"La banca es un negocio de confianza y el usuario tiene que estar convencido de que su seguridad es máxima"
Para Sergio Fidalgo, CISO global del BBVA, la madurez del sector bancario en cuanto a ciberseguridad no tiene parangón porque "somos los que más riesgos asumimos".
Audio de la entrevista
Mario Moreno/ Imagen: Juan Márquez
El Grupo BBVA es uno de los principales bancos en España, aunque también opera en prácticamente toda Latinoamérica y en geografías como México, Estados Unidos y Turquía. En un entorno tan descentralizado, Sergio Fidalgo, CISO global de la entidad, se muestra convencido de que se camina por el sendero correcto poniendo a la ciberseguridad en un "primer plano" del diseño de productos y servicios. En total, cuenta con unos 1.000 trabajadores dedicados a este segmento, con un líder local por país encargado de aterrizar la estrategia común y de responder a cada particularidad. "Hemos invertido mucho en los últimos años", confiesa. "Pero los retos continúan, tenemos que seguir evolucionando porque los ciberdelincuentes también lo van a hacer para dañarnos".
BBVA realiza multitud de eventos informativos y de formación, tanto a nivel interno como de cara a los clientes, en torno a la ciberseguridad. ¿Qué importancia tiene este ámbito dentro del grupo?
La banca es un negocio de confianza desde sus orígenes. Los clientes depositan uno de sus activos más preciados, como es el dinero, para que la entidad lo custodie y saque rendimiento. A día de hoy, seguimos pensando de la misma manera; el usuario tiene que estar convencido de que la seguridad de sus transacciones es la máxima. Por ello, la ciberseguridad en BBVA es una de las prioridades. Somos absolutamente conscientes de su importancia. De ahí que nuestra estrategia ponga a la seguridad en el primer plano del diseño de los servicios y productos que construímos.
¿Cuáles son los pilares de esa estrategia, teniendo en cuenta, además, la presencia del banco prácticamente en toda Latinoamérica y en países como Estados Unidos, México o Turquía, entre otros?
En primer lugar, hacemos una gestión basada en riesgo, queremos mitigarlo allá donde se produzca, ya sea en nuestras infraestructuras o en la relación con nuestros clientes. Queremos dotarnos de mucha anticipación antes de que se produzcan los eventos. Para ello, tenemos un concepto que llamamos 'seguridad embebida' por el que procesos, personas y tecnologías tienen en cuenta la seguridad como un primer factor. En cuanto a las distintas geografías, la clave es tener un equipo excelente. Yo soy el responsable global del grupo, pero en cada país contamos con un CISO, que es el que está pegado a la operación en cada uno de ellos. Son los que verdaderamente implementan las decisiones estratégicas que se toman aquí. Al final, conformamos un grupo de ciberseguridad de unas 1.000 personas en todo el mundo.
¿Son muy distintas las necesidades de cada geografía?
Existe un modelo que llamamos de ejecución híbrida, que es otro de los componentes básicos de nuestra estrategia. Efectivamente, hay un plan global, pero a la hora de ejecutar diferenciamos si algunos puntos los tomamos de forma centralizada, porque son comunes, o de manera local, sobre todo en cuanto a amenazas. Por ejemplo, no es lo mismo un phishing aquí que en Perú o en Colombia. Y, el perfil de los atacantes cambia. También los procesos de negocio son diferentes, no se contrata una tarjeta de crédito igual en España que en Argentina. Son productos muy similares, pero hay pequeños matices que son los que intentan aprovechar los malos para colarse. Ahí es donde los CISO locales salen a la palestra.
Salvando el mantra de que la ciberseguridad 100% no existe, ¿está satisfecho con el nivel de BBVA?
Aquí no puedes estar tranquilo nunca, no puedes dormir bien, no es mi objetivo. Pero sí queremos vivir razonablemente tranquilos. El grupo ha hecho una inversión muy fuerte en los últimos años en digitalización y todo lo que tiene que ver con seguridad. Estamos razonablemente satisfechos con nuestra posición y el nivel de protección que tenemos. Es verdad que el sector financiero es un poco más maduro porque las amenazas han sido siempre muy visibles y hemos tenido que aprender a protegernos desde que nació el concepto de seguridad. Dicho esto, tenemos muchos retos encima de la mesa y tenemos que seguir evolucionando porque los ciberdelincuentes también lo van a hacer para hacernos daño.
La nube es la tecnología que más se ha democratizado en los últimos años, pero muchas compañías tienen cierto rechazo a la hora de migrar sus cargas más críticas. ¿Qué supone cloud para el BBVA?
La nube representa una tremenda oportunidad en términos de flexibilidad, escalabilidad, potencia de cálculo, almacenamiento de datos… Con lo cual es algo a lo que no podemos renunciar. De hecho, tenemos buena carga de procesamiento allí desde hace varios años. Cierto es que con las oportunidades vienen los riesgos asociados. Nuestra consigna es utilizar proveedores certificados y punteros y, casi más importante, que nuestros técnicos estén muy bien formados en seguridad en la nube porque en la mayoría de las ocasiones en las que ocurre un evento no es por fallo inherente del proveedor, sino por cómo la empresa de turno ha aplicado las medidas de seguridad que este fabricante ponía a su disposición.
"La nube es algo a lo que no podemos renunciar, pero contamos con proveedores certificados y un equipo técnico especialista en su seguridad"
Otra de las claves para el sector bancario es la identidad, tanto de los usuarios internos como de los clientes. ¿Se ha convertido en el nuevo paradigma de la seguridad?
La pandemia ha traído una digitalización extrema, tanto de nuestras relaciones con nuestros clientes como con los empleados. Esto conlleva que los perímetros de protección, en la parte de trabajadores, se difuminen por completo. El trabajo antes era un sitio, ahora es una función que se realiza con cualquier dispositivo. Desde ese punto de vista, la protección de la identidad es clave. Y, de cara a nuestros clientes, nosotros somos pioneros en nuevas herramientas desde hace muchos años y este concepto se convierte en su DNI, en el quién eres en el mundo digital. En ambos mundos vemos que la aproximación usuario/contraseña está muriendo y vamos a múltiples factores de autenticación en los que estamos muy avanzados. En clientes tenemos una alianza con la startup pamplonesa Veridas, que es experta en biometría facial. Estamos empezando a aplicar ya esta tecnología con nuestros trabajadores. Vamos de algo que sabes y algo que tienes al algo que eres. Nuestra apuesta ha sido, fundamentalmente, por la biometría facial.
¿Los clientes demandan este tipo de soluciones?
Sí, mi objetivo es que los clientes nos perciban como el banco más seguro para hacer las transacciones financieras. Por ejemplo, fuimos el primer banco en España en poner la funcionalidad ON/OFF para que se pueda gestionar la tarjeta de crédito desde el teléfono móvil. También, el código CVV dinámico, que se muestra solo en la aplicación y cambia a cada operación para que sea muy difícil que llegue el fraude.
En este trabajo de servicios y productos y entrando desde el diseño en los mismos, ¿se sigue viendo la figura del CISO como un stopper dentro de las compañías?
Estamos evolucionando. Nuestra alianza con negocios nos pone al principio del diseño. Al final tiene que haber un equilibrio, porque sabiendo que el riesgo cero no existe y el producto debe contar con una buena experiencia de usuario, ya que, de lo contrario, no se vendería. Yo creo que hemos salido de esa visión tradicional del ‘Doctor No’.
¿De qué manera auditáis también la seguridad de las tecnologías que utilizáis, como el Internet de las Cosas (IoT, de sus siglas inglesas)?
Internet y muchas de las tecnologías que surgen tienen retos. Pero el hecho de que las amenazas sean tan visibles y democratizadas hace que la gente esté concienciada a todos los niveles. Ahora mismo, nadie puede pensar en desarrollar o adoptar tecnología sin tener el componente de seguridad en primera línea. Ha habido un cambio cultural muy importante. Yo solo llevo siete meses como responsable de seguridad del grupo; antes era CIO en Estados Unidos, y ya entonces tenía una función de seguridad embebida.
"La contraseña tradicional está muriendo, y BBVA apuesta por la biometría facial"
Siempre se ha hablado de un choque cultural entre las funciones del CISO y el CIO. Por lo que cuenta, ¿en BBVA no existe como tal?
En primer lugar, yo reporto al CIO. Pero, sí, esta es una cuestión que hay que aprender a gestionar. Nosotros estamos en ello y lo estamos haciendo bien. Si miras al CISO frente al CIO, independientemente de a quién reporte cada uno, el CIO tiene que ejecutar prácticamente el 90% de las cosas que dice el CISO. En ese sentido, hay que conseguir que los departamentos de arquitectura, infraestructura y desarrollo estén alineados. Eso lo logramos con el concepto de 'seguridad embebida'.
De cara a los clientes, la entidad cuenta con varios programas de información y concienciación. Uno de ellos, BBVA Security First, está disponible para que el usuario pueda acudir en caso de duda o riesgo. ¿Cómo les protegéis a ellos también del fraude, por ejemplo, cuando hay envíos masivos de phishing suplantando vuestra marca?
La única clave, y nuestra capacidad, es la formación y la concienciación. Lo hacemos por diferentes segmentos de clientes y con cuatro círculos concéntricos. El primero es el de mis empleados, mi gente de seguridad; el siguiente es el del resto de trabajadores, que no tienen que tener el mismo nivel de seguridad, pero generalmente son un punto de entrada y, con lo cual, hacemos todo tipo de ciberejercicios. De ahí pasamos al contexto exterior. En clientes ofrecemos píldoras en la aplicación, por ejemplo. El cuarto círculo es de la sociedad en general. Nos da igual que no sean clientes nuestros. Al final, lo que queremos es contribuir a que los malos lo tengan cada vez más complicado. Por ello, contamos con un programa que hemos lanzado con Google para pymes, que no tienen los mismos mecanismos que una gran compañía, les damos formación. También tenemos charlas dedicadas para nuestros clientes corporativos.
Al final, España es un país copado por pymes, ¿qué importancia tiene en la formación de esa sociedad en general, y sobre todo como compañías que forman parte de la cadena de suministro de muchas otras?
Los proveedores son un punto de entrada que forman parte del concepto de empresa extendida actual. Tenemos múltiples proveedores de servicios que se insertan en esa cadena de valor y que si no tienen las mismas medidas de protección de seguridad nos suponen un riesgo. Lo que hacemos es programas de diligencias en el que medimos y proponemos sus medidas y certificaciones y realizamos revisiones periódicas, dependiendo de la criticidad del servicio. Nuestra experiencia nos dice que, efectivamente, este es uno de los riesgos que más está creciendo con la economía descentralizada actual.
"Buscamos la formación de toda la sociedad en general, nos da igual que no sean clientes nuestros"
¿Qué nota le da a la madurez del conjunto de España?
Es razonablemente buena. Aunque las amenazas son cambiantes y sus modelos se sofistican. Pero, creo que, desde el punto de vista de organismos públicos, a pesar de algún evento reciente como el del Consejo General del Poder Judicial (CGPJ), hay un nivel de concienciación bastante bueno. La sociedad general ha aumentado mucho en formación en los últimos dos o tres años. El sector bancario, además, junto con el telco, es el más maduro porque sus riesgos son más altos. Y, en cierto modo, la regulación nos ayuda.
¿También puede ser la legislación un arma de doble filo y restrictiva con respecto al ecosistema fintech?
La regulación es una tendencia y nosotros estamos en un sector hiperregulado, y eso no va a cambiar. No puedes luchar contra ello. Pero el hecho de que empiece a tomar, desde hace unos años, con el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas), PS2, y ahora con DORA (Digital Operations Resiliance Act), conciencia de la seguridad es positivo siempre y cuando las fintech estén en el mismo terreno de juego y con las mismas normas para hacer las mismas actividades.
¿Cómo afectará DORA?
Procede del Banco Central Europeo (BCE), afecta a banca y seguros, también a algunas fintech, y está enfocada a que tengamos la suficiente resiliencia tanto desde el punto de vista operacional como de seguridad. Ante un ataque tenemos que responder de la manera adecuada con una serie de equipos, procedimientos, políticas…
Por último, la figura del CISO es una de las que más presión sufre en toda la compañía. ¿Cómo lo gestiona?
Afortunadamente, tengo un equipazo en cada país en el que tenemos presencia. Pero, es cierto que hay que estar permanentemente atento al teléfono y, en mi caso, con muchos años de experiencia, he vivido situaciones estresantes. Pero lo fundamental es tener un buen equipo y un set de herramientas para responder adecuadamente.
