Hace unos días, hemos charlado con Santiago Moral (CISO del Grupo BBVA) sobre diversas cuestiones relacionadas con la seguridad y con la gestión tecnológica de los riesgos.

Esperamos que os resulte de interés y, como siempre, nos gustaría conocer vuestros comentarios.

¿Cuál es el valor de la Seguridad para BBVA?

La Seguridad en el grupo BBVA, como concepto del negocio financiero (que está absolutamente basado en la confianza) no es un atributo que se pueda medir o valorar, porque no hay opciones: un banco tiene que ser seguro por el mero hecho de ser un banco; por tanto, BBVA es seguro.

Pero además, en BBVA no pensamos en la seguridad como un valor en el que queramos competir, porque entendemos que todo el sector financiero tiene que ser seguro.

En ese sentido, nuestra función es aportar valor trabajando desde el punto de vista de la ingeniería, haciendo que la seguridad nos permita dos tipos de avances: que el coste de la operación total de la entidad sea competitivo dentro del mercado, por un lado, y que nos permita plantear avances importantes dentro de un mundo tecnológicamente globalizado, por otro.

Entonces, teniendo en cuenta esa ‘no competencia’ en el mundo de la seguridad, ¿existe colaboración?

En el sector financiero nadie gana porque otro tenga un incidente de seguridad. En ese campo hay una colaboración bastante discreta entre los responsables de seguridad de las distintas entidades: nos conocemos, compartimos foros, no es un mundo demasiado grande.

Donde sí que mantenemos una cordial confrontación es en ver cómo cada uno consigue hacer que la seguridad en su respectiva empresa sea más barata de operar, más eficiente y más simple; es decir, que aporte a un mejor posicionamiento en la competitividad, pero una competitividad como ingeniería, no como función del negocio.

Cuando hablamos de Seguridad Lógica se suele pensar en la vertiente puramente tecnológica, olvidando el factor humano, ¿Cómo enfoca BBVA ese factor, tanto en lo relacionado con la plantilla (internos y externos) como de cara a los clientes?

Todo el sector financiero está haciendo un gran esfuerzo, buscando que lo que se puede hacer con los sistemas de información se pueda hacer mucho más fácil y natural, mejorando la usabilidad de la seguridad.

Usabilidad no en el sentido clásico del concepto, de que sea fácil, que debe serlo por definición. Lo que debe ser fácil es la integración de mecanismos de seguridad de distintas plataformas; es decir, que dentro de un entorno homogéneo pueda tener elementos con distinto nivel de seguridad.

Por ejemplo, el sitio donde comparto las fotos con mis amigos y donde almaceno mis nóminas. Necesito tener a mano ambas cosas, pero con distinto nivel de seguridad.

Actualmente, hay unas corrientes muy interesantes que van a ser una realidad en no mucho tiempo, por ejemplo la del “Bring Your Own PC“. Algo que, básicamente, consiste en que utilizas tu propio ordenador, tu smartphone,… (herramientas en las que, cada vez más, cualquier persona almacena mucha de su capacidad productiva) como herramientas corporativas y la respectiva empresa/organización financia anualmente una parte del coste. En ese caso, entramos en un mundo y una estrategia distintas; dando igual donde estés, siempre accedes a través del mismo medio y a las mismas aplicaciones de tu entorno de trabajo. Obviamente, para que esto funcione correctamente, la seguridad es una palanca fundamental.

¿Cuáles son las amenazas más características del momento?

Como sociedad nos estamos transformando en unas infraestructuras mundiales que nos permiten globalizarnos tecnológicamente, y donde los riesgos que debemos asumir y gestionar no los conocemos. Tanto los ciudadanos, como las empresas y los gobiernos, estamos trabajando en que este nuevo campo de juego que son las redes globales y sus plataformas sea un sitio cómodo para estar y para compartir.

Sobre el tema de la protección de las infraestructuras críticas, ¿crees que avanzamos a la velocidad adecuada, o esto también se ha visto afectado por la crisis?

En los países serios, nos encontramos entidades y corporaciones serias; por ejemplo, en el caso de España: cuando me exigen qué es lo que debo tener para ser una infraestructura crítica del país ya lo tengo.

Las empresas serias ya se preocupan de tener los niveles de disponibilidad adecuados. Puede que en algún momento haya alguna petición un poquito más especial, pero en líneas generales las corporaciones españolas tienen un nivel de partida muy bueno para cumplir cualquier regulación de infraestructuras críticas.

Sobre la velocidad de adecuación, yo creo que las Administraciones lo están haciendo bien, como organización y como sector en general, creo que va a un ritmo adecuado, al que se puede ir, son ideas que tienen que ir aterrizando un poco.

Y sobre la seguridad integral, ¿cuál es tu opinión?

En el sector financiero los departamentos de seguridad debemos trabajar completamente de la mano, porque tenemos un continuo en los problemas de seguridad que tenemos que gestionar.

Un problema de seguridad puede empezar en el mundo físico y pasar al virtual y del virtual pasar al físico, y ser el mismo problema y ser la misma acción, por lo cual hay que trabajar de forma muy coordinada; aunque los niveles de especialización que requiere el departamento de seguridad corporativa y el departamento de seguridad de la información, son distintos.

Toda la tecnología de seguridad corporativa la lleva seguridad de la información. Eso nos permite que haya unicidad de procesos y de tecnologías, que no haya dispersión tecnológica en cuanto a la gestión de las identidades. Pero, a nivel de gestión de departamentos, somos distintos; porque las cosas que gestionan ellos y las que gestionamos nosotros (aún teniendo una superficie común), son radicalmente distintas. Nos hemos organizado de tal forma que tenemos el beneficio de la integración y, a la vez, tenemos el beneficio de la no integración.

Los smartphones están proliferando, lo que supone un mundo lleno de posibilidades, mayor funcionalidad, mayor potencia en el canal online móvil,… pero, bajo el punto de vista de la seguridad, ¿qué recomendación se les puede hacer a los usuarios?

Pues, fundamentalmente, yo le diría a cualquier usuario de servicios móviles que lo importante es con quién haces tus negocios, y no a través de qué; es decir, hacer negocios con BBVA siempre va a ser una cosa segura, porque lo estás haciendo con BBVA independientemente del medio que utilices.

El medio no tiene que aportar miedo, BBVA se está posicionando para que todos los dispositivos y canales posibles sean puerta de acceso a que los clientes se relacionen y hagan negocio con el banco. Vocacionalmente somos una empresa con un importante nivel tecnológico, y el reto está en cómo hacerlo sin bajar el nivel de seguridad.

Lo que tenemos que ser es buenos analistas de riesgos, desde el punto de vista de seguridad, y para conseguir esto el principal problema es que hay que conocer muy bien la realidad para ajustar muy bien los riesgos. Si te pasas poniendo más controles de los que debes, te quedas fuera de mercado porque otros competidores analizarán mejor el riesgo y si te quedas por debajo, tendrás problemas que al final impactarán en tu imagen.

Hablando de gestión de riesgos, en los últimos años se está convirtiendo casi en un elemento estructural de cada vez más organizaciones y particularmente en las entidades financieras, ¿Cómo encaja BBVA la gestión de riesgos desde el punto de vista de la Seguridad Lógica?

En BBVA, tenemos el modelo CISO (Chief Information Security Officer), que es un modelo de seguridad ampliado, donde toda la responsabilidad en materia de gestión tecnológica del riesgo, es decir, la seguridad y lo que no es seguridad, cae bajo el paraguas del CISO. La parte de gestión de riesgos de todo el gobierno IT la asume el CISO.

En BBVA hemos entendido que el riesgo más volátil que tenemos siempre está asociado a la seguridad, a que se mantenga ese nivel de seguridad, y que nosotros al final como Seguridad de la Información, somos, dependiendo del área que toques, entre el 40 y el 60% de todo el riesgo total que hay que gestionar en materia de TI. De esta manera, no parece descabellado que en una entidad financiera se cree una figura apalancada en la seguridad de la información, pero que se mueva hacia la parte de gestión tecnológica del riesgo, como uno de los pilares del buen gobierno.

Uno de los temas ‘de moda’ es el cloud computing. En pocas palabras, ¿cuál es tu opinión sobre el cloud computing y la seguridad?

Nosotros somos un banco. Y como tal, somos una entidad muy regulada en todo aquello que es nuestro negocio financiero y eso conlleva un determinado nivel de seguridad; pero, además, hacemos muchas otras cosas y tenemos muchas otras aplicaciones empresariales por el mero hecho de ser una empresa. Y esto, tiene un nivel de seguridad diferente.

En este segundo caso estamos abiertos a todo lo que aparezca en este mundo globalizado que nos permita la reducción de costes y la mejora de procesos. Pero en todo aquello que tenga que ver con nuestro negocio regulado queremos tener las máximas garantías y control, no solamente por nuestros clientes sino para las entidades que nos regulan.

BBVA está haciendo una apuesta muy importante por la tecnología y la innovación, ¿qué temas podrías destacar en cuanto a seguridad?

En este punto, necesariamente debo hablar del acuerdo que tenemos con la Universidad Rey Juan Carlos, que sirvió para crear el Centro de Investigación para la Gestión Tecnológica del Riesgo, donde estamos trabajando en varias líneas.

La primera es la búsqueda de nuevos algoritmos que nos permitan la ‘búsqueda de anómalos’; es decir, encontrar datos raros dentro de volúmenes ingentes de datos, para mejorar nuestra efectividad intentando anticiparnos a lo que pueda suceder en el banco (ataques por internet, en tarjetas,…)

Otra línea son los mecanismos naturales de identificación de personas, hacer que los sistemas de información faciliten una relación cada vez más natural con los clientes, para esto estamos trabajando en temas de biometría, intentando facilitar el reconocimiento de las personas por su comportamiento.

La tercera línea son metodologías específicas de análisis de riesgos (hasta dónde asumirlos o no). Hay una línea de investigación muy interesante que es el análisis del comportamiento intencional basándonos en teorías de juego, y aplicándolo al comportamiento de los grupos de delincuencia organizada.

Ya para terminar, ¿podrías darnos algún consejo desde el punto de vista de carrera profesional, en el campo de la Seguridad?

Aquí no hay más consejo que trabajar duro, ser apasionado y no parar de formarte. Dentro de las disciplinas de las TI, este mundo de la Seguridad de la Información es tremendamente apasionante. Y aquí, además, hay un punto de interés añadido: tienes un adversario, y eso provoca que intelectualmente sea muy atractivo. En contra, tiene que es un trabajo que exige mucha dedicación, no solo por las horas, sino porque los incidentes pueden ocurrir en cualquier momento, no cuando a ti te apetecería.

Y, por último, el tema de la formación permanente. Los profesionales de seguridad de la información son de los mayores expertos en todas las nuevas tecnologías que van apareciendo. Una de las claves en el tema de la formación (y de la actividad profesional en general) es conseguir rodearte de gente más inteligente que tú, porque así tendrás la suerte de estar aprendiendo siempre.

Muchas gracias, Santiago. Ahora, esperamos las opiniones y valoraciones de nuestros lectores.