Hoy, en nuestra serie Perspectiva CTO, presentamos esta entrevista donde John Smith, CTO de Veracode, comparte con nuestra comunidad sus experiencias, recomendaciones y reflexiones sobre su viaje profesional.
“La tecnología es una industria apasionante y de rápido movimiento en la que trabajar y este sigue siendo el mayor atractivo para mí. Comencé mi carrera laboral como desarrollador, antes de abrirme camino en el espacio de la ciberseguridad y nunca miré hacia atrás. Todos los días somos testigos de las trágicas consecuencias que los ciberataques pueden tener tanto para las empresas como para los individuos, y ser tan solo una pequeña parte para ayudar a mitigar esos riesgos para nuestros clientes es enormemente gratificante.”
John Smith ocupa el cargo de director de tecnología de Veracode en la región de EMEA. Con más de 20 años de experiencia en Seguridad de la Información, John se especializa en Seguridad de Aplicaciones desde 2004. Ha sido un pionero en la evolución de la seguridad de aplicaciones (AppSec), desde pruebas ad hoc hasta enfoques integrales y programáticos vistos en las organizaciones maduras de hoy. En Veracode, lidera el equipo de arquitectura de soluciones en EMEA, brindando asesoramiento a clientes actuales y potenciales sobre cómo identificar y reducir los riesgos de seguridad del software de manera efectiva y eficiente. Antes de unirse a Veracode en 2012, John ocupó el puesto de arquitecto senior de soluciones en IBM.
El CTO del mañana: Navegando el cambio tecnológico
Aunque la industria sigue progresando rápidamente, el rol del CTO ha mantenido una estabilidad relativa. El enfoque principal continúa siendo la construcción y optimización del equipo para garantizar que los clientes obtengan valor de su colaboración con Veracode.
Según John, lo que ha cambiado, y continuará cambiando en los próximos años, es la percepción de este valor y las partes interesadas con las que colaboran. Esto refleja una tendencia constante en la seguridad del software, donde la responsabilidad está migrando de una función predominantemente liderada por el CISO hacia un enfoque centrado en el desarrollo. La mayoría de las organizaciones ya han avanzado en algún punto de este proceso, pero parece que el ritmo de cambio se está acelerando, lo que implica que debemos adaptarnos a este ritmo.
Por ejemplo, en la actualidad, el avance revolucionario que está transformando el panorama es la inteligencia artificial. En los próximos 10 años, el rol del CTO se enfocará aún más en equilibrar los riesgos y oportunidades que las tecnologías nuevas y emergentes, como la inteligencia artificial, presentan a las empresas.
Se nace CTO o se llega a serlo
Para John, su camino hacia convertirse en CTO no fue un proceso repentino. Siempre le ha interesado la tecnología, pero su trayectoria hacia este rol se desarrolló gradualmente. Cuando estaba evaluando sus opciones universitarias, se debatía entre dos áreas: música y electrónica. Durante su investigación, descubrió un curso en Newcastle upon Tyne que combinaba microelectrónica e ingeniería de software, lo cual le llamó poderosamente la atención. Asistió a la jornada de puertas abiertas y quedó cautivado por lo que vio. Aunque en ese momento no estaba familiarizado con la famosa cita de Arthur C. Clarke sobre la tecnología y la magia, definitivamente salió con una sensación de asombro sobre el lugar y eso lo atrajo aún más hacia este campo.
¿Es la especialización clave en este rol?
Actualmente, es imposible pasar por alto la variedad de oportunidades de formación disponibles para aspirar a ser CTO, así como la diversidad de funciones dentro de este cargo. Algunas implican programación, mientras que otras no, dependiendo del tamaño y las exigencias de la empresa. El cambio de resolver problemas individuales a abordar desafíos sistémicos representa un desafío para cualquier persona que asciende de un rol de colaborador individual a una posición de liderazgo.
John nos aconseja: «No te especialices demasiado. Esto no significa que sea negativo adquirir un profundo conocimiento en el área en la que actualmente trabajas, pero no debes temer diversificarte y explorar campos que, a primera vista, puedan no estar relacionados. Esto aplica tanto en sentido horizontal (explorar diferentes dominios tecnológicos) como vertical (desarrollar habilidades estratégicas y tácticas).»
La deuda de seguridad y su impacto en la seguridad del software:
La seguridad es esencial en cualquier empresa, y aunque en España puede que se le dé poca importancia, John nos ofrece una perspectiva diferente: “Muchas empresas están lidiando con una deuda considerable en seguridad, lo que las vuelve vulnerables a los ataques, y lo peor es que quizás ni siquiera lo sepan. La deuda de seguridad, que consiste en vulnerabilidades de código sin resolver durante más de un año, afecta a más del 70% de las organizaciones y al 42% de las aplicaciones, según la última investigación de Veracode. Este problema se ha agravado con el tiempo, acelerado por las transformaciones digitales y la adopción de herramientas de IA que agilizan el desarrollo. Además, el tamaño de las aplicaciones ha aumentado aproximadamente un 40% anual, independientemente de su tamaño inicial, lo que significa que acumulan más vulnerabilidades a medida que envejecen.”
La creciente presencia de la IA y los cambios normativos, como los propuestos por la Ley de Resiliencia Cibernética de la UE, han aumentado la importancia de la ciberseguridad y concienciado sobre los riesgos de los códigos inseguros a gran escala. Sin embargo, todavía queda mucho por hacer en términos de educación sobre la deuda de seguridad antes de que podamos abordar completamente el problema. Identificar y priorizar los riesgos más críticos, así como capacitar a los desarrolladores para aprovechar los modelos de IA en la corrección a gran escala, puede ser clave para que las organizaciones controlen su deuda de seguridad.
Controlar las emociones frente al resto del equipo
John nos compartió una historia reveladora sobre su experiencia en el rol: «Trabajando principalmente con proveedores a lo largo de mi carrera, muchas de mis batallas son, en realidad, historias de mis clientes, por lo que suelo ser reservado al respecto. Sin embargo, puedo hablar de una situación reciente que destaca cómo la entrega de productos modernos se ha transformado, en gran medida, mediante el uso de datos. Después de enfrentar algunos desafíos significativos con clientes, sentí que necesitaba ofrecer una perspectiva específica a nuestra propia organización de ingeniería. Me reuní con el líder de ingeniería a cargo de los productos involucrados y detallé lo que había salido mal, mi diagnóstico de la situación y mis recomendaciones para avanzar en el producto.
El líder de ingeniería escuchó mis comentarios y luego me mostró, utilizando datos de telemetría del producto junto con métricas de tickets y otros datos objetivos, por qué mi análisis, si bien podía ser válido para casos específicos, no coincidía con la tendencia general. Esto me hizo darme cuenta de que el equipo ya estaba en el camino correcto. Fue un recordatorio de la importancia de separar la reacción emocional de los desafíos con los clientes antes de brindar retroalimentación a otros departamentos, y resaltó la relevancia de los datos objetivos al tomar decisiones, especialmente aquellas que pueden influir en las acciones de otros».
Abandonar el micromanagement y fomentar el aprendizaje y el progreso personal es fundamental
Le preguntamos a John cuáles fueron los comentarios más útiles para crecer como CTO y, según él, es clave contar con excelentes gerentes y mentores que lo guíen y apoyen. Cuenta que, a lo largo de su carrera, ha sido afortunado de tener esa influencia y ahora se esfuerza por emularla en su propio equipo.
Un aspecto crucial que siempre lo benefició fue la capacidad de sus gerentes para entrenarlo y permitirle llegar a sus propias conclusiones, en lugar de imponerse o micromanejar. Este enfoque de gestión es esencial para facilitar el aprendizaje y el desarrollo personal, y ahora es la filosofía que él mismo emplea con su equipo.
Mantenerse actualizado en el mundo tech
John nos cuenta que tiene la suerte de poder asistir a conferencias cada año, lo que le permite descubrir constantemente nuevas ideas que lo intrigan y lo impulsan a investigar más e incluso a experimentar por sí mismo. Aunque disfruta mucho la lectura, considera que no hay nada como poner en práctica y experimentar con nuevas tecnologías para comprenderlas mejor.
Dos libros que ha encontrado especialmente útiles son «The Phoenix Project» de Gene Kim, George Spafford y Kevin Behr, así como «The Unicorn Project» de Gene Kim. A pesar de estar escritos más como novelas que como libros de texto, transmiten el «por qué» detrás de los conceptos de una manera más profunda que la mayoría de los libros, posiblemente debido al contexto emocional que también presentan.
Conclusión
John Smith nos ha compartido una perspectiva valiosa sobre los desafíos y la evolución del rol de CTO en la industria tecnológica. De todo lo que nos ha dicho, queremos destacar la importancia de la adaptación a los cambios tecnológicos, el aprendizaje continuo y la gestión efectiva del equipo. Y como siempre, mantenerse actualizado a través de conferencias y experiencias prácticas es clave.
¡Nos vemos en las siguientes entregas de Perspectiva CTO! Si quieres formar parte de la comunidad de CTOs en España puedes entrar en este enlace.
