Enrique Rubio-Manzanares Álvarez. Chief Information Security Officer (CISO) de EVO Banco

«La protección de la información, el robo de información y las normativas son los grandes retos a los que se enfrenta hoy en día el sector bancario ante internet», así lo asegura Enrique Rubio-Manzanares Álvarez, CISO de EVO Banco, quien además analiza, entre otros aspectos, cómo han cambiado los riesgos y amenazas en cuanto a aspectos de ciberseguridad.

[La entrevista íntegra puede leerse en el número 316 de noviembre de CUADERNOS DE SEGURIDAD]

enrique-rubio—El CISO es una figura profesional relativamente reciente dentro del organigrama de las empresas, incluido el sector bancario. ¿Podría indicarnos su trayectoria hasta su incorporación en Evo Banco?

—Llevo más de 15 años trabajando en Comunicaciones y Seguridad. Empecé en Ibermática, pasando después por Indra, Everis… He estado en varias empresas en estos años. En 2010 estuve trabajando para Yoigo y después dí el salto a una empresa de ciberseguridad como S21sec. No llevaba mucho tiempo en ella cuando surgió la oportunidad en EVO que para mí fue irrechazable.

—¿Cuáles son las funciones concretas que desempeña un CISO dentro de una entidad financiera como es el caso de EVO Banco?

—El abanico de funciones es muy amplio, quizás las más relevantes sean:

  • Identificar las necesidades del negocio en materia de seguridad.
  • Trasladar la necesidad del negocio en materia de seguridad hacia tecnología.
  • Establecer criterios mínimos de seguridad, de forma uniforme a toda la organización.
  • Revisar que las implantaciones están acordes con los criterios mínimos de seguridad.
  • Velar por el cumplimiento de la Seguridad de la Información.
  • Identificar y tratar los GAPs de la Seguridad de la información.
  • Gestión de la Continuidad del Negocio.

—¿Qué retos debe asumir un CISO actualmente a la hora de implantar una estrategia de seguridad, en este caso, en el ámbito bancario?

—Sobre todo, conseguir justificar la inversión que hay que realizar para conseguir un entorno con una seguridad de ciertas garantías. Creo que este punto es el principal reto. Actualmente es complicado conseguir todo el presupuesto que querríamos para seguridad.

Después la normativa y la regulación. Conseguir que toda la organización cumpla con la normativa es muy complicado y más aún negocio. Adaptar la normativa al negocio es a veces complejo, digo esto sobre todo por el gran volumen de proyectos de negocio que tenemos en el grupo. Como explico es muy difícil encontrar el equilibrio negocio-seguridad, aunque también tengo que decir que nosotros hasta ahora lo vamos encontrando. La clave está en la colaboración y la comunicación entre áreas.

—¿Cómo cree que han cambiado los riesgos y amenazas de las grandes corporaciones bancarias, sobre todo en cuanto a aspectos de ciberseguridad?

—Han cambiado una barbaridad, ahora gran parte del negocio está en las Webs o las APPs. Además, todas las oficinas tienen conexiones a Internet, a los servicios centrales. La tecnología es la protagonista y con ella la ciberseguridad.

Cuando quieren atacar a tu entidad, cualquier cliente puede ser utilizado para ello, sin su consentimiento obviamente, el phishing, el malware, la ingeniería social…, son técnicas que están a la orden del día y que gran parte de la población no las conocen lo suficiente como para detectarlas. Hay phishing que son realmente buenos.

—¿Cuáles son los grandes retos a los que se enfrenta hoy en día el sector bancario ante internet?

—La protección de la información, el robo de información y las normativas. La información que manejamos es muy sensible y hay que protegerla y cumplir con la normativa en cada uno de los procesos que interviene en nuestro día a día.