HIGHLIGHTS
«Asumir este rol es un reto apasionante y de gran responsabilidad; contar con una figura de referencia en ciberseguridad dentro de la organización era una necesidad estratégica»
«Las principales funciones serán definir la estrategia de seguridad de la información y liderar áreas clave como la gestión de riesgos TIC, el gobierno de la seguridad, la continuidad de negocio, la implementación y seguimiento de medidas de seguridad y la concienciación de todo el personal»
«La ciberseguridad hoy es transversal y requiere una integración real con Tecnología, Riesgos, Auditoría y el resto de áreas clave»
«El nuevo marco regulatorio, DORA, supone un salto cualitativo en cómo las entidades financieras gestionamos la ciberseguridad y la resiliencia operativa»
«El rol del CISO ya no es solo un gestor técnico, es un perfil estratégico imprescindible en cualquier entidad financiera, tanto para proteger activos como para cumplir con las exigencias normativas»
GAIZKA QUIJANO, CISO DE KUTXABANK INVESTMENT
Índice de temas
¿Qué significa asumir la primera figura de CISO en Kutxabank Investment? ¿Cuáles van a ser tus principales funciones?
Asumir este rol es un reto apasionante y de gran responsabilidad. En un entorno digital tan complejo como el actual, contar con una figura de referencia en ciberseguridad dentro de la organización era una necesidad estratégica.
Las principales funciones serán definir la estrategia de seguridad de la información y liderar áreas clave como la gestión de riesgos TIC, el gobierno de la seguridad, la continuidad de negocio, la implementación y seguimiento de medidas de seguridad, el control mediante métricas y auditorías, la supervisión y seguimiento de los acuerdos con proveedores TIC, la supervisión de incidentes y la gestión de tecnologías de seguridad, así como la concienciación, formación y comunicación con todo el personal.
¿Cómo se articula tu función con otras áreas críticas como Tecnología, Riesgos o Auditoría Interna?
Trabajamos de manera estrecha y coordinada. Tenemos comités conjuntos y espacios de colaboración donde compartimos información, alineamos objetivos y definimos acciones comunes. La ciberseguridad hoy es transversal y requiere una integración real con Tecnología, Riesgos, Auditoría y el resto de áreas clave.
¿Cuál es tu dependencia jerárquica (CIO, CTO, CDO…) y cómo se integra su trabajo en la toma de decisiones del Comité de Dirección?
Dependo del Subdirector General de Medios, que forma parte del Comité de Dirección. Esto nos permite trasladar de forma directa las cuestiones estratégicas de seguridad a los órganos de decisión, garantizando que la ciberseguridad sea un elemento prioritario en la agenda de la organización.
Nuestra estrategia se apoya en la gestión integral del riesgo tecnológico, la protección continua de la información, la mejora constante de las capacidades de detección y respuesta, el cumplimiento normativo y, la concienciación y formación de todos los empleados
¿Qué implicaciones tienen para Kutxabank Investment el nuevo Reglamento de Operativa Digital (DORA)?
El nuevo marco regulatorio, DORA, supone un salto cualitativo en cómo las entidades financieras gestionamos la ciberseguridad y la resiliencia operativa. Nos obliga a formalizar y reforzar procesos que ya veníamos trabajando, pero con un nivel de exigencia aún mayor. Es un reto importante en cuanto a dedicación de esfuerzos, pero también una oportunidad para mejorar la madurez de nuestros procesos de seguridad.
¿Cuáles son los pilares clave de tu estrategia de seguridad de la información?
Nuestra estrategia se apoya en varios pilares: la gestión integral del riesgo tecnológico, la protección continua de la información, la mejora constante de las capacidades de detección y respuesta, el cumplimiento normativo y, por supuesto, la concienciación y formación de todos los empleados. La seguridad es un proceso vivo y evolutivo.
¿De qué manera incide la inteligencia artificial en función y también dentro de la organización?
La inteligencia artificial está transformando la forma en la que trabajamos y también la manera en la que nos protegemos. Nos ofrece nuevas capacidades, pero también introduce riesgos que debemos gobernar. Nuestro objetivo es implantar la IA de forma segura y responsable, asegurándonos de que aporte valor real a la organización y no comprometa la seguridad.
¿Qué iniciativas tienes previstas para fomentar la concienciación en ciberseguridad entre los empleados?
La concienciación es un pilar básico de nuestra estrategia. Revisamos anualmente el plan de formación en ciberseguridad, incorporando nuevos contenidos, charlas, ejercicios prácticos y simulaciones. La clave está en hacerlo de manera dinámica, para que todos los empleados interioricen que la seguridad es responsabilidad de cada uno.
¿Cómo se involucra la alta dirección en los temas de ciberseguridad?
La alta dirección está muy sensibilizada con la ciberseguridad. El sector financiero es hoy completamente digital, y eso implica entender los riesgos y gestionarlos de forma proactiva. La ciberseguridad forma parte de las prioridades estratégicas de la organización.
¿Crees que existe una cultura sólida de seguridad en la organización o es algo que todavía debe consolidarse?
Kutxabank Investment lleva muchos años trabajando en ciberseguridad y existe una base sólida. Pero este es un ámbito donde nunca podemos bajar la guardia: es una carrera de fondo y la cultura de seguridad debe reforzarse y adaptarse continuamente a los nuevos desafíos.
¿Cómo ves el futuro del rol del CISO dentro del sector financiero en España?
El rol del CISO va a ser cada vez más relevante. Vivimos en un entorno digital cada vez más regulado, complejo y expuesto a ciber amenazas. Contar con un liderazgo claro en ciberseguridad será imprescindible tanto para proteger los activos como para cumplir con las exigencias normativas. El CISO ya no es solo un gestor técnico, es un perfil estratégico en cualquier entidad financiera.
