‘Las tecnologías ayudan, pero no son la clave’ (Luis Ballesteros, WiZink)

  • Entrevistas

Luis Ballesteros, CISO WiZink.

Capacidades de liderazgo y de comunicación, tanto con la alta dirección como con proveedores, partners y colegas son algunas de las habilidades que debe tener un buen CISO. Lo dice Luis Ballesteros, quien protege WiZink Bank desde sus inicios, acumulando 30 años de experiencia en el mundo de la banca. Asegura también que hay que tener amplios conocimientos del funcionamiento de la empresa a la que se sirve, porque no se puede proteger lo que no se conoce; que se debe educar no solo para el mundo digital sino en ciberseguridad; que no se puede renunciar al cloud, pero que hay que adoptarlo de forma segura; que ciberdelincuentes existen desde el mismo momento en que crea Internet o que aquellas tecnologías que hacen uso de inteligencia artificial para realizar análisis de comportamiento en la red y detectar actividades anómalas serán imprescindibles.

Luis Ballesteros es el CISO de WiZink un banco digital experto en financiación al consumo con presencia en España y Portugal. Ofrece a sus clientes un amplio abanico de soluciones de financiación digitales, así como productos de ahorro que buscan impulsar el potencial financiero de las personas de manera responsable y realista. La entidad posee también la plataforma digital de adquisición de vehículos de ocasión Lendrock, así como la plataforma de pagos y financiación flexible en tiendas online, Aplazame.

Este contenido salió publicado en el número de Septiembre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

La banca es el sector al que Luis Ballesteros ha dedicado la mayor parte de su carrera profesional. A los 23 años en Citibank se suman los dedicados a Bancopopular-e y WiZink, donde ejerce como CISO desde sus inicios.

Para Ballesteros tener conocimientos en el área de tecnología y seguridad de la información es una de las cualidades que debe tener un buen CISO; “lo suyo sería tener por lo menos una certificación de reconocido prestigio para asegurar conocimientos en controles y evaluación de riesgos de ciberseguridad”, como la certificación en el CISA o el CISM; añade la necesidad de contar con experiencia en normativas aplicables, tanto regulación específica que pueda tener el sector al que cada cual se dedique, “como otras regulaciones de referencia como puede ser la NIS y estándares internacionales como puede ser la ISO 27001 de seguridad de la información y la ISO 22301 de continuidad de negocio”. Por otra parte, “es fundamental” tener buenos conocimientos del funcionamiento y organización de la empresa a la que se a la que tiene que proteger, cómo está organizada internamente y cómo son las prácticas habituales, “porque no se puede proteger algo que no se conoce” y porque “por muchas normas que queramos poner los de seguridad, si la gente que tiene que hacer de verdad el trabajo no está concienciada, no entiende qué tiene que hacer, las hará mal, no por mala fe sino por desconocimiento, y pondrá en riesgo a la compañía”.

Junto con el conocimiento, enumera Luis Ballesteros “una serie de habilidades que probablemente no son específicas de este puesto, pero que sí son necesarias”. Asegurando que “nosotros estamos para ayudar al negocio a conseguir sus objetivos sin renunciar a la seguridad” menciona el directivo que es necesario contar con una gran capacidad analítica y tener mente abierta para analizar nuevas iniciativas y soluciones, lo que, a su vez, lleva a la necesidad de “ser curioso y con ganas permanentes de aprender”. Otras cualidades de un buen CISO es contar con capacidad de liderazgo y de comunicación, tanto con la alta dirección como con proveedores, partners y colegas; “es muy importante transmitir a los empleados, desde el primero hasta el último, cuál es el motivo de las políticas o controles de seguridad que ponemos. Explicarles bien no sólo lo que tienen que hacer, sino cómo tienen que hacerlo y por qué tienen que hacerlo”.

Interés por la seguridad

Hablando del mayor interés que parecen estar prestando las empresas a la ciberseguridad,  dice Luis Ballesteros que el mundo cibernético no deja de ser una extensión del mundo físico y que los ciberdelincuentes existen desde el mismo momento en que crea Internet, “pero no cabe duda de que esto ha evolucionado y está evolucionando muchísimo en los últimos años, porque el propio uso de Internet y el propio uso del mundo cibernético ha evolucionado muchísimo”.

Asegura el CISO de WiZink Bank que “en lo primero que se fijaron los ciberdelincuentes a la hora de intentar sacar dinero fue en los bancos, y por eso somos un sector muy maduro y que llevamos preocupados por la ciberseguridad muchos años”. Que el número de ataques no deje de incrementarse ha hecho que toda la sociedad, todas las empresas, grandes y pequeñas, independientemente del sector, estén cada vez más concienciadas, lo cual no quita, en opinión de Luis Ballesteros, que todavía haya “recorrido de mejora en cuanto a que es importante fortalecer la educación en ciberseguridad en las escuelas y que esto forme parte de del temario oficial, porque  Internet ha corrido mucho, todo el mundo utiliza las redes sociales, todo el mundo utilizado tienen un móvil, y es importante que desde que somos pequeños se eduque a la gente no solo para el mundo digital sino en ciberseguridad”.

La fuerte regulación a la que se ve sometido el sector bancario, con normativas específicas como la PSI-DSS, “ha sido una palanca, no sólo dentro, sino también con proveedores” para adoptar medidas de ciberseguridad, asegura el directivo de WiZink Bank, que desde hace años realiza evaluaciones de seguridad a proveedores e incluye cláusulas en sus contratos para asegurar que los proveedores gestionan bien la información; “desde el momento en que las regulaciones, empezando por GDPR, nos exigen que tenemos que tener cláusulas en los contratos, que tenemos que auditar a los proveedores, etc., se facilita muchísimo la tarea porque ya no es algo que mi empresa quiera hacer, sino que se tiene que hacer por regulación, con lo cual yo diría que hoy ha sido una palanca fenomenal”.

Cloud

El cloud, o mejor dicho, las ofertas as-a-service, revolucionaron el mercado hace unos años. Esa revolución, que se aceleró en tiempos de pandemia, aún continúa y es la pieza principal de la llamada Transformación Digital. Preguntamos a Luis Ballesteros si la adopción de la nube en el sector bancario ha sido más lenta, más precavida. “Precavida sí que es, pero no podemos renunciar al cloud”, asegura.

La banca está yendo al cloud porque “no puede ser de otra manera. Es una solución más que proporciona muchísimos beneficios para la empresa. En algunos casos no sólo beneficios al nivel del propio servicio, sino en muchos casos también beneficios desde el punto de vista de ciberseguridad”, asegura Luis Ballesteros, añadiendo que “no debemos engañarnos” y pensar que cuando se adopta la nube van a desaparecer los problemas.

Para el CISO de WiZink Bank el cloud no es ni más ni menos seguro, y destacada como punto importante “la parametrización y la personalización que nosotros hagamos del servicio” porque son muchos los incidentes de seguridad que se producen no tanto por culpa del proveedor de cloud sino porque se han dejado las contraseñas por defecto, o por tener un acceso directo sin doble factor de autenticación, etc.

Alrededor de la nube crecen los servicios gestionados. Considera Ballesteros que son imprescindibles y comenta que excepto dos o tres empresas muy grandes que pueden tener todo internalizado, “no tiene sentido que demos los servicios internamente”, entre otras cosas “porque no tenemos gente. Es imposible tener un equipo grande, súper especializado y mantenerlo totalmente al día. Si queremos ser eficaces y eficientes, las dos cosas, es necesario contar con equipos especializados que nos ayuden”, asegura el CISO de WiZink Bank añadiendo que las empresas siguen siendo responsables de cómo se gestionan sus datos y por tanto “es fundamental que haya un equipo de seguridad dentro de la compañía que gobierne los servicios y que haga de puente entre la compañía y los propios equipos especializados en seguridad, con los que hay que trabajar muy de cerca para transmitir cuáles son los problemas de nuestra compañía, en qué sector estamos y que todas las alertas y toda la vigilancia se personalice para el sector y la empresa que están dando servicio”.

Pandemia

¿Qué se ha aprendido de la pandemia? “Que el teletrabajo va a formar parte del modelo de trabajo de muchas empresas”, dice Luis Ballesteros. Asegura el directivo que el trabajo en remoto, que ya existía antes de la pandemia, se utilizaba de manera puntual y no de manera masiva y simultánea, y que en el caso de WiZink Bank “la adopción fue bastante sencilla porque nosotros no teníamos puesto físico en la oficina personalizado. Todos los empleados teníamos portátil y teléfono móvil y cuando ibas a la oficina te sentabas en el sitio que vieras libre, por lo que ya todos teníamos acceso remoto y las medidas de seguridad adecuadas. Lo único que tuvimos que hacer fue reforzar esa infraestructura en cuanto a capacidad”.

Respecto a las lecciones aprendidas desde el punto de vista de seguridad, “no hemos tenido nada reseñable en cuanto a que ha funcionado todo bien desde el punto de vista de seguridad desde el primer momento”; y si hablamos de continuidad de negocio “para nosotros el trabajo en remoto era una estrategia de continuidad de negocio”, que ahora se ha convertido en una estrategia BAU (Business as Usual) que implica que “esta infraestructura tenga también su alta disponibilidad y que sea resiliente”.

Sobre el teletrabajo, dice Luis Ballesteros que es un modelo que funciona y que tiene muchos puntos positivos, tanto para las empresas como para los empleados, aunque “no creo que sea la panacea”, por lo que será habitual que las empresas busquen modelos híbridos.

Tecnologías

Le preguntamos a Luis Ballesteros por las tecnologías de ciberseguridad que toda empresa debería tener, ese mínimo del que nadie puede prescindir. Responde el CISO de WiZink que “antes que las tecnologías, te diría que lo que toda empresa debería tener es un marco de ciberseguridad. Las tecnologías ayudan, pero no son la clave. La clave es tener el marco de ciberseguridad que haga la orquestación de todas las herramientas”.

Gobierno, Securización o Protección, Detección y Resiliencia son los cuatro grandes dominios del marco de ciberseguridad de WiZink Bank, cada uno de los cuales tiene varios subdominios en los que se identifican diferentes herramientas tecnológicas.

Cada año la compañía realiza un análisis de ciberseguridad “para analizar en qué situación estamos, cómo están evolucionado las ciberamenazas, y en definitiva, establecer un pipeline de ciberseguridad para el año siguiente”. Esto permite realizar, en base a riesgo, una propuesta de mejora continua, “porque los ciberataques están en permanente evolución y lo que tenemos claro es que no se puede parar de mejorar”.

Si tiene que mencionar alguna tecnología que será relevante, menciona Luis Ballesteros aquellas “que hacen uso de inteligencia artificial para realizar análisis de comportamiento en la red y detectar actividades anómalas” para poder detener el ataque cuanto antes. Además, con el incremento de servicios en nube, identifica Ballesteros también como imprescindibles las tecnologías que ayuden a implementar modelos de concepto Zero Trust y arquitectura SASE (Secure Access Service Edge). 

Ciberseguridad en 2022

Que las ciberamenazas seguirán evolucionando es algo que va a ocurrir sí o sí “y tenemos es que estar alertas y preparados para adaptarnos y reaccionar rápidamente”, asegura el directivo, que identifica una serie de tendencias que continuarán en los próximos meses, como que ciberdelincuentes y naciones estado continuarán desarrollando nuevas formas de ataque, se continuarán lanzando ataques de ingeniería social utilizando COVID-19 como base o que los trabajadores en remoto seguirán siendo objetivo de ataques de ingeniería social.

Añade que veremos más ataques de ransomware con doble extorsión, que continuarán evolucionando los ataques a móviles, se incrementarán ataques a IoT, los ataques a la cadena de suministro y las operaciones de ciber espionaje utilizando APT Advance Persistant Threats)