En septiembre de 2016 de CISO de FCC pasó a desempeñar labores de CIO del grupo. ¿Qué ha supuesto este cambio?
G. D.: Estoy cerca de cumplir los 200 días y he sobrevivido (bromea). El cambio ha sido sustancial. Durante toda mi carrera me he ocupado de la parte de los riesgos tecnológicos y la seguridad de la información, incluyendo los aspectos regulatorios. Cuando pasas a gestionar la visión integral de todos los sistemas y tecnologías de un grupo como FCC, grande, internacional y muy complejo, con distintos negocios, es como pasar de ver una porción de la foto a verla completa. El rol del CISO es centrarse en las amenazas cibernéticas, el rol del CIO es esto más el resto. Es como entrar en una selva mucho más grande: el CISO se centra en el tigre y el CIO vigila toda la jungla.
Desde el punto operativo, ¿forma parte del comité de dirección?
G. D.: En FCC la división de Sistemas y Tecnología reporta al área económica financiera, al director general de Administración y yo reporto con el CFO.
¿Con qué recursos cuenta y con qué equipo humano?
G. D.: Servicios centrales más las áreas de negocio aglutinan más de 100 profesionales dedicados a los sistemas, sin contar con los proveedores externos. Contamos con mucho porcentaje de oursourcing, especialmente en infraestructura y mantenimiento de aplicaciones. Por ejemplo, la gestión de los servidores está delegada a HPE-CSC (DXC Technology) y la parte de end user la lleva Inforein.
A la hora de abordar un proyecto, ¿quién realiza la decisión de compra?, ¿cómo se articula todo el proceso?
G. D.: Nosotros no vendemos proyectos, apoyamos al negocio. La demanda suele venir motivada por una actividad de negocio. Es el negocio el que presenta el proyecto y nosotros nos encargamos de darle el soporte a la parte tecnológica. Pongamos como ejemplo una nueva contrata de limpieza, ahí entra en juego la inversión y la tecnología y facilitamos la gestión y los sistemas que ellos necesitan para la operación.
La ciberseguridad entra de serie en los proyectos TI
La ciberseguridad tiene que ser también parte de la agenda del CIO. Hay que asumir la responsablidad de los riesgos tecnológicos. Con mi cambio la parte de seguridad tecnológica se lleva de serie en FCC, ya que en todos nuestros proyectos de cualquier naturaleza siempre ponemos foco en la gestión de los riesgos relacionados desde el primer momento. Esto va a aportar a medio largo plazo unos beneficios. Nuestros principales partners en seguridad son Deloitte, con quien tenemos el SOC, y CMC que nos lleva la gestión de entidades. En estos momentos estamos poniendo atención en dos vectores de ataque: el ransomware, que nos obliga a neutralizar determinados brotes, con la ayuda de nuestro sistema de alerta temprana; y el ‘scam del CEO’, mediante el cual a través de un ataque de phishing se suplanta por correo a un responsable financiero que ordena, por ejemplo, que se realice determinada transferencia. Según el FBI, este tipo de ataque en los últimos tres años ha supuesto 2.300 millones de dólares en pérdidas en más de 73 países.