JOSÉ ANTONIO CASTRO, director de Seguridad Informática de Santander Central Hispano
“La seguridad en el Grupo Santander se entiende como un derecho del cliente y como un servicio de valor añadido imprescindible que puede tener un carácter diferenciador
Dieciséis años en el mundo de las TIC y diez específicamente centrado en la seguridad avalan la trayectoria de José Antonio Castro, uno de los grandes expertos españoles en esta disciplina. Su reto permanente no es otro que el de gestionar la seguridad de los sistemas de información de Santander Central Hispano desde la perspectiva de la gestión del riesgo tecnológico, un componente fundamental del riesgo operativo en las organizaciones más avanzadas..

– ¿Podría resumidamente dar unas pinceladas que ayuden a entender la dimensión del sistema de información tecnológico del Grupo Santander?

– En estos momentos lo que estoy autorizado a facilitar son los últimos datos públicos aparecidos en la memoria del año 2002 y correspondientes al 31 de diciembre del mismo año, que aún siendo antiguos, aportan una visión clara de los sistemas de información del Grupo Santander. En fechas próximas se harán públicos los datos de 2003, dentro de la memoria de ese mismo año.
El Grupo cuenta con 9.281 oficinas, 108 portales de Internet, una capacidad de proceso -en entornos centrales-, de casi 21.000 Mips, una capacidad de almacenamiento de 2.500 Tb, se realizan 628 millones de transacciones/mes, 22 millones de páginas/mes accedidas en la Intranet corporativa, 57 millones de páginas/mes accedidas en Internet, casi 2.200.000 clientes de Internet con 84 millones de operaciones/anuales por esta vía, 205 millones de operaciones de Bancas Electrónicas y 521 millones de euros dedicados a Tecnología.

– ¿Desde cuándo existe en la entidad la función específica de seguridad informática?

– Si bien en la organización se desarrollaban diferentes funciones relacionadas con seguridad de la información, la Dirección de Seguridad Informática, como tal, es constituida vía circular por la Comisión Ejecutiva del Banco en el año 1996. En dicha circular se definen también las responsabilidades, el ámbito y la dependencia jerárquica de la Dirección de Seguridad Informática.

– ¿Y de dónde depende hoy la Dirección de Seguridad Informática?

– Ha estado encuadrada desde su creación en la Dirección de Tecnología y Sistemas, que a su vez depende de la Dirección de Medios y Costes.

– ¿Cuántos profesionales forman hoy su Equipo?

– El número de profesionales normalmente varía a lo largo del año, en función de los proyectos o acciones que se estén llevando a cabo en el momento y la necesidad que se tenga de colaboración externa para los mismos. Más que al tamaño actual, yo haría referencia al personal de estructura del departamento, que alcanza las 27 personas.

– ¿Qué parcelación de funciones tiene internamente el Departamento?

– Hay una especialización y una parcelación de funciones que se refleja en su estructura organizativa; existen unos técnicos especialistas dedicados al control de accesos, existe un área y personal dedicado a la continuidad operativa, existe otro área dedicada al control y monitorización de sistemas de seguridad, y existen especialistas en la protección de datos personales.


– ¿Qué se espera de la Dirección de Seguridad Informática en Santander Central Hispano?

– En la circular por la que se crea la Dirección de Seguridad Informática se definen las funciones básicas que desarrollará la misma, y que son la creación de la estrategia global de seguridad informática del Grupo, la gestión del riesgo de los activos informáticos, el establecimiento de normativa en materia de seguridad, la implantación de recomendaciones en materia de seguridad realizadas por parte de Organismos Reguladores de la Actividad Financiera y gestionar, administrar y mantener la seguridad de la información del Grupo Santander en España.
A efectos prácticos, la Dirección de Seguridad Informática es la responsable de todas las materias de seguridad de la información del Grupo en España y realiza funciones de apoyo y coordinación con el resto del Grupo, además de la emisión de políticas y normativa corporativa en materia de seguridad.
El control de accesos está centralizado, salvo alguna excepción, para todos los sistemas de información del Grupo en España y para todos aquellos sistemas que, estando ubicados en España, dan servicio al resto de las unidades exteriores del Grupo.

– ¿Disponen de Plan Director de Seguridad?

– Nuestro Plan Director de Seguridad data del año 2002; en principio tenía una vigencia de cuatro años, pero se ha ido modificando y hoy es un documento vivo y en evolución.
No creo que se puedan hacer prospecciones fijas a por ejemplo tres años. En el mundo de la seguridad ese en un periodo muy largo. Concebimos nuestro Plan Director como un documento dinámico, que se tiene que ir retroalimentando de los propios proyectos que se vayan acometiendo y de los diferentes análisis de riesgos que se vayan realizando.

– ¿Qué hitos destacaría de ese Plan?

– Que no se orienta a macroproyectos. Está muy granularizado y enfocado a conseguir muchas acciones con objetivos finitos y en un plazo de tiempo corto. Tal y como se concibió en 2002, constaba de 200 proyectos, y el grado de cumplimiento es muy satisfactorio.

– ¿Se muestra usted partidario del cuadro de mando de seguridad de la información como herramienta de gestión?

– Soy un firme defensor del cuadro de mando; creo que es la forma de gestionar y de fijar objetivos concretos dentro del área de seguridad. Nosotros hemos desarrollado uno, que vió la luz en diciembre del año pasado, y en enero y febrero del presente ya hemos empezado a obtener datos valiosos. Es, sin duda, una extraordinaria herramienta de gestión.
Actualmente este cuadro de mando de seguridad dispone de noventa y cuatro indicadores y ciento setenta y cinco variables, pero lo iremos evolucionando hasta sintetizarlo de manera óptima.

– ¿Cómo se organizan el gobierno y la explotación de la seguridad informática del Grupo Santander a escala multinacional?

– Existe un área de coordinación tecnológica para unidades en el exterior, de donde dependen las diferentes áreas de seguridad de las unidades exteriores del Grupo. Desde la Dirección de Seguridad Informática en España se dictan estrategias globales de seguridad y se elabora toda la normativa correspondiente a esta materia, a la vez que se establece una coordinación general en materia de seguridad de la información. No existe dependencia jerárquica ni funcional de las unidades exteriores de la Dirección de Seguridad Informática.
“La Dirección de Seguridad Informática en Santander Central Hispano tiene potestad para rechazar la implantación de un aplicativo o sistema si no se encuadra en los estándares corporativos”

– ¿Se puede planificar, desarrollar e implantar un sistema o una aplicación informática sin el concurso de la Dirección de Seguridad Informática?

– Tras un camino costoso, la verdad es que en estos momentos la seguridad de la información se encuentra plenamente integrada en el ciclo de vida de los sistemas de información; tal es así que es un aspecto decisivo y se tiene potestad para rechazar la implantación de un aplicativo o sistema si no se encuadra en los estándares corporativos.
Antes de poner un aplicativo o sistema en producción es necesaria la aquiescencia de la Dirección de Seguridad Informática, que analiza la arquitectura y seguridad de los nuevos sistemas de información. Este filtro impuesto ha desencadenado que la seguridad esté presente en etapas tempranas del ciclo de vida de los aplicativos, ya que cualquier aportación, sugerencia o exigencia de seguridad es implementada con mucha más facilidad en las primeras etapas que justo antes de la puesta en explotación.

– ¿Qué interrelaciones mantiene la Dirección de Seguridad Informática con otros departamentos de Santander Central Hispano para cumplir con sus cometidos?

– Si bien el contacto fundamental es con áreas de tecnología, mantenemos una interrelación continuada con la Dirección de Auditoría Interna, Asesoría Jurídica del Negocio, Secretaría Técnica de Presidencia, Recursos Humanos y con el Área de Organización, Servicios y Operaciones.

– ¿Qué porcentaje del presupuesto global para tecnologías de información de Santander Central Hispano se destina a seguridad?

– Las partidas presupuestarias para seguridad varían en función de los proyectos que acomete el área. Para este año se encuentran en torno al 2,3%.

– ¿Es suficiente para afrontar sus prioridades?

– Preguntar a un responsable de seguridad informática que si está de acuerdo con su presupuesto, es como preguntar a cualquier persona si está de acuerdo con su sueldo y no quisiera ganar más. No obstante lo dicho, digno es reconocer que, en términos absolutos, me siento confortable con el presupuesto que se destina a seguridad; en términos relativos, seguramente tendría razones para estar más que satisfecho.

– Pregunta inevitable: ¿cuáles son sus prioridades para este año?

– Nuestro foco principal en 2004 está centrado en dos proyectos de carácter general, que si bien no son exclusivos de Seguridad Informática, la participación de este área en los mismos es bastante importante. Por un lado Partenón, que es un proyecto de alta complejidad e innovación tecnológica y la apuesta de Santander Central Hispano para convertir la tecnología en una ventaja competitiva del Grupo. Partenón es un proyecto puntero que sustituirá a la actual plataforma de gestión informática del Banco y con él se conseguirá mejorar la calidad y el nivel de atención a los clientes, reducir el tiempo necesario para ofertar nuevos productos y servicios, y mejorar y homogeneizar los mecanismos de control y los sistemas de información del negocio. La Dirección de Seguridad Informática está participando en Partenón definiendo la arquitectura de seguridad y de control de accesos que se implementará.
El segundo proyecto de carácter general en el que se está participando es en el de la Ciudad Financiera Grupo Santander. Usando las palabras de nuestro presidente, Emilio Botín, definiría la Ciudad Grupo Santander como un proyecto tremendamente ambicioso, pionero en España, que revoluciona la forma de trabajar en las grandes empresas. Es único a nivel mundial por tamaño -160 hectáreas- y por densidad de construcción, que supondrá el traslado a esta nueva ubicación de más de 6.000 empleados y que albergará los centros de proceso de datos del Grupo en España. Nuestro Departamento está volcado en este proyecto en varios aspectos fundamentales: el traslado de la infraestructura de sistemas a los nuevos centros de proceso de datos, la creación de una arquitectura de seguridad del nuevo complejo, el diseño e implementación de estrategias de contingencia y en dotar a la tarjeta de acceso al complejo de capacidades criptográficas y almacenamiento de certificados para su posterior uso en proyectos internos.
Adicionalmente, y como algo ya específico de seguridad, estamos desarrollando el proyecto Tarsis, consistente en la renovación de la infraestructura perimetral de seguridad de Santander Central Hispano. También se está desarrollando una iniciativa para disponer de un sistema de administración centralizada. En este capítulo estamos siendo bastante modestos: no hemos apostado por grandes herramientas estándar de mercado, y sí estamos diseñando nuestra propia herramienta in-house, más ajustada en funcionalidades, pero bastante práctica y adaptada a nuestras necesidades.

– La gestión de riesgos de seguridad es un proceso en el que lo realizado tiene tanta importancia como lo proyectado para el futuro, cuando no es su base. En este contexto, ¿podría comentar algunos proyectos para reforzar la seguridad informática del Grupo Santander emprendidos en 2003?

– En primer lugar destacaría el proyecto Gerona 2003. Con una periodicidad bienal, Santander Central Hispano realiza una revisión total del riesgo de las plataformas net (inter, intra y extra), haciendo una análisis completo y exhaustivo de los mencionados entornos, desde los ciclos de vida de los aplicativos, hasta la arquitectura de la plataforma, pasando por conceptos tales como los controles de calidad, la gestión de versiones, los modelos funcionales; en definitiva, cualquier elemento que interviene desde la concepción hasta la operación de los sistemas de información. De Gerona 2003, además de diferentes proyectos de cierta envergadura, han emanado acciones o medidas de implementación rápida (quick wins) que han supuesto mejoras sustanciales con poco esfuerzo o cambio. También en 2003 se ha rediseñado la arquitectura de detección de intrusión, introduciendo nuevos elementos, además de la reconfiguración y análisis de los existentes.
Igualmente, se ha rediseñado la arquitectura de conectividad, implantando nuevas políticas de seguridad más estrictas y robusteciendo el perímetro exterior de la entidad.
“Hay que poner el mayor empeño en disponer de las herramientas necesarias para reducir el tiempo que transcurre desde que existe y se conoce una vulnerabilidad hasta que se instala el parche o la solución a esa vulnerabilidad”
– Acuerdo de Basilea II. Riesgo operacional. En lo que afectan a la seguridad TIC, ¿qué puntuación da al Grupo Santander en materia de ajuste temporal para cumplir la fecha de adaptación al citado Acuerdo, que vence en enero de 2007?

– Santander Central Hispano está en la mejor disposición para estar en fecha en los términos del mencionado acuerdo; posee un Plan Director específico del que hasta el momento se van cumpliendo todos los hitos; es la única entidad española que tiene implementado un modelo interno de riesgos autorizado por el Banco de España y considerado un modelo pre-Basilea, y está en marcha un proyecto corporativo, en el contexto TIC de todo el Grupo, para cumplir con los compromisos de Basilea II.
En lo que atañe al ámbito de seguridad de la información y referente a 14 principios de Gestión de Riesgos para Electronic-Banking, los mismos no constituyen una guía de buenas prácticas ni de requerimientos, por lo que en Santander Central Hispano se ha realizado una correspondencia entre los mencionados principios y las buenas prácticas para la seguridad definidas en la ISO 17799, de tal forma que se ha establecido un modelo estratégico y de gestión de seguridad que se está implementando en la actualidad.

- ¿Dispone Santander Central Hispano de un sistema de gestión de la seguridad de la información (SGSI), basado en alguna norma reconocida internacionalmente? ¿Es usted partidario de certificarse contra alguna de estas normas?

- En muchas ocasiones se está tomando de manera errónea la ISO 17799 como el paradigma de la seguridad absoluta, y esta norma lo que nos dicta fundamentalmente es la vía para gestionar adecuadamente la seguridad de la información, que es un aspecto importante, pero no el único componente de la seguridad. En este sentido, en Santander Central Hispano se tiene desarrollado e implementado un modelo de gestión de seguridad basado en la norma ISO 17799 y que es utilizado también como modelo a la hora de la realización de los análisis de riesgos. El modelo de seguridad implementado consta de 37 buenas prácticas, 146 controles y 822 requisitos.
El cuanto al proceso de certificación, soy más partidario de las auditorías periódicas al modelo; los procesos de certificación suelen ser costosos en tiempo y esfuerzo, y requieren una atención periódica y permanente.

- Hay dos tipos de proyectos en seguridad que tienen una importante repercusión en el sistema de información: los denominados hoy de gestión de identidades y los encaminados a recolectar, analizar, explotar y gestionar la información de seguridad del sistema de información tecnológico de una entidad (comúnmente denominado análisis y gestión de logs y correlación de eventos). ¿Cómo tienen solucionados estos frentes en el Grupo Santander?

- Comenzando por este último punto, la seguridad es una materia que se orienta fundamentalmente a la prevención y a la actuación programada e inmediata ante cualquier tipo de incidente. En este sentido se hace imprescindible, además de contar con arquitectura y herramientas de detección y protección adecuadas, el tener definidos y monitorizados constantemente los posibles eventos que pudieran acaecer, así como tener implantado un procedimiento de actuación para cada uno de ellos. Santander Central Hispano tiene permanentemente vivo un proyecto de gestión de eventos de seguridad mediante el cual hasta el momento se han analizado y definido, conjugando múltiples fuentes de datos, 157 eventos que desencadenan alertas de seguridad y procedimientos de actuación asociados a cada uno de ellos.
Independientemente de las herramientas que se utilicen para la gestión centralizada de eventos y para la correlación y tratamiento automatizado de los mismos, lo que es incuestionable es la necesidad de un trabajo de análisis para conocer previamente las acciones a llevar a cabo y la implantación de procedimientos para minimizar los tiempos de respuesta.
En cuanto a la gestión de identidades nuestra apuesta, hacia la que estamos confluyendo actualmente, es clara: identidad única, basada principalmente en el rol que ocupa cada persona dentro de la organización, centralización y flujos de proceso centralizados para la gestión de identidades y, como complemento, autenticación fuerte.
“La persona que está pensando en cometer un delito o un ataque debe saber que se detiene y se procesa a gente por ello, que los delitos en el ámbito telemático se persiguen y que hay personas en la cárcel por esta razón”.
 

- ¿Crea problemas de relevancia en el sistema de información tecnológico la distribución e instalación de parches?

- De momento hemos optado en la entidad por escritorios cerrados, por equipos controlados, lo cual ya nos da una cierta garantía en relación con el problema que plantea. Estos equipos se auditan y se gestionan de forma centralizada. La distribución de parches se realiza mediante un sistema específico.
El número de vulnerabilidades que se registran diaria y mensualmente, hace necesario disponer de un sistema eficaz tanto de detección de esas vulnerabilidades como también de respuesta rápida ante las mismas. Digamos que hay que poner el mayor empeño en disponer de las herramientas necesarias para reducir el tiempo que transcurre desde que se conoce una vulnerabilidad hasta que se instala el parche o la solución a esa vulnerabilidad.
En la Dirección de Seguridad Informática lo que hacemos es recomendar la instalación del parche o mencionar la necesidad de la instalación del parche, y luego hay áreas centralizadas que los prueban en las diferentes plataformas de usuario final y de servidores del Banco antes de distribuirlos.

- ¿Están las soluciones tecnológicas de seguridad de fabricante a la altura de las necesidades de un grupo como Santander Central Hispano?

- En el mercado de seguridad de la información cada vez existe mayor variedad de herramientas, en cuanto al propósito o fin de las mismas y en cuanto al número de ellas, y al mismo tiempo se ha observado una mejora notable de la calidad y especialización. Todo ello ha redundado en una mayor competencia, lo que está influyendo decisivamente en los costes. Es un mercado en constante evolución, donde cada vez podemos encontrar más soluciones que se ajustan a las necesidades.
En Santander Central Hispano nos sentimos satisfechos con las herramientas que proporciona el mercado actualmente, pero al mismo tiempo nos mostramos expectantes con los nuevos avances e iniciativas que están por llegar.

- ¿Y qué opina de las compañías de servicios de consultoría e integración de sistemas en materia de seguridad TIC?

- La seguridad de la información es un campo con futuro y se ve simplemente en el número de empresas nuevas que están apareciendo, en el número de productos y herramientas ofertadas y en las líneas de servicio exclusivas que abren todas las grandes consultoras. Evidentemente es un tema en el que se está poniendo atención y al que las compañías están dedicando recursos, tanto humanos como presupuestarios.
Por lo expuesto anteriormente, y ya que el fin principal de las compañías es la obtención de beneficios, el mundo de la seguridad TIC está siendo un campo emergente y dentro de ese panorama encontramos una gran casuística de proveedores de servicio y de integradores; desde los que cuentan con estructuras sólidas, grandes profesionales, visión de futuro y que adquieren un compromiso con el cliente, hasta los que están en este mundillo de paso, simplemente porque intuyen que puede obtenerse un beneficio fácil y rápido. Yo creo que no se puede generalizar, hay compañías que están a la altura y otras que se descalifican directamente en su presentación, lo que obliga a saber separar el grano de la paja.

- ¿Cuál es el reto más importante que tiene ante sí cualquier director de seguridad informática de una organización?

- Gestionar adecuadamente los medios que la empresa pone a su disposición, tanto humanos como tecnológicos y presupuestarios, para minimizar los riesgos tecnológicos, siendo capaz de valorar y transmitir los mismos a la alta dirección de la entidad. Yo diría que un buen gestor de seguridad debe ser, ante todo, un buen gestor del riesgo; debe tener criterio y método para analizar y tomar decisiones en función de valoraciones y de estrategia de la compañía.
Los principales obstáculos que debe salvar un responsable de seguridad son, sobre todo, los derivados de encontrar las vías para transmitir la valoración de los riesgos analizados y poner los mismos en concordancia con la estrategia de la compañía. Estoy seguro de que cualquier directivo o gestor, si somos capaces de presentarle adecuadamente los riesgos derivados de las faltas de disponibilidad, confidencialidad o integridad, frente a los costes de las medidas para minimizarlos, sería capaz de asumir como suyas aquellas acciones destinadas a minimizar los riesgos. Lo digo por experiencia.

- ¿Qué le suscita la siguiente frase: la preocupación por la seguridad de la información, y en el contexto por la seguridad TIC, es un frente más de la responsabilidad social corporativa?

- Las organizaciones ejercen su responsabilidad social cuando satisfacen las expectativas que, sobre su comportamiento, tienen los empleados, socios, clientes, accionistas, proveedores, ..., contribuyendo a un desarrollo social y ambientalmente sostenible, y económicamente viable.
En este sentido, la seguridad en Santander Central Hispano es entendida como un derecho del cliente y como un servicio de valor añadido imprescindible que puede tener un carácter diferenciador. Además de que pueda suponer una ventaja competitiva, la seguridad es considerada como una necesidad imperiosa para la consecución de ciertos objetivos.

- Una última pregunta: ¿qué se opina en Santander Central Hispano de los atacantes externos y, en general, de la delincuencia en los nuevos canales?

- El mundo de los nuevos canales ha traído consigo un nuevo tipo de delincuencia, en el que prima la falta de información sobre el impacto legal de las acciones cometidas; se está en la creencia general de que nos estamos moviendo en un entorno de anonimato y de impunidad absoluta.
Este concepto hay que cambiarlo: la persona que está pensando en cometer un delito o un ataque debe saber las consecuencias; debe saber que se detiene y se procesa a gente por ello, que los delitos en el ámbito telemático se persiguen y que hay personas en la cárcel por ello. Y creo que es misión de todos los que estamos involucrados, de una forma u otra, en el mundo de la seguridad el dar a conocer estos aspectos. En este sentido me gustaría romper una lanza a favor de la labor que están haciendo las Fuerzas de Seguridad del Estado, en especial el Grupo de Delincuencia Telemática de la Guardia Civil, que es con el que tenemos más trato.
Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
 
<volver