Ingeniero superior de Telecomunicaciones, Josep Estévez (Palma de Mallorca, 1982) es el máximo responsable de la Seguridad de la Información de Meliá Hotels International, en cuyo plantel se integró tras la participación en el proyecto de certificación PCI de la central de reservas del grupo. El término CISO (Chief Information Security Officer) es bastante reciente, “en realidad, una tendencia del mercado para alinearnos con la nomenclatura procedente de Estados Unidos”, explica. Él, sin embargo, afirma que en su empresa a los de su departamento los llaman cariñosamente “los seguratas”. Estévez participará el próximo octubre en una de las mesas de HackHotel 2017 (www.hackhotel.es), I Congreso Nacional de Ciberseguridad Hotelera, que organiza Ashotel en el Auditorio de Tenerife.

−¿Considera que en términos generales existe conciencia en las empresas acerca del valor de la información que manejan para garantizar su seguridad?

−Yo diría que es algo que va a más. Al principio se empezó a tener conciencia porque había que cumplir con una serie de normas legales en diferentes ámbitos, entre ellas la Ley Orgánica de Protección de Datos (LOPD), de 1999, y su reglamento posterior, de 2007. Seguidamente, el requerimiento por parte de las marcas de tarjetas de crédito que exige el cumplimiento PCI (Payment Card Industry) para garantizar la seguridad en los medios de pago ha ido calando en la conciencia empresarial, que afecta a toda la organización.

−En este caso, la ley es la que ha generado la conciencia, un caso en el que la ley va por delante...

−Sí, exacto. Trabajamos en dos vías: por un lado, la ley, que nos obliga a cumplir una serie de medidas de seguridad, y por otra, la implementación de éstas en los canales donde viaja la información. Debemos tener la garantía de que se realiza un uso de forma segura en términos de confidencialidad, integridad y disponibilidad. Así, del binomio normativa −que nos obliga− y tecnología −que nos permite mejorar en la forma de trabajar− surge esa cultura de la seguridad de la información, que día a día va calando en la organización.

−¿Forma usted parte de algún comité estratégico de su empresa?

−Si bien la estrategia define el camino de la empresa, realmente la labor de la seguridad es táctica. Dentro de esta táctica nuestra labor desde Seguridad va ligada a la proactividad, en ir un paso por delante en las estrategias que requieren el uso de información, garantizando la confidencialidad, integridad y disponibilidad.

−¿Cuál es la información más sensible que maneja una empresa hotelera?

−Sin duda, los datos de los clientes, principalmente la información de medios de pago, que debemos proteger para evitar fraudes. También su información personal, sus preferencias... Cuando una persona se hospeda en uno de nuestros hoteles y nos da su confianza para disfrutar de un servicio y una experiencia lo importante es que sea consciente de que se va a respetar su información y que sus datos se van a tratar de forma adecuada. Además, también son importantes los datos de los empleados (de salud, nóminas...), así como información confidencial de la empresa, que es estratégica. La información es el nuevo oro, un activo muy importante, y debemos poner mucho empeño en custodiarla.

‘Seguratas’

−En términos a nivel de usuario, ¿cómo definiría la labor diaria de un CISO?

−Básicamente, velamos por garantizar la seguridad de la información dentro de los procesos de negocio. Diseñamos la arquitectura de seguridad y los procesos de los diferentes flujos de información, identificando los riesgos y los controles de seguridad a implementar para controlar y mitigar ese riesgo. Es una tarea diaria que llevamos en coordinación con todas las áreas (IT, RRHH, hotel, Administración, Riesgos...), validando cada solución en función de la criticidad de cada tipo de información. Aquí nos llaman ‘los seguratas’ a modo cariñoso, nuestra labor va imbricada en toda la cadena de valor de la organización. Nosotros damos las pautas de cómo se debe trabajar de forma segura, pero si esta información no llega a todo el personal, de poco vale. Por eso decimos que hay tres ejes básicos en nuestra labor: información, comunicación y formación.

−¿Existe un protocolo estandarizado que apliquen las empresas hoteleras cuando conocen de la existencia de un ciberataque a nivel mundial?

−Nosotros tenemos unas políticas y procedimientos de gestión de incidentes de seguridad, tanto a nivel interno como con los proveedores con los que trabajamos para minimizar cualquier impacto debido a un incidente de seguridad. Así, realizamos análisis de riesgos para saber qué información nuestra está compartida, qué controles tenemos y, en caso de producirse algún incidente real, lo acotamos al máximo y trazamos un plan de acción para mitigar posibles daños. Al final, al ser una empresa hotelera, lo que más nos preocupa es nuestro cliente y que el impacto en la operativa sea mínimo, reestableciendo el servicio de la manera más ágil posible. En definitiva, nuestra labor consiste en facilitar a la empresa que lleve a cabo su estrategia de negocio con los mínimos riesgos.

−¿Comparten ustedes información de interés con responsables de otras empresas? Porque a nivel empresarial pueden ser competidores, pero a nivel técnico, aliados.

−Sí, sin duda. Existen varios foros, uno de ellos es el HTNG (Hotel Technology Next Generation), un foro internacional en el que participamos y compartimos experiencias y problemáticas. También lo hacemos simplemente con colegas del sector, con los que compartimos problemas, generamos sinergias y podemos estar en proyectos similares en los que la experiencia del vecino puede servirte. Creo que en el ámbito de la seguridad la competencia no existe, no competimos, porque normalmente las amenazas son comunes, de forma que si compartimos información y experiencias generaremos sinergias y estaremos más preparados.

−¿Hasta qué punto un buen CISO debe ser en cierta medida un ciberdelincuente para ponerse en la piel de un grupo criminal que busque atacar los sistemas de seguridad de la información de una empresa?

−Más que ponernos en la piel de un ciberdelincuente lo importante es tener mucha curiosidad para pensar dónde están nuestros puntos débiles. Indiscutiblemente, la ciberdelincuencia es un tema de candente actualidad dentro de la criminología moderna. Tecnológicamente avanzamos muy rápido y es necesario estar al día de las nuevas amenazas.

El cibercrimen, un delito

−¿Qué intereses cree que persigue el cibercrimen? ¿Sólo el económico?

−En primer lugar, el cibercrimen es un delito, ya existen tarifas por hackear cuentas de Facebook, direcciones de correo... Detrás de esto, evidentemente, hay un móvil económico.

−¿Qué aspectos positivos destacaría del próximo Reglamento General de Protección de Datos que impondrá la UE en mayo de 2018?

−Si bien las empresas que se adaptaron a la LOPD no tienen que partir de cero, queda mucho trabajo por hacer. Lo más novedoso, desde mi punto de vista, es que esta norma supondrá un cambio en el enfoque, introduciendo el concepto de seguridad desde el diseño que implica la protección de datos de procesos y aplicaciones. El nuevo reglamento persigue proteger al cliente final exigiendo el consentimiento explícito. Además, esta norma da un enfoque mucho más transversal y exigirá que cada organización sea consciente del valor de su información de carácter personal que maneja e implemente los controles adecuados a su sensibilidad. Con los planes de impacto de la privacidad, la empresa pondrá los controles que crea oportunos y ahí se verán los niveles de vigilancia de cada organización, porque cada vez compartimos más información en más entornos.