Santiago Moral Rubio, Director de Seguridad de la Innovación del Grupo BBVA, describe en la revista GMV news las principales características de la seguridad financiera.
Santiago Moral Rubio, Director de Seguridad de la Innovación del Grupo BBVA, en la revista GMV news
1. NEWS www.gmv.com
Nº 48 MAY/MAYO 2011
HOW TO COMBAT
ATM FRAUD
CÓMO COMBATIR EL FRAUDE EN LOS
CAJEROS AUTOMÁTICOS
P. 13
EGNOS, DECLARED FIT FOR
USE IN CIVIL AVIATION
EGNOS, DECLARADO APTO PARA SU
USO EN AVIACIÓN CIVIL
P. 17
GMV WINS IMPORTANT GMES
CONTRACTS
GMV ADJUDICATARIA DE
IMPORTANTES CONTRATOS PARA
GMES
P. 29
GMV IMPROVES THE SECURITY
OF THE JUNTA DE CASTILLA Y
LEÓN
GMV MEJORA LA SEGURIDAD DE LA
JUNTA DE CASTILLA Y LEÓN
P. 33
GREGORIO MARAÑÓN
HOSPITAL ACQUIRES
RADIANCE
EL HOSPITAL GREGORIO MARAÑÓN
ADQUIERE RADIANCE
P. 35
FLEET-MANAGEMENT SYSTEM
FOR BUDAPEST
SAE PARA BUDAPEST
INTERVIEW / ENTREVISTA
SANTIAGO
MORAL RUBIO
CHIEF INFORMATION SECURITY OFFICER OF GRUPO BBVA
DIRECTOR DE SEGURIDAD DE LA INFORMACIÓN DEL GRUPO BBVA
3. INTERVIEW / ENTREVISTA
IT engineer, holder of the CISA and
CISM certificates, he began working for
the banking group Grupo BBVA in May
2000 as head of systems security of the
online bank uno-e Bank. Months later,
in March 2001, he took on responsibility
for logical security in BBVA before taking
over the post of Corporate Information
Security Manager of Grupo BBVA until his
appointment as CISO in 2009.
Ingeniero Técnico Informático, poseedor
de las certificaciones CISA y CISM,
inició su andadura profesional en el
grupo BBVA en mayo de 2000 como
responsable de Seguridad de Sistemas
de uno-e Bank. Meses después, en
marzo de 2001, se responsabilizó de la
seguridad lógica de BBVA, para pasar
posteriormente a ocupar la Dirección de
Seguridad Lógica Corporativa del Grupo
BBVA hasta su nombramiento en 2009
como CISO.
SANTIAGO
MORAL RUBIO
CHIEF INFORMATION SECURITY OFFICER OF GRUPO BBVA
DIRECTOR DE SEGURIDAD DE LA INFORMACIÓN DEL GRUPO BBVA
pág. 8 I GMV NEWS nº48 Mayo 2011
4. What is the value of security for a bank? mechanisms of different platforms, i.e., And do you have any recommendations,
Security in grupo BBVA, as a purely trust- how I can keep elements with different especially for users?
based concept of financial business, is not security levels within a uniform setting. For The recommendation for all users of mobile
a measurable attribute: the business has example, the sites where I swap photos services is this: more important than how
to be secure; there’s no other option. As a with my friends and where I store my you do your business is who you do it
bank we don’t conceive security as a value payslips both need to be on hand but with with. In other words, doing business with
to be competitive in, because we believe completely different levels of security. BBVA is always going to be secure because
the whole financial sector has to be secure. Some ideas currently on the boil are due you’re doing it with BBVA regardless of the
We input value working from the to come into their own soon, such as the medium used.
engineering point of view, making security “Bring Your Own PC“ concept. Just as We shouldn’t really be scared of any
services the basis for progress on two you buy your own shoes or the suit you medium in itself. BBVA is working to make
fronts: ensuring that the cost of the bank’s wear to work, you also buy your own PC, all possible channels and devices an access
whole operation is market competitive where you store much of your productive port to help clients relate with each other
and that we continue to make significant capacity. The companies finance part of and do business with the bank, not only the
headway in a theoretically globalized world. the cost each year, giving rise to a different clients but also the employees.
strategy: wherever you may be you always We are a firm that prides itself on its
All too often we think of logical security access the information through the same technological level. The challenge is how to
as a purely technological concept, medium and the same applications of continue progressing on the technological
forgetting the human side. How does your working environment. Security is a front without lowering the security level.
Grupo BBVA approach this human factor, fundamental fulcrum to make sure this all We need to be good risk analysts from
both in terms of your own staff and the works properly. the security point of view. The main
clients of your services? problem here is that we need to have a
The whole financial sector is working hard Smartphones are now catching on very good idea of reality to adjust the risks
to make information systems much more quickly, opening up a whole new world of properly. Control overkill will hand over
natural and user friendly, the usability of possibilities: greater functionality, more the advantage to other firms that have
security. This is not usability in the classic power to the online mobile channel, analyzed and adjusted risks better than
sense of the term, because it should be payment by cell phone, etc. From the you. On the other hand, if you fall short on
easy to use by definition. What needs security point of view, however, what control you will run into problems that will
to be easy is the integration of security additional challenges does this pose? eventually muddy your image.
¿Cuál es el valor de la Seguridad para fácil y natural, la usabilidad de la seguridad. punto de vista de la seguridad, ¿qué
una entidad financiera? Usabilidad no en el sentido clásico del retos adicionales supone esto? Y, sobre
La Seguridad en el grupo BBVA, como concepto, de que sea fácil, que debe serlo todo de cara a los usuarios, ¿alguna
concepto del negocio financiero, puramente por definición. Lo que debe ser fácil es la recomendación?
basado en confianza, no es un atributo que integración de mecanismos de seguridad de La recomendación para todos los usuarios
se pueda medir: tiene que ser seguro, no distintas plataformas, es decir, cómo dentro de servicios móviles es que lo importante
hay más opciones. Nosotros como entidad de un entorno homogéneo mantengo es con quién hacen sus negocios, y no a
no pensamos en la seguridad como un elementos con distinto nivel de seguridad. través de qué, es decir, hacer negocios
valor en el que queramos competir, porque Por ejemplo, el sitio donde comparto las con el BBVA siempre va a ser una cosa
entendemos que todo el sector financiero fotos con mis amigos y donde almaceno mis segura, porque lo estás haciendo con BBVA
tiene que ser seguro. nóminas, necesito tener a mano ambos pero independientemente del medio.
Aportamos valor trabajando desde el con distinto nivel de seguridad. El medio no tiene que aportar miedo, BBVA
punto de vista de la ingeniería, haciendo Actualmente hay unas corrientes muy se está posicionando para que todos los
que la seguridad nos permita dos tipos de interesantes que van a ser una realidad en dispositivos y canales posibles sean puerta
avances: que el coste de la operación total no mucho tiempo, por ejemplo la del “Bring de acceso a que los clientes se relacionen y
de la entidad sea competitivo dentro del Your Own PC“. Al igual que te compras los hagan negocio con el banco y no solamente
mercado, por un lado, y que nos permita zapatos, o el traje, para ir a trabajar, también los clientes, sino los empleados.
plantear avances importantes dentro de te compras el PC, donde se almacena Vocacionalmente somos una empresa
un mundo tecnológicamente globalizado, mucha de tu capacidad productiva. Las con un importante nivel tecnológico, el
por otro. organizaciones financian anualmente una reto está en cómo hacerlo sin bajar el
parte del coste, pasando a una estrategia nivel de seguridad. Lo que tenemos que
Cuando se piensa en Seguridad Lógica distinta: da igual donde estés, siempre ser es buenos analistas de riesgos, desde
se piensa en la vertiente puramente accedes a través del mismo medio y a el punto de vista de seguridad, y para
tecnológica, olvidando frecuentemente el las mismas aplicaciones de tu entorno de conseguir esto el principal problema es
factor humano, ¿Cómo enfoca el Grupo trabajo, y la seguridad es una palanca que hay que conocer muy bien la realidad
BBVA esta vertiente del factor humano, fundamental para que esto funcione. para ajustar muy bien los riesgos. Si te
tanto en personal interno como de cara a pasas poniendo más controles de los
clientes de vuestro servicio? Los Smartphones están proliferando, que debes, te quedas fuera de mercado
Todo el sector financiero está haciendo lo que supone un mundo lleno de porque otros competidores analizarán
un gran esfuerzo, buscando que lo que posibilidades, mayor funcionalidad, mejor el riesgo y si te quedas por debajo,
se puede hacer con los sistemas de mayor potencia en el canal online tendrás problemas que al final impactarán
información se pueda hacer mucho más móvil, pago por móvil… pero, bajo el en tu imagen.
GMV NEWS nº48 May 2011 I p. 9
5. INTERVIEW / ENTREVISTA
Speaking of risk management, in recent Speaking of alliances, and on the grounds of global networks a more comfortable
years this is becoming almost a structural of what we have already said about place to be and compete.
element of more and more organizations, security not being wielded as a sales
especially banks. How does BBVA tackle argument against the competition, how is As regards the protection of critical
risk management from the logical- collaboration arranged within the sector? infrastructure, do you believe that we
security point of view in the overall risk In the financial sector no one wins from are progressing fast enough in terms of
management of the company? another stakeholder suffering a security new actions, new strategies, or is the
In BBVA we have the CISO model, Chief incident. In this field there is a fairly discrete whole undertaking being affected by the
Information Security Officer, which is an collaboration between the heads of worldwide downturn?
enlarged security model taking in the security in the various banks; we all know Serious-minded countries, like Spain,
whole, across-the-board responsibility for each other, share forums; it’s not a very have serious-minded companies and
technological and security risk management big world. Where we do keep up a cordial corporations: when I’m told what I need to
under the umbrella of the CISO. The risk confrontation is making security cheaper to have to form part of the country’s critical
management part of total IT governance is operate, simpler and more effective within infrastructure, I tell them it’s already in
taken on by the CISO. our respective organizations. In other words place. Serious-minded companies already
In BBVA we believe that the security- security can give us a competitive edge but concern themselves about ensuring
related risk is the most volatile risk we in terms of superior engineering rather than suitable availability levels, to be able to
are faced with, that this level of security a business function. field any unusual request that might crop
needs to be maintained. In the end up at any moment. But on general lines
we as information security account for Which are today’s most characteristic Spanish corporations have a very good
between 40 and 60% of the total IT threats? starting level for complying with any critical
risk to be managed, depending on the As a society we are building up worldwide infrastructure legislation.
area concerned. It is therefore by no infrastructure that enables us to globalize As regards the speed of progress, I think
means farfetched for a bank to create a technologically, and where the risks we the government is doing well, both as an
figure based on information security but have to take on and manage are an organization and the public sector as a whole.
also geared towards the technological unknown quantity. Citizens, companies and The speed seems about right because these
management of the risk, as one of the governments are all working towards the new ideas have to be fed in carefully so that
pillars of good governance. same end of making this new playing field people can get used to them.
Hablando de gestión de riesgos, en los Hablando de alianzas y de lo que veíamos Sobre el tema de la protección de las
últimos años se está convirtiendo casi antes de que la seguridad no sea un infraestructuras críticas, ¿cree que vamos
en un elemento estructural de cada vez argumento de ventas como tal respecto progresando a la velocidad adecuada,
más organizaciones y particularmente en a la competencia, ¿Cómo se gestiona la estamos trabajando ya en acciones,
las entidades financieras, ¿Cómo encaja colaboración dentro del sector? nuevas estrategias, o todo esto se está
el BBVA la gestión de riesgos desde el En el sector financiero nadie gana porque viendo afectado por la crisis?
punto de vista de la Seguridad Lógica en otro tenga un incidente de seguridad, en En los países serios, nos encontramos
la gestión global de riesgos de la entidad? ese campo hay una colaboración bastante entidades y corporaciones serias; por
En BBVA, tenemos el modelo CISO, Chief discreta entre los responsables de seguridad ejemplo el caso de España: cuando
Information Security Officer, que es un de las distintas entidades, nos conocemos, me exigen qué es lo que debo tener
modelo de seguridad ampliado, donde compartimos foros, no es un mundo para ser una infraestructura crítica del
toda la responsabilidad en materia de demasiado grande. Donde mantenemos país ya lo tengo. Las empresas serias ya
gestión tecnológica del riesgo, es decir, la una cordial confrontación es en ver como se preocupan de tener los niveles de
seguridad y lo que no es seguridad, cae cada uno consigue hacer que la seguridad disponibilidad adecuados, puede que
bajo el paraguas del CISO. La parte de dentro de nuestras organizaciones sea más en algún momento haya alguna petición
gestión de riesgos de todo el gobierno IT barata de operar, más eficiente, más simple; un poquito más especial, pero en líneas
la asume el CISO. es decir, que vaya aportando a un mejor generales las corporaciones españolas
En BBVA hemos entendido que el posicionamiento en la competitividad, pero tienen un nivel de partida muy bueno
riesgo más volátil que tenemos siempre una competitividad como ingeniería, no para cumplir cualquier regulación de
está asociado a la seguridad, a que se como función del negocio. infraestructuras críticas.
mantenga ese nivel de seguridad, y que Sobre la velocidad de adecuación, yo creo
nosotros al final como Seguridad de la ¿Cuáles son las amenazas más que las Administraciones lo están haciendo
Información, somos, dependiendo del características del momento? bien, como organización y como sector en
área que toques, entre el 40 y el 60% Como sociedad nos estamos transformando general, creo que va a un ritmo adecuado,
de todo el riesgo total que hay que en unas infraestructuras mundiales que nos al que se puede ir, son ideas que tienen
gestionar en materia de TI. De esta permiten globalizarnos tecnológicamente, que ir aterrizando un poco.
manera, no parece descabellado que y donde los riesgos que debemos asumir
en una entidad financiera se cree una y gestionar no los conocemos. Tanto los Seguridad integral, uno de los grandes
figura apalancada en la seguridad de la ciudadanos, como las empresas y los titulares de la última época, ¿cuál es su
información, pero que se mueva hacia gobiernos, estamos trabajando en que opinión?
la parte de gestión tecnológica del este nuevo campo de juego que son las En el sector financiero los departamentos
riesgo, como uno de los pilares del buen redes globales y sus plataformas sea un sitio de seguridad debemos trabajar
gobierno. cómodo para estar y para compartir. completamente de la mano porque
pág. 10 I GMV NEWS nº48 Mayo 2011
6. Integral security, one of the buzz words us to unite processes and technologies other business applications with a different
of recent times. What’s your take on it? and fend off technological dispersion in security level.
We security departments in the financial terms of the management of identities. But In this second case we are open to all the
sector have to pull together because we at department management level we are new features of this globalized world that
are dealing with a continuum of security different because the things they manage help us cut costs and improve processes.
problems. The problem might first rear and the things we manage ourselves, But in everything to do with our regulated
its head in the physical world and then although overlapping at times, are radically core business we do want to have the
pass on to the virtual world and vice versa different. We have organized ourselves maximum guarantees and control, not
but it’s the same problem and calls for in such a way as to benefit from both only for our clients but also our regulating
the same action so we need to work in integration and non integration. authorities.
a very coordinated way. But the level of One of today’s paradigms is cloud
specialization called for in the corporate computing. In a nutshell, what is your BBVA has gone for security innovation in
security department and the information opinion of cloud computing and security? a big way. Which standout themes would
security department are different. As a bank we are heavily regulated in you mention?
The whole technology of corporate security terms of our financial business with its As a bank we have a specific innovation
is run by information security. This enables given security level but we also have many plan. Together with the university
tenemos un continuo en los problemas de una superficie común son radicalmente en todo aquello que tenga que ver con
seguridad que tenemos que gestionar. Un distintas. Nos hemos organizado de tal nuestro negocio regulado queremos
problema de seguridad puede empezar en forma que tenemos el beneficio de la tener las máximas garantías y control, no
el mundo físico y pasar al virtual y del virtual integración, y tenemos el beneficio de la solamente por nuestros clientes sino para
pasar al físico, y ser el mismo problema y no integración. las entidades que nos regulan.
ser la misma acción, por lo cual hay que
trabajar de forma muy coordinada. Pero Uno de los paradigmas actuales es el El BBVA está haciendo una apuesta muy
el nivel de especialización que requiere el cloud computing. En pocas palabras importante por la innovación, en lo que
departamento de seguridad corporativa ¿Cuál es su opinión sobre cloud se refiere a seguridad ¿qué temas podría
y el departamento de seguridad de la computing y seguridad? destacar?
información son distintos. Nosotros como banco somos una Cómo entidad financiera tenemos un plan
Toda la tecnología de seguridad entidad muy regulada en todo aquello de innovación específico, hemos creado
corporativa la lleva seguridad de la que es nuestro negocio financiero con junto con la Universidad Rey Juan Carlos
información. Esto nos permite que su determinado nivel de seguridad, pero un Centro de Investigación para la gestión
haya unicidad de procesos, unicidad además tenemos muchas otras aplicaciones tecnológica de los riesgos, donde estamos
de tecnologías, que no haya dispersión empresariales que tienen otro nivel de trabajando en varias líneas.
tecnológica en cuanto a la gestión de seguridad diferente. La primera es la búsqueda de nuevos
las identidades. Pero a nivel de gestión En este segundo caso estamos abiertos algoritmos que nos permitan la búsqueda
de departamentos somos distintos, a todo lo que aparezca en este mundo de anómalos, es decir, encontrar datos
porque las cosas que ellos gestionan y globalizado que nos permita la reducción raros dentro de volúmenes ingentes de
las que gestionamos nosotros, teniendo de costes y la mejora de procesos. Pero datos, como pueden ser ataques por
GMV NEWS nº48 May 2011 I p. 11
7. INTERVIEW / ENTREVISTA
Universidad Rey Juan Carlos we have set based recognition of persons. keep you on your toes.
up a research center for technological risk The third line of research is specific risk The downside is that its tremendously
management, where we are working along analysis methodologies, deciding up to demanding in terms of time, not only
several lines. which point risks should be assumed. because of the hours you have to put
The first is the search for new algorithms Another very promising strand is the but also the untimeliness with which the
allowing us to track down anomalies, i.e., analysis of purposive behavior based on problems always crop up.
ferret out strange data within huge volumes games theories, applying the results to the And lastly there’s the matter of permanent
of data, such as internet attacks, credit card behavior of organised criminal groups. education. Information security
hacking, etc. Companies like GMV help us professionals are the top experts in all the
to continually increase our effectiveness, As a security professional who has new technologies that keep appearing.
trying to keep one step ahead of new reached the top of the tree, what career One of the keys to education and training
banking events. tips could you give us. is surrounding yourselves with people more
Another line of research involves natural There’s no one secret other than working intelligent than you so that you have always
person identification mechanisms, hard, staying enthusiastic and continually got someone to learn from.
steering information systems towards an learning. In the IT world, information
increasingly natural relationship with clients. security is a thrilling challenge. And it’s BBVA and GMV have been collaborating
We are therefore working on aspects like made even more interesting by the fact that together for almost ten years now. How do
biometrics, trying to facilitate behavior- you’ve always got an adversary out there to you see this experience from your side?
With GMV we have achieved what I call
“co-evolutive innovation”, meaning two
firms that evolve together with no need for
a written pact. A trust-based relationship
is built up from knowledge and continual
improvement. When we in BBVA have
a need that we not sure how to meet,
we throw you out a working idea and an
excellent result always come back. You as a
company achieve interesting products and
I as a manager find a company I can rely on
to improve my capacity.
en cualquier momento, no cuando a ti te
apetecería.
Y, por último, el tema de la formación
permanente. Los profesionales de
seguridad de la información son de los
mayores expertos en todas las nuevas
tecnologías que van apareciendo. Una
de las claves en el tema de la formación
es conseguir rodearte de gente más
inteligente que tú, porque así tendrás
la suerte de siempre tener de donde
aprender.
internet, ataques en tarjetas…, y empresas aplicándolo al comportamiento de los
como GMV nos permiten de forma grupos de delincuencia organizada. Son casi 10 años los que BBVA y GMV
conjunta mejorar la efectividad en esta llevan colaborando juntos, ¿querría hacer
línea, intentando anticiparnos a lo que Desde la perspectiva de un Directivo que un balance de su experiencia en estos
pueda suceder en el banco. ha llegado muy lejos en el campo de la años?
Otra línea son los mecanismos naturales Seguridad, un consejo bajo el punto de Con GMV se ha producido lo que
de identificación de personas, hacer que vista de carrera profesional. denomino “innovación co-evolutiva”, que
los sistemas de información faciliten una Aquí no hay más consejo que trabajar duro, consiste en la evolución de dos empresas
relación cada vez más natural con los ser apasionado y no parar de formarte. que se ayudan sin necesidad de que exista
clientes, para esto estamos trabajando en Dentro de las disciplinas de las TI, este un pacto. Se establece una relación en
temas de biometría, intentando facilitar mundo de la Seguridad de la Información base al conocimiento y a la mejora continua
el reconocimiento de las personas por su es tremendamente apasionante. En basado en la confianza. Cuando en el BBVA
comportamiento. ésta además tienes un punto de interés tenemos una necesidad que no sabemos
La tercera línea son metodologías añadido, y es que tienes un adversario, muy bien cómo cubrir se os lanza una idea
específicas de análisis de riesgos, hasta lo cual provoca que intelectualmente sea en la que os ponéis a trabajar, obtiendo
dónde asumir o no riesgos. Hay una línea tremendamente atractivo. resultados muy buenos. Vosotros como
de investigación muy interesante que es En contra tiene que es un trabajo que exige empresa conseguís productos interesantes
el análisis del comportamiento intencional mucha dedicación, no solamente por las y yo consigo tener empresas que mejoran
basándonos en teorías de juego, y horas, sino porque los incidentes ocurren mi capacidad.
pág. 12 I GMV NEWS nº48 Mayo 2011