“Dejar de pensar en ciberseguridad como un gasto y pensar en seguridad como una inversión”
Damián Ruiz Soriano, actual Chief Information Security Officer en Singular Bank (CISO).
Analítico, operativo en la resolución de problemas y creativo en la búsqueda de soluciones complejas técnicas y humanas son los adjetivos claves que definen al responsable del Gobierno de la Seguridad de la Información corporativa.
Damián cuenta con una amplia trayectoria profesional dentro del campo de la Ciberseguridad, tras haber desempeñado funciones en Sistemas, Auditoría o Director de Seguridad Ofensiva (Red Team).
Su conocimiento de esquemas de Protección, Detección y Respuesta; y sus habilidades en dirección estratégica, táctica y operativa, le convierten en el profesional adecuado para cumplir su objetivo de gestionar la seguridad corporativa, donde su segunda vocación hacia las humanidades también le ayudan con el mismo nos comenta.
- Lleva más de 20 años dedicándose a la Ciberseguridad, muchos de ellos en banca y desde hace poco más de un año es CISO en Singular Bank. ¿Cómo fue su incorporación al proyecto del banco?
Fue un cúmulo de circunstancias, casualidades y flechazo. Tenía un contacto con una magnífica profesional Head Hunter con la cual compartíamos inquietudes humanísticas y justo estaba inmersa en un proyecto en Singular. En un momento surgió la necesidad de una Dirección en Ciberseguridad y ella me presentó. Quedé impresionado por la compañía, su proyecto, su clarividencia en Ciberseguridad y la calidad profesional y humana del Equipo Directivo. Fue cautivador, y el tiempo me ha dado la razón y reforzado todas mis expectativas.
- Es momento de hablar de la apuesta Singular Bank por la Ciberseguridad. ¿Nos puede contar más sobre el papel que ocupa la Ciberseguridad?
Mi apuesta personal está sustentada por una Dirección que quiere a Singular Bank como un referente en Ciberseguridad. Han superado un techo conceptual importante que es dejar de pensar en Ciberseguridad como un gasto a pensar en seguridad como inversión[CGN1] . Y ya están en el siguiente estadio de madurez que es pensar en la Ciberseguridad como un valor añadido.
- Todo el mundo conoce la figura de un CEO, un responsable de Tecnología CTO y últimamente se está hablando sobre el responsable de Seguridad de la Información, el CISO (Chief Information Security Officer). ¿Cuál es la función y responsabilidad de un CISO?
Sus funciones y responsabilidades dependen del tipo de la organización y de su madurez. La frase resumen es analizar y gestionar los riesgos de seguridad de la información. Y esto implica, al menos, establecer y gestionar el marco de Protección, Detección y Respuesta de la Ciberseguridad, junto a una identificación de requisitos de seguridad traducidos a controles operativos. Y enmarcar todo en un ciclo de evaluación y mejora continua.
- La verdad es que suena muy interesante y novedoso. De su propia respuesta podemos deducir su complejidad, por ello nos gustaría que nos resumiese su día a día.
Desde controlar el estado y la operación de las Protecciones corporativas, hasta evaluar nuestro esquema de Detección y alertas de seguridad, así como nuestras capacidades de respuesta frente a las incidencias. Además, tenemos, la gestión de recursos técnicos, económicos, proveedores externos, el capital humano, proyectos, reporte a la Dirección, colaboraciones, Planes Estratégicos, etc…Gráficamente es como el malabarismo de los platillos chinos: son muchos, hay que observarlos y garantizar que todos giren continuamente… porque en Ciberseguridad ningún elemento puede pararse y todos son necesarios.
- Seguramente que para poder llevar a cabo tantas tareas y objetivos un CISO necesita relacionarse con casi todas las áreas de la empresa. ¿Cómo es posible desempeñar una función transversal con los diferentes departamentos que conforman una empresa?
Es posible con un buen equipo y una adecuada colaboración de todos los aspectos presentes en Singular Bank. También creo que es importante, partir de una posición Directiva que te proporcione una visión 360 de la compañía para alinearse con negocio y poder evangelizar en Ciberseguridad e interactuar con tus homólogos co-responsables necesarios para la seguridad corporativa. No es un tema de potestas, más bien, es desde esta posición ganarse la auctoritas, la confianza y el prestigio para colaborar hasta con el último empleado y empatizar con todos para que se sumen a la tarea de proteger la información de nuestros clientes, nuestro servicio con ellos y nuestro trabajo.
- Actualmente, empieza a ser muy frecuente las noticias de ataques a empresas. ¿Podría decirnos si es cierto que existe un incremento de la ciberdelincuencia?
Durante el año 2020 hemos sido testigo de crecimiento ataques, sofisticación e impactos económicos. Un estudio reciente desvela que el 51% de las empresas a nivel mundial fueron víctimas de un ataque de ransomware el año pasado.
- Con el panorama que nos indica, ¿cuáles son sus predicciones y sus recomendaciones como CISO?
El equipo de usuario y todo su ecosistema (correo electrónico, navegación y teletrabajo) será objetivo de la ciberdelincuencia y seguiremos observando ataques avanzados donde los ciberdelincuentes se instalan durante semanas en los sistemas de las empresas, comprometen equipos, se mueven entre ellos, roban credenciales, usurpan identidades y recaban información para cumplir sus delitos. Por último, las ataques a infraestructuras en la nube será el comienzo de la nueva ola. Con relación a mis recomendaciones, habrá que seguir invirtiendo el equipo de usuario haciendo uso intensivo y extensivo de tecnologías EDR (Endpoint Detection and Response) y por otra parte hay que ganar mucho en Detección, hay que depurar todo el ciclo de vida de eventos y alertas, y estresarlo de manera continua con pruebas de técnicas de ataque reales.
- Y ya por último, para los que somos usuarios a pie y no entendemos mucho sobre el tema, si nos tuviese que dar un “basic de seguridad” qué nos diría.
Permíteme dos. En primer lugar, prestar atención a los emails, sospechando de correos de personas que desconoces o también de mensajes de personas conocidas con contenido no habitual. Si es necesario, confirma con ellos por teléfono su contenido. Y para este tipo de correos sospechosos, no accedas a enlaces, ni abras sus documentos o archivos adjuntos
A continuación, preocúpate porque todas tus contraseñas sean robustas y conocidas únicamente por ti, y siempre que puedas, activa las medidas de doble factor de autenticación.