NOTICIAS

Daniel Damas, NN: “Para ser un buen CISO tienes que pensar como un cibercriminal”

Home Seguridad
Dirección copiada

Daniel Damas, Head of IT Security de Nationale-Nederlanden, confiesa las principales preocupaciones de su área de responsabilidad

Publicado el 22 abr 2025
Rufino Contreras

Redactor Jefe

daniel damas

Tú, como CISO, tienes tus demonios particulares, ¿cuáles serían?

Esa pregunta es interesante porque honestamente tengo que hacer un balance entre enseñarle al usuario y ‘estrangularlo’. Siempre tengo esa dicotomía. Por suerte me inclino más por enseñar, porque realmente las personas asumen la seguridad en función de su contexto. Por más que tú les expliques los riesgos, mientras no los vean o sufran, es difícil que aprendan.
Mi mayor miedo siempre es el usuario, porque tiene acceso legítimo. La mayoría de los incidentes son involuntarios. Es una competencia entre vender y hacer las cosas seguras. Y vender, muchas veces, implica prisas que llevan a errores.

Y por usuario, ¿cuál sería el perfil? No todos te quitan el sueño…

Los usuarios más peligrosos son los de IT. Son muy creativos y tienen permisos privilegiados. El usuario final accede a datos sensibles, pero no tiene esos permisos. Luego están los proveedores, que son un riesgo alto.
Gracias a DORA, se está viendo algo que ya sabíamos: el proveedor puede decir lo que quiera, pero el papel lo aguanta todo. Instalamos un agente de detección de vulnerabilidades en un proveedor tras un incidente, y tenía más de 5.000 vulnerabilidades.

¿Es como si cada proveedor tuviera que pasar una auditoría de ciberseguridad?

Hacemos training a todos, incluso clientes. Si les hackean, es también un problema nuestro. En este caso puntual, debido a un incidente, nos permitieron intervenir, pero lo normal es que el resto de los proveedores no te den acceso tan fácilmente. No es habitual que puedas hacer algo así. Para lograrlo con todos los proveedores, tendría que invertir muchísimo tiempo y recursos internos solo para estar dentro de cada uno de sus sistemas, lo cual es muy complicado.

Además, en estas situaciones tienes que confiar en ellos. No puedes simplemente decir: “Ah, pero tenemos un contrato” o “tenemos un anexo al contrato”. Ese tipo de documentos no sirven de mucho cuando ya has sufrido un ataque. Por eso, no basta con tener acuerdos legales. También es clave formar y entrenar a los usuarios internos, al equipo de IT, e incluso a nosotros mismos.

Se está hablando de rearme en Europa. ¿Las empresas también se están rearmando en ciberseguridad?

Sí. Estuve en Polonia con otros CISO y hablamos de las 3 guerras: Ucrania-Rusia, Israel-Hamás y la guerra económica de Trump. Todas impactan en seguridad. El rearme estatal ha disparado la demanda de expertos en ciberseguridad. Competimos con el Estado, que tiene más recursos.

¿Entonces, otro demonio sería el presupuesto?

No nos limita, pero sí nos resta. Retener y conseguir talento es muy difícil. En cuanto a recursos técnicos, el board lo entiende y aprueba inversiones sin problema. Pero el mercado laboral es agresivo y hay fuga de talento. Hemos desarrollado desde Holanda una “Engineering Culture” para atraer y retener talento. Damos condiciones óptimas: dispositivos, herramientas seguras, salarios competitivos. Es clave para nuestro sector, que pasó de ser tradicional a convertirse en muy tecnológico.

Y en ese proceso, la figura del CISO habrá ganado protagonismo. ¿Cómo es tu relación con el CIO y tu papel?

Dependo del CTO directamente. Me tiene muy cerca y me involucra en las decisiones estratégicas. Mi rol es asesorar. La clave es encontrar el equilibrio entre asumir riesgos y mitigarlos. No puedes eliminar todos los riesgos, tienes que saber hasta dónde estás dispuesto a asumir. En nuestro caso en seguridad, aparte del sentido común, están las políticas, las normas y las buenas prácticas.
Entonces, siempre que tú puedas encauzar las cosas en la medida de lo posible, dentro de esas de esas medidas, no es que vas a evitar el accidente, sino que vas a minimizar el impacto.

Otro demonio: el shadow IT. ¿Cómo lo gestionáis?

Ahí está el reto: nosotros tratamos de que el usuario no tenga privilegios suficientes como para generarse su propio shadow IT. Pero tampoco somos inflexibles. Por ejemplo, les permitimos utilizar herramientas como Power BI para crear sus propios informes, donde nosotros no intervenimos directamente, pero sabemos que es una herramienta segura.

Lo que hacemos es promover el uso de herramientas seguras para que los empleados puedan desarrollar sus tareas de forma autónoma, pero siempre dentro de un entorno controlado. Es un equilibrio: soy inflexible cuando algo puede poner en riesgo a la empresa, pero flexible cuando se trata de facilitar el trabajo del usuario.

Sí, para hacer bien este trabajo debes pensar como un criminal. Me criaron con valores cristianos, pero tuve que aprender que los demás no siempre piensan igual

El shadow IT no se puede evitar completamente. Lo importante es estar atentos a los procesos críticos que sustentan el negocio y transformar ese shadow IT en procesos empresariales formales. Por ejemplo, hemos identificado archivos Excel que la gente usaba para tomar decisiones importantes y los hemos convertido en sistemas estructurados: ahora están en bases de datos bien protegidas, cifradas, y solo accesibles para las personas autorizadas.

¿Y la IA cómo afecta?

Sí, la inteligencia artificial -afortunadamente- la conocemos desde hace más de 20 años en el ámbito de la seguridad. Siempre ha estado presente en la correlación de eventos y en el uso de machine learning. Por ejemplo, la detección de fraude es un área que llevamos tiempo gestionando con estas tecnologías.

Bueno, debería haber especificado que me refería a la inteligencia artificial generativa…

La parte de la IA generativa es distinta: llega directamente al usuario y le da capacidad para crear su propio shadow IT. Si permitimos que operen fuera del entorno de control, pueden usarla para desarrollar sus propias soluciones sin que sepamos qué datos están introduciendo o manipulando.

¿Qué hemos hecho nosotros? Proveerles de todas las herramientas necesarias para que utilicen IA generativa dentro del entorno corporativo. Incluso hemos desarrollado modelos internos que les aportan verdadero valor añadido.

Por ejemplo, algunos empleados usaban herramientas como Copilot —en entornos no controlados— para hacer consultas a la IA. Lo que hicimos fue tomar esa iniciativa informal, y trasladarla a un entorno seguro, con supervisión. A partir de ahí, desarrollamos modelos internos que ya están en producción y que trabajan con datos masivos, que conocemos, que agregamos y tratamos para ofrecer información útil al usuario, pero sin comprometer el detalle de los datos de clientes.

¿Puede ‘habitar’ un cibercriminal dentro del propio CISO?

Sí, para hacer bien este trabajo debes pensar como un criminal. Me criaron con valores cristianos, pero tuve que aprender que los demás no siempre piensan igual. No confío ni en mí mismo. Me preparo para todos los escenarios. No tengo acceso directo a sistemas. Solo tengo acceso a la monitorización.

Es como de película. ¿El CISO puede ser una figura vulnerable?

Claro. El CFO, el que paga facturas, el operador que cambia cuentas bancarias… son objetivos. Yo no abro enlaces, no atiendo llamadas de desconocidos. No tengo redes sociales, salvo LinkedIn.

Ese nivel de precaución es tremendo. ¿Hasta analizáis los vídeos corporativos?

Sí, en un vídeo localicé la casa de un directivo por detalles del fondo. También analizamos lo que publican los empleados. Hicimos una demo con una empleada y le mostramos su rutina diaria, usando información pública. Al principio se molestó, pero todo era información que ella misma publicaba en las redes sociales.

¿Tenéis sesiones de formación interna sobre estos temas?

Sí, damos píldoras de concienciación mensuales. Con ejemplos reales. Mostramos métodos de ataque, explicamos qué es MFA, phishing… Hacemos gamificación: los empleados pueden retarse con simulaciones de phishing. Tenemos formación obligatoria anual. Usamos una herramienta que entrena al usuario con ataques simulados. Es parte de nuestra cultura.

¿Habéis hecho simulacros de ataque?

Sí, hicimos uno con un ransomware simulado el día de cierre. Bloqueamos teclados, ratones, pusimos un vídeo con una cuenta de Bitcoin para rescate. Al final salía el CEO explicando que era una prueba. Fue muy impactante y redujo mucho la tasa de clics en phishing.

¿Aun así hay quien cae?

Sí, siempre puede haber uno. Y más ahora, con phishing generado por IA, son difíciles de detectar. Puedes tener un mal día y hacer clic. Tenemos más de un millón de ataques semanales. Antes eran cien mil. Desde Ucrania y el conflicto de Israel han aumentado. Por eso entrenamos al usuario. Y tenemos medidas de recuperación como backups, MFA, segmentación de accesos…

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Rufino Contreras
Redactor Jefe

Temas

Canales

Artículos relacionados

  • La Cámara de Comercio de Ceuta y Var Group unen fuerzas para democratizar la ciberseguridad y proteger a las pymes locales

  • ENTREVISTA

    La Cámara de Comercio de Ceuta y Var Group unen fuerzas para democratizar la ciberseguridad y proteger a las pymes locales

    20 Dic 2024

    por Redacción Computing

    Compartir
  • La Comunidad de Madrid invertirá 20 millones en 2 años para formación TIC

  • NOTICIAS

    La Comunidad de Madrid invertirá 20 millones en 2 años para formación TIC

    30 May 2024

    por Redacción Computing

    Compartir
  • Cómo crear un ecosistema de datos eficiente y estratégico para el negocio

  • primer plano

    Cómo crear un ecosistema de datos eficiente y estratégico para el negocio

    22 Jul 2024

    por Laura del Río

    Compartir
  • Hornetsecurity: "España es uno de los mercados de mayor crecimiento para la compañía en Europa"

  • noticias

    Hornetsecurity: "España es uno de los mercados de mayor crecimiento para la compañía en Europa"

    04 Jul 2024

    por Laura del Río

    Compartir

Artículo 1 de 5