Actualidad, Entrevistas

“Muchas empresas se conciencian a la fuerza cuando sufren un incidente de seguridad”

Continuando nuestro proceso de dar a conocer a los CISOs de grandes empresas de nuestro país, hoy presentamos a Enrique Rubio-Manzanares Alvarez. El responsable de seguridad de Banca March nos cuenta consejos, curiosidades y problemas de un CISO en la actualidad.

CyberSecurity News: ¿Cuál ha sido el proceso profesional que le ha llevado a ser el CISO de Banca March?

Enrique Rubio-Manzanares: Llevo más de 16 años trabajando en entornos de Infraestructuras y Seguridad, y después de trabajar en S21 pasé al Grupo EVO Banco como CISO y a los dos años de estar allí me surgió el reto de trabajar en Banca March, el cual no pude rechazar por el desafío que supone.

CSN: Anteriormente trabajó en otros sectores ¿Qué diferencias hay entre la seguridad para el sector financiero y los demás?

ER: Básicamente la principal diferencia es la regulación, el sector financiero está mucho más regulado que otros. Y bajo mi punto de vista esa sería la gran diferencia. Luego está también el tipo de negocio que es y la información que se maneja, que hace que sea un entorno mucho más sensible ante fugas de información o brechas de seguridad.

CSN: ¿Cómo ha evolucionado la concienciación en las empresas en la necesidad de estar protegidos?

ER: Pues desgraciadamente muchas empresas han hecho un proceso de concienciación forzado, o le prestan más atención a sus procesos de concienciación, cuando sufren un incidente de seguridad. También hay que decir que cada vez hay más herramientas y empresas especializadas en ayudarte a establecer planes de concienciación, en INCIBE también puedes encontrar planes y materiales para este tipo de iniciativas.

CSN: ¿Qué importancia tiene la figura del CISO en su empresa?

ER: En Banca March es una figura estratégica y muy importante, además, desde el momento que la empresa decide iniciar la transformación digital más todavía. Al final tienes que adecuar todas tus áreas hacia la transformación, y la seguridad es una de ellas. Además un banco se puede diferenciar de sus competidores si en sus nuevos servicios también incluye innovaciones en seguridad.

Yo siento el respaldo de la compañía y de la alta dirección de la misma. Este año se ha preparado un plan estratégico para los próximos años en el que hay fuertes inversiones en seguridad que afectará a todos los ámbitos, compañía, empleados, clientes…

CSN: ¿Encuentra profesionales suficientemente preparados para incorporar a su equipo?

ER: Hasta el momento sí, la verdad es que llevo muchos años trabajando en esto y además de conocer a muchas personas también me ha hecho adquirir la habilidad de detectar cuando una persona es un diamante en bruto. Así que por el momento no he tenido problemas en este sentido. Pero si te puedo decir que se nota que hay mucho trabajo que aún no se puede llevar a cabo porque no hay profesionales suficientes.

CSN: ¿Qué requisitos pide y debe cumplir un CISO?

ER: Yo creo que un CISO debe tener amplia experiencia en seguridad, un fuerte background técnico. Es bueno que haya conocido varios entornos de seguridad.

Es muy importante que sepa transmitir y explicar a la dirección de la compañía los KPIs y cuadros de mando que se generen desde seguridad.

Tiene que saber entender el negocio de la compañía en la que trabaja y mucha mano izquierda para solventar las posibles situaciones que se presenten con otras áreas, proveedores o clientes.

Debe tener una visión estratégica y dirigir con firmeza hacia dónde va a evolucionar su departamento y en consecuencia debe ser firme y claro con las decisiones que tome.

CSN: ¿Cómo es el día a día de un CISO?

ER: Cada día es diferente, porque siempre aparecen proyectos nuevos, situaciones nuevas, problemáticas que no habíamos visto…

Básicamente el día a día consiste en mantener reuniones de equipo para analizar y tratar los problemas que hayan aparecido, el estado de los proyectos que estamos ejecutando, seguimiento de planes de acción.

También hay que dedicar bastante tiempo a preparar informes con los resultados e indicadores del área de seguridad para distribuir por toda la organización. Ver a proveedores para que te cuenten las últimas novedades, controlar el presupuesto del área…

Es un trabajo muy dinámico en el que no te aburres ni un segundo.

CSN: ¿Cuál es el mayor problema al que se ha enfrentado en su carrera profesional? Que se pueda contar…

ER: Te diría que cada día aparece un problema mayor que el día anterior jejeje.

Bromas aparte, el peor ha sido el fraude, hace unos años tuvimos un problema de fraude que nos estaba volviendo locos, porque no encontrábamos como lo estaban haciendo, y hasta que dimos con ello fueron momentos de mucha tensión y presión. Fueron momentos muy complicados.

CSN: ¿Cuál es la mejor protección? ¿Qué consejos da a los trabajadores de Banca March cuando hablan de ciberseguridad?

ER: La mejor protección es una buena concienciación de base. Cuando los empleados son conscientes de los riesgos que hay y de sus consecuencias, las medidas que se adoptan desde el departamento de seguridad tienen mayor efecto.

Un consejo que siempre damos es usar el sentido común, si te ha enviado un mail una persona que no conoces sin cuerpo de mensaje y con un fichero adjunto, que por ejemplo, se llama factura, y la dirección de correo es de un dominio que tampoco conoces… Antes de abrirlo piénsalo dos veces.

CSN: ¿Y para un particular?

ER: Básicamente los mismos. Al final el sentido común mezclado con pequeñas píldoras de información básica en ciberseguridad tienen un buen efecto. Y despierta curiosidad en la gente lo que hace que muestren un mayor interés en la ciberseguridad. Si tu estrategia la basas en el miedo o en sesiones de 4, 5 o incluso más horas, el efecto que vas a conseguir no es el mismo.

CSN: ¿De dónde vienen los principales ciberataques que afectan a las empresas de su sector? ¿Son los mismos orígenes que para otros sectores?

ER: Hay de todo, nosotros recibimos ataques desde cualquier parte del mundo.

CSN: En caso de una alerta por un ciberataque ¿Cuáles son los pasos a seguir?

ER: Lo primero mantener la calma y confirmar que la alerta es legítima, a continuación revisar que todas las medidas disponibles para mitigar dicho ataque están OK. Y en el peor de los casos avisar al equipo de respuesta ante incidentes especializado en este tipo de escenarios.

CSN: Cada día aparecen nuevas amenazas ¿Cómo consiguen estar actualizados?

ER: Contando con una gran red de contactos y sobre todo colaborando con proveedores especializados en seguridad.

CSN: ¿Cómo ha afectado el nuevo Reglamento de Protección de Datos a la ciberseguridad en su empresa?

ER: Ha afectado bastante, sobre todo también por ser un Banco.

CSN: Ahora que casi todos los datos de las empresas se encuentran en la nube ¿Cómo hacen para protegerlos?

ER: En caso de nube pública eligiendo buenos proveedores y aplicando las medidas de seguridad que nos puedan ofrecer y que sean óptimas para nosotros. A eso hay que sumarle que tenemos varias líneas de protección con herramientas de fabricantes de primer nivel.

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

Así evita Cruz Roja Andalucía nuevos ciberataques

Actualidad, Cases Studies

Ciberseguridad, la primera línea de defensa de las empresas logísticas

Cyber Expertos

Las empresas, desprotegidas ante el desafío para la ciberseguridad que supone la IA

AI, Ciberseguridad

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

Así evita Cruz Roja Andalucía nuevos ciberataques

Actualidad, Cases Studies

Ciberseguridad, la primera línea de defensa de las empresas logísticas

Cyber Expertos

Las empresas, desprotegidas ante el desafío para la ciberseguridad que supone la IA

AI, Ciberseguridad

Seguridad de su PC: software más seguro para Windows 10

Cloud, Network Security

Los pagos online ponen a los españoles en jaque: cinco consejos para evitar las ciberestafas

Actualidad, Security Breaches

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks