Previo al coronavirus, los ciberataques en América latina eran recurrentes y la preocupación mayor eran los ransomware (secuestro de datos) con un 57% de presencia en el territorio, según el ESET Security Report 2018. 

Y estos aumentaron con la llegada de la pandemia. Los ataques informáticos a escala mundial dirigidos a entidades públicas, privadas y personas aumentaron un 70 por ciento en la primera mitad de este año, al pasar de 4.000 por semana en enero a 250.000 en mayo pasado, a través de 130 modalidades diferentes, según un estudio realizado por la consultora BTR Consulting.

Estos ataques también son la preocupación principal de la industria fintech local, y más aún de los responsables por velar por la ciberseguridad, como Santiago Fernández, director de seguridad de la información -en inglés, CISO- de la compañía financiera Naranja.

"Mi preocupación principal es la fuga de datos porque afecta de lleno a nuestros activos más importantes: a Naranja como marca y los datos de nuestros clientes", sostiene Fernández. "En los años 70, el 80% de los activos de una compañía eran tangibles, hoy al revés: el 80% de los activos son intangibles, como la marca o el dato, por este motivo nuestro mayor esfuerzo está enfocado en ellos, en asegurar los datos en todos sus estados. El ransomware es otro de los temas que preocupan a cualquier CISO, sin lugar a dudas, y no soy la excepción", agrega.

 Fernández, al igual que su par Pedro Adamovic, de Banco Galicia, fue nombrado como uno de los 100 CISO para tener en cuenta a escala global por la comunidad de negocios Hottopics.ht y la empresa Forcepoint, dedicada justamente a la ciberseguridad. Lo interesante de la lista es que no hay orden de mérito, sino que las 100 personas elegidas están en una misma posición: son líderes en lo suyo y son parte de un cambio cultural dentro del mundo de la seguridad informática. Solo a beneficio de inventario, en la lista están los CISO de organizaciones de renombre global como Telefónica, Naciones Unidas, Bank of America, Fannie Mae, Delta Air Lines, JPMorgan Chase y Apple, por citar solo un par.  

Nuestra meta es acompañar el time to market, aportando nuestras capas de Seguridad by Design, siendo un cinturón de seguridad y no un freno de mano para esa velocidad que como compañía deseamos alcanzar. 

El CISO comenzó su carrera en el Grupo Prisa, el multimedios español, como SysAdmin en 2001. Luego se orientó hacia su "verdadera vocación", la Seguridad de la Información, en la Caja de Ahorro. Allí fue primero analista  y luego Technical Information Security Officer. En el 2015 la compañía fue comprada por Grupo Generali, la segunda compañía de seguros en el mundo, y fue asignado como IT Security Officer para la región. Mientras todo esto sucedía, finalizó su licenciatura en Tecnología de la Información en la Universidad de Palermo, e hizo una maestría en Seguridad de la Información y Continuidad del Negocio en la Universidad Católica de San Antonio de Murcia, además de certificarse en diferentes tecnologías. 

"Quienes estamos en esta industria sabemos que tenemos que estudiar todos los días. También tengo experiencia como docente, y actualmente formo parte de diferentes comunidades que buscan acercar la seguridad a todos", remarca.

Fernández habló con Infotechnology sobre su rol como CISO, la dificultad de conseguir talento y la necesidad de agrandar el equipo de seguridad.

¿Cómo cambió el rol de CISO desde que llegaste a Naranja?

Cuando llegué a Naranja me encontré con un área que tenía un mindset tradicional respecto a la ciberseguridad y que es algo que se replica en muchas otras compañías, entendiéndola como un área de auditoría que marcaba algo que se había hecho erróneamente, se establecían plazos de resolución y fin del tema, todo con un formato ‘waterfall'.

Más y mejores datos

Esta multi alemana, que tiene clientes como AA2000, Banco Galicia y Toyota, ahora se alía con Google para mejorar un 80% la productividad

Sebastián De Toma

Mi propuesta como CISO fue desafiar al equipo a que seamos co-creadores del producto, sentarnos en esa mesa desde el inicio, sumar nuestro aporte también a las herramientas de ingeniería que dan soporte a los diferentes squads. En síntesis: hacer un ‘shift to the left' de la seguridad en nuestros pipelines o en nuestros productos de disponibilización de infraestructura.

A modo de ejemplo: cuando este año necesitamos lanzar nuestra tarjeta virtual, el negocio nos involucró desde el comienzo y el equipo de seguridad tomó el desafío de crear el servicio de CVV dinámico. ¡En 30 días estábamos operando! Nuestra meta es esa: acompañar el time to market, aportando nuestras capas de Seguridad by Design, siendo un cinturón de seguridad y no un freno de mano para esa velocidad que como compañía deseamos alcanzar. 

La preocupación principal es la fuga de datos porque afecta de lleno a los activos más importantes de las fintech, la marca y los datos de los clientes.

¿Agrandaron el equipo? ¿Para qué?

Sí, agrandamos el equipo y seguiremos en ese camino para medir los FTE's (Full Time Employee) y afrontar nuevos desafíos. Sabemos que tenemos una ventaja competitiva impresionante que no tiene casi ningún player en LATAM: la posibilidad de un negocio que fluye del offline al online. En ese sentido, nos interesa incorporar perfiles que tengan lo que en el equipo llamamos "el fuego sagrado", es decir, ganas de investigar, aprendizaje continuo, una mente analítica, personas que se desafíen día a día y que compartan con los demás todo su conocimiento. En cuanto a lo técnico, hoy estamos enfocados en reclutar desarrolladores, para nosotros es algo fundamental que nos permite ser parte de esta "nueva seguridad". Sabemos que la gestión del talento tecnológico se volvió un gran desafío en un mercado laboral IT con empleo pleno y empresas con demanda insatisfecha y creciente, por eso en Naranja contamos con una propuesta de valor personalizada para el colaborador, pensada en línea con el propósito de la compañía, a los desafíos, al espacio para emprender internamente, para innovar, para aprender, a la flexibilidad ya no sólo horaria, sino también de ubicación.

¿Cómo se consigue el mejor talento cuando hay tanta buena oferta de trabajo en el mercado?

La industria financiera está en un momento en donde la agilidad, la flexibilidad y la innovación son fundamentales para adaptarnos a la velocidad de los cambios.

En Naranja queremos conectar a la gente con experiencias únicas a través de negocios basados en la tecnología y convertirnos en la solución financiera de la clase media argentina. Por este motivo, buscamos atraer a los mejores talentos digitales del mercado, para que sean parte de los equipos que llevan adelante la transformación de la compañía. En esa línea, promovemos ambientes de trabajo diversos y flexibles, con libertad para desafiarnos y aprender de manera colaborativa. Nuestras búsquedas están enfocadas en perfiles IT que sean innovadores y resilientes, capaces de potenciar el negocio del que sean parte dentro del ecosistema Naranja, personas que cuestionen lo preexistente y propongan nuevas formas de entregar valor a nuestros clientes, afrontando el desafío de crear desde cero, en el marco de una cultura ágil que pone a las personas en el centro.

Con una inversión de US$ 50.000, este "Airbnb de las Pampas" quiere quedarse con el verano argentino

A propósito de esto, la Dirección de Relaciones Humanas creó, a principios del 2020, una célula de Talent Attraction. Este equipo trabaja con metodologías agiles y se enfoca en diseñar y evolucionar permanentemente prácticas de atracción y fidelización de perfiles críticos, para asegurar la conformación de equipos con el talento necesario para impulsar a Naranja en su transformación. Para esto, la célula de Talent Attraction establece sinergias de trabajo principalmente con el equipo de Selección -quienes llevan adelante las prácticas diseñadas-, los líderes de Naranja que cuentan con búsquedas activas dentro de las disciplinas críticas en el mercado, y un equipo de Marca Empleadora (multidisciplinario, con perfiles de Comunicación Interna, Relaciones Institucionales, Redes Sociales y Eventos) enfocado en estrategias de comunicación 360° que permitan posicionar a Naranja como un excelente lugar para trabajar para perfiles IT.

¿Qué rol cuesta cubrir más hoy?

Cuesta conseguir desarrolladores que tengan una mirada de seguridad. ¡Es difícil para la tecnología encontrar DevOps, imagínate para nosotros DevSecOps! Por eso en Naranja buscamos incorporar a nuestros equipos desarrolladores y desde la compañía agregar el pilar de seguridad a través de una inducción, capacitaciones, trabajo en conjunto con desarrolladores de mayor seniority, ciclos de formaciones, entre otros.

Si tuviésemos que hacer una terna, diríamos que en primer lugar buscamos Dev, en segundo lugar, Sec y que, por la matriz de responsabilidades compartidas, el futuro es NoOps.