‘En general, no se aprovecha todo el potencial que ofrece la tecnología que has implantado’ (Gustavo Lozano, ING)

Antes de elegir carrera ya le gustaba la informática. Y antes de terminarla ya le llamó la atención la seguridad informática. Entre sus profesores dos conocidos del sector: Alfonso Mur y Luis Carro, ambos socios directores de Arthur Andersen. “Quizá fuera la manera de explicarlo, o el entusiasmo que transmitían, pero fue en ese momento, en segundo de carrera”, cuando la ciberseguridad le atrajo, y llevó a Gustavo Lozano, hoy CISO de ING, a seguir a sus dos profesores para realizar auditorías y consultorías de seguridad. Años después, en SIA, se adentró definitivamente al mundo de la seguridad aprendiendo a realizar planes directores de seguridad, análisis de riesgos… El camino natural fue saltar al otro lado, a convertirse en responsable de seguridad en DIA y, finalmente, en CISO, cargo que ocuparía durante 13 años hasta que decidió “cambiar de sector y seguir aprendiendo”. Hace más de tres años que es el CISO de ING, una empresa que contempla la seguridad de una manera integral, en la que los departamentos de seguridad lógica, continuidad de negocio y seguridad física, están unidos.

Este contenido se publicó en el número de Abril de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Cuando le preguntamos por las cualidades que debe tener un buen CISO habla Gustavo Lozano de “mucha profundidad técnica, mucho conocimiento”. No cree que haya que ser un especialista a nivel hacker, “pero sí conocer todas las técnicas, vectores de ataque, soluciones, amenazas, y algo muy importante: tener una base sólida de conocimientos de gestión”. Tener resiliencia personal y profesional es, en opinión de este directivo, otra cualidad necesaria para un CISO, “una figura a la que cada se ha ido agregando mucha complejidad”. Añade el tener capacidad de comunicación “si quieres crear cultura de seguridad”, además de “tener visión del sector en el que está el negocio, aprenderlo, porque es la forma de aportar más”.

Amenazas que quitan el sueño

ING es un banco digital con presencia en 44 países. Asegura Gustavo Lozano que la seguridad y el cumplimiento es prioridad absoluta, y no sólo parea el área de seguridad, sino en todo el banco ya que está embebida en procesos e incluida en objetivos. Cuando le preguntamos qué amenazas le preocupan más dice que “nuestra máxima prioridad es mantener el banco seguro y disponible”, por lo que todo lo que tenga que ver con amenazas contra la disponibilidad (DDoS) es clave. Se busca que el banco sea resiliente desde un punto de vista de infraestructura frente a un ataque de denegación de servicio, además de ser capaces de prevenir, detectar y reaccionar, para lo que es fundamental “tener una buena infraestructura, procesos engrasados en cuanto a detección y alertado, y gente muy preparada y entrenada para mitigarlo”.

Cualquier amenaza contra los datos, tanto de los clientes como de los propios procesos internos de la compañía, es también prioridad para Gustavo Lozano. “Cualquier tipo de intrusión es otro vector de ataque que nos preocupa porque de ahí se deriva un ransomware”, explica, para después añadir un tercer vector de ataque sobre el que se mantiene alerta: la protección Web y de App, “ya no sólo desde un punto de disponibilidad, sino de acceso, para prevenir el frade”.

¿Ser un banco digital hace que vuestros clientes estén mejor preparados para tratar con la tecnología y de alguna forma sean más precavidos? Dice Gustavo Lozano que, sin saber en detalle lo que sucede en otras entidades, “lo que sí sé es que invertimos muchísimo esfuerzo, tiempo y campañas de concienciación en diferentes medios para que el cliente sea nuestro principal aliado”. ING, además, ha trabajado en mejorar la página de seguridad de la web, se lanzan mensajes personalizados en cada canal, o cuando se piden segundas validaciones en transacciones se incluyen mensajes específicos.

El reto para evitar el fraude, explica el directivo, es que replicar en el mundo digital lo que no se hace en el mundo físico, como es no dar nuestra documentación o las llaves de nuestro coche o nuestra casa al primero que pasa por la calle; “eso es lo que sucede en el mundo digital y eso es lo que tratamos de evitar”. Añade que también se hace un esfuerzo importante en el ámbito interno ya que los empleados de la compañía, independientemente del departamento, “están preparados para detectar un phishing o un enlace sospechoso. Además, las áreas que están en contacto directo con el cliente están preparados para gestionar alertas, pudiendo llegar a parar en tiempo real un ataque”. El uso de determinadas herramientas y procesos lleva a Gustavo Lozano a asegurar: “hemos conseguido reducir el fraude a la mínima expresión”.

Cuando le preguntamos si la seguridad se ha convertido en una prioridad para la empresa española, dice que “para ING es una prioridad absoluta. Está en el ADN de la compañía y se tiene en cuenta desde el diseño”. Además de la seguridad, la privacidad es también prioritaria, y respecto a los datos, se trabaja estrechamente con el DPO para crear cultura de seguridad.

Como profesional del sector, añade Gustavo Lozano que hay sectores en los que todavía queda mucho por hacer a pesar de que “quien no tenga hoy en día la seguridad como un pilar, como una prioridad, no va a subsistir. Es un factor clave en la existencia de una empresa, independientemente del sector”.

Cómo escoger

En un mercado saturado de fabricantes, soluciones y propuestas, ¿cómo se escoge la herramienta de seguridad adecuada? Explica Gustavo Lozano que al estar dentro de una multinacional “tratamos de que las soluciones sean las mismas”. Dice que, dependiendo del análisis de riesgos, necesidades y plan de seguridad aprobado, se va al mercado y, a la hora de escoger, se tienen en cuenta informes donde se compara la tecnología, “pero lo fundamental es que invertimos mucho tiempo y dinero en pruebas. Es decir, se eligen con diferentes criterios ciertos fabricantes, y después se hacen pruebas específicas de rendimiento, efectividad, etc.”; las pruebas se reparten entre diferentes países para ponerlas en conjunto en un grupo de trabajo, y si es un producto que va más allá de lo nacional, que se quiere implantar en todos los países, ya se hace el contacto a nivel global”.

En todo caso lo importante es quién lo va a implantar; “más que pensar que hay muchos fabricantes, a mí siempre me preocupa saber quién va a ser el integrador, porque todo se basa en las personas”. Añade además Gustavo Lozano que “en la ecuación cliente-fabricante-integrador, la parte de integrador es la que más peso tiene para el éxito del proyecto”.

Sobre el cloud dice que “ING apuesta por la innovación y estamos en pleno proceso de transición hacia la nube privada”, dice el directivo. Explica que desde el punto de vista de la seguridad “el factor principal es conocer cuál es tu arquitectura de seguridad. Da igual que sea on-premise o que sea en cloud. La base sigue siendo ese análisis de riesgos, tener una arquitectura de seguridad sólida y, a nivel de requisitos, se deben mantener independientemente de si estás on- premise o en cloud. No se debe perder ninguna característica de seguridad por el hecho de ir a la nube”.

“Sí, tenemos servicios de seguridad gestionados, pero apostamos por la internalización, al menos en todo lo que son procesos críticos” responde Gustavo Lozano cuando le preguntamos por los servicios gestionados de seguridad.

Regulación

El sector de banca y seguros es uno de los más maduros a nivel tecnológico y de ciberseguridad. Es también uno de los más regulados, con normativas más estrictas a nivel de protección de activos. ¿Cómo impacta esa alta regulación en el mercado bancario? “Yo creo que hay que utilizarlo como una oportunidad. La regulación pretende proteger al ciudadano, proteger al cliente, y en ING lo vemos como una oportunidad para ofrecer aplicaciones y servicios más seguros”.

Además de como una oportunidad, ve Gustavo Lozano la regulación como un reto “porque es cambiante, hay que adaptarse y los nuevos requisitos también abren la puerta a innovar en cuanto a soluciones de seguridad”.

Tecnologías a futuro

Hablando sobre tecnologías imprescindibles y las que habrán de serlo en los próximos años, nos cuenta Gustavo Lozano que en ING ya hay prácticamente de todo en las diferentes capas de protección. Menciona como fundamental la protección del endpoint, puesto de trabajo, herramientas de colaboración, correo electrónico, anti spam o navegación de usuario. Añade un segundo pilar de protección en torno a la infraestructura, y menciona los firewalls, herramientas de detección de amenazas avanzadas, IPS, y todo lo que tiene que ver con la segmentación de la red, tanto en infraestructura on-premise como en cloud.

Dice que todo el mundo dispone de firewalls, módulos de filtrado de diferentes capas y que le parece fundamental la evolución de esas tecnologías y mantenerlas actualizadas porque, “en general, no se aprovecha todo el potencial que ofrece la tecnología que has implantado” y porque “no sólo es tener más presupuesto para buscar nuevas cosas, sino mirar lo que tienes, explotarlo, evolucionarlo, hacer un fine tuning de las herramientas e invertir en el equipo, en su formación y certificación para que puedan explotar esas tecnologías”.

Asegura que la tercera palanca a tener en cuenta es todo lo que tiene que ver con monitorización e integración entre consolas, porque “de nada vale tener diez consolas si no correlas los incidentes de seguridad”. Añade que a futuro cobrarán más importancia las tecnologías que exploten mejor la información, las alertas, que las correlen y agreguen patrones de comportamiento; “además, hay una oportunidad muy buena en cuanto a unir la gestión de la seguridad con la gestión del dato, de la información. Yo creo que tienen que venir muchas más soluciones de cómo explotar esos volúmenes tan ingentes de información que manejamos en seguridad en cuanto a alertas para ofrecer algo más específico”.

También mirando hacia el futuro asegura Gustavo Lozano que la identidad, tanto del empleado como del cliente, se va a poner en el centro, que las empresas están evolucionando sus modelos de gestión de identidad, haciéndolos más conectados para evitar que haya diferentes islas de autenticación, “porque de ahí dependen todos los procesos de detección de amenazas que vienen detrás. Las herramientas están basadas en la identidad y esa correlación de identidad de empleado cliente, hacia dónde se mueve, cómo opera, cuál es su comportamiento, o lo tienes bien armado o el resto de las herramientas que están en la parte de detección y de reacción no van a funcionar correctamente”.

Respecto a la situación actual, y a lo que queda de este año, pone sobre la mesa Gustavo Lozano la gestión de riesgos de terceros; “todos estamos haciendo esfuerzos importantes por asegurar la resiliencia de los terceros, ayudar y colaborar para evitar que se vean impactados por ciberataques, y que ese impacto nos afecte a nosotros”.

En este aspecto la compañía cuenta con un framework a nivel internacional para asegurar la cadena de suministro que está construido en base a tipología de acceso a la información y la criticidad de proceso.

Rosalía Arroyo