"Todavía hay miedo a contar un ataque, falta alineación entre directores de comunicación y seguridad"
Eva Puerta, CISO de CACEIS Bank para España y América Latina, cuenta su recorrido, desde el mundo del periodismo, hasta llegar a ser la cabeza visible de la ciberseguridad de un gran grupo bancario.
Audio de la entrevista
Mario Moreno/ Imagen: Juan Márquez
Estudió y ejerció el periodismo, pero la curiosa y aún joven carrera de Eva Puerta, actual CISO de CACEIS Bank -grupo de servicios de activos de Crédit Agricole y Santander- en España y América Latina, ha desembocado en el mundo de la ciberseguridad. En su puesto puede conjugar todas las habilidades que ha ido adquiriendo y que son las que se demandan a los actuales directivos que protegen los activos informáticos de las entidades; gestión de equipos y dotes de comunicación orientadas tanto a la alta dirección como a prensa y empleados. Pero también conocimientos técnicos, pues, tal y como cuenta en esta entrevista, se ha ido formando en este ámbito a lo largo de los últimos años. Así, esta ‘todoterreno’ de lo ‘ciber’, que compagina su puesto con la docencia universitaria, toca todas las tendencias actuales de la industria; desde la concienciación hasta la regulación, y afirma: “Necesitamos que las personas sepan de seguridad y, para ello, el periodismo es el mejor aliado”.
¿Cómo llega una periodista a ser CISO de una entidad bancaria como CACEIS Bank?
Fue casualidad. Cuando acabé la carrera en 2014, el mundo del periodismo estaba un poco complicado y no había mucho empleo. Entonces, aplicaba a cualquier oferta que tuviera que ver con la comunicación. Una entrevista que tuve, que me salió fatal, era para investigación en redes sociales. Aun así me cogieron. El puesto tenía que ver con la ciberseguridad. Entré en un departamento de detección de amenazas en fuente abierta. Ya desde ahí, y en un año, 2015, en el que no había demasiadas personas que se dedicaban a ‘ciber’ específicamente, hice un Máster en ciberdefensa y otro en seguridad informática para cubrir toda la parte técnica que me hacía falta. Me gustaba el sitio en el que estaba y había margen y trabajo. Me juntaba mucho con gente técnica para elaborar informes. Esas sesiones eran de aprendizaje 100%. Así comencé, y hasta el día de hoy.
¿Qué sinergias encuentras entre el periodismo y tu rol actual? Se dice que un CISO debe tener grandes dotes comunicativas para llegar a los empleados, a la alta dirección e, incluso, a la sociedad.
Estamos en ese punto. Utilizo más el periodismo que cuando he ejercido. En mi equipo trabajamos mucho en los aspectos técnicos, pero de cara a la empresa tenemos que hacer una labor muy fuerte de concienciación porque cualquier eslabón de la cadena puede ser débil. Con una base de comunicación, es mucho más fácil lanzar este tipo de programas, que nos conozcan, y que sepan dónde acudir y levantar problemas. Estamos transformando un poco a la gente para que piense que existe la ciberseguridad. Hacemos formaciones hasta de cómo configurar el móvil personal. También aplico mucho lo aprendido de cara a cómo te diriges a la dirección o a clientes, por ejemplo. Ahí no puedes dar un discurso que no van a entender. Necesitamos que las personas sepan de seguridad y, para ello, el periodismo es el mejor aliado.
¿La alta dirección de CACEIS está totalmente concienciada? Imagino que en esas reuniones también hay que dejar a un lado lo técnico para hablar de negocio…
Yo reporto al responsable de tecnología y operaciones, que al final es el grueso de CACEIS, que es banca de inversión. Hay que trasladar el mensaje a mi responsable, pero este también ha de calar en toda la operación y en el resto de departamentos.
¿Realmente este trabajo, el de CISO, es tan estresante como refieren varios estudios, sobre todo con el panorama actual de amenazas que hay y sabiendo que los ciberdelincuentes aprovechan fines de semana y épocas vacacionales para lanzar sus ataques?
El mayor impacto de ciberataques son los días 15 de agosto, 1 y 2 de enero… Yo lo he visto en una pequeña empresa de un amigo, que tuvo un incidente a principios de año, porque cuando eres CISO, lo eres también para la familia y conocidos. Siempre sabes que donde vayas tienes que llevar el ordenador. Es un pequeño estrés constante. Siempre hay cierto miedo, una vulnerabilidad nueva, un artículo que lees… Tienes que intentar desconectar pero, a su vez, sabes que hay que ir siempre con una mochila con un PC.
Hablando del incidente de su amigo, ¿siente también una obligación de cara a la sociedad a la hora de poner en valor y dar mensajes sobre ciberseguridad?
Las pymes tienen un problema real con la seguridad porque son un objetivo mucho más fácil que un banco, por ejemplo, aunque todos podemos tener un incidente. Y, ojo, no se trata solo de no recibir un ataque sino también de cómo recuperarse. Una empresa como CACEIS tiene unos planes de recuperación. Pero una pequeña compañía no cuenta con especialistas en seguridad ni presupuestos para invertir. Aquí, por ejemplo, INCIBE tiene mucha formación y programas específicos en marcha. Y, por mi parte, este tipo de entrevistas y la divulgación son muy importantes. Hace poco estuve en una charla en México y vino una persona para pedirme ayuda para un grupo. Tenemos, en cierta parte, la obligación de hacer un hueco en nuestra agenda para apoyar esa formación. Por otra parte, doy clases en la universidad e insisto en que los alumnos tengan una serie de obligaciones para con la seguridad una vez que salgan al mundo laboral. Los que trabajamos en ‘ciber’ tenemos que extender este mensaje. De todo lo que puedas enseñar siempre cala algo.
"Las pymes tienen un problema real con la ciberseguridad, son un objetivo mucho más fácil que un banco"
¿Cuáles son los pilares de la estrategia de ciberseguridad de CACEIS Bank?
Hay tres principios: anticipación, prevención y respuesta. Tenemos un marco por detrás, parecido al NIS, alineado a estas premisas. Otro de los planes, engage, va sobre la parte de terceros, usuarios, concienciación y regulación.
Además, cada vez hay más actores en juego en la cadena de suministro de las empresas.
Sí. Históricamente, CACEIS estaba embebida dentro del Grupo Santander al 100%. De hecho, nuestra infraestructura sigue dentro. Y ahora no estamos tan alineados en la estrategia porque también bebemos de Crédit Agricole y se ha formado un plan mixto, que es realmente bueno para nosotros porque te permite tener las mejores prácticas de cada una.
¿Cómo es su equipo de ciberseguridad?
Estamos divididos en España, México, Colombia y Brasil.
¿Qué diferencias ve a uno y otro lado del Atlántico?
Hemos avanzado alineados. Aunque es cierto que en América Latina otro tipo de empresas necesitan ir más lejos, como las pymes en España. En cuanto a CACEIS, los servicios son los mismos y transversales a cada sede.
¿Y la tipología de amenazas que observáis es también similar?
Estamos más o menos equilibrados. Pero, es cierto que con la guerra de Ucrania y, ahora en la franja de Gaza, en Europa estamos mucho más en riesgo. La legislación funciona también allí de forma diferente, aunque dependiendo del país es más dura que aquí. Esto sorprende, pero, por ejemplo, la banca en México tiene una regulación durísima. Banco de México impone unas auditorías muy exhaustivas y duras.
¿Cómo se está adaptando la empresa en España a normativas como DORA?
No estábamos muy lejos de DORA pero sí que ha habido que hacer un esfuerzo de documentación y adaptación de procesos a la normativa. Veo que DORA es muy dura para otras empresas del sector. Por ejemplo, para una gestora de clientes en el ámbito financiero en la que trabajan tres personas. Si para nosotros está siendo un trabajo, para empresas muy pequeñas… ¿Cómo adaptan todo sin tener gente especializada? Para mi gusto, la regulación está siendo muy dura. ¿Es necesario que sea así? Probablemente habría que distinguir entre grandes grupos y pequeños, aunque aplique a todo el sector.
"Con las guerras en Ucrania y Gaza, en Europa estamos más en riesgo que en otras geografías"
¿Cuáles son los ciberataques más temidos actualmente?
El mayor miedo de todos es un ransomware fuerte. Es la parte que más paraliza todo. Nosotros además, tenemos operación, que tiene que tener disponibilidad. Un parón puede tener impacto a nivel Bolsa y de reputación. Nos preocupa también todo lo que tiene información, que haya una fuga importante.
El impacto de la reputación es también muy preocupante para las empresas. Sin embargo, con la obligación de notificar los incidentes, parece que hay cierto aperturismo a la hora de hablar de ellos. Hace poco, el director de seguridad de la información de Mapfre contó para Foundry los detalles del grave ataque que sufrieron en agosto de 2020.
Mapfre es el ejemplo de cómo hacer y comunicar las cosas bien. Lo contaron hasta en la radio, con un buen mensaje y claro. Pero, creo que esta nos es la norma general. Todavía existe miedo a decir que me han atacado. Falta todavía alineación entre directores de comunicación y de seguridad. Y, los medios no están tampoco acostumbrados a hablar de estos temas.
¿Qué responsabilidad tenemos los medios de comunicación, tanto generalistas como especializados, a la hora de contar un caso de este tipo?
Muchísima. Se tienen que empezar a acuñar términos. Yo no digo que todo el mundo sepa lo que es un firewall o un WAF, porque es inviable. Pero el ransomware tiene que empezar a sonar. Hay palabras que se adoptan muy rápido. Todo el mundo sabe lo que es un EPI o una PCR tras la pandemia. Los medios pueden ayudar a la concienciación global.
Por último, ¿cómo se aproxima CACEIS Bank a la inteligencia artificial (IA) generativa?
Todas las empresas estamos en una expedición de casos de uso y de cómo optimizar los servicios. Acompañamos a todas las personas de la empresa que están explorando esos casos y estamos pendientes de las empresas que prestan estos servicios. Porque, ¿cómo sé yo que nuestros datos no van a acabar en OpenAI? De hecho, tenemos cerrado ChatGPT hasta que se empiece a usar de manera consciente. Sirve para muchas cosas, y si introduces datos críticos de la compañía puedes tener una brecha importante. La IA generativa no se puede usar con datos abiertos.
