Red Seguridad 107

76 red seguridad cuarto trimestre 2024 entidades esenciales monográfico trata de la ejecución periódica de prue- bas sustantivas de técnicas individuales de ataque orientadas a revisar el catá- logo de TTP de ataques referenciados al framework ATT&CK™. El catálogo de pruebas se ejecuta cíclicamente, con la finalidad de validar la eficacia de las pro- tecciones, las capacidades de detección y respuesta, y de efectuar un análisis gap en estos ámbitos y ejecutar tareas o planes de mitigación. En los últimos años, la normativa en ciberseguridad ha evolucionado consi- derablemente. ¿Cómo aborda Singular Bank regulaciones como DORA, NIS 2, Ciberresiliencia, etcétera, para que vaya más allá del mero cumplimiento normativo? Es fácil. Priorizamos la ciberseguridad operativa, real, tangible y medible con políticas y procedimientos “ligeros”, que no “ahoguen” o nos despisten frente la operatividad. A su vez, nuestros mar- cos para dar respuesta a la regulación están muy orientados a dar cobertura a los controles, así como a su eficiencia y trazabilidad. Aún así, el sector financiero es uno de los más regulados en términos de ciberseguridad. ¿Qué dificultades o ventajas ha encontrado al implemen- tar estas normativas específicas en un entorno ya de por sí tan regulado como es un banco? Personalmente, observo sólo ventajas. La regulación bien entendida, bien apli- cada internamente, con madurez, crite- rio y proporcionalidad, te permite validar tu marco de control y hacer palancas en los ámbitos de mejora. Nunca me ha gustado ese falso dilema de regulación frente a desarrollo. Es frecuente escuchar que la ciberse- guridad tiene que representar un valor para las organizaciones, de manera que realmente se le otorgue la impor- tancia que merece. ¿En qué debe tra- ducirse ese valor añadido y cómo debe proceder el CISO para alcanzarlo? El valor añadido viene desde dos ámbi- tos. El primero es cumplir en tiempo, for- ma y con economía de medios su misión de segunda línea de defensa orientada a medir, controlar y gestionar el riesgo en ciberseguridad junto con todos sus responsables. En segundo lugar está un futurible poder ofrecer un carácter diferenciador en ciberseguridad respecto a otras en- tidades. ¿Cómo? Con planes directores anuales, muy tácticos y bien justificados, trazados con las amenazas y evaluacio- nes; y modelos de gobierno que den visi- bilidad del estatus en materia de ciberse- guridad a la Dirección de la organización. Si mira hacia el futuro, ¿cuáles con- sidera que serán las tendencias más relevantes en ciberseguridad para el sector bancario y cómo se prepara Singular Bank para enfrentar estos de- safíos? Sigo considerando como tendencia el control del fraude, que ampliará su en- foque al denominado e-crime y apuntará a la necesidad de convergencia en el control y operación de todos los cana- les: oficinas virtuales, medios de pago –tarjetas–, criptomonedas… Por otro lado, nos dirigimos hacia esquemas de colaboración de todos los stakeholders (AML, Compliance …) en espacios co- munes, con un core de datos común, con herramientas de consultas, analíti- ca y explotación con alta usabilidad. En Singular Bank ya estamos trabajando en ello desde hace años. “Nos dirigimos hacia esquemas de colaboración de todos los ‘stakeholders’ en espacios comunes”