En el Congreso Mexicano de Directores de Seguridad organizado por Segurilatam, usted participó en un panel dedicado a la convergencia en seguridad. Bajo su punto de vista, ¿cuán importante es la convergencia en seguridad en una entidad del sector financiero como Gentera?
Podemos hablar de varios tipos de convergencia. Quizás la principal es la convergencia entre seguridad de la información, que incluye a la ciberseguridad, y la seguridad física. Me parece fundamental que esas dos áreas tengan una interacción relevante debido a que, muchas veces, un ataque cibernético es precedido por una brecha de seguridad física. Un ejemplo: se tiene una intrusión en una sala de servidores o data centers donde, aparentemente, no ocurrió nada; sin embargo, minutos, horas o días después se sufre un ciberataque.
Cuando ambas áreas no se hablan, pudiera tratarse de dos eventos independientes… Pero cuando existe una comunicación y un análisis conjunto se puede llegar a la conclusión de que la intrusión fue parte del ataque cibernético.
Sus áreas de especialización son muchas: desde seguridad corporativa hasta inteligencia e investigaciones, pasando por prevención de pérdidas, protección ejecutiva, seguridad contra incendios… De todas ellas, ¿cuál le apasiona más o le aporta más satisfacciones en su día a día en Gentera?
Cada una de las áreas es un mundo… Mi verdadera pasión radica en encontrar sinergias entre todas. Siguiendo el ejemplo de la pregunta anterior, imaginemos que después de enterarnos de un ciberataque empezamos a ver fraudes sistemáticos en nuestras tarjetas bancarias; por ende, esto también podría estar ligado al ataque que empezó con una intrusión a un servidor en el mundo físico. Dependiendo del impacto, esto tendría que motivar la activación del comité de crisis, del cual soy coordinador, donde se explicaría el evento y se detonarían las acciones estratégicas para mitigar los impactos y la duración del ataque.
Al mismo tiempo, desde Continuidad de Negocio, una de las áreas de Gentera que me reporta, empezaríamos a evaluar qué procesos críticos se estarían interrumpiendo y, por lo tanto, detonaríamos los planes de acción respectivos. En ese orden de ideas, el área de Investigaciones tendría elementos para empezar a indagar, ya que los rastros en el mundo físico derivados de la intrusión, más las direcciones IP y las computadoras relacionadas con usuarios determinados y el conocimiento del modus operandi del fraude de las tarjetas serían aspectos clave del rompecabezas para encontrar a los posibles culpables.
Por último, imaginemos que el ataque cibernético también tiene repercusiones en el mundo físico y afecta a los controles de acceso, las esclusas de las sucursales, los sistemas de intrusión, etc. Esto pudiera poner en riesgo a los colaboradores durante una evacuación o provocar que algún colaborador quedase atrapado, y eso es materia de Protección Civil.
Concluyendo: ver todas esas posibles interacciones y generar una respuesta coordinada entre todas las áreas de seguridad me permite encontrar mi valor agregado dentro de Gentera.
Usted es ingeniero electrónico con MBA especializado en el campo de la seguridad y la protección. Teniendo en cuenta esa formación, ¿presta especial atención a las medidas de seguridad electrónica desarrolladas para entidades del sector bancario como Gentera y las innovaciones en dicho campo?
Después de más de 30 años en esta profesión, realmente no hay de mi parte un especial énfasis en temas electrónicos. Sin embargo, esa preparación me ayuda a entender cómo funciona la tecnología en seguridad electrónica. Me refiero a controles de acceso, CCTV, sistemas de intrusión, lectores de placas, etc. En el mundo de la ciberseguridad, esa misma preparación me ayudó a entender cómo debe funcionar la protección en el ciberespacio y qué elementos son primordiales. Por ejemplo, cómo funciona un IPS, un SIEM, un DLP, un SOAR, etc.
Poco a poco, el conocimiento que he ido adquiriendo desde mis inicios me ha ayudado a tener una visión más holística sobre cómo proteger un banco o cualquier industria de todo lo que amenaza a su gente, información, activos y continuidad.
Usted también atesora numerosas certificaciones. De todas ellas, ¿cuáles destacaría o recomendaría para desempeñarse como director de Seguridad en una entidad financiera como Gentera?
Una certificación per se no hace ninguna diferencia si no entendemos cuál es la finalidad. En mi caso, todas fueron obtenidas con el objetivo de tener un marco de referencia teórico que, sobre todo al principio de mi carrera profesional, me proporcionó argumentos sólidos de convencimiento a la gerencia media respecto a las inversiones y tomas de decisiones que se requerían en esa época.
No obtuve las certificaciones para sentirme más o menos importante que otro colega. La finalidad era estudiar conceptos y reglas importantes, que hacían la diferencia entre leer un libro y realmente aprender cosas de memoria. Y siempre las conseguí tratando de ser una mejor versión profesional de mí mismo.
Por otro lado, la certificación técnica CISSP (Certified Information Systems Security Professional), de especialista en ciberseguridad, la tuve que obtener para poder sentarme en las mesas de especialistas en TI y de mi propio equipo de Seguridad de la Información con el fin de entender lo que se hablaba. Dado mi background, para mí fue la certificación más difícil de obtener. Pero, gracias a ella, adquirí las herramientas necesarias para poder aportar una visión estratégica adecuada. Sin duda, ha sido uno de los retos intelectuales más difíciles de mi vida.
Por último, no quiero dejar de lado la importancia de lo que denominamos habilidades suaves (soft skills): me refiero a liderazgo, empatía, estrategia, trabajo en equipo, etc., ya que nos permiten navegar en el mundo corporativo volviéndonos, además de especialistas, ejecutivos de negocio y generar empatía con la alta dirección. Mi maestría en Administración, los cursos de liderazgo y los diplomados en el IPADE en temáticas como factor humano ayudan a cimentar la carrera profesional como Chief Security Officer a un alto nivel.
Dicho esto, no tengo preferencia por ninguna certificación ni recomendaría una más que otra. Depende del trabajo específico que se vaya a desempeñar y el nivel en la organización.
