«El sector financiero lleva muchos años teniendo que hacer frente a intentos de ciberataques, además de ser uno de los más regulados. Por tanto, se puede decir que es un sector maduro en esta materia, ya que es habitual que se cuente con programas de ciberseguridad y resiliencia operativa», asegura Eva Cristina Cañete Bonilla, directora del Área de Ciberseguridad y Riesgo Tecnológico de Unicaja Banco, quien analiza en esta entrevista con Cuadernos de Seguridad aspectos como la resiliencia, la estrategia de ciberseguridad de las entidades bancarias o nuevas normativas como la NIS2 y DORA.
— ¿Cuáles son los pilares básicos sobre los que debe asentarse una estrategia de ciberseguridad en una entidad financiera como Unicaja Banco?
Los aspectos más significativos son contar con un marco de gestión de riesgos tecnológicos y de ciberseguridad, que se encuentre alineado con los objetivos del negocio y según las normativas aplicables; la toma de decisiones basadas en el conocimiento, ya que para poder definir una estrategia es necesario conocer bien la organización y cuáles son las fortalezas y las debilidades; concebir la función como un elemento de apoyo que se adapte a los objetivos del negocio, y desarrollar un modelo de gobierno en el que se identifiquen claramente los roles y responsabilidades de ciberseguridad.
— Uno de los grandes desafíos actuales es la convergencia de la seguridad y ciberseguridad, ¿cree que las compañías financieras deberían contar con una estrategia global de defensa?
Es un tema que lleva unos años generando debate. Si bien es cierto que la gestión global tiene ventajas, sigue presentando retos en muchos aspectos, que hacen que hasta la fecha no sea habitual ver compañías que unifiquen en una estrategia global ambas disciplinas.
— La resiliencia se ha convertido en uno de los factores más críticos en las estrategias de ciberseguridad de las compañías, ¿cómo la tiene planteada Unicaja Banco?
Nuestra estrategia se basa en dotarnos de la capacidad de respuesta rápida y adecuada ante incidentes digitales o ciberataques, de modo que podamos continuar prestando nuestros servicios a pesar de que concurran alguna de dichas circunstancias.
El sector financiero frente a los ciberataques
— A finales del pasado año se aprobaron la Directiva NIS2 y el Reglamento DORA, ¿de qué manera afectarán estas dos nuevas normativas en cuanto a aspectos de seguridad/ciberseguridad al sector financiero?
El sector financiero lleva muchos años teniendo que hacer frente a intentos de ciberataques, además de ser uno de los más regulados. Por tanto, se puede decir que es un sector maduro en esta materia, ya que es habitual que se cuente con programas de ciberseguridad y resiliencia operativa.
Por ello, estas nuevas normativas, en mi opinión, vienen a respaldar y refrendar los esfuerzos que hacemos las entidades para proteger a la organización y a los clientes.
— Hoy en día, ¿cuáles son los grandes retos y desafíos a los que se enfrenta la figura profesional del CISO?
Cada responsable de Seguridad de la información tiene sus propios objetivos, pero, de modo general, se puede identificar como un reto importante contar con el respaldo de su alta dirección; sin duda, necesaria para la aplicación de una estrategia de seguridad adecuada. Otro gran reto, en términos generales, es la dificultad para dimensionar adecuadamente estos departamentos, entre otras razones, por la falta de perfiles y la dificultad para contratarlos.
— ¿Cree que hoy en día los departamentos de Ciberseguridad forman parte de la estrategia de las grandes compañías financieras?
De forma generalizada, los departamentos de Ciberseguridad no forman parte de forma directa de las estrategias de las compañías, aunque sí creo que participan de un modo indirecto, a través de su apoyo y colaboración, en las líneas de actividad en las que se materializan dichas estrategias.
