“A todos, tanto a empleados como usuarios, nos concierne la ciberseguridad. Es una cuestión primordial”

Licenciado en Ciencias Económicas y Empresariales por la Universidad de Valencia en 1989, donde impartió clases de Teoría Económica, Celedonio Villamayor inició su carrera en el Servicio de Estudios del Instituto de Crédito Oficial. Tras la creación de Argentaria, dirigió el departamento de Control de Gestión y Planificación de Banco Directo Argentaria.

Después de unos años trabajando como consultor de organización y estrategia para multinacionales y otras grandes empresas, en 2006 superó la oposición al Cuerpo de Inspectores de Seguros del Estado y se incorporó a la Subdirección General de Inspección de la Dirección General de Seguros y Fondos de Pensiones. Entró a formar parte del Consorcio de Compensación de Seguros, donde puso en marcha el servicio de Auditoría Interna, que dirigió hasta 2017. Desde entonces ocupa el cargo de director de Sistemas y Tecnologías de la Información en la organización.

• ¿Qué es el Consorcio de Compensación de Seguros? ¿Cuáles de sus funciones destacan?

El Consorcio es una entidad pública empresarial, adscrita al Ministerio de Asuntos Económicos y Transformación Digital. Tiene su origen en el año 1941. Se creó con carácter provisional para dar respuesta a las necesidades indemnizatorias originadas por la Guerra Civil.

Entonces se conocía como Consorcio de Compensación de Riesgos de Motín y, en un principio, tenía un carácter provisional. Pero, también sirvió para atender otros siniestros que se produjeron en la época, como el incendio de Santander (en febrero de 1941) o los de Canfranc y El Ferrol (en 1944). A raíz de esto, se pensó que era un buen mecanismo de cobertura de riesgos extraordinarios y se empezó a conformar como un instrumento permanente. Se financia con recargos en las pólizas de seguros que emiten las compañías aseguradoras. Por tanto, toda la población española asegurada es cliente del Consorcio, aunque no lo sepa.

Con el tiempo, el Consorcio ha ido asumiendo funciones que pertenecían a otros organismos, como los relacionados con los seguros agrarios, el seguro de crédito a la exportación combinado, el seguro de responsabilidad civil de automóviles de suscripción obligatoria, etc.

Posteriormente, se asumieron las funciones de liquidación de entidades aseguradoras que desempeñaba la CLEA (Comisión Liquidadora de Entidades Aseguradoras). La actividad de seguro de responsabilidad civil de automóviles de suscripción obligatoria, aunque es una actividad muy pequeña en volumen, tiene una gran función social ya que aseguramos a aquellos particulares que no encuentran aseguramiento en el sector para que, de este modo, puedan cumplir con la obligación legal de aseguramiento.

• Usuarios y empresas están cada vez más preocupados por la ciberseguridad; por los riesgos ante ataques y sus consecuencias. Ya se pueden encontrar en el mercado los ciberseguros. Pero, ¿en el terreno del Consorcio, se trabaja o se valora incluir los ciberriesgos dentro del ámbito de los “riesgos extraordinarios”?

Los ciberriesgos –ampliamente definidos- no constituyen por si solos un evento extraordinario en el sentido en que están definidos en la legislación. La cobertura de riesgos extraordinarios del Consorcio está regulada en el Real Decreto 300/2004, que enumera los riesgos cubiertos sobre la base de una lista de acontecimientos extraordinarios. Por tanto, si se produce un acontecimiento de los previstos en el real decreto (por ejemplo, como consecuencia del terrorismo) perpetrado a través del ciberespacio (por ejemplo lo que se conoce como ciberterrorismo) estaría cubierto por la actual regulación.

• Los datos revelan que, tanto en la empresa pública como en la privada, la digitalización influye en la relación con usuarios y empleados. En vuestro caso, ¿cómo ha sido el proceso de transformación digital en la organización?

Estamos inmersos en un proceso continuo de transformación digital que se ha acelerado y ampliado (afecta a todos los procesos y vías de comunicación) en los últimos años. Desde el año pasado, trabajamos en la instalación, despliegue y configuración de una plataforma de administración electrónica, que interconecta el Consorcio con todos los servicios transversales que hay en la Administración (firma digital, registros digitales, comunicaciones, intercambio electrónico de información con las distintas administraciones, etc.). Pero,

El viaje de la digitalización la iniciamos en 2011. Desde ese año, la parte core de nuestra actividad, que es la gestión de reclamaciones de seguro (por riesgos extraordinarios o por accidentes de tráfico) la tenemos digitalizada.

En situaciones como el terremoto de Lorca, cuando acabábamos de poner en marcha la comunicación electrónica de daños a través de Internet y la gestión electrónica de expedientes, la digitalización permitió que, en cinco días, se registraran unos15.000 expedientes de siniestro; algo impensable con las comunicaciones en papel.

Ahora lo que estamos haciendo es intentar llegar a una digitalización total, tanto de los procesos internos como externos, en todas las actividades que hacemos. Uno de los objetivos es eliminar por completo el papel y solo trabajar con documentos digitales.

• ¿Cómo de fácil o difícil es hacer entender a vuestros empleados y usuarios la importancia de aplicar todas estas herramientas con seguridad? Y, en este sentido, ¿qué importancia le dais a la formación y concienciación?

A todos, tanto a empleados como usuarios, nos concierne la ciberseguridad. Es una cuestión primordial. Cualquier actividad que observemos tienen tres componentes fundamentales: la tecnología, los procesos y las personas. Y, este tercer componente es, quizá, el más importante. No importa la robustez de la tecnología o los procesos que apliques, si los usuarios no están concienciados del riesgo que su actividad introduce en la organización, la seguridad estará debilitada.

En última instancia, la ciberseguridad depende de la concienciación de los usuarios, que se convierte en el eslabón más débil de la cadena. Por tanto, las personas no son una pieza más de la seguridad, son la pieza esencial. Sin una comprensión del riesgo y un comportamiento adecuado de las personas, la tecnología o los procesos no te van a mantener a salvo. La concienciación no es solo es saber usar las herramientas, es ser consciente de los riegos para poder identificarlos en cualquier momento. Los consejos de seguridad ayudan mucho a que la gente esté alerta y conozca cuáles son esos riesgos.

• Según ICEA (Investigación Cooperativa entre Entidades Aseguradoras y Fondos de Pensiones), casi el 70% de las aseguradoras españolas trabaja con Big Data. ¿Cómo está cambiando el Big Data el mundo de los seguros? ¿Cuáles son sus ventajas e inconvenientes?

La actividad aseguradora es una actividad de estimación de riesgo. Si alguien quiere asegurarse frente a cualquier evento, lo que debe hacer la compañía es tratar de obtener la mayor cantidad de información, que le permita estimar el riesgo que soporta al aceptar el aseguramiento, para calcularle un precio adecuado (la actividad aseguradora consiste, en definitiva, en ponerle precio al riesgo por adelantado). En ese sentido, cuanta más información manejes y mayor sea tu capacidad analítica, el resultado será mejor. Hay que matizar que, cuando hablamos de Big Data, es necesario diferenciar entre el dato (el número) que se recopila, y la información (la interpretación que haces del dato; lo que significa para para el negocio) que te proporciona la capacidad analítica.

Si bien el Big Data es una oportunidad para mejorar la precisión del negocio asegurador, incorpora los riesgos asociados al manejo de datos personales, ya que, en buena medida, los datos recolectados tendrán ese carácter.

• Ha pasado un año y medio desde que el Reglamento General de Protección de Datos (RGPD) es de obligado cumplimiento. ¿Cómo valoras este modelo? (la responsabilidad activa y, en concreto, la figura del Delegado de Protección de Datos, que para vosotros es obligatoria).

Mi valoración es positiva. El RGPD, con sus defectos y sus virtudes (como todas las normas), era una necesidad. No tenía sentido que hubiese 27 legislaciones diferentes en la Unión Europea que, en la práctica, imposibilitaban la movilidad de los datos dentro del territorio de la propia UE. La Comisión Europea hizo un diagnóstico acertado de dónde estaba el problema para que, dentro de la UE, se generase lo que se ha venido a llamar una economía del dato. El primer paso fue crear un Reglamento General de Protección de Datos único, de forma que la movilidad del dato fuera posible entre países. Así, la posibilidad de crear riqueza e, incluso, nuevos sectores basados en la explotación de dato, quedó abierta. Era imprescindible para que la UE no se quedase atrás en el desarrollo de esta economía frente a Estados Unidos o China.

La otra cara de la moneda es la carga que el RGPD traslada al que gestiona el dato. Es un reto para cualquier organización. Con la legislación anterior se establecían unas normas que debías cumplir y, si lo hacías, estabas cubierto. Esta normativa es más “etérea”. Tienes que hacer lo que creas que debes, atendiendo a diferentes aspectos de tu negocio.

En cuanto a la figura del Delegado de Protección de Datos, es fundamental. La actividad de protección de datos es compleja, en cuanto a que hay que manejar cuestiones técnicas, legales y de procedimientos. Contar con la figura del DPD, con los conocimientos y el equipo necesarios para dar respuesta a las necesidades de la organización (que, además, van cambiando y surgiendo día a día), es imprescindible.

• En vuestro caso, os aplica el Esquema Nacional de Seguridad. ¿Qué os ha aportado esta normativa, que acaba de cumplir 10 años?

El Consorcio está obligado al cumplimiento del ENS desde 2017. No deja de ser un elemento que disciplina y obliga a priorizar. Trata de garantizar la seguridad de las infraestructuras del sector público español y, en definitiva, de garantizar la seguridad y la calidad en los servicios que se ofrecen a todos los ciudadanos.

Según algunos informes, en los últimos años, el uso de administración electrónica se ha multiplicado en nuestro país. En este sentido, el Esquema Nacional de Seguridad se ha convertido en un elemento imprescindible para garantizar la seguridad, la confidencialidad y la integridad de todos los datos y de la información de los ciudadanos.

Nosotros, como entidad obligada, lo que hicimos fue encargar una consultoría para que nos mostrase la situación que teníamos, así como la que debíamos alcanzar para cumplir con todos los requerimientos del ENS. Y la verdad es que es un elemento disciplinar, que hace que las organizaciones se tomen más en serio, si cabe, la seguridad y los riesgos asociados al uso de dispositivos y al manejo de información.

• Como comentabas, el ENS es una de las principales herramientas para fortalecer la ciberseguridad en el sector público. ¿Crees que se le ha dado la importancia que merece?

Yo creo que sí. Desde la Administración general del Estado se viene impulsando desde los inicios y se ha hecho un esfuerzo importante (y continuo) en su implantación y, también, en la concienciación.

Los esfuerzos presupuestarios de los organismos públicos en la digitalización son grandes y, estoy convencido de que, si hay algún caso en el cual no se haya abordado el ENS con toda la intensidad necesaria, se ha debido a causas ajenas a los mismos y no a una falta de interés.

• Comenzamos el año hablando de previsiones, tendencias y retos. ¿A qué retos en seguridad de la información se enfrenta una organización como el Consorcio de Compensación de Seguros?

Nosotros, que estamos inmersos en este proceso de digitalización y transformación, tenemos, principalmente, dos retos. Por un lado, evolucionar nuestra infraestructura interna de seguridad para que se adapte a todos los cambios que estamos introduciendo. Por otro lado, queremos implantar un Centro de Operaciones de Seguridad para prevenir, analizar y mantener la ciberseguridad actualizada en tiempo real y responder adecuadamente a las amenazas en un régimen 24×7.

by