Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

Entrevista con Javier Tobal, CISO de Fintonic – Un CISO en 20 Líneas

«La transformación digital es una necesidad que ninguna organización puede ignorar porque provocaría su desaparición»

Nombre: Javier Tobal
Cargo y empresa: CISO EN FINTONIC
Fecha de nacimiento: 9/2/1970
Estado Civil: CASADO
Hijos: 3 (Hugo, Asier, César)
Deportes que practica: Running, Natación, Gimnasio
Hobbies: Viajar con la familia, Navegar.
Estudios: Licenciado en Informática (Universidad de Deusto), Máster en Informática industrial (Escuela Superior de Ingenieros de Bilbao, ETSIB)
Personas a su cargo: 3 (sin contar el personal externo)
Antigüedad en la empresa: Año y medio
Trabajos anteriores: Auditor y consultor de seguridad. Perito judicial informático. Project manager en el observatorio europeo de ciberseguridad (cyberwatching.eu) y el clúster nacional de ciberseguridad (aeiciberseguridad.es) Gerente en equipos de innovación del sector telco (Orange, Huawei)

Entrevista con Javier Tobal, CISO de Fintonic

¿A qué se dedica la parte principal del presupuesto de seguridad de la empresa?
  • Auditorias y ejercicios de penetración
  • Herramientas para la gestión de vulnerabilidades
  • Supervisión de la seguridad de la plataforma cloud (Compliance, IDS)
  • Análisis de eventos de seguridad (SIEM)
  • Protección de datos críticos (DLP).
¿En qué tecnologías de seguridad se está invirtiendo más este año?

Prevención de pérdidas de datos críticos (DLP), incluyendo exfiltración de datos y acceso a datos sensibles por parte de personal interno.

¿Qué proyecto es del que está más satisfecho?

En FINTONIC buscamos desde el principio una plataforma de gestión de seguridad unificada para nuestra plataforma cloud, que actualmente está alojada en Amazon Web Services (AWS). Apostamos por una tecnología nueva de la startup californiana “LACEWORK” y estamos muy satisfechos de la solución y la integración de esta plataforma con nuestros procesos “devops”.

Si le pusieran todos los beneficios de la empresa a cargo de su departamento, ¿qué le gustaría implementar?

Más que implementar nuevos desarrollos me gustaría dedicar recursos a participar en proyectos Open Source de los que somos usuarios intensivos. Por una parte, devolver a la comunidad parte del esfuerzo invertido por ésta y, además, participar en la evolución de estas herramientas.

En general, ¿la seguridad es el mayor problema de las TIC?

La seguridad es solo un ejemplo concreto de un problema más general de las tecnologías de la información que es el manejo de las expectativas de los usuarios. Todos los sistemas desplegados que funcionan transmiten al usuario la sensación de ser correctos, fiables y confiables cuando, en realidad, no hay una evaluación crítica por parte de los usuarios de que esto es realmente así.

¿Se puede eliminar el riesgo del usuario?

El usuario debe ser tratado como un “activo” más, hay que hacer un análisis de riesgos sobre él y darle las herramientas y permisos que requiera para mantener controlado el riesgo asociado a su actividad. También hay que pensar en el aspecto humano, todos trabajamos mejor si tenemos confianza en lo que hacemos y tenemos la formación y el entrenamiento adecuados.

No podemos prescindir del usuario a la hora de diseñar o entregar un servicio y, a su vez, no debemos usar al usuario como excusa cuando las cosas no funcionan como estaban diseñadas.

Bajo ningún concepto en un móvil debería faltar….

Un análisis periódico de las aplicaciones instaladas, desinstalar las que no usamos y revisar los permisos concedidos a las mismas tanto en la instalación inicial como en las actualizaciones posteriores.

¿Cuál es la herramienta que cambiará el mundo de la ciberseguridad?

¡Me gustaría saberlo! Seguramente, los ejes principales de esta herramienta serán: técnicas de Deep Learning, análisis de datos procedentes de fuentes no públicas (dark/deep web, fuentes privadas, etc.) y entornos virtualizados para la simulación, reproducción y preparación ante ataques dirigidos.

¿Harto de solucionar problemas de seguridad de la familia y amigos? ¿Qué le suelen pedir?

En realidad, la mayoría de las peticiones que recibo están más relacionadas con soporte informático en general que con la seguridad. Sobre seguridad, mis contactos personales están preocupados por temas relacionados con la privacidad de sus datos, apariciones no controladas en redes sociales, publicación de información privada, mensajes de phishing, etc.

¿Tiene cuenta en redes sociales? ¿En cuáles?

De forma activa, mantengo cuentas en Linkedin (https://www.linkedin.com/in/javiertobal) y Twitter (https://twitter.com/javitobal). El resto de redes sociales en las que tengo cuenta no las atiendo con frecuencia.

¿Qué es eso de la transformación digital? ¿Slogan o necesidad?

La transformación digital es una necesidad que ninguna organización puede ignorar porque provocaría su desaparición. La sensación de aceleración de la transformación es el resultado, muchas veces, del retraso acumulado en iniciar esta transformación.

¿Lo del I+D+i, es una leyenda urbana?

Ni mucho menos. I+D+i es la única estrategia que permite hacer sostenible el crecimiento en valor añadido de servicios y productos. El problema, a veces, es que se asocia innovación a grandes proyectos intensos en financiación y con un plan de ejecución muy acotado temporalmente; se pasa por alto iniciativas prolongadas en el tiempo que permitan mantener un equipo de innovación de forma sostenible en el tiempo.

¿En la nube u on-premise?

En la nube 100%. Una vez en la nube no hay camino de retorno seguro a soluciones on-premise.

¿Alguna vez se podrá ir por delante del cibercriminal?

En realidad, no. Los cibercriminales encuentran continuamente nuevas oportunidades con la aparición espontánea de vulnerabilidades asociadas a los nuevos desarrollos. El volumen de sistemas que se desarrollan y actualizan a diario es tan enorme que resulta imposible evitar la aparición de vulnerabilidades, a la vez que resulta mucho más sencillo explotar una vulnerabilidad que corregirla.

Nuestra labor frente a los cibercriminales es llevar la ciberseguridad a las fases tempranas de diseño y desarrollo y detectar los ataques antes de que los atacantes se hagan persistentes en los sistemas en producción.

También veo interesante que los equipos de seguridad dispongan de escenarios de prueba donde se puedan enfrentar a situaciones críticas antes de que estas situaciones se produzcan realmente en plataformas en servicio.

¿Por qué un antivirus no es suficiente?

La propia idea de antivirus es que las amenazas etiquetadas como “virus” son simples, de funcionamiento básico y objetivos genéricos. La realidad es que las amenazas más peligrosas son cada vez más complejas, polimórficas y, aunque persiguen su propia difusión, buscan objetivos específicos. Más que antivirus, necesitamos sistemas de protección integral que detecten y eviten comportamientos anómalos tanto en sistemas de almacenamiento, como en memoria como en las comunicaciones entre sistemas.

¿Estamos en guerra cibernética?

Si hablamos de ciberguerra, hay que convenir que no se puede aislar el elemento cibernético del resto de espacios físicos tradicionales. No hay ataque cibernético independiente del medio físico y no hay ya ninguna misión militar que no haga uso intensivo de la ciberinteligencia y los medios cibernéticos. Actualmente no hay ninguna guerra cibernética declarada, pero, indudablemente, hay una escalada en el aprovisionamiento de armas cibernéticas.

Deja un comentario

Scroll al inicio