Continuando nuestro proceso de dar a conocer a los CISOs de grandes empresas de nuestro país, hoy presentamos a Enrique Rubio-Manzanares Alvarez. El responsable de seguridad de Banca March nos cuenta consejos, curiosidades y problemas de un CISO en la actualidad.
CyberSecurity News: ¿Cuál ha sido el proceso profesional que le ha llevado a ser el CISO de Banca March?
Enrique Rubio-Manzanares: Llevo más de 16 años trabajando en entornos de Infraestructuras y Seguridad, y después de trabajar en S21 pasé al Grupo EVO Banco como CISO y a los dos años de estar allí me surgió el reto de trabajar en Banca March, el cual no pude rechazar por el desafío que supone.
CSN: Anteriormente trabajó en otros sectores ¿Qué diferencias hay entre la seguridad para el sector financiero y los demás?
ER: Básicamente la principal diferencia es la regulación, el sector financiero está mucho más regulado que otros. Y bajo mi punto de vista esa sería la gran diferencia. Luego está también el tipo de negocio que es y la información que se maneja, que hace que sea un entorno mucho más sensible ante fugas de información o brechas de seguridad.
CSN: ¿Cómo ha evolucionado la concienciación en las empresas en la necesidad de estar protegidos?
ER: Pues desgraciadamente muchas empresas han hecho un proceso de concienciación forzado, o le prestan más atención a sus procesos de concienciación, cuando sufren un incidente de seguridad. También hay que decir que cada vez hay más herramientas y empresas especializadas en ayudarte a establecer planes de concienciación, en INCIBE también puedes encontrar planes y materiales para este tipo de iniciativas.
CSN: ¿Qué importancia tiene la figura del CISO en su empresa?
ER: En Banca March es una figura estratégica y muy importante, además, desde el momento que la empresa decide iniciar la transformación digital más todavía. Al final tienes que adecuar todas tus áreas hacia la transformación, y la seguridad es una de ellas. Además un banco se puede diferenciar de sus competidores si en sus nuevos servicios también incluye innovaciones en seguridad.
Yo siento el respaldo de la compañía y de la alta dirección de la misma. Este año se ha preparado un plan estratégico para los próximos años en el que hay fuertes inversiones en seguridad que afectará a todos los ámbitos, compañía, empleados, clientes…
CSN: ¿Encuentra profesionales suficientemente preparados para incorporar a su equipo?
ER: Hasta el momento sí, la verdad es que llevo muchos años trabajando en esto y además de conocer a muchas personas también me ha hecho adquirir la habilidad de detectar cuando una persona es un diamante en bruto. Así que por el momento no he tenido problemas en este sentido. Pero si te puedo decir que se nota que hay mucho trabajo que aún no se puede llevar a cabo porque no hay profesionales suficientes.
CSN: ¿Qué requisitos pide y debe cumplir un CISO?
ER: Yo creo que un CISO debe tener amplia experiencia en seguridad, un fuerte background técnico. Es bueno que haya conocido varios entornos de seguridad.
Es muy importante que sepa transmitir y explicar a la dirección de la compañía los KPIs y cuadros de mando que se generen desde seguridad.
Tiene que saber entender el negocio de la compañía en la que trabaja y mucha mano izquierda para solventar las posibles situaciones que se presenten con otras áreas, proveedores o clientes.
Debe tener una visión estratégica y dirigir con firmeza hacia dónde va a evolucionar su departamento y en consecuencia debe ser firme y claro con las decisiones que tome.
CSN: ¿Cómo es el día a día de un CISO?
ER: Cada día es diferente, porque siempre aparecen proyectos nuevos, situaciones nuevas, problemáticas que no habíamos visto…
Básicamente el día a día consiste en mantener reuniones de equipo para analizar y tratar los problemas que hayan aparecido, el estado de los proyectos que estamos ejecutando, seguimiento de planes de acción.
También hay que dedicar bastante tiempo a preparar informes con los resultados e indicadores del área de seguridad para distribuir por toda la organización. Ver a proveedores para que te cuenten las últimas novedades, controlar el presupuesto del área…
Es un trabajo muy dinámico en el que no te aburres ni un segundo.
CSN: ¿Cuál es el mayor problema al que se ha enfrentado en su carrera profesional? Que se pueda contar…
ER: Te diría que cada día aparece un problema mayor que el día anterior jejeje.
Bromas aparte, el peor ha sido el fraude, hace unos años tuvimos un problema de fraude que nos estaba volviendo locos, porque no encontrábamos como lo estaban haciendo, y hasta que dimos con ello fueron momentos de mucha tensión y presión. Fueron momentos muy complicados.
CSN: ¿Cuál es la mejor protección? ¿Qué consejos da a los trabajadores de Banca March cuando hablan de ciberseguridad?
ER: La mejor protección es una buena concienciación de base. Cuando los empleados son conscientes de los riesgos que hay y de sus consecuencias, las medidas que se adoptan desde el departamento de seguridad tienen mayor efecto.
Un consejo que siempre damos es usar el sentido común, si te ha enviado un mail una persona que no conoces sin cuerpo de mensaje y con un fichero adjunto, que por ejemplo, se llama factura, y la dirección de correo es de un dominio que tampoco conoces… Antes de abrirlo piénsalo dos veces.
CSN: ¿Y para un particular?
ER: Básicamente los mismos. Al final el sentido común mezclado con pequeñas píldoras de información básica en ciberseguridad tienen un buen efecto. Y despierta curiosidad en la gente lo que hace que muestren un mayor interés en la ciberseguridad. Si tu estrategia la basas en el miedo o en sesiones de 4, 5 o incluso más horas, el efecto que vas a conseguir no es el mismo.
CSN: ¿De dónde vienen los principales ciberataques que afectan a las empresas de su sector? ¿Son los mismos orígenes que para otros sectores?
ER: Hay de todo, nosotros recibimos ataques desde cualquier parte del mundo.
CSN: En caso de una alerta por un ciberataque ¿Cuáles son los pasos a seguir?
ER: Lo primero mantener la calma y confirmar que la alerta es legítima, a continuación revisar que todas las medidas disponibles para mitigar dicho ataque están OK. Y en el peor de los casos avisar al equipo de respuesta ante incidentes especializado en este tipo de escenarios.
CSN: Cada día aparecen nuevas amenazas ¿Cómo consiguen estar actualizados?
ER: Contando con una gran red de contactos y sobre todo colaborando con proveedores especializados en seguridad.
CSN: ¿Cómo ha afectado el nuevo Reglamento de Protección de Datos a la ciberseguridad en su empresa?
ER: Ha afectado bastante, sobre todo también por ser un Banco.
CSN: Ahora que casi todos los datos de las empresas se encuentran en la nube ¿Cómo hacen para protegerlos?
ER: En caso de nube pública eligiendo buenos proveedores y aplicando las medidas de seguridad que nos puedan ofrecer y que sean óptimas para nosotros. A eso hay que sumarle que tenemos varias líneas de protección con herramientas de fabricantes de primer nivel.