English Translation:

Omar Benjumea: This is the second season of Secure Tracks, the podcast where outstanding industry leaders are invited to talk about operational technologies, railways, and cybersecurity. In this episode, we will talk with Esther Mateo, General Director of Security, Processes, and Corporate Systems, about the convergence of IT/OT and cybersecurity. Esther Mateo is an industrial engineer from the Escuela Superior de Ingenieros de Sevilla. Before joining Adif, she worked as an engineer in various organizations, both public and private, across all areas of transportation. In 2010, she started working for the public railway operator. She has performed various functions, being named in 2018 as responsible for the General Directorate of Security, Processes, and Corporate Systems at Adif. Esther, welcome to the podcast and thank you very much for sharing this time with us.

Esther Mateo Rodriguez: Well, thank you very much, Omar. Thank you for choosing Adif and me, and thank you for understanding that we have something to contribute to this world on your Secure Tracks podcast.

Omar Benjumea: Of course. We like to start our episodes by asking the guest about their beginnings in the world of cybersecurity, and with you, we will make no exception. Would you like to share your first steps in this exciting field with us?

Esther Mateo Rodriguez: Yes, well, I have to tell you that since I was a child, I have been crazy about technology. I believe I have had all the possible computers to play video games, I have opened them, messed with their insides, and damaged them. So, the evolution of technology started for me at a young age, and the passion for applying technology to streamline processes simplify them, and apply it at work has always been there. Following the WannaCry incident, I became fully aware that one thing could not go without the other, and since then, I have been involved in cybersecurity and in love with the joint process of secure design. That technology is perfectly available, but if it is not conceived securely, then we face the issues that you and I have discussed sometimes—that anything new to be implemented can be more or less simple. Still, the legacy that the company carries requires a different kind of attention, aside from the reluctance sometimes present within the organization. I love cross-functional projects, and few things are as cross-functional as cybersecurity. So, I am fortunate to dedicate myself to something I am passionate about.

Omar Benjumea: Very well. I didn't know you had been a little hacker. That's also good to know.

Esther Mateo Rodriguez: Not really, no, no, no, I only lived through the WannaCry, no, no. Besides, look, my starting point is more managerial than technical. Everything I've told you about video games and damaging many computers by opening them because I needed to know how they worked, but not to the point of being a hacker, just that.

Omar Benjumea: It's just the spirit, that curiosity.

Esther Mateo Rodriguez: Yes, exactly. Exactly, curiosity for...

Omar Benjumea: Last year, Esther, you published an interview in which you talked about the difficulties in attracting female talent to the cybersecurity area. In this sense, even though female presence is very low when we talk about cybersecurity, Adif is an exception since not only has you as the director of the area but also the CISO who reports to you is also a woman. Would you like to share any thoughts on this?

Esther Mateo Rodriguez: Well, the difficulty is a fact. There are few women in the world of technology in general. Our data show that fewer women are accessing engineering degrees, so it will be difficult for us to see them progress in their careers. For me, it was essential to address the disproportion of men and women in our company, which naturally comes from being a traditionally male-dominated company. Progress has to be sequential; in that sense, the company is making a significant effort. The previous CISO was male. And when the opportunity arose to choose someone who meets all the technical conditions necessary, it seemed perfect to me as a detail to show the commitment to women in general. Omar, I must tell you that I observe a different nuance when a position of responsibility is offered to a woman and a man, being equal in technical conditions and personal skills to develop it; the woman has a kind of personal saboteur in her head. I have not encountered sexism in the environment I moved in. It's more about the woman doubting herself, wondering if she's up to the task. This point, let's say, of reluctance on some occasions causes us to lose opportunities. Sometimes, they are offered, and that point of doubt gives way to men, not in equal conditions, I insist. But Adif has chosen a woman as the CISO in this case, and I am happy. Because we need all versions, just as I believe that a team made up only of junior people doesn't make sense, nor only of senior people. It's important to come from different cultures, all of which I believe add value, and in the case of women, we need to achieve it, but the fact is that few women arrive.

Omar Benjumea: Totally agree. Diversity, I believe, is key to any team. Changing the subject a bit, your responsibilities at Adif include three very differentiated areas such as security, processes, and corporate systems. In most organizations, when there is a certain degree of maturity in cybersecurity, functions are usually separated, at least those of systems or infrastructures, from the cybersecurity part. How do you manage this at Adif?

Esther Mateo Rodriguez: Well, look, we did a reflection exercise. You know that there are some organizations where even the CISO reports to the head of Security. In our case, we wanted to keep the three parts independent. Our safety, which has to do with the movement of trains, Security goes separately, and the systems also depend on me. The CIO reports to me, and so does the CISO. We didn't want to link the CISO to any of them. Sometimes, I think you say you're just starting. Take into account that the WannaCry, indeed was the beginning and the awakening in Adif of how vital and relevant this area was. At that time, it was left independent. When I took over in 2018, I received many possible models, and I intended to maintain that independence. We would achieve maturity, but independence was more relevant. Now the standard requires itץ And although we can indeed twist organizations a lot, and sometimes you say it depends on the CIO, but it's genuinely independent, the reality is that no. The way we have organized it now seems healthier to me, they collaborate perfectly because, in the end, everything depends on me. I have to have both visions. So, I'm not going to stop digital transformation, but I have to ensure cybersecurity. And the rest of the security areas. I think it's a success in that sense.

Omar Benjumea: Very well. Because you're touching on a topic that I think is particularly interesting to you in recent years. In recent times, the trend is clearly towards convergence, not from security YTY and security. I imagine that Adif, I know that Adif is not an exception in this regard. In this sense, would you like to tell us a little about how your role as director of the area has evolved concerning this integration?

Esther Mateo Rodriguez: Look, we're carrying out this process with a specific cross-sectional project. It was hard to materialize, and we debated quite a bit about how to carry it out. If we focus on the pure role that the cybersecurity area should play, it could be that with policy and functions, controls, etc., it would be enough to generate the necessary maturity required by the organization to elevate it to another level, to reduce risks, etc. And we realized that the volume of IDOT we have, which is roughly 85/15 for the DOT side, made no sense for each area, each business, to develop its cybersecurity independently. Instead, from our part, transversally, we homogenize that cybersecurity function. Precisely because the CISO and I depend on me. We thought about the OT world; there's no difference with the IT world. Everything is based on software, on servers, on very similar concepts. However, the way projects are carried out in the OT field is very different from the IT field. We saw that the difference had more to do with the culture of how things had been done than with the fact that the technology was different. With this project, we've tried to transfer the maturity from the IT part to the OT part, but it's not exempt from a profound cultural change. The IT part favors the sufficient to generate the necessary maturity that the organization requires to elevate it to another level, to reduce risks, etc. We realized that the volume of OT (Operational Technology) that we manage, which is roughly 85% compared to 15% for IT (Information Technology), made it nonsensical for each area, each business unit, to develop its own cybersecurity independently. In the OT domain, there's an emphasis on reliability, the immutability of data, whereas in IT, it's about data reliability, security that the data are correct, which means they have different operating processes. The fear is that the IT side ends up affecting operations. We are doing it in such a way that we transfer good practices without affecting operations, but clearly, it's a cross-sectional and transformational change in the organization. It's a beautiful project.

Omar Benjumea: And what are the main obstacles or challenges you've had to overcome or are currently facing because it's undoubtedly a very beautiful but also very complex project, right?

Esther Mateo Rodriguez: Super complex, but I'll tell you that I've specialized in complex projects, and I almost dare say that I love them. The main obstacles are that before applying technology, it's necessary to simplify the process, which leads to disenchantment within the organization because it complicates seeing the result. Secondly, in the IT domain, a change of mentality is required, which is hard to achieve because people think you're going to stop their process. The reality is you're going to secure the process, but it's not apparent. They're not aware that today it's not secured, so it's about making them see something that's not evident. The third thing is that we have such a wide dispersion of technology. There's technology so old it wasn't designed to be protected in terms of cybersecurity, and we're looking for homogeneous solutions that aren't vertical but protect the entire organization. In many cases, before deploying a technology, we inevitably have to do a proof of concept that helps us see how it works on a small scale and then allows us to scale up that learning. We've had to do this because every time we've tried to find a large perimeter that we could attend to, the great criticism of these projects, Omar, is always that we're very slow, that the results aren't visible, nobody sees the difficulty. So, we've realized we have to start with small seeds that allow us to grow later and exploit the information or the experience we have. I don't want to change anything you've planned, but if we were to talk about generative artificial intelligence, which is the hype of the moment and there's total chaos without data governance. There's no artificial intelligence when you talk about data governance; everyone says you're complicating it. I'm not complicating it; it's just that it wouldn't be applicable otherwise. But nobody selling artificial intelligence technology wants to tell you the beginning, and in cybersecurity, it often happens the same when you have that technological dispersion or the circumstances I've told you about.

Omar Benjumea: Yes, sometimes what's important in these cases, I understand, is to find quick wins, right?

Esther Mateo Rodriguez: Exactly, and also, Omar, there are several quick wins because we could focus on the worker, right? There's a wonderful quick win: their workstation, the way they relate to the organization, the tools they have to interact, but we also have the citizen. There are interesting quick wins in the station environment where you give a very good image. So, choosing those environments allows us precisely to avoid disenchantment without oversimplifying.

Omar Benjumea: Very well, hey, and to move to a particular case in a convergent IT/OT environment. Managing cybersecurity incidents can be very complex, especially considering that attackers don't differentiate between IT and OT as structures. How do you structure your incident response, considering both worlds?

Esther Mateo Rodriguez: The response to incidents is unified; I direct the crisis management. It's established who must attend, and in both cases, the void and access are always present in the crisis, regardless of the environment in which that event occurred. As you know, we had a cybersecurity attack in 2020 that is public, and I have given several talks about it. In that case, it was in the IT environment, but if it had occurred in OT, we would have reacted the same, and there's a homogeneous group that takes care of this crisis management, regardless of the environment. Ransomware in IT would work differently than in OT; that's true. So, we differentiate in crisis management; let's say we would have other suppliers or other companies that we would have to notify, but nothing more. Possibly, the impact could be greater if someone manages to stop all the trains in Spain. The repercussion, the spokesperson, would pose a bigger problem, but the internal crisis management would be quite similar, and in this case, it depends on me.

Omar Benjumea: So, the process, in the end, is homogeneous, you use the same process?

Esther Mateo Rodriguez: Yes, exactly.

Omar Benjumea: Okay, and before, you mentioned that dealing with obsolete platforms is a problem in the railway sector, where we have life cycles of 20-30 years and even more in some cases. How do you handle this?

Esther Mateo Rodriguez: It's difficult to retire when something is working because it performs its function. When let's say, you can't bring it to the necessary level, there are only two paths. Either you provide it with the security it needs, even if through hardware, or you change it for a version that includes that protection. There's no other option. To open a third path, the company accepts that level of risk, and that situation could also be. So, what are we doing in this process of asset discovery and having clarity on what is installed? In some cases, we decide to add the hardware that supports the protection it requires; in other cases, we are changing the equipment and replacing it with something much more modern. I'm talking about, for example, the case of cameras at stations. The motivation to replace them has more to do with the fact that the image they provided was not usable to extract information and inform the organization than because they were not designed to be protected from a cyberattack, for that, we did have a way to solve it. However, we have opted to replace them. We are now with 4K images that have the possibility of processing the image, drawing conclusions, correlating data, etc. So, depending on the case, we are making one decision or another.

Omar Benjumea: Another aspect you mentioned is the cultural change these cross-sectional projects entail. How do you manage, how do you deal with such a large company as Adif with the cultural change that these types of transformations entail?

Esther Mateo Rodriguez: Well, as you may have noticed, since I like challenges, we have a specific project for security culture change, uh, Security and Human Factors, which has different verticals. One of them is leadership in security, where we have a complete program that we are giving to the first 1,500 people. Then we will sweep through the rest of the organization, and we hope to give it to contractors because third parties are essential for us, and although we equip ourselves with many levels, both in people and technology. The weakest link is also our link but well. There we are working, raising awareness within the organization that we are all responsible. We all add value to that protection because if not, in the case of cybersecurity, notice that, unlike other securities, people are quite confident that technology will respond. Still, technology is not always at the highest level, and those attacking have a lot of talent and time. So, it's a super interesting process. We are working with mental traps. And behaviors, we are working with errors, reinforcing a just culture so that people report what has happened to them, whether it's an error or not so that the whole organization learns. We have set up an incident notification system; well, it's a very broad project and very interesting. Also, not only is cybersecurity under it, but all other security, because what we found is that in the organization, there was a feeling that only the person with the surname "security" had responsibilities. However, we all form the barrier, not everyone has the same functions, but everyone has functions in security, so we are working intensively hand in hand with the rest of the projects, obviously, the cybersecurity cultural project. No, it has nothing to do with shock; shock is necessary, but you also need the person on the front line to be aware of its significance. Also, consider that we work with many contracting companies that must be in the same boat and be aware of the essential service and that we are critical infrastructure.

Omar Benjumea: I totally, totally agree, and apart from being a beautiful project, it is undoubtedly complex since you say that you are someone who likes challenges, Esther, another issue that I think is super complex, and you just introduced it now, is how to manage the security of the supply chain, especially when you have a supply chain like Adif's. How do you deal with that problem?

Esther Mateo Rodriguez: Giving talks, raising awareness, and educating contractors. But we have realized that it is not enough. Look, there are two reasons for the top management of companies to be aware. One that I don't like at all is to hit them with certifications; usually, the level of security, maturity, or culture is not improved by force. Making them participants in the situation, offering them that leadership in security courses and training, and explaining the significance of what they do for us, etc., I think is the way to go, but it's a very long road because we're talking about hundreds and hundreds of suppliers. I believe that the supplier approval process must include something about cybersecurity; we must be aware of the cybersecurity maturity of those who contribute something or not, not only when they work on something related to cybersecurity, eh, but simply because we interact electronically because we send emails, because they connect to our servers remotely, I mean, the issue is very deep, sometimes when you address this topic with top management, they look for the systems manager to talk to you. That's another big mistake. Well, the one who needs to be aware is the CEO of the company, who, by the way, has criminal responsibility in case of a cyberattack, it is so. The law says, no one is going to escape, so there's a process of sensitization and awareness at the level of the sybillel of each company. And the boards of directors, but there's a very important detail, we work with many medium-sized companies that don't have all that deployment at all, so an effort has to be made to. Deliver the message that corresponds to that medium-sized company; not all are large institutions, and you also have to have a message that they can digest the smaller companies.

Omar Benjumea: It's difficult, no doubt, eh? And in this, I do not envy you because, in the end, we're not only talking about your thousands of suppliers but, ultimately the supply chain. It also includes their suppliers, doesn't it?

Esther Mateo Rodriguez: Yes.

Omar Benjumea: It's exponential, a complex issue without a doubt, and I think it will focus part of the efforts of many organizations in the future because it's a bit.

Esther Mateo Rodriguez: In the end, you're extending your perimeter completely. And not only to the one you have the contract with but with whoever he contracts, so, as you say, it's exponential, the change.

Omar Benjumea: And at the beginning of the episode, we talked about attracting and retaining female talent, but talking in general. Although we know that Spain has traditionally been a very prolific country in the cybersecurity sector, there's a lot of talent. The reality is that if we look for professionals with experience in cybersecurity, and even more so in railway cybersecurity, things get complicated, right? How do you face the challenge of finding and training teams to cover Adif's future needs in this area?

Esther Mateo Rodriguez: It's even more difficult than the other questions you've asked me; look, we're trying to? Pose challenges. In the end, those who come to the administration have a sense of public service. Those who come here see projects that are not seen outside. Still, the level of hiring and salaries that are outside make people train and not in a very high first, because in the end, some value the stability of public work but end up leaving or end up being captured by a consultancy that is paying them in many cases three times more. So, we propose the concept of being part of a citizen care project. But it's more aspirational Omar than realistic. It's true if the if on balance we're putting exclusively salaries, we lose, thank God we're putting other things, we're putting that public service, that improving the processes of public administration that benefits everyone, but you'll agree with me, that has a time. After that time, well, people also want to progress, earn more money, etc. So, we're getting young people, new people, with an exciting vision, they are all, of course, digital natives, experienced people have also arrived, and for now, these projects that I'm telling you about, that I'm telling you about, are interesting to them. We'll have to see; our cybersecurity organization is still very young. It's a baby compared to other large institutions, and we'll see how they progress over the next five years.

Omar Benjumea: Well, and I understand, I imagine, that there's also a bit of a mix between attracting talent from outside and then also you can recycle or repurpose internal people who may be interested in jumping into the security realm and who can contribute the experience from other areas.

Esther Mateo Rodriguez: Listen, some do want to, and it turns out to be attractive, but it gives a bit of vertigo to get into cybersecurity issues, according to my colleagues. People understand that in the cybersecurity field, you can be responsible, not to mention some in which you can find yourself in front of a judge in a criminal case. And people feel a bit more reluctant, I say, about recycling, as inevitably part of the cybersecurity services we have subcontracted because no, no. The railway operation requires many resources, and it's absurd to think that we'll equip ourselves with public employment offers with enough people, so we take out a part of that service. In eh, I count on the cybersecurity department is us and the companies that give us service to and there's a very good level and good recycling and we form a very powerful team, the people inside also learn a lot with those contracts. And for now, the ecosystem is working.

Omar Benjumea: In the end, interesting synergies are created, no doubt, and to finish, Esther, what advice would you give to a cybersecurity manager of other railway operators or infrastructure operators who may be listening to us and who are surely embarked or about to embark on that convergence process that we have been talking about?

Esther Mateo Rodriguez: Well, I would tell them not to be afraid, not to try not to be alone, to seek collaboration and support from the Presidency, of course, and it would be desirable that since we do not compete in security or cybersecurity, those of us who are embarked in the same boat, even if some of us are a little ahead in time because we started earlier, let's set up a community where we can support each other and share circumstances we live, they're going to be quite similar, even if other companies. Even if other companies talk, even if they're not railway operators, in the end, a company like Iberdrola or Red Eléctrica, where the difference is in eh, what? It transports energy instead of people; in the end, the casuistry is very similar, so courage and they arm themselves with a team. That helps them and companies that help them, the ascendancy of the Presidency, and that if they have any doubt, they can share, so they don't feel alone; let's set up that group of companies where we can feel less alone. There are, in fact, Omar, there are problems that arise that don't have a solution yet, that have to be thought about, and sometimes they require development by companies, so if only one company proposes it, maybe not, but if several propose it, then it's seen that the product or the service has to evolve.

Omar Benjumea: Yes, it's always easier to find solutions, then, in a joint way, isn't it? Sharing experiences and collaborating in that sense. And if any podcast listeners wanted to contact you for this reason or any other reason, what social networks are you active on or what would be the best way to contact you?

Esther Mateo Rodriguez: I'm very active on LinkedIn, where you can find me as Esther Mateo from Adif, General Director of Adif, or esther.mateo@adif.es Esther with H, and in both places, I am. I respond, I'm very active.

Omar Benjumea: Very well, then, Esther Mateo, thank you very much for sharing this time with us and the audience of Secure Tracks; thank you very much for listening. This is the end of today's episode. Until next time, let's keep our tracks and trains safe.

Transcripción española

Omar Benjumea: Esta es la segunda temporada de Secure Tracks, el podcast donde destacados líderes de la industria son invitados a hablar sobre tecnologías operativas, ferroviarias y ciberseguridad. En este episodio vamos a hablar con Esther Mateo, directora general de seguridad, procesos y sistemas corporativos, sobre la convergencia de los mundos de ciberseguridad IT y ciberseguridad OT. Esther Mateo es ingeniera industrial por la Escuela Superior de ingenieros de Sevilla y antes de incorporarse en Adif desempeñó trabajos como ingeniera en diferentes organizaciones, tanto públicas como privadas, en todos los ámbitos del transporte. En 2010 empezó a trabajar para el operador público ferroviario. Y ha desarrollado diferentes funciones, hasta ser nombrada en 2018 responsable de la Dirección General de seguridad, procesos y sistemas corporativas de Adif. Esther bienvenida al podcast y muchas gracias por compartir este tiempo con nosotros.

‍

Esther Mateo Rodriguez: Pues muchas gracias Omar. Muchas gracias por elegir a dif y a mí y gracias por entender que tenemos algo que aportar en el podcast de Security Tracks.

‍

Omar Benjumea: Claro. Nos gusta empezar estar los episodios preguntando a la invitada por sus inicios en El Mundo de ciberseguridad y contigo, pues no vamos a hacer ninguna excepción. ¿Te gustaría un poco contarnos cuáles fueron tus primeros pasos en este apasionante mundillo?

‍

Esther Mateo Rodriguez: Sí, bueno, yo te tengo que decir que desde que era niña soy una loca de la tecnología, yo he tenido creo que todos los ordenadores posibles para jugar a videojuegos los he abierto los he examinado por dentro, los he estropeado también con lo cual la la digamos, la evolución de la tecnología viene desde pequeña y la pasión por aplicar la tecnología por reducir proceso por simplificarlos y por aplicarlo en el trabajo ha sido de siempre y a raíz del wannacry fui totalmente consciente de que una cosa no podía ir sin la otra y desde entonces estoy embarcada en la ciberseguridad y enamorada del proceso conjunto de diseño seguro. Y de que la tecnología está perfectamente disponible, pero que si no se concibe de forma segura, pues nos pasa lo que tú y yo hemos comentado algunas veces no que todo lo nuevo que vaya a implementar puede ser más o menos sencillo, pero que el Legacy que tiene la empresa requiere de una atención distinta, aparte de, digamos, las reticencias que tiene a veces la organización. A mí me encantan los proyectos transversales y más transversal que es la ciberseguridad y pocas cosas, así que. Bueno, tengo la suerte de que me dedique una cosa que me apasiona.

‍

Omar Benjumea: Muy bien, no sabía que había sido una pequeña hacker. También está bien.

‍

Esther Mateo Rodriguez: no no no, no, no, no, no, no, no, yo solo viví el wannacry no, no, no, no, no, no. Además, mira, mi punto de partida es es es más de gestión que técnico, o sea, todo lo que te he contado de los videojuegos es así y estropeado muchos ordenadores abriéndolo porque necesitaba saber cómo funcionaba, pero no, no hasta el punto de ser hacker, no, no, no solo.

‍

Omar Benjumea: Eso pero es el espíritu, no al final, ese esa curiosidad y esa sí.

‍

Esther Mateo Rodriguez: Sí, exacto. Exacto, curiosidad para.

‍

Omar Benjumea: En el año pasado Esther publicaste en una en una entrevista en la que hablabas de las dificultades para atraer talento femenino al área de ciberseguridad y En este sentido, a pesar de que la presencia femenina es muy menor, si hablamos de de ciberseguridad ferroviaria, Adif es claramente una excepción, no puesto que no solo cuenta contigo como directora del área, sino que además la ciso que depende de ti también también es una mujer. Quieres compartir alguna reflexión al respecto con con.

‍

Esther Mateo Rodriguez: Nosotros bueno, pues la dificultad es un hecho. No hay pocas mujeres en El Mundo de la tecnología en general, los datos que nosotros manejamos es que cada vez hay menos mujeres que acceden a las ingenierías, con lo cual difícilmente podremos ir a hacerlas progresar en la carrera. Desde luego, para mí era esencial la la desproporción que hay en nuestra empresa de hombres y mujeres es la natural de venir de una empresa solo de hombres, es decir, que el el progreso tiene que ser secuencial y en ese sentido la empresa está haciendo un esfuerzo muy grande. El anterior censo era hombre. Y cuando surgió la oportunidad de elegir amar que reúne todas las condiciones técnicas necesarias, pues me pareció perfecto como detalle para dar la imagen de la apuesta a la mujer en general, Omar, te tengo que decir que observo un un matiz diferente cuando le ofrece un puesto de responsabilidad a una mujer y a un hombre estando en igualdad de condiciones técnicas y de habilidades personales para desarrollarlo, la mujer tiene una especie de saboteador personal que está en su cabeza. Solamente yo no he encontrado machismo en el ámbito en el que me muevo. ¿Es más, la mujer la que duda es sí misma, está a la altura ese punto, digamos, de poco de de Ah en algunas ocasiones, eh? De no arriesgarse hace que en algunas ocasiones perdamos oportunidades, o sea que a veces se ofrecen y ese punto de duda hace que de paso al hombre, no en igualdad de condiciones, insisto, pero bueno, en este caso Adif ha elegido a una mujer en más de la fuente, que es la ISO y yo estoy feliz. Porque se necesitan todas las versiones, igual que creo que un equipo solo de personas junior no tiene sentido ni solo de personas. Señor, es importante que vengan de distintas culturas, todo eso creo que aporta y el caso de la mujer, pues hay que conseguirlo, pero es que llegan pocas mujeres.

‍

Omar Benjumea: Totalmente de acuerdo es la diversidad. Yo creo que es que es clave para para cualquier equipo y. Cambiando un poco de tema, tus tus responsabilidades en Adif incluyen 3 áreas muy diferenciadas, no como son la seguridad, los procesos y los sistemas corporativos en la mayoría de las organizaciones, cuando hay un cierto grado de madurez en materia de ciberseguridad, normalmente se separa no las funciones, al menos las de sistemas o infraestructuras de la parte de de ciberseguridad. ¿Cómo solventar esto en en Adif?

‍

Esther Mateo Rodriguez: Pues mira en ADIFi, hicimos un ejercicio de reflexión. Eh sabes que hay algunas organizaciones que incluso el ciso depende del responsable del Security. En nuestro caso queríamos mantener independientes las 3 partes. Nuestras safety, que tiene que ver con el movimiento de los trenes Security que va por separado la los sistemas que también dependen de mí. El CIO depende de mí y el ciso. En no quisimos vincular el ciso a ninguno de ellos. Hay veces yo creo que dices estoy empezando. Ten en cuenta que el wannacry de verdad que fue el inicio y la conciencia en Adif de lo importante y lo relevante que era esta esta área. YY en aquel momento se dejó independiente cuando yo heredé en el 2018 me llegaron muchos modelos posibles y yo pretendí que se si se siguiese manteniendo esa independencia, la madurez la conseguiríamos, pero era más relevante la independencia que ahora la norma la exige.

‍

Esther Mateo Rodriguez: Y, aunque es verdad que somos capaces de retorcer mucho las organizaciones y a veces dices depende del CIO, pero de verdad que es independiente, la realidad es que no a mí el la, la forma en la que nosotros lo tenemos organizado ahora me parece que es más sano, colaboran perfectamente porque al final todo depende de mí. Yo tengo que tener las dos visiones, entonces no voy a parar la transformación digital, pero tengo que garantizar la ciberseguridad. YY el y el resto de áreas de seguridad. Creo que es un acierto en ese sentido.

‍

Omar Benjumea: Muy bien. Porque está tocando un tema que creo que que te interesa particularmente en los últimos años. En los últimos tiempos se la tendencia es clara hacia la convergencia, no de de lo que es seguridad YTY seguridad. O te imagino que Adif o sé que Adif no es una excepción en este en ese. En este sentido, nos quieres contar un poco cómo ha evolucionado tu papel como directora de Del área al respecto de esta integración.

‍

Esther Mateo Rodriguez: Mira ese proceso, lo llevamos con un proyecto transversal específico. Que costó materializarlo y que debatimos bastante cómo llevarlo a cabo si si nos centramos en el papel puro que debería de de realizar el área de ciberseguridad, podría ser que con la política y las funciones, con los controles, etcétera fuese suficiente para generar la madurez necesaria que requiere la organización para elevarla a otro nivel, para reducir los riesgos, etcétera. Y nos dimos cuenta que el volumen de IDOT que nosotros tenemos que más o menos es. 8515 para el lado DOT hacía que no tuviese sentido que cada área, cada cada, cada negocio, desarrollarse su propia ciberseguridad de forma independiente, sino que desde nuestra parte, de forma transversal homogeniza hacemos esa función de ciberseguridad. Entonces, precisamente porque el CISO depende de mi. Si pensamos en el mundo, OT, ya no hay diferencia con El Mundo IT. Todo se basa en software, sobre todo se basa en servidores, todo se basa en conceptos muy similares, sin embargo, la forma en la que se llevan los proyectos en el ámbito OT es muy diferente al del ámbito de IT. Vimos que la diferencia tenía más que ver con la cultura de cómo se venía haciendo, que con el hecho en sí de que la tecnología fuese diferente. Con este proyecto hemos intentado trasladar la la. Madurez de la parte ITA la parte OT, pero no está exenta de un cambio cultural profundo, la parte IT se favorece la. Perdón, la parte OT se favorece la FIA la disco. Movilidad, perdón de los datos y en la parte IT la confiabilidad la la seguridad de que los datos son los que son, eso hace que tengan procesos distintos de funcionamiento y el miedo que es que la parte IT termine afectando a la operación. Lo estamos haciendo, de manera que vamos a trasladar las buenas prácticas sin sin afectar a la operación, pero claramente es un cambio, pues transversal y transformador en la organización. Un proyecto precioso.

‍

Omar Benjumea: ¿Y, cuáles son los los principales escollos son los principales problemas que habéis tenido que sortear o que estáis sorteando porque es un proyecto sin duda muy bonita, pero también muy complejo, verdad?

‍

Esther Mateo Rodriguez: Super, pero te diré que estoy especializada ya en en proyectos así de complejos y ya me casi que te diría que me que me encantan. Mira, los principales escollos son. De que antes de aplicar tecnología hay que simplificar el proceso y eso lleva a un desencanto de la organización de que le complicas mucho ver el resultado. El segundo, que en el ámbito t se requiere un cambio de mentalidad. Que cuesta darlo porque piensan que le vas a parar el proceso. La realidad es que le vas a asegurar el proceso, pero no es. No son conscientes de que hoy no lo tienen asegurado, con lo cual es hacerles ver algo que realmente no es evidente. Y la tercera cosa es que tenemos una dispersión de tecnología tan elevada. Hay tecnología tan antigua que no fue diseñada para protegerse en términos de ciberseguridad y buscamos soluciones homogéneas que no sean por verticales, sino que que que. Que protejan a toda la organización que en muchos casos, antes de poder desplegar una tecnología, inevitablemente tenemos que hacer una prueba de concepto que nos ayude a ver cómo funciona en lo pequeño y que después nos permita escalar todo ese aprendizaje. Lo hemos tenido porque cada vez que hemos intentado. Encontrar un perímetro grande que podamos ha atender la gran crítica de estos proyectos. Omar siempre es que vamos lentos, que somos muy lentos, que no, que no se ve el resultado, nadie ve la dificultad, entonces generalmente ya nos hemos dado cuenta que tenemos que ir de pequeñas semillas que permitan crecer luego YYY explotar la información que tenemos o la experiencia que tenemos. No quiero meter ningún cambio de lo que tengas planteado, pero si hablásemos de ligencia artificial generativa.

‍

Esther Mateo Rodriguez: Que es el hype del momento y que hay una esquizofrenia total, sin gobierno del dato. ¿No hay inteligencia artificial cuando hablas del Gobierno del dato todo El Mundo dice, ya lo estás complicando, no? No lo estoy complicando. Es que de la otra forma no sería aplicable, pero nadie el que vende la tecnología de la inteligencia artificial no quiere contar el inicio y en y en ciberseguridad pasa muchas veces lo mismo cuando tienes esa dispersión tecnológica o cuando tienes esas circunstancias que te cuento.

‍

Omar Benjumea: Sí, a veces lo importante en estos casos se entiendo que debe ser encontrados quiquis, no la.

‍

Esther Mateo Rodriguez: Aquellas.

‍

Omar Benjumea: Maneras de enseñar valor rápido y un poco hacer que que que, pues que la organización te siga.

‍

Esther Mateo Rodriguez: ¿En claro y además, fíjate, Omar, hay hay varios Queens porque podríamos centrarnos en el trabajador, eh? Que hay un quid maravilloso que es su su, su, su mesa de trabajo, su forma en la que se relaciona con la organización, los elementos que tiene para relacionarse, pero también tenemos al ciudadano. ¿En el entorno de las estaciones hay Queens muy interesante, donde das una imagen muy buena, eh? Entonces, bueno es elegir esos esos entornos que permitan justo que no haya un desencanto sin simplificar demasiado.

‍

Omar Benjumea: Muy bien oye y por irnos a un caso muy concreto en en un entorno convergente, no de de ITOT. ¿Al final, la gestión de de incidentes de ciberseguridad puede ser muy compleja y, sobre todo, considerando que los atacantes no diferencian, verdad? Entre entre ITOT como estructura y vuestra respuesta a incidentes, considerando los dos los dos mundos.

‍

Esther Mateo Rodriguez: Pues mira el el el, digamos, la respuesta a los incidentes está unificada, la gestión de crisis la dirijo yo. Y está establecido quien tiene que acudir y en ambos casos se llama vacío y acceso y están los dos siempre presentes en la crisis. Da igual el entorno en el que sea ya producido esa ese evento. En nuestro caso, como sabes, en el 2020 tuvimos un ciberataque que es público y yo he dado bastantes charlas sobre eso. En ese caso fue en el entorno ITT, pero de haberse producido en el hotel habríamos reaccionado exactamente igual y hay un grupo homogéneo. Que se encarga de esta gestión de crisis, da igual el entorno y De hecho. Un ransomware no t funcionaría igual que. En elite esa es la la verdad, entonces nosotros nos diferenciamos en la gestión de crisis, digamos que tendríamos.

‍

Esther Mateo Rodriguez: Otros suministradores o otras empresas a las que teníamos que avisar, pero pero nada más, posiblemente la. La trascendencia podría ser mayor si si alguien consigue parar todos los trenes de España, no, evidentemente, la repercusión, la portavocía, eso supondría un problema mayor, pero la gestión de crisis interna sería bastante similar y en este caso, pues depende de mí.

‍

Omar Benjumea: ¿El proceso al final es homogéneo, no utilizas?

‍

Esther Mateo Rodriguez: ¿El mismo proceso? Sí exacto.

‍

Omar Benjumea: Vale y antes has comentado que que es es un problema no lidiar con plataformas obsoletas al final en en el sector ferroviario, pues tenemos ciclos de vidas de 2030 años e incluso más en algunos casos. ¿E cómo cuál es tu experiencia al respecto? ¿Cómo lidiar con ello?

‍

Esther Mateo Rodriguez: Pues cuando algo está funcionando. Es difícil retirarlo porque realiza su función. Cuando digamos, no lo puedes poner al nivel necesario, solo hay dos caminos. O le aportas la seguridad que necesita, aunque sea a través del hardware o lo o lo cambias por una versión que incluya esa protección. ¿No hay otra bueno, abrir 1/3 que es que la empresa admita a ese nivel de riesgo y esa situación que también podría podría ser entonces, qué estamos haciendo en ese proceso de descubrimiento de activos y de tener claro qué es lo que ha instalado? En algunos casos decidimos ponerle el hardware que soporta la protección que corresponda y en otros casos estamos cambiando los equipos y sustituyéndolos por algo mucho más moderno. Te hablo, por ejemplo, el caso de las.

‍

Esther Mateo Rodriguez: De las cámaras en las estaciones la la motivación de sustituirlas tiene más que ver porque la imagen que trasladaba no era. A aprovechable para sacar información y para poder informar a la organización que porque, digamos, no estuviesen diseñadas para protegerse de un ciberataque, porque para eso sí teníamos una forma de resolverlo. Sin embargo, hemos optado por sustituirlas. Todas quedan, pues ya estamos en imágenes cuatro k que tengan posibilidad de tratarse la imagen de sacar conclusiones, de currelar datos, etcétera, etcétera. Entonces, según el caso, estamos tomando una decisión u otra.

‍

Omar Benjumea: ¿Y otro otro aspecto que he mencionado antes es el cambio cultural, no que supone este tipo de de proyectos transversales, cómo cómo lo gestionas, cómo lidias en una empresa tan grande como es Adif con con el cambio cultural que supone llevar a cabo este tipo de transformaciones?

‍

Esther Mateo Rodriguez: Bueno, pues como ya te habrás dado cuenta como me gustan los retos, pues llevamos un proyecto de de específico de cambio de seguridad, eh de Cultura es. Seguridad y factores humanos que tiene distintas verticales. Una de ellas es la del el liderazgo en seguridad, donde tenemos un pro, un programa completísimo que le estamos dando las primeras 1500 personas y luego iremos barriendo el resto de la organización y esperamos darle a los contratistas porque las terceras partes para nosotros son esenciales y aunque nosotros nos pertrechamos de muchísimo nivel, tanto en las personas como en la tecnología. El el menor de los eslabones es un eslabón nuestro, también no, pero bueno. Que ahí estamos trabajando, concienciando a la organización en que todos somos responsables y todos aportamos valor en esa protección, porque si no, si en el caso de la ciberseguridad, fíjate, a diferencia de otras seguridades, la gente está bastante confiada en que la tecnología responderá, pero es que la tecnología no siempre está al máximo nivel y el que está atacando tiene bastante talento y bastante tiempo. Así que bueno, es un proceso super interesante. Estamos trabajando con las trampas mentales. Y los comportamientos estamos trabajando con los errores, reforzando la cultura justa para que la gente cuente lo que le ha pasado, sea un error o no lo sea, para que toda la organización aprenda. Hemos puesto un sistema de notificación de sucesos de bueno, es súper amplio el proyecto y súper interesante. YYY además, no solamente debajo de él está la ciberseguridad, sino todo el resto de seguridad, porque lo que encontrábamos es que en la organización había una sensación de que solo solo tenía responsabilidades el seguridad. Quien tuviese el apellido seguridad y sin embargo, somos todos los que formamos la barrera, cada no todo El Mundo tiene las mismas funciones, pero todo El Mundo tiene funciones en seguridad, entonces estamos trabajando intensamente de la mano con el resto de de proyectos que evidentemente el proyecto de culturales de ciberseguridad. No, no, nada tiene que ver con el shock, el shock, lo necesitas, pero también necesita que el que está al pie del cañón sea consciente de la trascendencia que tiene. Además, tiene en cuenta que trabajamos con muchas empresas contratistas que también tienen que estar metidos en el mismo barco.

‍

Esther Mateo Rodriguez: Y ser consciente de la el servicio esencial y que somos infraestructura crítica.

‍

Omar Benjumea: Totalmente totalmente de acuerdo y un proyecto aparte de bonito, complejo, sin duda, ya que dices que tú estás lo que te gustan los retos Ester, otro tema que a mi parecer es súper complejo y justamente lo introducías ahora es cómo gestionar la seguridad de la cadena de suministro y más cuando se tiene una cadena de suministros como la que puede tener Adif no como lidias con ese con ese problema.

‍

Esther Mateo Rodriguez: Pues dando charlas, sensibilizando y concienciando a los a los contratistas. Pero nos hemos dado cuenta que no es suficiente. Mmm mira hay dos razones para para que el la alta dirección de las empresas sean conscientes. Una que a mí no me gusta nada que es Lima. Dar las certificaciones leed normalmente por las malas, nos no se mejora el nivel de seguridad ni de madurez ni de Cultura. Haciendo los partícipes de la situación, dándole, por eso te digo que estamos trabajando con ellos también para proponerle esos cursos de esa formación de liderazgo en seguridad y explicándoles la la trascendencia que tiene lo que ellos hacen para nosotros, etcétera. Creo que es el camino lo que pasa, que es un camino larguísimo, porque estamos hablando de cientos y cientos y cientos de suministradores. Creo que la homologación del suministrador.

‍

Esther Mateo Rodriguez: Tiene que haber algo de ciberseguridad, tenemos que ser conscientes de cuál es la madurez de la ciberseguridad, de quien aporta algo o no, solo cuando se trabaja para algo de ciberseguridad, eh, simplemente por el hecho de que nos relacionamos telemáticamente porque nos enviamos correo, porque porque se conectan con nuestros servidores a distancia, o sea, el tema es superprofundo, hay veces que cuando tratas este tema con la alta dirección te buscan de interlocutor al responsable de sistemas. Ese es otro error grande. Bueno, el que tiene que estar concienciado es el CEO de la empresa, que además, por cierto, tiene responsabilidad penal en caso de que tenga un ciberataque es así, lanis dos, lo dice, no se va a escapar nadie, con lo cual queda un proceso de sensibilización y de concienciación a nivel de los del sybilel de cada empresa. YY los consejos de administración, pero hay un un detalle muy importante es que nosotros trabajamos con mucha mediana empresa que para nada tiene todo ese despliegue, con lo cual hay que hacer un esfuerzo para. Dar el mensaje que corresponde a esa mediana empresa, todos no son grandes instituciones y también hay que tener un mensaje que puedan digerir ellos, las empresas más pequeñas.

‍

Omar Benjumea: ¿Es es difícil sin duda, eh? Y en esto no no te envidio hacer porque al final no solo hablamos de vuestros, pues esos miles de proveedores que que tenéis vosotros, sino al final hagan el suministro. También incluye a los proveedores de sus proveedores, no con.

‍

Esther Mateo Rodriguez: ¿Lo que?

‍

Omar Benjumea: El es exponencial es es un tema un tema complejo sin duda YY. Yo creo que centrará parte de los esfuerzos de muchas organizaciones en en el futuro, porque está un poco.

‍

Esther Mateo Rodriguez: En el fondo es que el extiendes tu perímetro totalmente. Y no solo al que con el que tienes el contrato, sino con quien contrate él, entonces, pues como tú dices exponencial el cambio.

‍

Omar Benjumea: Y este era al al principio del episodio, hablábamos sobre la atracción y retención del del talento femenino, pero bueno hablando en general. Aunque sabemos que en España, pues tradicionalmente ha sido un país muy prolífico en el sector de la ciberseguridad, hay hay mucho talento. ¿La realidad es que si buscamos profesionales con experiencia en ciberseguridad y más aún en ciberseguridad ferroviaria, la cosa se complica, verdad? ¿Cómo os planteáis el desafío que supone encontrar y formar equipos para cubrir las necesidades futuras de de Adif en este ámbito?

‍

Esther Mateo Rodriguez: ¿Pues es tanto más difícil que las otras preguntas que me has hecho, mira, estamos intentando? Plantear retos. Al final, quien viene a la administración tiene un sentido de. De servicio público. Quien viene aquí ve proyectos que no se ven fuera, pero.

‍

Esther Mateo Rodriguez: El nivel de. Contratación y de sueldos que hay fuera hacen que la gente se forma y no en 1º muy alto, porque al final hay quien valora la estabilidad del trabajo público, pero termina yéndose o termina siendo captado por una consultora que le está pagando en muchos casos 3 veces más. Entonces nosotros lo que hacemos es plantear por un concepto de formar parte de un proyecto de cuidado de atención al ciudadano. Pero es más aspiracional Omar que realista es verdad si si la si en la balanza estamos poniendo exclusivamente los sueldos, salimos perdiendo, gracias a Dios estamos poniendo otras cosas, estamos poniendo ese servicio público, ese mejorar los procesos de la administración pública que redunda en todos, pero estarás conmigo, que eso tiene un tiempo y que pasado ese tiempo, pues la gente también quiere progresar, ganar más dinero, etcétera. Entonces estamos, está entrando gente, gente joven, gente nueva, con 1,1 visión, muy interesante son todos por supuestos nativos digitales, gente experimentada. También ha llegado gente experimentada y por ahora estos proyectos de los que te cuenten que que te estoy contando les están resultando interesante. Habrá que ver en nuestra organización, la de ciberseguridad es todavía muy joven. Esto había un bebé comparado con otras grandes instituciones, veremos cómo progresan los siguientes 5 años.

‍

Omar Benjumea: Bien y entiendo, imagino, vamos que también hay hay un poco mix no entre, pues ese atraer talento de fuera y luego también puedes reciclar o reaprovechar gente interna que pueda estar interesada en en saltar al al ámbito de seguridad y que puede aportar la experiencia de otros de otras áreas.

‍

Esther Mateo Rodriguez: Fíjate, hay algunos que si quieren y resulta atractivo, pero. Da un poco de según me cuentan mis compañeros, da un poco de vértigo meterse en temas de ciberseguridad. La gente entiende que en los ámbitos de ciberseguridad puedes terminar siendo responsable, ya ni te cuento en algunos que en los que te puedes ver delante de un juez, no en un en un tema penal. YYY la gente siente un poco de más recelo, digo de reciclaje, como inevitablemente una parte de nuestros servicios de ciberseguridad lo tenemos subcontratado porque no, no. La la ópera la la operación de de ferroviaria requiere de muchos recursos y es absurdo pensar que nos vamos a dotar con ofertas de empleo público del suficiente número de personas, con lo cual sacamos una parte de ese servicio. En eh, yo cuento con que el departamento de ciberseguridad somos nosotros y las empresas que nos dan servicio a nosotros y ahí hay un un nivel también muy bueno y un buen reciclaje y formamos un equipo muy potente, la gente de dentro ha aprende mucho también con esos contratos. Y por ahora el ecosistema está funcionando.

‍

Omar Benjumea: ¿En la final se crean sinergias interesantes, sin duda y por ir por ir acabando Ester y qué consejos le daría esa responsabilidad de ciberseguridad de otros operadores ferroviarios o operadores de infraestructura ferroviaria que nos puedan estar escuchando y que seguramente estén embarcados o estén a punto de embarcarse en ese proceso de convergencia del que hemos estado hablando?

‍

Esther Mateo Rodriguez: Pues mira, yo les diría que no, que no tengan miedo, que no intenten no estar solos, que busquen la colaboración y el apoyo de la Presidencia, por supuesto, y que lo deseable sería ya que no se compite en seguridad ni en ciberseguridad que aquellos que estamos embarcados en el mismo barco, aunque unos estemos un poco más adelantados en el tiempo que otros, porque hemos empezado antes que montemos una comunidad donde nos podamos apoyar y nos podamos contar circunstancias que vivimos, se van a parecer bastante, aunque otras personas. ¿Aunque otras empresas hablen incluso que no sean operadores ferroviarios, al final una empresa como Iberdrola como red eléctrica, donde la diferencia está entre eh, qué? Lo que lo que transporta en energía en vez de personas, al final el el la la casuística es muy parecida, con lo cual valentía que también sean que. Se pertreche no de un equipo. Para que les ayude y de empresas que les ayuden el la la ascendencia de la Presidencia y que y que si tienen cualquier duda que puedan compartir para que no se sientan solos, pues que montemos esa ese grupo de empresas donde podamos sentirnos menos solos. Hay, De hecho, Omar hay hay problemas que surgen que no tienen solución todavía, que hay que pensarla y hay veces que requieren desarrollo por parte de las empresas, entonces si solo lo propone una empresa, a lo mejor no, pero si lo proponen varias, pues ya se ve que el producto o el servicio tiene que evolucionar.

‍

Omar Benjumea: Sí, siempre más fácil también encontrar soluciones, pues eso de una manera conjunta no compartir experiencias YY colaborar en ese sentido. ¿Y si si alguno de los oyentes del podcast quisiera contactarte por este motivo o por cualquier otro, en qué redes sociales eres activa o cuál sería la mejor?

‍

Esther Mateo Rodriguez: Manera de contacto y muy activa en LinkedIn que me pueden buscar Esther Mateo de Adif, director general de adifperoaparte esther.mateo@adif.es Esther con HY en los dos sitios estoy. Respondo, vaya que estoy muy activa.

‍

Omar Benjumea: Muy bien, pues está en Mateo. Muchísimas gracias por haber compartido este rato con nosotros y para la audiencia de seguir tracks. Hay muchas gracias por escucharnos. Este es el fin del episodio de hoy. Hasta la próxima ocasión mantengamos nuestras vías y trenes seguros.

‍