«La ciberseguridad es un elemento clave para nosotros y para la competitividad en el sector bancario», explica Gustavo Lozano, CISO de ING España y Portugal, quien además puntualiza que en la entidad bancaria, «entendemos la seguridad y la privacidad desde el diseño, y tenemos claro que garantizar al máximo la seguridad de nuestros clientes y la infraestructura del banco es una de nuestras máximas prioridades».
A lo largo de la entrevista con Cuadernos de Seguridad, Lozano aborda aspectos como la convergencia entre seguridad y ciberseguridad, y expone su análisis profesional de la Directiva NIS 2 y el Reglamento DORA.
— ¿Cuáles son los pilares básicos sobre los que debe asentarse una estrategia de ciberseguridad en una entidad bancaria como ING?
En ING creemos que la tecnología, junto con los procesos y la cultura, son pilares claves de una organización. El conocimiento de la tecnología resulta básico, pero lo realmente importante es tener la capacidad de adaptar las nuevas innovaciones e integrarlas con lo existente.
Debemos entender los cambios y las nuevas necesidades de los clientes, combinándolo con las nuevas opciones que nos permite llevar a cabo la tecnología. De esa forma, podemos ofrecer soluciones nuevas y hechas a medida de lo que necesitan nuestros clientes.
Por ello, la estrategia de ciberseguridad de ING da prioridad al cliente primero, entendiendo las necesidades y alineándolas con la tecnología y procesos necesarios, que nos haga estar conformes con el nivel de la protección de datos, la seguridad y la garantía de continuidad del negocio. El plan de seguridad comienza desde el propio negocio.
— Uno de los grandes desafíos actuales es la convergencia de la seguridad y ciberseguridad, ¿cree que las compañías financieras deberían contar con una estrategia global de defensa?
En ING entendemos la seguridad y la privacidad desde el diseño, y tenemos claro que garantizar al máximo la seguridad de nuestros clientes y la infraestructura del banco es una de nuestras máximas prioridades. En el departamento de Seguridad aglutinamos la seguridad física y la ciberseguridad, así como la gestión de identidades y la continuidad de negocio, por lo que nuestra estrategia de defensa es global y entendiendo a la seguridad, integrada.
La ciberseguridad es un elemento clave para nosotros y para la competitividad en el sector bancario. Nuestros procesos son prácticamente 100% digitales, con metodologías ágiles para la organización de los equipos, la generación de valor, productos e ideas, por lo que uno de los primeros puntos de nuestra estrategia pasa por su protección.
Damos prioridad absoluta a la prevención, detección y respuesta ante ciber amenazas y fraudes que puedan afectar a nuestros clientes.
— La resiliencia se ha convertido en uno de los factores más críticos en las estrategias de ciberseguridad de las compañías, ¿cómo la tiene planteada ING?
Desde un enfoque transversal de la seguridad. Si desde la base, se trabaja con una perspectiva lo más amplia posible, adecuada a las necesidades de la organización, cualquier implementación o cambio se hace de forma más natural. En ING tenemos una visión de la seguridad que se encuentra presente desde el diseño en todo lo que hacemos, manteniendo una colaboración estrecha entre todas las áreas del banco, utilizando la mejor tecnología disponible y revisando nuestros procesos para hacerlos más eficientes y garantizando además su sostenibilidad.
Tenemos una visión realista de los procesos críticos, hemos revisado las infraestructuras, los procesos de monitorización, respuesta y gestión de problemas, y los indicadores que manejamos de disponibilidad de la plataforma son óptimos.
Por otra parte, nos sometemos a ejercicios periódicos para testar la robustez de nuestra arquitectura frente a denegaciones de servicio, ataques dirigidos, y también realizamos ciber ejercicios para que nuestros equipos estén preparados para reaccionar de forma precisa y adecuada en la gestión de crisis.
Las nuevas regulaciones vienen a reforzar este modelo y a exigir mayor implicación de las organizaciones.
