EntrevistasCiberseguridad

“La nube puede ser más segura si se definen bien los parámetros”

Javier Santos, Director Corporativo de Seguridad Global de Santalucía

Javier Santos, CISO DE SANTALUCIA.
Javier Santos, CISO DE SANTALUCIA.

¿Cómo se concibe la ciberseguridad dentro de SANTALUCÍA?

J. S.: La ciberseguridad se concibe como una dirección específica con una misión, visión y propósitos propios, que se alinean con el ideario del Grupo, y cuyos principios rectores se plasman en nuestra Política de Seguridad Corporativa.

Dentro de la transformación digital a la que se enfrenta, ¿qué papel puede desempeñar la misma?

J. S.: La ciberseguridad desempeña un papel transversal y fundamental en todo el proceso de transformación digital. Nos permite tener un plan de seguridad propio que se incluye dentro de esta transformación digital pero que abarca otras cuestiones no meramente tecnológicas, sino que complementan esta transformación en el ámbito de los procedimientos, el gobierno y la gestión de las personas.

¿Cuál es la relación del departamento del CISO con la del CIO? ¿Cuál es su ubicación dentro del organigrama?

J. S.: La Dirección de Seguridad se encuentra al mismo nivel que la Dirección de Sistemas y Tecnología. Ambas participan en comités de la dirección general de Operaciones y Tecnología y, en el caso de la dirección de Seguridad, también tiene una dependencia funcional de la Dirección General de Supervisión y Riesgos y reporta a la Comisión de Auditoría del Grupo.

¿Con qué recursos (presupuestos, plantilla…) dispone el área de Seguridad de la que es responsable?

J. S.: La Dirección de Seguridad cuenta en la actualidad con un equipo de 5 personas que reportan directamente al Director de Seguridad y supervisa a los grupos de seguridad que están incluidos en las áreas de operaciones e infraestructura, aunque estos no dependen jerárquicamente de la Dirección de Seguridad.

Además,  dispone de un presupuesto propio para desarrollar el plan de seguridad, independiente del presupuesto de operaciones de seguridad que gestiona la Dirección de Sistemas.

¿Una empresa de seguros cómo gestiona el tema de la pandemia, buscando la seguridad de empleados y clientes?

J. S.: La gestión de la pandemia se incardina como la gestión de cualquier otro incidente que impacta en la continuidad del negocio de la organización. De esta manera,  se protege la continuidad de las personas, los edificios, la tecnología y los proveedores de la organización en función de las contingencias que pueden producirse y que se identifican dentro del plan de continuidad de negocio de la empresa.

¿De qué manera están cambiando los procesos de negocio y la relación con el mercado?

J. S.: La digitalización de los procesos hace que cada vez tenga más peso el componente tecnológico en el negocio, y eso obliga a revisar los escenarios de amenazas que aparecen asociados a las nuevas tecnologías y a los nuevos canales de relación con nuestros clientes.           

¿Cómo es posible promover un cambio cultural dentro de la compañía para que la seguridad se convierta en un criterio esencial?

J. S.: Es innegable que la involucración de la alta dirección es decisiva para poder promover un cambio cultural de estas características, y ese apoyo e involucración en el caso de SANTALUCÍA es total, por lo que actúa como catalizador del cambio imprescindible a realizar.

La digitalización de los procesos hace que cada vez tenga más peso el componente tecnológico en el negocio

¿Cuáles son sus principales socios en el ámbito de la ciberseguridad?

J. S.: Como ya hemos mencionado, la alta dirección, desde el consejo de administración, el comité ejecutivo y los directores de las diferentes áreas son los principales baluartes con los que contamos en la dirección de seguridad. Además, nos apoyamos en partners de confianza que nos ayudan a desarrollar los proyectos y programas de seguridad que estamos realizando. Ese ecosistema el principal apoyo en es nuestro campo.

¿Por qué tecnologías apuestan en este campo?

J. S.: Todas las tecnologías que permiten comprender y conocer mejor la actividad de nuestros empleados, colaboradores y clientes son esenciales para poder realizar las labores de identificación, detección, protección, respuesta y recuperación de los procesos y sistemas de la organización. No son solo un tipo de herramientas, sino es un conjunto de las mismas que nos permitan garantizar la confidencialidad, integridad y disponibilidad de nuestros procesos.

¿Cree que la nube es menos segura que el on premise? ¿Cómo garantizan el teletrabajo?

J. S.: Un entorno no es más o menos seguro por sí mismo. La nube puede resultar mucho más segura si, cuando se realiza un proyecto de implantación o migración de un proceso a la nube, se definen bien los parámetros de operación de seguridad y se cuenta con el proveedor adecuado. Pero también puede suceder al contrario.  De hecho, la “nube” puede resultar a priori más segura para requisitos de gestión de la infraestructura ya que los proveedores de este ámbito son conocedores de la inversión que deben realizar para generar confianza en sus clientes.

¿Cuáles son los puntos débiles que, a su entender, deben cuidar las empresas en estos momentos de ataques a discreción?

J. S.: Por un lado, la monitorización continua de la actividad es fundamental, pero por otro, la concienciación y formación en ciberseguridad de los empleados es tan importante o más en estos momentos.

¿Qué proyectos puede destacar en ciberseguridad?

J. S.: Los proyectos orientados a fortalecer la gestión de la identidad y la gestión de la movilidad de manera segura son muy importantes en nuestro actual entorno.

Computing 799