Antonio Bernáldez lleva casi dos décadas en Liberty Seguros, por lo que ha sido testigo de la transformación que ha experimentado el sector asegurador, sobre todo en los últimos tiempos, y de cómo su compañía ha sido pionera en esta metamorfosis.
En 2016 afirmó en una entrevista que “la seguridad ya no se enfoca hacia el dato, sino hacia el riesgo”. ¿Qué quería decir con esta afirmación?
A. B.: La ciberseguridad ha evolucionado a medida que lo ha hecho la tecnología y la digitalización de las compañías y de la sociedad. En 2016 ya se intuía que esta debía tener en cuenta el contexto en el que los activos de información debían protegerse.
Hoy en día, el apetito al riesgo es común en las organizaciones, que son muy conscientes de las vulnerabilidades y las amenazas a las que cada activo está expuesto, en función del proceso de negocio al que da servicio y su criticidad. Todo esto, analizando el entorno en el que se implementa y la regulación en la que se debe apoyar cada activo. Este planteamiento ayuda a tomar las decisiones más adecuadas teniendo en cuenta el impacto, los costes, los resultados probables y el nivel de aceptación del riesgo preestablecido.
¿Está ahora la seguridad más enfocada en el usuario?
A. B.: Sin duda. Los nuevos hábitos de vida y consumo, como el comercio electrónico con acceso multicanal, la multiconexión, el teletrabajo, la hiperconectividad, el IoT, la Web 3.0 y, en un futuro cercano, el metaverso; demandan modelos de interacción digital que exigen que el usuario, -clientes, socios, empleados-, esté en el centro. En el caso de Liberty es, desde luego, así.
El sector de los seguros ha sido siempre muy tradicional, ¿cómo está avanzando en materia de digitalización?
A. B.: El sector asegurador se ha digitalizado enormemente en los últimos años e incluso, en muchos casos, las aseguradoras estamos siendo impulsoras de esta necesaria transformación también para otras empresas y para la sociedad. En Liberty estamos en un proceso de profunda renovación tecnológica que comenzó en 2019 con una inversión específica de 100 millones de euros. Poder combinar más de 100 años de experiencia en el sector de los seguros con un enfoque tecnológico y digital de insurtech es un gran desafío, pero también nos da una enorme ventaja competitiva.
¿Están impulsando las nuevas regulaciones como NIST o DORA este cambio?
A. B.: Las nuevas guías EIOPA sobre TIC y proveedores cloud, así como la directiva DORA, proponen mejorar la postura de las compañías aseguradoras en diferentes aspectos importantes. Entre ellos, la integración de la ciberseguridad en el modelo de gobierno de las organizaciones y la gestión proactiva ante ciberincidentes, como es el caso de la respuesta rápida, la contención de ataques, el plan de comunicación y notificación, la gestión del riesgo TIC, una mayor tolerancia al fallo, pruebas periódicas de resiliencia operativa y digital, una mejor gestión de riesgos de terceros y un mayor control sobre los servicios proporcionados por proveedores en la nube. Todo esto además de prácticas como la incorporación de auditorías externas periódicas de ciberseguridad.
Desde 2019 hemos invertido más 100 millones de euros en la transformación tecnológica de la compañía
¿Ha empezado por fin a verse la seguridad como un facilitador para el éxito del negocio?
A. B.: En los últimos años la ciberseguridad ha ido adquiriendo una mayor relevancia y cada vez está más integrada en la estrategia de las organizaciones. La frecuencia de los ciberataques, el alcance potencial de los ciberriesgos y la necesidad de cumplir con una regulación muy exigente en materia de protección de datos, hacen imprescindible contar siempre con la perspectiva de los expertos en ciberseguridad como una capa transversal en la organización. En Liberty Seguros lo planteamos así. La ciberseguridad se incorpora desde el primer momento en que se busca una solución de negocio.
¿Qué inversión ha hecho la compañía en ciberseguridad en los últimos años?
A. B.: La inversión en ciberseguridad ha crecido de manera continuada en herramientas, talento, formación y desarrollo de alianzas. Nos encontramos acometiendo la mayor transformación tecnológica de nuestra historia, en la que hemos invertido más de 100 millones de euros, y la ciberseguridad se incorpora como un requisito de tecnología desde el primer momento en que se busca una solución de negocio y como un elemento estructural en su desarrollo. De esta manera, Liberty invierte mucho en herramientas muy potentes en las diferentes capas, también en la construcción de una cultura de protección digital, y estamos en continua renovación.
¿Cuáles son sus objetivos a corto-medio plazo?
A. B.: En términos generales, queremos seguir avanzando en una estrategia que pone primero a las personas, también en ciberseguridad. Por eso, trabajamos para construir una cultura de protección digital como individuos, como personas privadas y como miembros de nuestra organización.
Nuestra misión es salvaguardar los activos de información, a nuestros empleados, a nuestros clientes y a nuestros socios. Sobre todo, en las relaciones que ellos tienen con nuestros sistemas, de los que somos directamente responsables, pero intentando ir más allá y protegiéndoles en todo el ciberespacio. Todo esto sin olvidar nuestra misión de impulsar los nuevos procesos de negocio de una forma segura y confiable.
¿Cómo ha evolucionado la figura del CISO?
A. B.: Aunque el rol puede variar según las organizaciones y los sectores, en los últimos tiempos estamos moviéndonos desde las funciones clásicas enfocadas a la operación hacia posiciones más estratégicas. Por ejemplo, involucrándonos en el diseño de la hoja de ruta de la compañía, incorporando la seguridad como un componente clave que tiene que considerarse una ventaja competitiva del negocio. También interviniendo en los procesos de decisión, proponiendo la seguridad por defecto desde las fases de diseño y gestionando los riesgos tecnológicos de forma proactiva y formalizada o participando activamente en la transformación digital.
Como recomendó Manuel Vidal en su ponencia en el ISMS Forum CISO Academy: es importante estar en el antes, en la definición de su estrategia; en el durante, aportando valor a los planes; y en el después, en el gobierno de los nuevos procesos, en la protección de la operación, en la gestión de riesgos y en el cumplimiento. Para esto es clave establecer una interrelación fluida con todas las áreas de la organización, así como preparar a nuestros equipos para que dispongan de los recursos y las habilidades necesarias para abordar las tecnologías actuales.
Nuevo Programa de Ciberseguridad end to end y multicapa
Nuestro programa integral de gestión de la ciberseguridad está alineado, primero, con los objetivos de negocio y, por supuesto, con los objetivos de tecnología. Aplicamos esta estrategia multicapa partiendo de la premisa de que la seguridad perfecta no existe, pero nuestros activos y nuestros clientes tienen que estar protegidos. Tenemos que respetar la privacidad, la confidencialidad, la integridad y la disponibilidad en los datos y, también, cumplir con nuestros compromisos con los reguladores en cuanto a trazabilidad y auditoría de la información y recuperación de sistemas.
En este sentido, la primera línea de defensa son las personas. La segunda línea es la de defensa y control. Es una línea más operativa, que se encarga de forma proactiva de identificar o detectar cualquier tipo de amenaza a través de sistemas de identificación de vulnerabilidades. La siguiente capa es IT Governance, que conecta la parte más técnica con negocio y compliance, traduce la ciberseguridad a riesgos entendibles por la compañía y diseña el plan de contingencia y continuidad de negocio. Y, finalmente, una capa de Awareness, desde la que se trabaja la formación y concienciación en ciberseguridad de toda la compañía de manera continua.
Las guías EIOPA y NIST recomiendan una adecuación del programa de ciberseguridad a estándares internacionales de referencia en el mercado que faciliten la evaluación externa de la madurez de la ciberseguridad, permitan incorporar buenas prácticas y refuercen la confianza con socios y entidades reguladoras. En nuestro caso, teniendo en cuenta la situación de partida, pensamos que NIST-CSF es la que mejor se adapta a la cultura de nuestra organización permitiendo una aproximación más ágil e incremental y un mejor alineamiento con Liberty Mutual, nuestra casa matriz. Buscamos reducir los riesgos siguiendo el esquema propuesto por NIST de identificar, proteger, detectar, responder y recuperar.
Para su implementación hemos lanzado una iniciativa en varias fases: una primera de análisis GAP para identificar puntos de mejoras, una selección de un marco de ciberseguridad estándar que facilite la implementación y mantenimiento de las mejoras, un plan de acción para implantar los controles y procesos necesarios y, en cuarto lugar, el establecimiento de un modelo de gobierno del marco de trabajo NIST-CSF que permita su mantenimiento y evolución.
