresa de consultoria tecnològica?

Des de ben petit, vaig saber que el meu món era la informàtica. Vaig començar la meva carrera en EDS, on vaig anar assumint diferents rols, i després vaig fer el salt a T-Systems Iberia, a més de 20 anys que visc l’evolució constant del sector IT. En T-Systems Iberia, lidero un equip la missió del qual gira entorn d’impulsar els avanços en infraestructura *cloud i ciberseguretat. Des de novembre de 2018, tinc el privilegi de ser vicepresident de Cloud & Cybersecurity, un rol des del qual he estat clau en la conducció de processos de transformació digital per als nostres clients. També he potenciat la meva capacitació donant-me suport en múltiples formacions i certificacions, ja que entenc que sempre hem d’estar en constant desenvolupament i transformació, li dedico molt de temps a estar preparat. El que més em motiva és utilitzar la tecnologia i desenvolupar els equips per a poder implementar la nostra visió estratègica, i així mantenir a T-Systems en l’avantguarda d’un sector tan dinàmic com el nostre, un gran repte.

Quin consell donaries a algú que vol iniciar-se en el camp del Cloud o la Ciberseguretat avui?

El meu consell fonamental és adoptar una mentalitat d’aprenentatge continu, mantenir un gran nivell de curiositat, i enfocar-se en la convergència de tots dos camps. Em sembla important començar-se en el món del cloud computing, ja que és totalment transversal i em concentraria en àrees d’alta demanda com DevSecOps o la gestió d’Identitats, per exemple, a més de dominar els principis de l’arquitectura Zero Trust. Una bona manera de començar és amb projectes pràctics, Labs en plataformes cloud i buscant certificacions que validin habilitats tècniques reals, no sols coneixements teòrics, hi ha centenars de llocs on aprendre i capacitar-se.