"Mi objetivo es que los clientes de BBVA nos vean como el banco más seguro para realizar sus operaciones financieras"

Ingeniero de Telecomunicaciones por la Universidad Politécnica de Madrid, Sergio Fidalgo comenzó su andadura en BBVA en 1998 asumiendo progresivamente distintas posiciones dentro de la división de Tecnología. En 2009 se trasladó a BBVA USA, donde fue nombrado responsable de Tecnología y Operaciones. Posteriormente, ya en Madrid, fue CIO  y responsable de Ingeniería de la unidad de Corporate & Investment Banking (CIB), responsable de Ingeniería para Client Solutions y en la actualidad es responsable global de Seguridad (CSO) y responsable global de Seguridad de la Información (CISO), donde lidera un equipo global de cerca de 1.000 personas que gestionan la seguridad integral de la organización, sus empleados y sus clientes, cubriendo los ámbitos de ciberseguridad, seguridad de los datos, capacidades antifraude y seguridad física.

Un reto nada fácil ante la vertiginosa evolución de los ciberataques. Sergio afirma que es necesario invertir y evolucionar constantemente para tener la mejor protección posible ante los nuevos ‘modus operandi’ de la ciberdelincuencia y que el factor humano es determinante en la estrategia de protección. Para ello, entrena a la plantilla del banco con ciberejercicios desde los equipos más técnicos hasta la alta dirección.

Sergio deja clara su apuesta por la tecnología de seguridad, como por ejemplo la biometría al desbloquear su móvil con reconocimiento facial. El futuro de la ciberseguridad pasa por los avances que se desarrollen en ese ámbito, así como por la formación y la concienciación social. Como máximo guardián de la seguridad del banco, coloca a la tecnología y las personas como principales palancas para lograrlo.

Pregunta: Sergio, ¿cuáles son tus principales objetivos como CISO de BBVA?

Respuesta: El objetivo principal de un CISO es, lógicamente, proteger a la organización, al banco en nuestro caso, sus activos y sus datos. Y proteger a nuestros clientes, sus finanzas y el principal activo con el que trabajamos, que es su información y su dinero. Es un reto potenciado por el entorno cambiante en el que nos movemos actualmente, algo nada fácil.

Por otro lado, BBVA ya es una referencia en transformación digital. Mi otro objetivo fundamental como CISO del Grupo es acompañar a la organización en ese proceso de digitalización en la relación con nuestros clientes y conseguir que la seguridad forme parte de esa relación como algo absolutamente intrínseco. Y que ellos así lo perciban. Mi intención es que los clientes de BBVA nos vean como el banco más seguro para realizar sus operaciones financieras.

Y para lograr estos objetivos, contamos con varias palancas: la tecnología y la innovación para evolucionar y mejorar la forma de gestionar la seguridad, la colaboración sectorial, el talento del equipo de ciberseguridad y, muy importante, la formación y concienciación de las personas, clave para gestionar el componente humano. Tenemos el reto de conseguir que los clientes y la sociedad se den cuenta de que son parte muy activa de la protección para hacer frente a los ataques de ciberseguridad.

P: Con la tecnología actual, ¿realmente es posible prever que alguien te va a atacar gracias a la inteligencia artificial y el ‘machine learning’? 

R: Con toda la información interna y externa que tenemos podemos prever determinados tipos de ataques, como por ejemplo protegernos contra ‘malwares’ conocidos (de forma similar al funcionamiento de un antivirus, pero bastante más complejo en el mundo corporativo). También podemos prever transacciones maliciosas a partir del análisis de algunos de sus factores, y pararlas a tiempo antes de que se ejecuten.

De todos modos, cuando hablamos de la lucha contra los ciberdelincuentes, no podemos bajar nunca la guardia porque los delincuentes forman parte de una industria madura y perfectamente organizada, por lo que están continuamente buscando nuevas formas de sacarnos ventaja. Para aquellas amenazas nuevas que van surgiendo, seguimos diseñando nuevos modelos de protección y, en caso de que la prevención no lo cubra todo, contamos con un equipo de cerca de 1.000 personas distribuidas en todos los países en los que opera el Grupo. Con ese equipo, y con herramientas y mucha agilidad podemos responder con rapidez ante cualquier evento que se presente.

P: Para reforzar esa protección el banco está colaborando con los mejores ‘partners’ tecnológicos. ¿Qué os ofrece la alianza estratégica con Google Cloud? ¿En qué punto se encuentra?

R: La alianza con Google Cloud nos permite seguir avanzando en nuestro proceso de transformación, posicionarnos como una entidad de referencia en digitalización y ofrecer una experiencia todavía más segura a nuestros clientes.

En lo que se refiere a seguridad, estamos actualmente rematando el proyecto de colaboración que lanzamos hace más de un año. Se trata del uso de Chronicle, la plataforma de análisis de seguridad de Google Cloud, que nos permite transformar la manera en la que realizamos la operación de ciberseguridad. La capacidad de almacenamiento de Google Cloud nos está ayudando a procesar mayor cantidad de información y alertas; y las capacidades de analítica avanzada, de inteligencia artificial y ‘machine learning’ nos están posibilitando generar mejor inteligencia para la toma de decisiones y la automatización de las acciones de protección.

Colaboramos con Google en la co-creación del producto, aportando buena parte del ‘expertise’ y ‘know-how’ y el proyecto está avanzando de forma muy efectiva, cumpliendo el plan previsto y para octubre tendremos migrados los casos de uso y será una realidad completa.

P: La nube híbrida se presenta como una oportunidad. ¿Cuáles son los principales desafíos respecto a la seguridad en la nube?

R: Es una oportunidad clara para la banca en términos de flexibilidad, escalabilidad, costes, digitalización... Y desde el punto de vista de seguridad no supone un riesgo adicional, más bien todo lo contrario: es una palanca más para garantizar que lo que hacemos, lo hacemos bien.

Los proveedores de nube en los que nos apoyamos son referentes reconocidos en materia de seguridad. El reto, por tanto, consiste en utilizar de forma eficiente y efectiva todos los mecanismos de seguridad que los proveedores ponen a nuestra disposición y añadir por nuestro lado las piezas que consideremos necesarias.

Considero que entre los principales desafíos están poder garantizar que los cambios en la arquitectura tecnológica y en la red de la organización se realizan con las debidas garantías de seguridad. Y, por otro lado, exigir a proveedores de servicios de Cloud certificaciones de seguridad internacionalmente reconocidas y medidas de seguridad para proteger la información.

P: Desde hace unos años BBVA cuenta con una nueva plataforma tecnológica, ¿qué diferencias existen entre la seguridad de hace unos años y la seguridad de la plataforma actual?

R: La diferencia fundamental entre las plataformas que teníamos antes y la plataforma nueva en términos de seguridad es que hoy los componentes fundamentales de seguridad, del funcionamiento bancario de la plataforma, son transversales y comunes a toda esta plataforma. La plataforma ha nacido con la ‘seguridad embebida’, que se ha desarrollado con una visión integral y holística, por lo que la integración entre la funcionalidad bancaria, la experiencia digital y la seguridad es mucho más natural.

Y además, sin perjuicio de eso, cada uno de los canales, dependiendo de su tipología, tiene seguridad propia. Por ejemplo, los canales móviles tienen su biometría, con reconocimiento facial o firma por huella. Esto posibilita ventajas que antes los clientes no tenían como por ejemplo poder abrir una cuenta con un selfie desde casa.

P: A pesar de los avances en seguridad seguimos oyendo noticias de brechas de seguridad, fuga de datos… ¿Por qué?

R: La tecnología y la digitalización generan cambios de perímetro (nube, remotización), y esto habilita nuevas oportunidades para la delincuencia organizada, que está continuamente analizando la manera de romper la defensa y encontrar las vulnerabilidades para conseguir el éxito en sus ataques. Estas organizaciones delictivas cuentan con muchos recursos, dotados de mucho talento, que siempre intentan ir un paso por delante de los que estamos del lado bueno de esta película. Así que sofistican sus herramientas, sus ataques, y lo seguirán haciendo.

Es, y seguirá siendo, un ciclo continuo: todo esto nos obliga a estar siempre evolucionando la seguridad, entender los nuevos modelos de ataque y diseñar nuevas soluciones para protegernos de ellos.

“La concienciación es la mejor arma de protección. Tenemos que lograr que el usuario no haga click donde no debe, es la única forma”

También se están aprovechando de técnicas de ingeniería social, con las que están teniendo mucho éxito mediante mensajes impactantes que nos generan sensaciones de urgencia, compasión, miedo, solidaridad…, que hacen que las personas bajemos la guardia y nos convirtamos en el eslabón más débil de la cadena de seguridad. Y es ahí donde comienza un altísimo porcentaje de esas brechas de seguridad o fugas de información: con un ‘click’ que nunca debería haber sucedido.

P: En los ataques de ingeniería social tiene un peso especial el factor humano. ¿Cómo se combate? ¿Existen medidas efectivas que disminuyan los riesgos asociados al factor humano?

R: La mejor protección frente a los ataques de ingeniería social es la información y la concienciación. El avance tecnológico y digital debe ir acompañado de buenos hábitos. Al final, de lo que se trata es de cambiar la cultura de ciberseguridad y de protección de las personas, intentar conseguir que sea algo muy natural. Tenemos que lograr que el usuario no haga click, es la única forma.

En BBVA tenemos una visión por círculos concéntricos de los diferentes ámbitos de personas que forman parte de la cadena de protección.

El primer círculo lo componen nuestros empleados de ciberseguridad, un equipo excelente de profesionales que diseñan y construyen los mecanismos de seguridad. Tenemos planes específicos para ellos, para que nuestro talento esté formado, actualizado, motivado y certificado. Y con un doble objetivo, la protección y hacer frente al reto contínuo que plantea la escasez de talento.

El siguiente círculo lo componen todos los empleados del Grupo BBVA. En la medida en que seguimos concienciando, formando y entrenando a los empleados estamos mejor prevenidos de los ataques por ingeniería social y de posibles errores humanos que pueden poner en riesgo a la organización.

Desde nuestro equipo de People Security, hemos formado a más de 90.000 empleados en todos los países con unos conocimientos y una base sólida en ciberseguridad. Formación específica para colectivos especiales como alta dirección o desarrolladores y operadores de SWIFT. Además hacemos entrenamientos contínuamente para que estén preparados para defenderse de posibles ciberataques.

Todo este esfuerzo está dando sus frutos: hace tres años, un 90% de nuestros empleados sabía reaccionar ante un ataque simulado; a día de hoy, ese porcentaje se sitúa en el 98%. Seguimos y seguiremos trabajando para llegar lo más cerca posible del 100%.

El tercer círculo lo forman nuestros clientes, a los que intentamos informar, formar y concienciar sobre los principales riesgos de ciberseguridad, a través de todos los canales disponibles y en muchas de las interacciones que tenemos con ellos. No me canso de decir que, al final, el factor humano es clave, en la medida en la que, en la inmensa mayoría de los casos, es necesaria la ‘colaboración inconsciente’ del cliente para llevar a cabo el fraude. Por tanto, conseguir que nuestros clientes sepan cómo protegerse es vital.

Finalmente, el último círculo es la sociedad en general. Desde BBVA queremos contribuir a la concienciación de todas las personas, queremos acercar la formación en ciberseguridad a todo el mundo. Por ello, utilizando Coursera (una reconocida plataforma internacional de formación), somos la primera entidad financiera que, de forma gratuita, ha puesto a disposición del público en general, algunos de los cursos de formación que han hecho nuestros equipos. Los cursos se lanzaron en abril y julio y ya hay inscritas más de 3.400 personas.

P: Otros de los grandes retos en el ámbito tecnológico son el talento y la diversidad ¿cómo se prevén los próximos años en el ámbito de la seguridad? ¿Qué medidas estáis implementando para retener y contar con el mejor talento? 

R: Desde el punto de vista del talento, existe hoy en el mercado una altísima demanda por perfiles expertos en ciber, de ahí que lo importante es la retención y la captación. Seguimos trabajando en tener presencia en foros especializados, para dar a conocer nuestra oferta de valor y atraer el talento. Afortunadamente, el mercado nos percibe como una compañía que le pone foco e inversión a la ciberseguridad, y eso nos ayuda a seguir atrayendo talento para complementar el excelente equipo que tenemos.

Y desde el punto de vista de la retención, ponemos el foco en la formación especializada. Invertimos en certificaciones para nuestros empleados que hace que ellos se sientan mejor cuidados y tratados. Y, por supuesto, ofrecemos oportunidades de crecimiento profesional y proyectos punteros de los que formar parte.

En cuanto a diversidad, el sector ha mejorado, pero no está donde tiene que estar. Es un reto que afecta no solo al mundo ciber, sino también al sector tecnológico en general. En BBVA estamos lanzando muchas iniciativas para apoyar la diversidad, y continuaremos haciéndolo porque es un problema que hay que resolver.

Tenemos que mejorar todos para conseguir que cada vez más mujeres vean la ciberseguridad como una excelente oportunidad para desarrollar una carrera profesional. Desde aquí recomiendo a todas las jóvenes que nos estén leyendo que lo contemplen como una opción de futuro.

P: Además del factor humano, existen otras situaciones que pueden poner en riesgo a la organización. ¿Cuáles son los planes de contingencia para ese tipo de situaciones? ¿Estaría BBVA preparado para una posible ciberguerra?

R: En BBVA llevamos años trabajando en planes de contingencia y tenemos diversos protocolos para actuar frente a los distintos escenarios que se pudieran dar. Entre ellos, en la actualidad estamos incorporando ciberescenarios a los planes de continuidad de negocio, con el fin de asegurar la capacidad de respuesta ante cualquier evento ciber.

“Tenemos que ser capaces de que los clientes perciban y aprecien la seguridad como un valor indispensable en sus transacciones financieras”

Nunca existe el riesgo cero, pero creo que nuestro nivel de prevención, detección y respuesta es el adecuado, gracias al trabajo de los últimos años. Y por supuesto, seguimos trabajando para mejorarlo.

Finalmente, desde hace varios años tenemos la práctica de formar a nuestro personal, incluida la alta dirección, en simulaciones que nos preparan para esos eventos. Hacemos ciberejercicios, que son escenarios en los cuales simulamos cómo tendría que actuar la alta dirección y nuestros departamentos de seguridad ante el caso de un ciberataque. Después se revisan los comportamientos desarrollados en estas prácticas, se toman decisiones y se protocolizan acciones para los siguientes, de manera que estemos preparados para acciones de este tipo.

P: Para terminar, ¿qué tecnologías crees que van a ser clave en materia de seguridad financiera? ¿Va a permitir la biometría eliminar alguna vez el envío de códigos por SMS para completar las operaciones?

R: Por un lado, desde el punto de vista de la protección de la compañía, como hemos comentado, la analítica avanzada, inteligencia artificial o ‘machine learning’ ya están dando sus frutos en el diseño de modelos de protección. Sin duda esta tendencia va a continuar.

Desde el punto de vista de los clientes, visualizamos que la fórmula tradicional de usuario + password tiene una tendencia a desaparecer, se ha revelado como un elemento de seguridad demasiado débil y fácil de quebrar.

Es por eso que apostamos sin duda por la biometría como factor de autenticación, va a ser cada vez más protagonista en la seguridad de nuestros clientes. Lo cierto es que la desaparición del SMS dependerá de la disponibilidad de herramientas biométricas en el dispositivo, como reconocimiento facial o huella, algo que todavía no llega al 100% de nuestros clientes en el mundo, pero acabará llegando sin duda. En España, México o Perú ya estamos empezando a decir adiós al SMS.

Nuestro reto es que los clientes nos acompañen en este viaje, y perciban la seguridad como un valor adicional y necesario en la realización de sus operaciones financieras, sin que suponga un esfuerzo extra.