Usted ha sido nombrado recientemente nuevo presidente de Foro Efitec tras la salida de Juan Manuel Zarco, en el cargo desde 2012. ¿Cuáles son los objetivos que se ha marcado la nueva Junta Directiva en esta nueva etapa y qué acciones llevará a cabo la asociación en aras de conseguirlos?
Para mí es un honor continuar la brillante trayectoria seguida por todos los componentes de las diferentes juntas directivas y sus respectivos presidentes desde la fundación de Efitec hasta ahora.
Agradezco a todos ellos el esfuerzo y sacrificio realizado para conseguir que Efitec sea un referente en el mundo de la seguridad y que a nivel sectorial sea tremendamente valorada y tenida en cuenta.
La figura de Juanma Zarco es muy alargada, y sustituirle es una labor muy difícil pero que se está haciendo más sencilla con su inestimable ayuda. Es muy importante para nosotros, y por ello le hemos pedido que se haga cargo del diseño y desarrollo del Boletín de Efitec, lo que le agradecemos enormemente.
En cuanto a nuestras líneas de trabajo, y como se suele decir, «todo lo que funciona bien, no lo cambies. Simplemente intenta mejorarlo». Y eso haremos. Potenciaremos las vías que están funcionando y abriremos otras nuevas. Por ejemplo, interactuaremos y nos relacionaremos más con las Fuerzas y Cuerpos de Seguridad [FCS], ya que tenemos actualmente una dualidad con ellos: por una parte ejercen la autoridad administrativa sobre nuestra función; y por otra somos colaboradores de todos los equipos de policía judicial en materia de suministro de cualquier tipo de información, como imágenes, movimientos bancarios, identidad de titulares, etcétera.
«La información continuada a los usuarios es básica para concienciarles sobre el riesgo en el uso de las nuevas formas de operar»
Queremos que tanto desde la Unidad Central de Seguridad Privada de la Policía Nacional como desde las diferentes jefaturas de seguridad de Mossos d’Esquadra y Ertzaintza se haga hincapié en el resto de unidades de que somos parte colaboradora esencial, de que queremos hacer las cosas bien, de que nos tienen a su disposición para lo que necesiten y de que, en la misma medida, nos aprieten cuando haya que apretar, pero no de forma gratuita e innecesaria.
Queremos que tengan muy claro que, por nuestra parte, van a tener una colaboración total y absoluta y que no deseamos que levanten la mano. Pero sí que nos miren con un poco de cariño, porque somos parte actuante en positivo. No queremos ser un lastre para ellos.
Por otro lado, otro de nuestros focos es dar aún más valor si cabe a la fortaleza de la asociación compuesta por la mayoría de las entidades financieras. Así como servir de canal común de intercomunicación con los órganos reguladores y los actores que nos afectan: fiscalías, la Asociación Española de Banca, la Administración Central, las administraciones autonómicas, etcétera.
El financiero es uno de los sectores más afectados por la normativa. De hecho, desde Europa se han publicado recientemente varias directivas y reglamentos que le involucran de lleno en lo que a la ciberseguridad se refiere. ¿Qué dificultades entraña a las entidades bancarias este maremágnum legislativo y cómo le afecta esta vorágine de cambios, sobre todo en lo relacionado con la seguridad?
Probablemente hay algún sector con una regulación muy fuerte, pero no sé si tanto como el bancario. Sobre todo debido a los diferentes agentes que interactúan con nosotros, independientemente de las administraciones de Policía que nos tutelan y conceden las correspondientes autorizaciones para ejercer nuestra función. Me refiero a las inherentes al sector.
Por ejemplo, ahora con la Directiva NIS 2, no se sabe cómo se puede gestionar. Porque, y esto también lo he hablado con la Unidad Central de Seguridad Privada de la Policía Nacional, ni saben ni se espera saber a corto plazo qué podemos hacer desde nuestra parte.
Los equipos de seguridad lógica de cada gran corporación están trabajando en ello, y nos consta que en los próximos cinco o seis años se va a producir una variación muy grande en la forma de actuar hasta el momento. Se trata de algo que está evolucionando muy rápidamente y en lo que vamos casi a remolque. Porque una cosa son la directrices y normativas y otra muy distinta la aplicación y reglamentación que ello conlleva, algo que no es sencillo, sobre todo hacerlo de forma inmediata. Todo esto requiere un periodo de tiempo de adaptación, por lo que tenemos un trabajo muy duro por delante.
Una de estas normativas es el Reglamento DORA, cuyo objetivo es reforzar la ciberresiliencia del sector financiero. ¿Qué opinión le merece, a grandes rasgos, esta nueva normativa y qué impacto tendrá en la seguridad tanto de las organizaciones bancarias como de los usuarios?
Como todos conocemos, el pasado 16 de enero entró en vigor el nuevo reglamento que regula la gestión del riesgo digital en las operaciones del sector financiero. La presidencia del Consejo y del Parlamento Europeo alcanzaron un acuerdo acerca del Reglamento sobre la Resiliencia Operativa Digital (Reglamento DORA), que garantizaría que el sector financiero en Europa pudiera seguir funcionando de forma resiliente en caso de grave perturbación operativa del tipo que sea.
Aunque la fecha de entrada en vigor efectiva es el 17 de enero de 2025, si queremos llegar en plazo hay mucho trabajo que hacer. Esas exigencias que impone la normativa habrán de ser equitativas y proporcionales a los riesgos existentes.
Entendiendo como ciberresiliencia la capacidad de responder y controlar cualquier tipo de amenaza o interferencia relacionada con la tecnología de seguridad de la información, la continua evolución y sofisticación de los ataques recibidos conlleva una actualización de los protocolos de seguridad, los cuales harán de este sector el de mayor crecimiento en los próximos cinco años siguiendo la tendencia de los últimos 10.
Respondiendo a la última parte de la pregunta, la información continuada a los usuarios es básica para concienciarles sobre el riesgo existente en el uso de estas nuevas tecnologías y formas de operar. Por ejemplo, en el caso de los mensajes. Las entidades bancarias nunca pedirán credenciales a través de SMS, formato digital o teléfono. Y esto ha de calar entre los usuarios para evitar cualquier tipo de fraude de los que ya se están cometiendo.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de esta entrevista.
¿Quieres leer el contenido completo?