Sarah Armstrong-Smith es la asesora principal de seguridad de Microsoft Europa y una de las figuras más influyentes en ciberseguridad del Reino Unido. Desde su nombramiento en 2020, ha desempeñado un papel fundamental en la configuración de las estrategias de adopción de la nube y la transformación digital de Microsoft. Con una carrera que abarca más de dos décadas, Sarah ha ocupado puestos de alto nivel, incluido el de Jefa de Grupo de Resiliencia Empresarial y Gestión de Crisis en el London Stock Exchange Group y Jefa de Continuidad y Resiliencia en Fujitsu.
En esta entrevista, Sarah reflexiona sobre su trayectoria: desde abordar el problema del Milenio hasta guiar a organizaciones multinacionales a través de complejas amenazas cibernéticas. Analiza el panorama cambiante de la ciberseguridad, incluidos los riesgos impulsados por la IA, la influencia de los medios en la percepción pública y la importancia de comprender la psicología de los atacantes.
P: Desde que se unió a Microsoft como asesor jefe de seguridad para Europa en 2020, ha atravesado importantes desafíos globales. ¿Cuál consideraría su logro profesional más significativo en este puesto y cómo ha dado forma a su perspectiva sobre la seguridad y la transformación digital?
Sarah: “Bueno, para mí, en realidad me uní a Microsoft una semana después de que el Reino Unido entrara en confinamiento. Entonces, ¡toda mi carrera en Microsoft hasta la fecha ha sido desde esta misma oficina! Ha sido interesante estar en medio de una pandemia global, unirme a una nueva empresa, pero también ver el funcionamiento interno de Microsoft.
Microsoft es una organización enorme con más de 160.000 empleados en todo el mundo, pero más allá de mantener la empresa en funcionamiento, también teníamos que asegurarnos de que nuestros clientes estuvieran operativos. Luego vino la aceleración masiva hacia la nube, en particular hacia herramientas de colaboración como Teams.
Fue increíble ver cómo Microsoft estuvo a la altura de las circunstancias, apoyando a clientes y nuevos usuarios. En mi puesto, trabajo con clientes importantes y estratégicos en toda Europa, actuando como patrocinador ejecutivo en diferentes sectores. Me permite comprender sus desafíos, especialmente en torno a la adopción de la nube y la transformación digital.
No importa lo mal que se pongan las cosas (y hemos tenido crisis importantes a lo largo de los años), siempre me concentro en las oportunidades. ¿Qué podemos aprender? ¿Qué podemos hacer mejor? Por eso estoy orgulloso de trabajar en Microsoft”.
P: Como experto en ciberseguridad, ha sido testigo de la evolución del panorama de amenazas. ¿Cuáles cree que son las amenazas de ciberseguridad más apremiantes a las que se enfrentan las empresas en la actualidad y qué medidas proactivas deberían tomar las organizaciones para mitigar estos riesgos?
Sarah: “Los ciberdelincuentes son oportunistas y prosperan en una crisis. Durante los últimos 12 a 18 meses, hemos visto un aumento masivo de ataques de phishing que se aprovechan de los miedos y emociones de las personas. Los atacantes se hacen pasar por su banco, una organización benéfica o una organización que ofrece apoyo. Intentan engañarlo para que proporcione credenciales o haga clic en enlaces maliciosos.
También hemos visto un aumento en los ataques de ransomware, particularmente dirigidos a la atención médica y la infraestructura crítica. Nos sorprendió que durante una pandemia los atacantes siguieran atacando hospitales y servicios de emergencia porque creían que era más probable que esas instituciones pagaran.
Las empresas deben adoptar una mentalidad de “asumir un compromiso”. No importa cuán fuerte sea su ciberseguridad, los atacantes intentarán encontrar una manera de entrar. La atención debe centrarse en la preparación: ¿qué sucede si alguien accede a sus sistemas? Si se filtran sus datos, ¿cuál es el impacto? ¿Dónde debería priorizar sus esfuerzos de seguridad?
La ciberseguridad no se trata sólo de defensas, sino también de respuesta a las crisis. Si su red deja de funcionar, ¿puede su empresa volver a los procesos manuales? ¿Cómo se comunica con clientes y socios? La estrategia de respuesta es tan importante como la prevención”.
P: Su experiencia trabajando en Millennium Bug le proporcionó información valiosa sobre los riesgos digitales a gran escala. ¿Qué lecciones clave aprendió de esa experiencia y cómo han dado forma a su enfoque de la ciberseguridad y la resiliencia empresarial?
Sarah: “Creo que tener experiencia en continuidad empresarial me ha permitido pensar en el panorama general. Siempre estuve considerando los peores escenarios: ¿qué es lo peor que podría pasar? Pero también debemos pensar de manera más amplia. Necesitamos considerar incidentes que no solo sean relevantes para nuestra propia empresa, sino también aquellos que impactan en cambios intersectoriales e incluso globales.
Pienso en el 11 de septiembre como un muy buen ejemplo de un incidente importante a escala masiva que no habíamos visto antes. La forma en que fue televisado y la conmoción que provocó realmente hicieron evidente el impacto del terrorismo y lo importante que es la continuidad del negocio a ese nivel.
Llevando esto al presente, la pandemia global realmente ha enfatizado cuán interconectados y dependientes estamos todos. Esto se aplica tanto a las pequeñas empresas como a las grandes empresas. Cuando consideramos estas amenazas, no se trata solo de la continuidad del negocio sino también de la ciberseguridad y los ataques. Tenemos que pensar de manera holística, mucho más amplia. Aquí es donde la resiliencia ante todos estos tipos de amenazas pasa a primer plano”.
P: Los medios de comunicación desempeñan un papel importante en la configuración de la percepción pública de las amenazas a la ciberseguridad. ¿Hasta qué punto cree que la cobertura de los medios amplifica los temores y cómo pueden las empresas y los individuos eliminar la información errónea para tomar decisiones de seguridad informadas?
Sarah: “Potencialmente. A veces los medios de comunicación realmente pueden ayudar, pero también pueden obstaculizar. El problema es alarmismo, exagerar las cosas. La gente tiene una tendencia a creer lo que leen en Internet sin verificar los hechos, y eso se ha vuelto más difícil debido a la gran cantidad de fuentes de información disponibles.
¿A dónde acude para obtener información objetiva? La gente lee cosas en las redes sociales (Facebook, Twitter) y es realmente difícil descifrar la realidad de la ficción. Los medios a veces pueden exagerar las cosas. Es importante encontrar las fuentes de información adecuadas y utilizar la inteligencia para eliminar el ruido y obtener información real y procesable”.
P: Su carrera abarca más de dos décadas en ciberseguridad, protección de datos y transformación digital. ¿Qué lo atrajo inicialmente a este campo y cómo ha evolucionado su recorrido a lo largo de los años para abarcar áreas críticas como la prevención del fraude, la gestión de crisis y la resiliencia empresarial?
Sarah: “He estado trabajando en el entorno tecnológico durante más de 20 años, y esto se remonta a 1999. De hecho, estaba trabajando para una empresa de servicios de agua durante el error del Milenio en 2000. Muchas empresas estaban ejecutando grandes programas de transformación para recodificar muchas de sus computadoras y servidores porque la teoría era que, al filo de la medianoche, varios sistemas colapsarían debido a la forma en que se había codificado el año 2000.
Para mí, desde muy joven, siempre me ha impulsado a seguir preguntando “por qué” y a cuestionarlo todo. ¿Qué pasa si los sistemas fallan? ¿Qué pasa si no podemos conseguir que la gente trabaje? ¿Qué pasa si suceden todas estas cosas? En ese momento, no me di cuenta de que estaba buscando la continuidad del negocio. Parecía de sentido común seguir haciendo estas preguntas. Ese fue el comienzo de mi carrera.
Siempre miro ese momento como el punto donde comenzó mi carrera. De la continuidad del negocio, pasé durante los siguientes 20 años a la recuperación de desastres, la ciberseguridad, la prevención del fraude y la gestión de crisis, todo lo cual cae bajo la bandera de la resiliencia. Así es como ha evolucionado mi carrera y ha sido fantástico”. Esta entrevista exclusiva con Sarah Armstrong-Smith fue realizada por Mark Matthews.