-Como bien sabe, en Europa se han impulsado directivas y leyes encaminadas a fortalecer la protección de las instalaciones estratégicas. En este sentido, ¿cómo se encuentra México en el ámbito legislativo?
La protección de instalaciones estratégicas o de servicios esenciales es un asunto relevante que preocupa a los sectores público y privado de la seguridad. Quizás en México no tengamos una legislación tan exhaustiva como la desarrollada en Europa, pero sí existe legislación al respecto.
La Ley General del Sistema Nacional de Seguridad Pública, en el artículo 146 de su título décimo primero (Instalaciones Estratégicas), establece que “se consideran instalaciones estratégicas a los espacios, inmuebles, construcciones, muebles, equipo y demás bienes destinados al funcionamiento, mantenimiento y operación de las actividades consideradas como estratégicas por la Constitución Política de los Estados Unidos Mexicanos, así como de aquellas que tiendan a mantener la integridad, estabilidad y permanencia del Estado Mexicano, en términos de la Ley de Seguridad Nacional”.
Por otro lado, en el Grupo de Coordinación de Instalaciones Estratégicas (GCIE) se establecen como infraestructuras estratégicas la Comisión Nacional del Agua (Conagua), Caminos y Puentes Federales (Capufe), Telecomunicaciones de México (Telecomm), la Comisión Federal de Electricidad (CFE), el Centro Nacional de Control de Energía (Cenace), el Banco de México (Banxico), la Secretaría de Energía (Sener), Ferrosur y Ferrocarril y Terminal del Valle de México (Ferrovalle).
Por último, comentar que dentro de los trabajos que realiza la Comisión Nacional de Seguridad (CNS), a través del Servicio de Protección Federal (SPF), para homologar los procesos de seguridad para las instalaciones estratégicas del país, recientemente se inauguró el Programa de Capacitación en Infraestructuras Críticas a los Estados de la República, el cual cuenta con el aval del Departamento de Estado de los EEUU.
-En España, el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) se reúne periódicamente con los responsables de seguridad de las entidades financieras que han sido designadas operadores críticos. ¿En México hay un procedimiento similar con algún organismo nacional? ¿Usted mantiene reuniones periódicas con representantes de la Administración y la seguridad pública?
Hasta donde conozco, aquí no tenemos esos mecanismos de coordinación tan definidos. A través del SPF se organizan y desarrollan jornadas y seminarios de trabajo donde, de forma multisectorial, se abordan las inquietudes, se comparten las mejores prácticas y puntos de vista y se buscan nuevas formas para potenciar la protección de las instalaciones estratégicas.
“En México no tenemos leyes tan exhaustivas como las europeas, pero sí existe una legislación sobre infraestructuras estratégicas”
Puntualmente, tenemos puntos de encuentro entre los distintos sectores para coordinar acciones, sobre todo en caso de catástrofe con sismos, huracanes, etc., para mitigar y restablecer los servicios críticos, en nuestro caso del sector bancario con la finalidad de asegurar el acceso y la disponibilidad de los servicios financieros para la comunidad y los sectores productivos.
-¿El hecho de que el sector financiero haya sido considerado crítico en España y la experiencia adquirida por el departamento de Seguridad Corporativa español en materia de protección de infraestructuras críticas o instalaciones estratégicas han contribuido a robustecer la seguridad de BBVA México?
En las multinacionales que operan en México, a la hora de abordar soluciones, un aspecto relevante es que cumplan y se adapten a los estándares internacionales y las normativas corporativas que regulen y se apliquen en las distintas actividades, además de cumplir con los requerimientos legislativos de ámbito local.
Por otro lado, siempre compartimos las experiencias y los conocimientos en esta materia e incorporamos a nuestras políticas y procedimientos operativos las mejores prácticas y todas las soluciones tecnológicas que incrementen nuestros niveles de protección y seguridad para garantizar la correcta ejecución y desarrollo de nuestros planes de actividad y continuidad.
-Tradicionalmente, los principales riesgos de las entidades financieras han sido físicos. Al respecto, ¿cómo han enfrentado en BBVA México los asaltos a sucursales o los robos en cajeros automáticos? ¿Las medidas implementadas han contribuido a disminuir el número de este tipo de hechos delictivos en los últimos años?
Como bien indican, los riesgos de origen antisocial que hemos enfrentado las áreas de Seguridad de las instituciones financieras han sido, principalmente, los asaltos o atracos bancarios y los robos a cajeros automáticos (ATM), así como butrones o intrusiones en sucursales para robar efectivo de las cajas fuertes, robos a clientes al salir de la sucursal y colocación de artefactos explosivos en las oficinas de atención al público por parte de grupos anarquistas y/o terroristas.
Todo esto, por el efecto mediático, dado el uso de la fuerza y la violencia, genera una alta percepción de inseguridad, si bien los riesgos más graves que enfrentamos por el potencial de la pérdida y su impacto en el negocio son de otra naturaleza.
“En BBVA disponemos de un CERT propio y un equipo con alta especialización en materia de seguridad de la información”
En BBVA México, aprovechando el proyecto de transformación de nuestras sucursales, definimos un plan estratégico de seguridad y protección (2013-2018) para sucursales y ATM que ha conllevado en los últimos cinco años una importante reducción del quebranto económico por encima del 60%, con especial atención y mitigación en el robo de ATM. Mencionar que en los ATM instalados en las sucursales sólo hemos tenido un evento consumado en los últimos seis años, quedando en grado de tentativa el resto de ataques.
Un aspecto relevante del desarrollo del plan estratégico fue la elaboración de una guía técnica para la instalación y protección de autoservicios fundamentada en múltiples ensayos sobre materiales constructivos y de seguridad, probando sus índices de resistencia ante distintas formas de ataque. Y también asegurar la correcta aplicación de las especificaciones y los criterios expuestos en el documento de referencia. Esto nos llevó a conseguir nuestros objetivos de reducir el quebranto económico por ilícitos bancarios para nuestra institución.
-Proteger sus sistemas y redes de información, así como garantizar la privacidad de los usuarios, se ha convertido en una prioridad para muchas organizaciones, de manera especial para las pertenecientes al sector financiero. Teniendo en cuenta que los ciberataques no paran de crecer en el país, ¿puede afirmarse que BBVA México es un objetivo preferente para los cibercriminales? ¿Cómo se protegen de estos últimos?
Considero que BBVA México es un objetivo más, como el conjunto de bancos que integran el sistema financiero nacional. Todos estamos expuestos a estos nuevos riesgos tecnológicos que van in crescendo en función del desarrollo y la expansión digital. Asaltar una sucursal ya no es rentable. Conseguir vulnerar algún sistema de pago entiendo que sería más rentable, pero también más complejo.
A nivel corporativo, BBVA lleva trabajando muchos años en la alerta temprana, la prevención y la protección de estos riesgos desarrollando una potente infraestructura tecnológica. Disponemos de un CERT propio y un equipo con alta especialización en materia de seguridad de la información.
-¿Cómo conciencian a sus empleados y clientes en lo relativo a la ciberseguridad, la seguridad de la información, el fraude cibernético, etc.?
Existen múltiples y variados programas de concientización para trabajadores y usuarios, con capacitaciones online y presenciales, y campañas de información y formación para nuestros clientes, incluyendo talleres, en las que he participado personalmente. De forma práctica y comprensible, en esos foros exponemos las diferentes formas en las que se presentan los ilícitos bancarios (fraudes con cheques, suplantación de identidad, phishing, vishing, etc.) para ayudarles a protegerse mejor.
-El pasado mes de marzo se vieron obligados a desalojar al personal de la Torre Bancomer y de Parques Bancomer tras una amenaza de bomba comunicada por correo electrónico. ¿Cómo se llevaron a cabo las evacuaciones de las sedes? ¿Registraron algún incidente?
En nuestras sedes corporativas tenemos elaborados y vigentes los Programas Internos de Protección Civil (PIPC), siendo obligatorios su revisión y obtención de vistos buenos, anualmente, por las autoridades estatales en materia de Protección Civil.
“La estrategia de seguridad y protección de las empresas, especialmente en las entidades financieras, debe ser única y coordinada”
En estos programas se incluye un apartado para la organización y gestión de situaciones de emergencia donde se describen los procedimientos operativos que debemos aplicar, en función de la naturaleza del riesgo o tipo de contingencia. Como saben, México es un país con una alta actividad sísmica, lo que ha propiciado que tengamos muy entrenados y preparados a los brigadistas y el equipo de seguridad en nuestros centros de trabajo y, especialmente, en nuestras sedes corporativas.
La evacuación y puesta en marcha de los centros de respaldo definidos en nuestros planes de continuidad de negocio se desarrollaron con absoluta normalidad y un rotundo éxito, no registrando ningún tipo de incidencia relevante.
-En la actualidad, no es necesario perpetrar un atraco o llevar a cabo un ciberataque para dañar la imagen de una organización. Basta un simple tuit en Twitter o un correo electrónico para causar daño reputacional. ¿Cómo responden a amenazas como la desinformación o las fake news?
Todo el asunto de informaciones procedentes de redes sociales y medios de comunicación son atendidas por nuestros departamentos de Comunicación, donde equipos de expertos, en coordinación con áreas especializadas, analizan cada caso para dar la mejor respuesta y así mitigar los riesgos reputacionales a los que todos estamos expuestos.
-Este año, durante la celebración de un congreso, el director de Seguridad Corporativa de una conocida compañía multinacional se lamentaba del poco tiempo que el presidente y el comité ejecutivo de la organización dedicaban a tratar asuntos de seguridad con él. ¿Cómo es su relación con la alta dirección de BBVA México? Al tratarse de una entidad bancaria, ¿existe una mayor cultura de seguridad entre los directivos?
En BBVA México, la Seguridad es un área que mantiene una excelente relación con la alta dirección de la institución. Todo el banco está sensibilizado y apoya la función de seguridad, la gente colabora y reconoce nuestro trabajo y esfuerzo de distintas maneras. Participamos en los principales comités y órganos de decisión en materia de seguridad, prevención de fraudes y seguridad de la información.
El área de Seguridad reporta directamente a la Dirección General de Engineering y participa en los principales comités relacionados con la prevención del fraude, la continuidad de negocio, las operaciones, la gestión de efectivo, el control interno y el riesgo operacional. Esto nos permite estar cerca de los problemas y poder establecer medidas estratégicas o tácticas, de forma coordinada, para atender todo aquello que pueda alterar la normalidad de nuestras operaciones y la seguridad de los empleados y los clientes, así como mitigar los distintos riesgos no financieros.
-En 2016, usted manifestó a Segurilatam que BBVA México había realizado importantes inversiones en seguridad con motivo de la construcción de nuevas sedes y del centro de procesamiento de datos (CPD). ¿Cuáles son las próximas actuaciones de seguridad que acometerá el banco a corto y medio plazo?
BBVA México tiene un gran dinamismo. Una vez que estamos concluyendo la remodelación integral de nuestras sucursales, la institución contempla distintos proyectos con una apuesta estratégica en tecnología y desarrollo digital, sin descuidar la banca tradicional.
“En BBVA México, la Seguridad es un área que mantiene una excelente relación con la alta dirección de la institución”
Por ello, nuestras próximas actuaciones radican en la automatización de procesos, asegurar la alta disponibilidad de nuestra infraestructura y los sistemas de seguridad e industria de tarjetas de pago (PCI), las soluciones tecnológicas con biométricos y reconocimiento facial aplicados en procesos operativos de negocio y de seguridad, la integración de plataformas de seguridad y PCI, la expansión de cámaras de vigilancia IP, etc., entre otras iniciativas que actualmente se encuentran en análisis.
-Bajo su punto de vista, a corto y medio plazo, ¿cuáles son los retos a los que tendrán que hacer frente los departamentos de Seguridad de los bancos y las propias entidades del sector como operadores de instalaciones estratégicas?
Como área de Seguridad, creo que a nadie se le escapa que tenemos que afrontar nuevos retos, muy complejos y con grandes desafíos, a la vez que muy ilusionantes. Los mal llamados equipos de seguridad física, término que no recoge la especialización y tecnología que aplicamos en nuestra función, tenemos que transformarnos y adaptarnos a nuevos modelos organizativos como AGILE, donde la coordinación, cooperación e integración con los equipos de seguridad de la información o ciberseguridad sea una realidad operativa y organizativa. Todos tenemos importantes capacidades y habilidades que, unidas, nos hacen más fuertes. Recuerden que antes de un ciberataque, muy probablemente haya una vulnerabilidad física. Así que la estrategia de seguridad y protección de las empresas, especialmente en los bancos, debe ser única y coordinada.
En México, en particular, y en Latinoamérica, en general, las autoridades se encuentran rebasadas por la alta incidencia delictiva, en muchas zonas geográficas de la región, motivada por problemas de distinta naturaleza (índice de pobreza, falta de desarrollo industrial, educación, migración ilegal y otros fenómenos) que facilitan que los grupos delictivos puedan captar a personas que, ante la falta de expectativas, les resulte fácil integrase en los mismos. Todos los que trabajamos en seguridad, así como nuestras empresas, debemos reflexionar en qué y cómo hacer ante esta situación. Quedarse solamente en una posición de observación y exigencia a las autoridades ya no es válido.
Entre todos los actores sociales tenemos que buscar puntos de encuentro con transparencia e indicadores de gestión claves para que, de una forma activa, podamos coadyuvar con las autoridades para lograr un mejor control y mitigación de los problemas sociales y de seguridad. Sólo con policías, ejército y guardias de seguridad no será posible.
Necesitamos una mayor amplitud de miras, con la participación de los ciudadanos, el tejido empresarial y las instituciones, que permita la implantación de políticas adecuadas de desarrollo social y mejora educativa. Planes estratégicos de combate a la delincuencia con eficientes modelos de organización policial y judicial donde la sociedad, las empresas y el Gobierno actúen de manera coordinada con un objetivo y beneficio comunes: la seguridad y salvaguarda de las personas y sus bienes.