Entrevista a Javier Tobal, CISO de Fintonic
Queriendo conocer más y aprender más sobre la situación actual en el mundo de la ciberseguridad, hemos hablado con Javier Tobal, CISO de Fintonic. Con él hemos destacado algo que todo el mundo está teniendo presente en estas semanas tan duras que estamos pasando: el teletrabajo. ¡No te pierdas su entrevista!
CyberSecurity News (CSN): ¿Quién es Javier Tobal?
Javier Tobal (JT): Actualmente soy el responsable de seguridad digital de FINTONIC, su CISO. Soy Informático de formación, también actúo como perito judicial informático y como asesor de varios proyectos europeos relacionados con la innovación en ciberseguridad (entre otros, cyberwiser.eu).
CSN: ¿Cuál es la relevancia de la ciberseguridad en Fintonic?
JT: Fintonic es una plataforma digital y, como tal, sus activos principales son de naturaleza digital: datos, aplicaciones, código fuente, incluso la propia infraestructura, con la filosofía devops, es otro activo digital más. Todos estos activos están expuestos a amenazas. La ciberseguridad es clave para controlar el riesgo derivado de estas amenazas y, en consecuencia, garantizar el funcionamiento seguro de la plataforma.
CSN: En los últimos meses se ha hablado mucho de ransomware, ¿cómo se intenta prevenir este tipo de ciberataque en una app como Fintonic? ¿Qué medidas de seguridad hay que tener en cuenta?
JT: El ransomware es uno de los métodos más rentables que tienen los cibercriminales para obtener rendimiento de sus ataques. Simplificando, podemos decir que los atacantes tienen que entrar en el sistema y, una vez dentro, desplegar el ransomware para completar el ataque. Existen varias maneras de evitar el ransomware dependiendo de la fase donde se actúe. En nuestro caso, aplicamos controles en todas las fases: primero, filtramos las posibles vías de entrada del ransomware (mensajes de email sospechosos, URLs desde donde descargar código malicioso, adjuntos ejecutables, documentos con macros, etc.); en segundo lugar, evitamos que el posible cifrado de archivos en dispositivos locales tenga impacto en la actividad (toda la información se almacena en la nube con versiones y réplicas múltiples); y en último lugar, la política de copias de seguridad permitiría recuperar todos los sistemas después de un ataque de ransomware. De hecho, en Fintonic no hemos sufrido ningún ataque con ransomware que haya tenido el mínimo impacto en la plataforma.
CSN: Supongo que habéis tenido que teletrabajar en las últimas semanas, ¿verdad? ¿Cómo es la ciberseguridad en ese aspecto?
JT: Fintonic ha sido siempre una empresa con una alta flexibilidad para trabajar en remoto. Toda la actividad se puede realizar igual en remoto o en nuestras oficinas con las mismas garantías de seguridad. Estos días hemos hecho hincapié en aspectos más prácticos derivados de la extensión del teletrabajo a la totalidad de la plantilla. Por ejemplo, ante la reducción de las reuniones presenciales hemos instruido a nuestros compañeros para que aumenten las precauciones en las reuniones virtuales (verificar la identidad de los asistentes, comprobar los permisos de acceso de los documentos compartidos, etc.). También hemos alertado sobre la necesidad de verificar la seguridad de las conexiones utilizadas y de los riesgos derivados de utilizar los equipos de trabajo para labores no relacionadas con el propio trabajo. Las únicas adaptaciones que hemos tenido que realizar han sido aumentar la capacidad de las conexiones remotas vía VPN para permitir el acceso concurrente a todos los empleados y subcontratados; así como la capacidad de las salas virtuales de conferencia para permitir reuniones generales a las que asista la totalidad de la plantilla.
CSN: ¿Crees que los usuarios de las bancas onlines o de cualquier otra aplicación financiera son conscientes de los posibles ciberriesgos que hay detrás?
JT: Los usuarios deben tener un balance adecuado de precaución y confianza en las aplicaciones financieras. No pueden ignorar los riesgos porque eso tendría como consecuencia que los usuarios no pondrían de su parte las medidas de seguridad básicas (proteger sus credenciales de acceso, revisar los movimientos y alertas para detectar actividades sospechosas, etc.). Pero tampoco podemos transmitir una sensación de inseguridad porque; en primero lugar, no es cierto, la mayoría de las aplicaciones financieras son seguras y, por otra parte, porque entorpeceríamos la adopción de herramientas que son realmente útiles para los usuarios.
CSN: Ojalá que no pero, ¿estáis preparados para detectar un ciberataque? ¿Contáis con un ciberseguro para estos casos?
JT: Todos los días se detectan intentos de ataque. Actualmente, cualquier sistema que se conecta a Internet recibe intentos de ataque casi inmediatamente. El objetivo debe ser detectar estos intentos lo antes posible para controlarlos y reducir el impacto de los mismos. Como entidad regulada por el Banco de España estamos obligados a tener un seguro que cubra cualquier contingencia que afecte a nuestros usuarios.