Concienciación es en palabras de Eva Cañete, responsable de Seguridad de la Información (CISO) de Unicaja Banco, una de las claves para hacer frente a la nueva era de la seguridad, así como contar con equipos encargados de IT que «tengan la seguridad incorporada en su ADN, tanto en operación como en desarrollo de software. Cañete aborda en esta conversación con Cuadernos de Seguridad, entre otros aspectos, los retos a asumir por los CISOs, así como el papel de los departamentos de Seguridad de la Información dentro de las estrategias de las grandes compañías.
—¿Cuál es la estructura e infraestructura actual del departamento/área de Seguridad de la Información de Unicaja Banco?
—En Unicaja Banco hemos adoptado las recomendaciones que la ABE (Autoridad Bancaria Europea) recoge en su guía de control interno, en la que se recomienda establecer un modelo que permita separar la función de gestión, de la de control y de la de auditoría.
En línea con este marco, la actividad de Seguridad de la Información de Unicaja Banco se sustenta en tres líneas de defensa: la Dirección de Informática, cuya principal responsabilidad es la de gestionar y operar la seguridad del Banco; una segunda línea de control dependiente del CRO (Director de Control Global de Riesgos), y cuyo objetivo consiste en controlar y reducir en la medida de lo posible el riesgo al que se expone el Banco con cada nuevo proyecto; y, por último, la función de auditoría, que va a velar para que se cumplan los controles de seguridad aprobados por la Dirección del Banco y las principales regulaciones que nos afecten.
—¿Cuáles son los puntos básicos en los que se basa la estrategia de ciberseguridad de Unicaja Banco?
—Está basada en un alineamiento entre los objetivos estratégicos y los objetivos de ciberseguridad, dotando a Unicaja Banco de la capacidad de cumplimiento de los requisitos legislativos, reguladores y contractuales, y de las expectativas supervisoras que como entidad financiera debamos tener en cuenta.
Asimismo, otros puntos básicos de la estrategia de ciberseguridad de la entidad son el mantenimiento de un mapa de riesgos lo más aproximado a la realidad del entorno del ciberespacio en cada momento, y el potenciamiento de la resiliencia, planteándonos como objetivo la reducción del impacto y la vuelta a la normalidad en el menor tiempo posible. Y, por último, y como cierre fundamental, la mejora continua, como resultado de mantenernos en permanente evaluación.
—¿Qué retos debe asumir un CISO a la hora de implantar una estrategia de seguridad, en este caso, en el ámbito bancario?
—Son muchos los retos a los que se enfrentan las entidades financieras al implantar una estrategia de seguridad. Muchos de ellos son los que se viene asumiendo a nivel sectorial desde hace años, como por ejemplo, asumir el impacto en costes para la disponibilidad de los recursos que se necesitan para dotar a una entidad de una seguridad adecuada, o la adaptación a un contexto de aumento de regulaciones en las que se recogen apartados específicos sobre seguridad.
Y otros más actuales, aunque no diría que especialmente recientes, como son el operar sin problemas en un ciberespacio más inseguro debido al crecimiento tan exponencial de los servicios ofrecidos por Internet, y ante unas nuevas generaciones de potenciales clientes eminentemente tecnológicos.
Además de la dificultad de localizar talento debido a la alta especialización que se requiere, fruto del elevado espectro de tareas que se deben acometer desde estas áreas.
Entrevista completa