Javier Torres Alonso, CISO de Allfunds

Entrevista con Javier Torres Alonso, CISO de Allfunds: «La seguridad es un problema si los responsables de seguridad no utilizan la Ciberseguridad como un driver más de negocio»

¿A qué se dedica la parte principal del presupuesto de su departamento?

Desde hace varios años en Allfunds seguimos el estándar NIST para llevar a cabo nuestro plan director de ciberseguridad. Si nos basamos en este modelo, donde alocamos más parte del presupuesto es en las torres de Protect y Detect. Los servicios de protección y monitorización continua de la plataforma suponen un gasto muy alto y merecido ya que es la piedra angular sobre la que basamos nuestra estrategia. Obviamente no podemos olvidarnos del resto de torres y tener buenas estrategias para responder y recuperar también conlleva hacer inversiones en herramientas y soluciones adecuadas ya que por muy buenas herramientas de protección y detección se tengan el riesgo de sufrir un ataque y tener que recuperar los servicios de negocio en tiempo y forma siempre va a estar ahí.

¿En qué área se está invirtiendo más este año?

Al hilo de la anterior pregunta, este año, es el año de DORA, con lo que gran parte de las inversiones están orientadas a cubrir los gaps que hemos identificado en nuestros assessments de cumplimiento de la norma. Considero que la parte más importante de DORA es la mejora de la resiliencia de las compañías del sector y por ello desde el área de Ciber, estamos liderando todas las iniciativas de tecnología y operaciones y colaborando con todos los equipos para el desarrollo de todos los planes para cumplir con la norma en tiempo y forma.

¿Qué proyecto es del que está más satisfecho?

Hace unos meses tuve el honor de que esta revista me galardonara con el premio al CISO del año 2023 por un proyecto que suponía un cambio de paradigma en el acceso a los servicios del banco tanto por personal interno como externo. Este proyecto ha consistido en sustituir las tecnologías clásicas de navegación y acceso remoto por un nuevo modelo SASE basado en Zero Trust. Esta adaptación ha supuesto la digitalización de estos servicios y nos ha servido para reforzar la resiliencia a la vez que reducimos nuestra superficie de ataque. Además, hemos conseguido unificar la autenticación de los usuarios y reducir los tiempos de acceso. En definitiva, hemos mejorado tanto en seguridad como en experiencia de usuario.

Uno de los principales objetivos de nuestro plan director de ciberseguridad es alcanzar un nivel de madurez avanzado en el modelo Zero Trust. Este proyecto ha sido una pieza clave para mejorar dicho nivel de madurez y seguiremos trabajando en la implementación de mejoras que nos ayuden, junto con nuevos proyectos, a alcanzar el objetivo marcado.

¿La seguridad es un problema?

La seguridad es un problema si los responsables de seguridad no utilizan la Ciberseguridad como un driver más de negocio. Los CISOs no podemos usar la cultura del miedo para aplicar medidas dentro de una compañía. Al contrario, debemos de ser parte de la solución e incluir esas medidas dentro de las soluciones de negocio y mostrar a nuestros clientes el valor añadido que supone la ciberseguridad. Desde nuestra área siempre intentamos se constructivos con las medidas a implantar y poner en una balanza negocio y seguridad siempre sin olvidar que hay ciertas líneas rojas que no se pueden sobrepasar.

¿Qué retos tiene un sector como el suyo?

El reto más relevante en el futuro cercano para los CISOs va a ser lo que ya hacemos, seguir protegiendo a nuestras compañías contra los “malos”. Con la diferencia de que cada vez los ataques van a ser más complejos, sofisticados y difíciles de identificar y contener. Por ello, desde las áreas de ciber tenemos que seguir trabajando en mejorar nuestras arquitecturas de seguridad, apoyarnos en las nuevas tecnologias e implementar nuevos controles para ser capaces de responder de manera temprana a cualquier tipo de ataque.

¿Qué tendencias principales observa en el mundo TIC?

Venimos de hablar de cloud, blockchain, etc y creo que ahora todas las soluciones tecnológicas y todos los servicios TIC tienden a tratar de crear soluciones con inteligencia artificial. La IA ha llegado como una gran evolución de la hiperautomatización y la explotación de los datos y la IA generativa será donde más se trabaje en los próximos años.

Bajo ningún concepto en su móvil puede faltar…

Podría decir que el Teams, Outlook, herramientas de MFA o el whatsapp porque hoy por hoy en los móviles lo llevamos casi todo. Dicho esto, la realidad es que lleve la app que lleve lo que nunca faltara en mi móvil es un fondo de pantalla de mi hijo.

¿Cuál es la herramienta que realmente le cambió la vida?

El smartphone. Tuve mi primer iPhone en 2007 y desde entonces no he cambiado de modelo de móvil (he perdido la cuenta de cuantos iPhone he tenido). Me parece que es una herramienta que ha cambiado la vida de las personas (para bien y para menos bien). En mi caso, podría decir que es de las pocas cosas que tengo que llevar siempre conmigo.

¿Harto de solucionar los problemas tecnológicos de la familia y amigos? ¿Qué le suelen pedir?

Harto no pero, si que es verdad que cuándo te dedicas a la informática y eres informático de carrera, los demás tienen en su mente que sabes de cualquier dispositivo electrónico. Suelo recibir llamadas del tipo, “me va lento el ordenador o me funciona mal internet ¿Qué puedo hacer?” O “no me funciona la televisión, por favor mira a ver que le pasa”. Se da por supuesto que por haber estudiado una carrera técnica tienes que saber de todo. Aun así, me encanta trastear con la tecnología y cuando me piden este tipo de cosas trato de ayudar.

¿Qué es eso de la transformación digital? ¿Slogan o necesidad?

Para mí, necesidad. Vivimos en un mundo más interconectado en el que la tecnología está presente en casi todos los ámbitos. Tiene sentido llevarnos la digitalización a los servicios que prestamos a nuestros clientes con el fin de aportar un valor añadido al servicio tradicional que ya les prestábamos anteriormente.

Allfunds es una firma muy “techie”. ¿Qué tecnología es la que más impacta en sus clientes?

Mas que una tecnología en concreto, dado que somos una plataforma, lo que más valoran los clientes de Allfunds es la robustez de la misma. Tener unos servicios en alta disponibilidad y ser capaces de dar un servicio de calidad y sin incidencias es lo que hace diferenciador a Allfunds.

¿En la nube u on-premise?

Desde la perspectiva de ciberseguridad, hoy por hoy, no es un problema ninguna de las dos arquitecturas. Entiendo que depende del tipo de compañía y de la estrategia de negocio. En cualquier caso, ya hay herramientas suficientes para ser capaces de proteger los servicios estén alojados on-prem o en entornos cloud. Lo más razonable es tener una estrategia clara de cuál es el viaje a la nube y diseñar modelos de ciberseguridad desde el inicio.

¿La falta de conocimientos de seguridad de clientes y empleados es uno de los principales retos?

Como siempre digo “tu cadena están fuerte como tu eslabón más débil”. Y lo que vemos en el día a día es que el usuario por lo general es ese eslabón más débil. O bien por desconocimiento o bien porque cree que la ciberseguridad es un stopper. Por ello hay que ser capaces de concienciar, formar y trasladar la importancia que tiene la ciberseguridad hoy en día para que sean conscientes de los riesgos a los que están expuestos y de esa forma hacer a las compañías más robustas en ese sentido. En Allfunds nos preocupamos mucho por formar y concienciar a nuestros empleados y llevamos a cabo varias acciones formativas a lo largo del año.

En general, ¿qué tecnología cree que es la que más va a impactar en las empresas en el medio plazo?

Creo que, si hiciéramos la pregunta a cien CISOs, al menos 95 contestarían que la inteligencia artificial. Todas las estrategias tanto tecnológicas como soluciones de ciberseguridad están tendiendo a tener un componente de IA. Y creo que esta tecnología tiene mucho recorrido, no solo para el desarrollo de soluciones empresariales sino también para mejorar la ciberseguridad. Ya estamos viendo herramientas tipo SOAR con un componente de inteligencia artificial que nos está ayudando a los equipos de monitorización a automatizar respuestas ante ciertos eventos de seguridad.