Segurilatam 011

10 Segundo cuatrimestre 2019 entrevista Ciberseguridad Por Javier Borredá y Bernardo Valadés -En las entidades financieras, ¿la segu- ridad de la información y la ciberse- guridad son una prioridad para garan- tizar la continuidad de las operacio- nes? ¿La seguridad física, aun siendo importante, ha quedado relegada a un segundo plano? Todo lo contrario. A estas alturas del si- glo XXI, la comunicación y la colabo- ración son esenciales para lograr una protección efectiva de los activos de la información: personas, tecnologías, pro- cesos… Un programa integral de segu- ridad lo conforman diversos actores es- pecializados en riesgos, compliance , se- guridad corporativa (antes seguridad física), prevención de fraudes y lavado de dinero, seguridad de la información y ciberseguridad. Generalmente, estas últimas áreas están integradas en un mismo departamento. -¿Cómo deben ubicarse la seguridad de la información y la ciberseguridad en la estructura organizacional de una entidad financiera? Para empezar, no han de ser un área de TI. Si bien es cierto que, tradicional- mente, las áreas de seguridad de la in- formación y de ciberseguridad nacieron en departamentos de tecnología, ha sido una constante discusión cuál debe ser su ubicación ideal en la estructura organizacional. La función de seguridad de la infor- mación requiere otras competencias además de las técnicas. Por ejemplo, conocer los productos, el negocio, los clientes y el mercado en el que se de- sarrolla la organización. Necesita hablar en términos de riesgos y tener habili- dades de negociación, autoridad e in- fluencia estratégica y velar por las ne- cesidades de la organización sin tener conflictos de intereses. De ahí la impor- tancia de consultar bibliografía especia- lizada. En el caso del sector financiero mexi- cano, el responsable de la seguridad de la información y la ciberseguridad de una organización debe posicionarse a una altura ejecutiva para contar con un nivel de exposición, autoridad e influen- cia que le permita tomar decisiones junto al resto de responsables de la en- tidad. Esto es, a un nivel C reportando al CEO. De ahí que se denomine CISO (Chief Information Security Officer). “El CISO de una entidad financiera debe posicionarse a nivel ejecutivo y reportar al CEO” Dra. Erika Mata Sánchez Directora de la División de Seguridad de la Información y Ciberseguridad de la UDLAP Jenkins Graduate School Con más de 20 años de experiencia profesional y docente, Erika Mata Sánchez es una experta en seguridad de la infor- mación que ha desempeñado su labor en entidades financieras como HSBC, Scotiabank México o BBVA Bancomer. En la en- trevista exclusiva concedida a ‘Segurilatam’ nos brinda su opi- nión, entre otras cuestiones de interés, sobre el perfil que ha de tener un CISO, cómo deben abordarse la seguridad de la información y la ciberseguridad en las organizaciones y las ac- ciones que se están impulsando en México para formar profe- sionales en ambas especialidades. “Si un CISO no conoce el negocio, el mercado y la cultura y la estrategia de su organización, ¿cómo sabrá qué tiene que proteger?”