Las oficinas del Grupo Allfunds han sido el lugar escogido por Raúl Guillén, director de estrategia de ciberseguridad de Trend Micro, para volver a enlatar una conversación de calidad que llevar a las redes a través de su programa Conservas Guillén by Trend Micro. En Allfunds habla con Javier Torres, CISO de la compañía, apasionado del deporte e ingeniero informático gracias a la película Matrix, como él mismo cuenta en esta entrevista.
Llevar quince años en ciberseguridad es haber vivido la historia de la ciberseguridad. Y es que, como bien dice Raúl Guillén, “el rol de CISO se formaliza y se define hace 15 o 16 años”, que son los mismos que Javier Torres lleva en el mercado. Recuerda el aludido que cuando comienza a trabajar en el sector es cuando se empezó a dar visibilidad a lo que por entonces no era ni ciberseguridad, sino seguridad de la información.
Arrancando la entrevista después de las pinceladas personales, pregunta Raúl Guillén por qué la tecnología en Allfunds es clave, y cómo la ciberseguridad es un elemento diferenciador en aquellos servicios y productos digitales que la compañía está ofreciendo a sus clientes.
“la ciberseguridad no deja de ser un elemento más de negocio. Incluso un elemento más de venta”
Explicando que Allfunds es una plataforma de fondos de inversión tiene claro Javier Torres que la tecnología que permite a los clientes acceder a fondos de inversión a lo largo y ancho del mundo es el driver más importante de la compañía. Es una tecnología que, como apunta Raúl Guillén, es en tiempo real, una tecnología que no puede fallar; esto hace que, como indica Javier Torres “nuestras medidas para mantener la plataforma disponible tienen que ser las mejores de cara a poder dar servicio a nuestros clientes”, que tienen una ventana de tiempo determinada para comprar unos fondos de inversión dependiendo del país, de la región o incluso de la gestora. Esto hace que la disponibilidad de la plataforma sea crucial para los equipos de operaciones de Allfunds.
Planteado cómo la ciberseguridad facilita y transforma el día a día de Allfunds, asegura su CISO que “la ciberseguridad no deja de ser un elemento más de negocio. Incluso un elemento más de venta”, lo que ha hecho que la dirección haya sido muy consciente de que la velocidad del negocio, el time to market “tiene que ir de la mano con la ciberseguridad”. Convertir la ciberseguridad en un argumento de venta, que esté en la mesa de negociación cuando se va a firmar un contrato hace que sea “el área del banco que más diligencia sufrimos por parte de nuestros clientes”. Añade Javier Torres que, con las normativas que hay encima de la mesa “tenemos que sentarnos con los CISOs de nuestros clientes para exponer cuáles son las medidas de seguridad que tiene nuestra plataforma y plasmarlas dentro de un contrato”.
Siendo uno de los más regulados, es inevitable hablar de ciberseguridad en el sector financiero y no hablar de normativas que, según Raúl Guillén “pueden ayudar a tener un lenguaje, unos indicadores y un framework común”. Se menciona la directiva EBA de Externalización, así como DORA que, según Javier Torres, llega para establecer “un marco claramente definido de qué es lo que hay que negociar cliente-proveedor a la hora de establecer unas medidas de ciberseguridad, así como de continuidad de negocio y resiliencia, que creo que es muy importante porque al fin y al cabo tienes que ser capaz de responder y recuperar en un tiempo adecuado para no tener impacto ni en tu negocio ni el de tus clientes”.
“La ciberseguridad debe verse como una oportunidad para hacer negocio”
Preguntado qué se hace en Allfunds que sea diferenciador y suponga estar a la vanguardia tecnológica, responde Javier Torres que hace años que, desde la perspectiva del banco, se trabaja con planes estratégicos y workstreams muy específicos “para cubrir los riesgos que tenemos dentro de la compañía”. Añade el directivo que el objetivo ha sido “tener un nivel de madurez no solamente tecnológico, sino cross a toda la compañía en cuanto a ciberseguridad”, algo que asegura haber conseguido dando muchísima formación al empleado.
A pesar de haber conseguido un alto nivel de madurez, opina Javier Torres que “hay que seguir formando al empleado y hay que seguir formando al comité de dirección”, porque “generar esa cultura dentro de tu propia compañía, es clave”.
Durante la conversación sale a relucir la noticia de un fraude a través de un deepfake que llevó a una compañía a perder 25 millones de dólares y que lleva a Raúl Guillén a poner sobre la mesa que “uno de los principales abusos de la inteligencia artificial es la usurpación de identidad” y que se ha pasado del phishing o la ingeniería social fácilmente detectable del príncipe nigeriano a técnicas muy sofisticadas “donde ya nos están haciendo una suplantación real de la voz y el vídeo”, lo que lleva a que se deba seguir de forma drástica y continua divulgando y enseñando a los empleados. Un aprendizaje que debe llevar a entender por qué se ponen las medidas de seguridad “e involucrarles dentro del proceso”, comentaba el CISO de Allfunds.
Finaliza la entrevista con un consejo solicitado a Javier Torres, quien propone que no se vea la ciberseguridad como un stopper, sino “como un habilitador, una oportunidad para hacer negocio, como un argumento de venta”.
