Red Seguridad 088

Expertos red seguridad primer trimestre 2020 31 Guillermo Llorente Subdirector General de Seguridad y Medio Ambiente de Mapfre 12 Primer cuatrimestre 2017 entrevista Seguridad Corporativa Por Bernardo Valadés Fotos: Mapfre/‘Segurilatam’ -En 1996, el entonces novedoso Plan Director de Seguridad de Mapfre ya incluía el concepto de seguridad inte- gral. ¿Podría afirmarse que la compa- ñía fue pionera en fusionar las seguri- dades física y lógica? No creo que podamos decir que fué- semos los primeros. Pero sí afirmar con convicción que desde el principio es- tuvimos en el grupo de los que, incluso cuando casi nadie creía en él o no lo sostenía en público, defendíamos el concepto de seguridad integral en dis- tintos foros y, además, lo aplicábamos directamente a nuestra organización de seguridad. -¿Cómo fue ese proceso de integra- ción? ¿Desde el principio contaron con el apoyo y la implicación de la alta dirección? Evidentemente, un proceso de este tipo es inviable si no cuenta con el apoyo de- cidido de la alta dirección. Para llevarlo a cabo es necesario disponer de un grupo de profesionales de las diferentes ramas o áreas que crean firmemente en el mo- delo de seguridad integral. Y deben es- tar dispuestos no sólo a buscar siem- pre las sinergias, sino incluso a renunciar a parte de su parcelita para integrarse y compartir métodos y puntos de vista con el resto, aunque, a priori, su filosofía de trabajo pueda ser diferente. Luego, claro está, hay que darle forma a la idea, empezando por un paraguas normativo, y ahí es donde entra en juego el Plan Director de Seguridad y Medio Ambiente de Mapfre, y un or- ganigrama y un modelo de gobierno acordes e impulsores de este concepto integral. Los resultados y sinergias obtenidos han posibilitado el mantenimiento y reforzamiento de ese apoyo de la alta dirección. Por muy sólido que sea el planteamiento inicial, sin los resulta- dos no se podría haber mantenido en el tiempo. -¿Cómo se estructura la Dirección de Seguridad y Medio Ambiente de Ma- pfre? ¿Cuáles son sus principales co- metidos y a quién reporta dentro de la empresa? Actualmente somos una dirección cor- porativa dependiente del vicepresi- dente primero de la compañía. Nuestro modelo está eminentemente centrali- zado, aunque con huella local en los di- ferentes países y con un alcance global. Entendemos a Mapfre como un todo al que damos una protección homogénea y proporcionada a las características de riesgo y criticidad de cada activo, con independencia del lugar donde se ubi- que. No obstante, el país y la situación condicionan, como no puede ser de otra manera, el nivel de riesgo. Y el organigrama se articula conside- rando los diferentes niveles de protec- ción del activo (seguridad de las perso- nas e instalaciones, de los sistemas de información y de los procesos de nego- cio) y las distintas etapas del proceso de seguridad y medio ambiente (planifica- ción, diseño e implantación, monitori- zación de los activos y, por último, revi- sión y control de todo el proceso). -¿Cómo velan por la seguridad de las sedes y empleados de Mapfre en La- tinoamérica? ¿Aplican un modelo cor- porativo, diseñado en España, que se Guillermo Llorente Subdirector general de Seguridad y Medio Ambiente de Mapfre “Implementar el concepto de seguridad integral en una organización es inviable sin el apoyo decidido de la alta dirección” Procedente del ámbito militar, donde llegó a desempe- ñar el cargo de jefe de la Unidad de Contrainteligencia y Seguridad Interior en el Centro de Inteligencia y Seguri- dad del Ejército de Tierra (CISET) español, Guillermo Llo- rente se incorporó en 2006 a Mapfre. En la compañía, fun- dada en 1933 y con una destacada presencia en Latinoa- mérica desde 1984, este profesional ha logrado consolidar un modelo integral en la gestión de la seguridad que se ha convertido en “seña de identidad y un orgullo” para la em- presa aseguradora. "El usuario es cada vez más consciente de que la ciberseguridad es un ingrediente vital" L a mayoría de las compañías se encue tran inmersas en un proceso de transformación digital que incrementa cada día su dependencia de la tecnología. Conscientes de este esc nario, las organiz ciones, en los últimos años, vi nen invir- tiendo más en ciberseguridad de cara a mitigar el aumento de su exposición a los ciberriesgos. Reguladores, empresas y usuarios son ada vez más co scientes de qu la ciberseguridad es uno de los ingredientes imprescindibles para dotar de confiabilidad a la tecnología y a su uso. Ese esfuerzo inversor tiene como objetivo contrapesar otros factore que consumen parte del mismo o directamente operan en sentido contrario, y que estimo constituyen esos grandes retos a los que hacer frente para poder dar respuesta a lo que se sp ra d nosotros. Entre ellos podemos encontrar los siguientes: - La creciente presión normativa: directivas globales como el RGPD y la NIS, junto con las normas de desarrollo, elevan las condiciones de cumplimiento y aumentan los costes administra- tivos debido a requisitos de accountability . A ellas hay que añadir las normativas específicas sectoriales que están aflorando. - El aumento del alcance: motivado por la necesidad de man- tener la estrategia de protección de los entornos on premises , al mismo tiempo que se elaboran y despliegan las estrategias de protección de los entornos nuevos (SaaS, Paas, etc.). - Democratización del cibercrimen: el ransomware , el BEC ( Business Email Compromise ) o el "fraude al CEO" son ejemplos de cómo el cibercrimen está afectando a todos los sectores a diferencia del pasoso, en el que se focalizaba en sectores finan- cieros y aquellos relacionados con los medios de pago. - Identificación y retención de personal cualificado: en la medi- da que los sectores industriales aumentan su dependencia de la tecnología, crece la necesidad de contar con profesionales de ciberseguridad. Esto provoca una continua competencia entre compañías y un factor de globalidad de estos profesionales. Jesús Mérida CISO de Iberia "Los CISO tenemos más frentes abiertos debido a una mayor adopción de tecnología" L as em resas se enfrentan a una mayor cantidad de retos, cada vez más complejos, en materia de ciberseguridad. Principalmente, debido al crecimiento exponencial de la adopción de tecnología, los CISO tenemos más frentes abiertos. En muchos casos, los asumen las distintas áreas de negocio por la facilidad creciente de poner en marcha aplicaciones y sistemas fun- cionales con poco conocimiento técnico; pero sin tener en cuenta la aplicación de la seguridad desde un principio ( secure by default ). La integración de las diferentes piezas que conforman los sis- temas de seguridad y, sobre todo, la automatización de procesos que permita la eliminación previa de falsos positivos y categorizar por criticidad e importancia los incidentes, serán las mejores armas para un departamento de Ciberseguridad en grandes empresas. Por otro lado, como tendencias de ciberataques tendremos que considerar seriamente el ransomware , que ha probado ser fácil y rentable. Debemos tener especial cuidado, precisamente relacionado con la creciente adopción de tecnologías en la nube, con los ataques especializados a la interfaz de programación de aplicaciones (API). Estos conectores se están convirtiendo en un estándar de mercado para el desarrollo y la integración de tecno- logías, pero muchas veces no se cuida la seguridad en el diseño y la implementación de estas soluciones.

RkJQdWJsaXNoZXIy ODM4MTc1