“Automatizar ayuda a encontrar el equilibrio entre costes y seguridad”
Eric Schifflers, CISO en Ria Money Transfer, repasa en una entrevista con CSO los desafíos de ciberseguridad que afronta una de las principales empresas de transferencia de dinero del mundo.
Se centra en la oferta de servicios financieros como transferencia de dinero y dispone de una potente red de pagos y de depósitos bancarios directos con conexión a 3.600 millones de cuentas. Hablamos de Ria Money Transfer, una compañía filial de Euronet Worldwide, cuyos directivos hoy definen como una ‘fintech’ aunque sus orígenes se remontan mucho tiempo antes de que este término naciera.
Ria nació en 1987 como “una pequeña empresa creada por inmigrantes con una sencilla misión: ayudar a personas como nosotros a mantenerse conectados con sus seres queridos en todo el mundo”, tal y como reza en la propia web de la compañía, en la actualidad una de las principales empresas de transferencia de dinero del mundo. El auge de ‘lo digital’ ha sido, sin duda, un catalizador del éxito de una empresa en la que el 90% de las transacciones que opera se realizan en tiempo real. Gracias a una aplicación (disponible en España, Estados Unidos, Canadá y muchos otros países de Europa y Asia), los usuarios pueden enviar dinero utilizando su cuenta bancaria o los datos de su tarjeta de débito a cualquiera de las 500.000 ubicaciones en todo el mundo.
Uno de los mayores retos de la compañía en un momento en el que el negocio en el que opera crece sin cesar —los analistas de Juniper Research vaticinan que el volumen de transacciones digitales de transferencia de dinero nacional superará los 300.000 millones en todo el mundo en 2026, un 50% más que en 2022— es garantizar la ciberseguridad. Así lo reconoce el propio CISO de Ria Money Transfer, Eric Schifflers, un experto en la seguridad de la información y la ciberdefensa con dos décadas de experiencia en el mercado y que recaló hace más de dos años en la multinacional tras trabajar previamente en la farmacéutica Roche e incluso en la OTAN.
Schifflers trabaja con un equipo de 15 personas repartidas entre Madrid (donde se encuentra el propio CISO), Lituania, Estados Unidos (en Los Ángeles), El Salvador, México y Kuala Lumpur para dar respuesta a los crecientes desafíos que existen en materia de ciberseguridad. “En Ria contamos con un programa de ciberseguridad que estamos desarrollando y revisando continuamente. El objetivo es estar preparados ante cualquier incidente y tecnología que atente contra la seguridad de las transacciones o la información de los clientes en todos los canales en los que operamos: desde el canal de tiendas al digital, en el que estamos presentes con nuestra web y nuestras aplicaciones. Ya disponemos de más de 50 controles de seguridad que hemos implementado en nuestra infraestructura tecnológica y en nuestros servicios digitales”, expone.
Este programa, añade, atiende a aspectos como la seguridad en la nube, modelo por el que cada vez apuesta más la compañía (aunque, reconoce Schifflers, el core transaccional de la compañía sigue bajo un modelo on-premise), por la seguridad en el correo electrónico y la seguridad perimetral. “Asimismo, evaluamos y desplegamos herramientas que nos dan visibilidad sobre la dark web, donde se comercializan documentos falsos. Evaluamos también controles y nuevas tecnologías para detectar el fraude a nivel de imágenes digitales como copias de carnés de identidad, de pasaporte, de facturas… Por otro lado, dado que somos una fintech y desarrollamos nuestro propio código, hacemos todo lo preciso para que este sea seguro; realizamos test de penetración para garantizar que el código no puede ser atacado por externos ni impactado por algún error”.
El experto cree que el ransomware [secuestro de datos a cambio de un rescate] es una de las principales dificultades que encuentran. Para el CISO, proteger los datos y la privacidad de los usuarios es algo en lo que trabajan especialmente. “Desde nuestro departamento también garantizamos el cumplimiento de Ria con la regulación de protección de datos de cada país donde operamos. Revisamos constantemente nuestro programa de ciberseguridad para cumplir con estos requerimientos”, añade.
En la actualidad, subraya, su equipo está trabajando en la futura adopción de DORA (Digital Operational Resilience Act), un nuevo reglamento anunciado en 2020 por la Unión Europea (aunque entrará en vigor en 2023) para regular la forma en que las empresas financieras gestionan el riesgo digital.
La compañía trabaja con el SOC (Centro de Operaciones de Seguridad) de su empresa matriz: Euronet Worldwide.
Foco en la automatización
Si hay una tendencia tecnológica en la que Schifflers y su equipo han puesto la mira esta es la automatización. “Estamos muy enfocados en la automatización, que no es lo mismo que en soluciones de inteligencia artificial, donde existe mucho marketing y, en realidad, aún no hay herramientas maduras que faciliten la toma de decisiones en ciberseguridad. En los últimos años ha habido un incremento exponencial de los incidentes, un crecimiento al que no se puede hacer frente contratando a más personal; en este sentido, la automatización nos ayuda a encontrar el equilibrio entre los costes y la seguridad y es uno de los pilares de todo equipo de ciberseguridad”, indica el directivo.
El CISO, que prefiere no desvelar con qué empresas trabaja Ria en materia de ciberseguridad, asegura que aunque la industria del ramo sí está preparada para responder a las demandas de sus clientes desde el punto de vista tecnológico, no lo está desde el punto de vista cultural. “Tecnológicamente es posible dar una respuesta del 99% frente a los ataques, pero la realidad es que a las empresas de seguridad les falta entender más las necesidades reales de sus clientes. Los proveedores son buenos vendiendo soluciones, pero dentro de la casa la situación cambia: falta entendimiento y mejorar el servicio al cliente. En un incidente de ciberseguridad cada minuto cuenta”.
Preguntado por si la estrategia de ciberseguridad de Ria se dirige más a la prevención que a la detección, Schifflers aclara: “Ambos aspectos son igual de importantes. Está claro que hay que detectar los ataques, pero también saber responder y remediar cuando estos se producen. Porque la pregunta ya no es si una empresa va a sufrir un ciberataque sino cuándo se producirá este”, aunque desvela que Ria no ha experimentado ningún gran incidente en los últimos años.
WannaCry como punto de inflexión
El CISO de Ria cree que el ransomware WannaCry y el impacto mediático que tuvo este incidente del que se han cumplido cinco años ha sido positivo para que en las organizaciones haya más concienciación sobre la importancia de la ciberseguridad. “Fue uno de los primeros incidentes globales y afectó a centenares de empresas. Alertó de que hay que estar preparados y, sobre todo, ayudó a dar más visibilidad al CISO y a la importancia de este rol”, afirma Schifflers.
Schifflers, que dentro de la organización reporta al CTO de Ria, cree que la evolución del rol del CISO en las organizaciones está siendo positiva. “Hace 10 años era un rol generalmente percibido como un centro de coste y muy técnico y hoy es más un consultor o consejero. El papel del CISO no solo es establecer los controles de ciberseguridad sino reportar al comité directivo sobre cualquier posible riesgo, traduciendo los mensajes técnicos a un lenguaje que los directivos que no son tecnólogos puedan entender. En mi caso, elaboro un reporte trimestral al comité directivo de la organización detallando todos los aspectos relacionados con la ciberseguridad, el riesgo y qué necesitamos para cumplir con la regulación”, apunta.
Por último, respecto a los desafíos que afronta como CISO de Ria de cara al futuro, Schifflers menciona estos: “Seguir manteniendo una comunicación constante con el comité de dirección y afrontar con éxito los riesgos que llegarán derivados del auge de nuestro negocio de forma que no se resienta la calidad de nuestros servicios”.
