Hoy os traemos una nueva entrevista en la que hablamos con Francisco Javier, CISO de Diners Club Spain. Él nos habla de cómo es la ciberseguridad en una empresa enfocada en Servicios Financieros. ¡No te lo pierdas!
CyberSecurity News (CSN): ¿Quién es Francisco Javier Farfán?
Francisco Javier (FJ): Soy un informático gaditano que llegó al mundo de la seguridad por casualidad. Estudié Ingeniería Informática en Granada y me vine a Madrid a trabajar. Mi primer trabajo fue en una gran empresa de auditoría, donde realizaba el apoyo IT a la auditoría financiera y ahí empezó mi andadura… En la actualidad tengo el placer de trabajar como CISO de Diners Club Spain, una empresa enfocada en Servicios Financieros para el pago de viajes corporativos. Desde que llegué a la compañía, he tenido que enfrentarme a nuevos retos casi a diario debido a la cantidad de normativas y la gran cantidad de cambios que el mercado de las plataformas de pago implica.
CSN: ¿Cómo es la ciberseguridad en una plataforma de pagos y tarjetas?
FJ: El mundo de la ciberseguridad es muy complejo de por sí, pero cuando a la ciberseguridad le añadimos transaccionalidad, se abre ante nosotros un nuevo paradigma. Hay sectores en los que la ciberseguridad se puede ir aplicando de forma progresiva e incluso eventualmente de forma reactiva. Cuando tu empresa se dedica a algo tan sensible como las tarjetas de crédito, sabes que una parte crucial del negocio es la transaccionalidad y la seguridad no puede hacer que una transacción se demore un segundo porque esto haría que la operación fuera rechazada.
Por ello, cuando hablamos de ciberseguridad en las plataformas de pago, debemos tener muy claro cuales son los posibles vectores de ataque que podemos tener, e intentar mitigarlos en el mayor grado posible.
Además, debo enfrentarme a todas las normativas aplicables que debemos cumplir por ser entidad de Pago, entre ellas PCI-DSS, GDPR y PSD2. Estas, junto con los organismos de control nacionales e internacionales, nos obligan a cumplir unos estándares de calidad elevados para poder seguir dando servicio.
CSN: ¿Cómo se debería de actuar ante un ciberataque en un sector como este?
FJ: Cuando sufres un ciberataque, lo más importante en cualquier sector, es tener un plan de acción. No se puede improvisar a la hora de actuar. Esto no quiere decir que tu plan de acción tenga todas las respuestas al evento, pero sí que te dará un respaldo para que las decisiones y actuaciones no sean fruto de la improvisación, sino de un estudio previo y contrastado. Además, en el caso de las tarjetas de pago, un ciberataque puede llegar a paralizar todas las transacciones y por ende tu actividad core.
En el momento en que sufres un ciberataque, lo más crítico es intentar que el grado de afectación a tus clientes sea el mínimo. Por ello, el recuperar la actividad mínima necesaria, se convierte en crítico. Eso sí, sin perder de vista que has sufrido un ataque y que tienes que encontrar por dónde han entrado y hasta dónde lo han hecho.
En mi sector, la cantidad de información sensible que se maneja es tan grande que, evitar una posible fuga de información sensible, es lo más importante.
CSN: ¿Tenéis algún ciberseguro contratado? ¿Habéis tenido alguna experiencia con ellos?
FJ: Diners Club Spain es una empresa participada mayoritariamente por Banco Santander, por lo que nos beneficiamos de todas las ventajas que el grupo aporta a sus empresas participadas. A día de hoy, no hemos tenido que hacer uso de los servicios del ciberseguro, pero sí tenemos un conocimiento detallado de su clausulado y formas de activación.
CSN: De todos es sabido que hemos pasado unas semanas muy complicadas a nivel mundial y eso ha hecho que un gran número de empresas se hayan visto obligadas a teletrabajar… ¿Qué ha supuesto eso en temas de ciberseguridad?
FJ: Visto desde fuera, parece que Teletrabajar es sólo coger nuestras cosas y, en vez de ir a trabajar a la oficina, hacerlo desde casa. Pero en la realidad, algo que se ha decretado de una forma tan rápida, tiene un gran impacto en las compañías. En nuestro, caso hemos tenido que aplicar un plan progresivo de medidas de seguridad para poder replicar la seguridad que tenemos en nuestras instalaciones.
Si bien es cierto que este tipo de cambios siempre genera incertidumbre a la hora de comenzar a aplicarlos, las medidas de seguridad están funcionando correctamente, y se podría decir que nuestro equipo está trabajando de una forma normal desde sus casas. Algo que nos alegra poder decir.
CSN: En la ciberseguridad nunca se termina de aprender, ¿seguís alguna metodología de aprendizaje / concienciación con los trabajadores de Diners Club?
FJ: La ciberseguridad tiene una peculiaridad y es que todo lo que sabes hoy, mañana ya está obsoleto. A diario salen nuevos vectores de ataque, nuevos productos, nuevas funcionalidades, parches de seguridad… Es imposible estar a la última si dependemos solo de la formación regla. En estos momentos lo más importante es, lo que a mi me gusta llamar “pensamiento de colmena”, estar interconectado con profesionales que se dedican a ciberseguridad.
Los atacantes se están organizando pero, por suerte, los que estamos al otro lado también. Hay multitud de redes en las que estamos interconectados profesionales que nos dedicamos a la ciberseguridad y en donde se comparten vivencias y ataques, de la forma más confidencial posible. Estamos viviendo unos tiempos en los que salen filtraciones o ataques casi a diario, y la única manera de estar preparados es tener oídos en todas partes y, sobre todo, intentar aprender en todo momento.
Respecto a los empleados, muchos dicen que son el eslabón débil, para mí, son el eslabón fuerte. A tu equipo, se dediquen o no a seguridad, debes formarles; Porque dado el nivel de especialización que están teniendo, a día de hoy los atacantes, tan sólo equipos de personas bien concienciadas pueden detectar los posibles ataques, y ayudarnos a detenerlos de la forma más rápida posible.
CSN: El 2019 terminó con una palabra muy destacada: Ransomware. ¿Crees que pasará lo mismo en este 2020?
FJ: Creo que Coronavirus o COVID-19 va a ser la palabra del año. El coronavirus ha marcado un antes y un después en la sociedad. Aún cuando termine el estado de alarma, la sociedad habrá cambiado, nuestra forma de entender la interrelación habrá cambiado y la forma de trabajar habrá cambiado.
Los retos en ciberseguridad también han cambiado. Antes había empresas en las que no se necesitaba tener toda la información accesible desde cualquier parte del mundo; Ahora, debido a la situación de alarma actual, nos ha llevado a todas las compañías a hacer accesibles los sistemas. Esto abre la puerta a nuevas amenazas que no estaban contempladas, y que si no se hace con la seguridad adecuada, puede llevar a cometer grandes errores. Está claro que no podemos resistirnos al cambio, pero debemos ser conscientes de todos los riesgos a lo que nos enfrentamos. Un claro ejemplo de empresas que se han visto superadas por esta necesidad de interconexión a través de apps de videollamada o entretenimiento, digamos que a la hora de hacer un orden de prioridad se priorizó usabilidad por encima de seguridad. Y es justo en ese momento en el que se cometen los mayores errores. La seguridad no puede bloquear el negocio, pero tampoco puede dejarse en un segundo plano. La receta del éxito es un equilibrio entre Negocio-Ciberseguridad.
