El Grupo Allianz es una multinacional alemana de servicios financieros con sede en Múnich. Es uno de los grupos aseguradores y proveedores de servicios financieros más importantes del mundo, siendo un referente en su sector desde hace más de 100 años.
España es uno de los mercados más importantes para la compañía, que apuesta desde hace tiempo por la innovación y la digitalización. En este punto, también la ciberseguridad es un pilar fundamental para Allianz, consciente de la importancia de mantener seguras sus infraestructuras y los datos de sus clientes. Hablamos con Emiliano Astudillo, Director de Protection & Resilience de Allianz Seguros España.
Cybersecurity News (CsN): Cuando hablamos con CISOs y nos cuentan sus historias profesionales, vemos como la mayoría vienen de la parte técnica, del mundo hacking, pero no todos. Hay algunos que vienen del mundo de la consultoría o incluso del cuerpo policial. ¿Cómo es tu historia y cómo llegaste al rol de CISO actual?
Emiliano Astudillo (EA): En mi caso, soy licenciado en Economía y cuento con un Postgrado en e-commerce. Dispongo de más de quince años de experiencia en Seguridad TI/Ciberseguridad, Continuidad de Negocio y Resiliencia, Gestión de Riesgos, Privacidad, Auditoría de Procesos y Tecnológica y Tecnologías de la Información.
He colaborado con empresas de sectores diversos como Automoción, Energía (Utilities), Entretenimiento y Medios de Comunicación, Servicios Financieros (Banca y Seguros), Gobierno, Productos Industriales, Retail y Consumo, Tecnología y Servicios.
Y en febrero de 2018 me incorporé a Allianz Seguros como Director de Protection & Resilience.
CsN: Podríamos mencionar muchos retos a los que os enfrentáis en vuestro día a día. ¿Cuáles destacarías?
EA: Estamos en un período de gran transformación con la introducción de cambios en los procesos y nuevas tecnologías que suponen un reto para mantener la seguridad. Hay que integrar de forma permanente la seguridad en nuestro sistema de valores, de tal modo que, todo nuevo empleado/a que entre en una empresa, la sienta como un valor fundamental de la cultura corporativa.
CsN: Hablemos de la estrategia de ciberseguridad de su compañía. Imaginemos que su compañía ve comprometidos los datos de sus clientes. ¿Qué mecanismos de seguridad se desplegaría?
EA: Disponemos de mecanismos de detección y respuesta para la evaluación, gestión y resolución de amenazas. Esto incluye procesos de comunicación a todos los interesados. Nuestro objetivo es ofrecer valor a nuestros clientes y proteger sus intereses.
CsN: ¿Qué parte de esta estrategia de ciberseguridad externalizado a empresas proveedoras especializadas?
EA: Trabajamos con una mezcla de recursos internos (locales y globales) y externos que nos permite maximizar los beneficios de cada opción e incorporar el talento necesario en cada caso con la máxima flexibilidad.
CsN: Siguiendo con la pregunta anterior, a la hora de seleccionar una empresa proveedora, un partner, ¿qué valora más, un buen producto o un buen servicio?
EA: Un buen servicio porque engloba todo.
CsN: ¿Qué esperaría de ese partner?
EA: Compromiso con el proyecto de Allianz, aspiración a la excelencia de forma permanente y ello requiere de “expertise” e inversión continua en formación.
CsN: El CISO por un lado podríamos decir que hace de intermediario y traductor entre la parte de negocio de la compañía y la parte técnica. ¿Consigue que ambas partes se entiendan? ¿Cuál es la apuesta de la dirección por la ciberseguridad?
EA: Desde Allianz apostamos por seguir fortaleciéndonos en materia de ciberseguridad, como una forma de desarrollo de nuestro negocio, protegiendo a nuestros clientes y nuestra reputación como su socio de confianza.
CsN: Sabemos que el flujo de comunicación en el sector de la ciberseguridad es muy importante para mejorar la protección global de todos. ¿Cree que queda mucho que hacer aún para obtener el flujo de comunicación deseado? ¿Se podría mejorar mucho más incluso el propio flujo de comunicación entre diferentes CISOs?
EA: Existen algunas iniciativas de colaboración entre CISOs pero creo que harían falta más foros donde compartir experiencias, no sólo sectorialmente sino transversal y globalmente. Si realmente creemos que la seguridad es tan fuerte como su eslabón más débil, deberíamos trabajar para crear comunidades más globales con el propósito de elevar el nivel general de identificación, protección, detección, respuesta y recuperación.
»Existen algunas iniciativas de colaboración entre CISOs pero creo que harían falta más foros donde compartir experiencias, no sólo sectorialmente sino transversal y globalmente”
Estamos en un mundo cada vez más interrelacionado en el que el perímetro se diluye y las aproximaciones tradicionales basadas en el aislamiento de nuestras organizaciones ya no son suficientes.
CsN: ¿Cree que la tecnología cloud y multcloud está ya lo suficientemente madura desde el punto de vista de la ciberseguridad? ¿Cómo usa su compañía la tecnología cloud?
EA: Algunos analistas señalan que el futuro pasa por el cloud computing. Como toda tecnología, requiere de una aproximación específica, pero lleva el tiempo suficiente como para que se disponga de herramientas para mitigar los riesgos hasta un nivel razonable. En Allianz, es una más de las herramientas a disposición de la compañía para el desarrollo de nuevas iniciativas.
CsN: Si hablamos de capacitación en Ciberseguridad, ¿cree que contamos con profesionales muy buenos en España? ¿Cree que se les valora correctamente?
EA: Creo que hay buenos profesionales en España, y la escasez de este tipo de profesionales en el mercado hace que su cotización haya subido incluso para aquellos perfiles con menor experiencia.
CsN: ¿Qué habilidades busca un CISO para una persona de su departamento?
EA: En nuestro caso, tenemos un modelo en que separamos la parte de gobierno de la operación de ciberseguridad por lo que buscamos profesionales con background técnico y funcional, con capacidad para gestionar proyectos y capacidad relacional. Nuestra estrategia pasa por transformar la función de seguridad en una palanca para el negocio.