¿Cuáles son sus principales responsabilidades?
Mi rol como Internal Security Consultant se centra en diseñar y gestionar el programa de Security Awareness de la compañía, así como en dar soporte en ámbitos como la seguridad física y del empleado, y la seguridad en viajes y eventos. Además, también trabajo como Business Resilience Officer dentro de la dirección de Business Resilience, donde apoyo a distintas unidades de negocio actuando como punto de contacto directo para asuntos relacionados con la seguridad. Más allá de estas responsabilidades definidas, ofrezco apoyo allí donde es necesario. Gracias a una combinación diversa de experiencia, creatividad y pragmatismo, puedo contribuir a una amplia variedad de tareas, proyectos y temas en toda la organización.
¿Cómo colabora un Internal Security Consultant con otros departamentos para garantizar la seguridad interna?
Aunque la colaboración varía en función del tema, trabajar estrechamente con otros departamentos forma parte de mi día a día. En particular, la gestión del programa de Security Awareness me pone en contacto con numerosos equipos y stakeholders de la compañía. Y es que la seguridad es, ante todo, un esfuerzo colectivo. No se pueden implementar procesos eficaces ni planificar iniciativas de concienciación significativas de forma aislada, sin comprender completamente al público objetivo. Recoger feedback, solicitar aportaciones profesionales y colaborar de manera transversal con departamentos como IT, Legal, RR. HH. y Negocio son elementos clave que me permiten desempeñar mi labor con éxito.
¿Qué tipos de riesgos internos sueles identificar y cómo ayudas a gestionarlos o mitigarlos?
La seguridad es una responsabilidad compartida y tengo la suerte de trabajar junto a muchos compañeros y compañeras muy cualificados en diferentes áreas, que contribuyen a identificar y gestionar los riesgos dentro de sus respectivos ámbitos. En mi caso, me centro en los aspectos humanos y físicos de la seguridad interna. La colaboración estrecha con los departamentos afectados, junto con el equipo de Enterprise Security Risk Management, es esencial para garantizar que los riesgos se evalúan y mitigan de forma adecuada, eficaz y proporcional.
¿Qué importancia tienen la prevención y la concienciación de los empleados en el trabajo de seguridad interna?
La concienciación de los empleados es uno de los elementos más críticos de la seguridad interna. En muchos sentidos, los empleados son tanto la primera como la última línea de defensa de una organización. Las decisiones cotidianas pueden influir directamente en la postura de seguridad de la empresa, ya sea caer en un correo de phishing dirigido, utilizar nuevas herramientas de IA con información confidencial, permitir el acceso a personas no autorizadas a las instalaciones de la compañía o revelar información sensible durante una llamada fraudulenta (vishing). Con el auge de los ataques asistidos por IA, la ingeniería social cada vez más sofisticada y comunicaciones altamente convincentes, identificar todas las amenazas potenciales es cada vez más complejo. Por ello, ayudar a los empleados a reconocer estos riesgos, saber dónde encontrar apoyo y reforzar sus habilidades en materia de seguridad resulta clave para una prevención eficaz.
¿Qué herramientas, metodologías o marcos de referencia utiliza un Internal Security Consultant?
De nuevo, la seguridad es un trabajo en equipo: junto con los especialistas en diferentes áreas, mi equipo apoya en la identificación y gestión de riesgos en esas áreas. Pero en mi puesto especialmente, la prevención es la clave, ya que me centro principalmente en el lado humano y físico de las cosas. Por ejemplo, la filtración de datos podría conllevar multas legales y pérdida de reputación, las credenciales robadas podrían llevar a sistemas y redes comprometidos, y los ataques de phishing exitosos pueden conducir a accesos indebidos al sistema, transferencias de dinero o la divulgación de información confidencial; estos son solo algunos ejemplos de los riesgos comunes asociados a la concienciación de los empleados y a la cultura de seguridad general en una empresa. La comunicación, las formaciones, los talleres y las campañas simuladas de phishing ayudan a aumentar la conciencia de seguridad, reducir las probabilidades de riesgo e incluso prevenir ciertos incidentes. En el ámbito físico, las oficinas, centros de datos, tiendas y otras instalaciones conllevan también una variedad de riesgos, como incendios que podrían provocar la pérdida de datos o amenazar la salud de los empleados, eventos ambientales como inundaciones o tormentas eléctricas que podrían destruir infraestructuras o tecnología y reducir la disponibilidad de servicios, o el acceso no autorizado (por ejemplo, el tailgating), que podría facilitar accesos a sistemas o derivar en ataques adicionales. Por ello, realizar evaluaciones físicas de riesgo en nuestras instalaciones es una forma de analizar su estado basándonos en diferentes requisitos legales, industriales e internos, y la estrecha colaboración con el departamento afectado y con nuestra Gestión de Riesgos de Seguridad Empresarial permite una correcta evaluación y mitigación de los riesgos identificados.
¿Cómo contribuye este rol a fortalecer la cultura de seguridad y la protección de la información dentro de la organización?
A través de mi implicación en el programa de Security Awareness y de mi papel como stakeholder clave en la formación y comunicación en materia de seguridad para empleados, mi equipo y yo contribuimos activamente a reforzar la cultura de seguridad y la protección de la información en la organización. Junto con mis compañeros de Business Resilience, también me considero un embajador de la seguridad de la información, con el objetivo de hacerla más accesible y de ayudar a los empleados a comprender mejor los riesgos de una manera clara y cercana.
