NEWS www.gmv.comNº 48 MAY/MAYO 2011

HOW TO COMBATATM FRAUD

CÓMO COMBATIR EL FRAUDE EN LOS CAJEROS AUTOMÁTICOS

INTERVIEW / ENTREVISTA

SANTIAGOMORAL RUBIOCHIEF INFORMATION SECURITY OFFICER OF GRUPO BBVA DIRECTOR DE SEGURIDAD DE LA INFORMACIÓN DEL GRUPO BBVA

P. 13EGNOS, DECLARED FIT FOR USE IN CIVIL AVIATIONEGNOS, DECLARADO APTO PARA SU USO EN AVIACIÓN CIVIL

P. 17GMV WINS IMPORTANT GMES CONTRACTS GMV ADJUDICATARIA DE IMPORTANTES CONTRATOS PARA GMES

P. 29GMV IMPROVES THE SECURITY OF THE JUNTA DE CASTILLA Y LEÓNGMV MEJORA LA SEGURIDAD DE LA JUNTA DE CASTILLA Y LEÓN

P. 33GREGORIO MARAÑÓN HOSPITAL ACQUIRES RADIANCE EL HOSPITAL GREGORIO MARAÑÓN ADQUIERE RADIANCE

P. 35FLEET-MANAGEMENT SYSTEM FOR BUDAPESTSAE PARA BUDAPEST

Nº 482011MAY

MAYO

4 ARTICLE / ARTÍCULO

HOW TO COMBAT ATM FRAUD

CÓMO COMBATIR EL FRAUDE EN LOS CAJEROS

AUTOMÁTICOS

By/por: Raquel Fernández

8 INTERVIEW / ENTREVISTA

SANTIAGO MORAL RUBIO

Chief Information Security Officer of Grupo BBVA

Director de Seguridad de la Información del Grupo BBVA

13 GMV NEWS / ACTUALIDAD DE GMV

13 AERONAUTICS / AERONÁUTICA

17 SPACE / ESPACIO

26 DEFENSE & SECURITY /

DEFENSA Y SEGURIDAD

28 INFORMATION SECURITY /

SEGURIDAD DE LA INFORMACIÓN

31 HEALTHCARE / SANIDAD

34 TRANSPORTATION / TRANSPORTE

40 PUBLIC ADMINISTRATION AND

LARGE CORPORATIONS /

AAPP Y GRAN EMPRESA

43 CORPORATE INFORMATION /

INFORMACIÓN CORPORATIVA

CONTENTSCONTENIDOS

Published / Edita GMVEditorship-Coordination / Dirección-CoordinaciónMiguel A. Martínez, Marta del Pozo, Marta JimenoArea Heads / Responsables de áreaMiguel A. Martínez, Pedro Schoch, Theresa W. Beech, Ángeles García, Olga Ramírez, Almudena Sánchez, José Luis Sousa FreitasWriting / Redacción Antonio Abascal, Luis Javier Álvarez, Francisco Javier Atapuerca, , Beatriz Bonet, Rui Carlos Alves, Jesús Cegarra, Mariano J. Benito, Begoña Cordovés, Angeles Garcia, Carlos Gonzalez, José Carlos González, Raquel Fernández, Teresa Ferreira, Carlos Illana, Marta Jimeno, José Miguel Lozano, Javier Miller, Joan Antonio Malonda, Ángel Martínez, Ignacio Martínez, David Merino, Daniel Montero, Antonio Pérez, Rubén Pérez, Marta del Pozo, Enrique Rivero, Antonio Manuel Safara Araujo, Álvaro Mozo, Almudena Sánchez, José Luis Sousa Freitas, Juan Tejo, Manuel Toledo, Marta Vilar, Nestor ZarraoaArt, design and layout / Arte, diseño y maquetación Francisco Huertas, Paloma Casero

MORE INFORMATIONMÁS INFORMACIÓNmarketing@gmv.com

+34 91 807 21 00

© GMV, 2011

LETTER OF THE

PRESIDENTCARTA DE LA PRESIDENTE

The twitch of a single finger may have untold consequences. When we are connected to internet we are plugged into a global network, interchanging information all the time, sometimes without really being aware of it. The upside is that we can tap into a practically unlimited store of information for various purposes such as communicating our ideas, online shopping, banking transactions or handling diverse devices from anywhere in the world. The downside is that the information we feed into the net for these purposes is globally accessible. And if you reveal your secrets to the wind you shouldn’t blame the wind for revealing them to the trees. Confidential information sent by internet or stored on internet-connected fixed and mobile devices is exposed to many threats, ranging from the theft of personal data or access to our bank accounts to the hijacking of our systems. A recent example is the use of Amazon’s cloud computing services to steal data from millions of Sony customers. Protection of our confidential information from the winds of internet calls for measures of common sense, access control and encryption. In terms of the last two types of measures GMV has a wealth of experience in providing information-security-management services and obtaining the corresponding certificates; it has also developed a whole range of groundbreaking inhouse products: vulnerability management solutions such as gestvul and termes, encryption and authentication solutions such as arkano and codelogin, or checker, the first security product custom-built specifically for ATMs. All these tools help to create protected environments within the universe of possibilities called internet.

El movimiento de un solo dedo puede engendrar peligros insospechados. Cuando estamos conectados a internet, interactuamos con una red global intercambiando información, a veces sin ser muy conscientes de ello. La gran ventaja es que podemos acceder a una cantidad de información prácticamente ilimitada y comunicarnos, hacer compras, manejar cuentas bancarias o dispositivos diversos en todo el mundo desde cualquier sitio. El gran inconveniente es que para ello introducimos información en internet, que a su vez es accesible globalmente. Y quien revela sus secretos al viento, no debe culpar al viento por contárselos a los árboles. La información confidencial enviada por internet o contenida en dispositivos fijos y móviles conectados a internet está expuesta a múltiples amenazas, desde el robo de datos personales o el acceso a nuestras cuentas hasta la toma de control de nuestros sistemas. Un ejemplo reciente es el robo de datos de millones de usuarios de Sony haciendo uso de servicios nube de Amazon. Para proteger nuestra información confidencial de los vientos de internet es necesario aplicar medidas de sentido común, de control de accesos y de cifrado. Para las dos últimas clases de medidas GMV dispone de una larga y amplia experiencia en la proporción de servicios y la obtención de certificaciones relacionados con la gestión de la seguridad de la información, además de una serie de innovadores productos propios: soluciones para gestión de vulnerabilidades como gestvul y termes, soluciones de cifrado y autenticación como arkano y codelogin, o checker, el primer producto de seguridad específico para cajeros automáticos. Son herramientas capaces de crear entornos protegidos dentro del universo de posibilidades que ofrece internet.

Cordial Greetings,Un cordial saludo,

GMV NEWS nº48 May 2011 I p. 3

INTERVIEW / ENTREVISTA

SANTIAGO

MORAL RUBIOCHIEF INFORMATION SECURITY OFFICER OF GRUPO BBVADIRECTOR DE SEGURIDAD DE LA INFORMACIÓN DEL GRUPO BBVA

IT engineer, holder of the CISA and CISM certificates, he began working for the banking group Grupo BBVA in May 2000 as head of systems security of the online bank uno-e Bank. Months later, in March 2001, he took on responsibility for logical security in BBVA before taking over the post of Corporate Information Security Manager of Grupo BBVA until his appointment as CISO in 2009.

Ingeniero Técnico Informático, poseedor de las certificaciones CISA y CISM, inició su andadura profesional en el grupo BBVA en mayo de 2000 como responsable de Seguridad de Sistemas de uno-e Bank. Meses después, en marzo de 2001, se responsabilizó de la seguridad lógica de BBVA, para pasar posteriormente a ocupar la Dirección de Seguridad Lógica Corporativa del Grupo BBVA hasta su nombramiento en 2009 como CISO.

pág. 8 I GMV NEWS nº48 Mayo 2011

¿Cuál es el valor de la Seguridad para una entidad financiera?La Seguridad en el grupo BBVA, como concepto del negocio financiero, puramente basado en confianza, no es un atributo que se pueda medir: tiene que ser seguro, no hay más opciones. Nosotros como entidad no pensamos en la seguridad como un valor en el que queramos competir, porque entendemos que todo el sector financiero tiene que ser seguro.Aportamos valor trabajando desde el punto de vista de la ingeniería, haciendo que la seguridad nos permita dos tipos de avances: que el coste de la operación total de la entidad sea competitivo dentro del mercado, por un lado, y que nos permita plantear avances importantes dentro de un mundo tecnológicamente globalizado, por otro.

Cuando se piensa en Seguridad Lógica se piensa en la vertiente puramente tecnológica, olvidando frecuentemente el factor humano, ¿Cómo enfoca el Grupo BBVA esta vertiente del factor humano, tanto en personal interno como de cara a clientes de vuestro servicio?Todo el sector financiero está haciendo un gran esfuerzo, buscando que lo que se puede hacer con los sistemas de información se pueda hacer mucho más

fácil y natural, la usabilidad de la seguridad. Usabilidad no en el sentido clásico del concepto, de que sea fácil, que debe serlo por definición. Lo que debe ser fácil es la integración de mecanismos de seguridad de distintas plataformas, es decir, cómo dentro de un entorno homogéneo mantengo elementos con distinto nivel de seguridad. Por ejemplo, el sitio donde comparto las fotos con mis amigos y donde almaceno mis nóminas, necesito tener a mano ambos pero con distinto nivel de seguridad.Actualmente hay unas corrientes muy interesantes que van a ser una realidad en no mucho tiempo, por ejemplo la del “Bring Your Own PC“. Al igual que te compras los zapatos, o el traje, para ir a trabajar, también te compras el PC, donde se almacena mucha de tu capacidad productiva. Las organizaciones financian anualmente una parte del coste, pasando a una estrategia distinta: da igual donde estés, siempre accedes a través del mismo medio y a las mismas aplicaciones de tu entorno de trabajo, y la seguridad es una palanca fundamental para que esto funcione.

Los Smartphones están proliferando, lo que supone un mundo lleno de posibilidades, mayor funcionalidad, mayor potencia en el canal online móvil, pago por móvil… pero, bajo el

punto de vista de la seguridad, ¿qué retos adicionales supone esto? Y, sobre todo de cara a los usuarios, ¿alguna recomendación?La recomendación para todos los usuarios de servicios móviles es que lo importante es con quién hacen sus negocios, y no a través de qué, es decir, hacer negocios con el BBVA siempre va a ser una cosa segura, porque lo estás haciendo con BBVA independientemente del medio. El medio no tiene que aportar miedo, BBVA se está posicionando para que todos los dispositivos y canales posibles sean puerta de acceso a que los clientes se relacionen y hagan negocio con el banco y no solamente los clientes, sino los empleados. Vocacionalmente somos una empresa con un importante nivel tecnológico, el reto está en cómo hacerlo sin bajar el nivel de seguridad. Lo que tenemos que ser es buenos analistas de riesgos, desde el punto de vista de seguridad, y para conseguir esto el principal problema es que hay que conocer muy bien la realidad para ajustar muy bien los riesgos. Si te pasas poniendo más controles de los que debes, te quedas fuera de mercado porque otros competidores analizarán mejor el riesgo y si te quedas por debajo, tendrás problemas que al final impactarán en tu imagen.

What is the value of security for a bank?Security in grupo BBVA, as a purely trust-based concept of financial business, is not a measurable attribute: the business has to be secure; there’s no other option. As a bank we don’t conceive security as a value to be competitive in, because we believe the whole financial sector has to be secure.We input value working from the engineering point of view, making security services the basis for progress on two fronts: ensuring that the cost of the bank’s whole operation is market competitive and that we continue to make significant headway in a theoretically globalized world.

All too often we think of logical security as a purely technological concept, forgetting the human side. How does Grupo BBVA approach this human factor, both in terms of your own staff and the clients of your services?The whole financial sector is working hard to make information systems much more natural and user friendly, the usability of security. This is not usability in the classic sense of the term, because it should be easy to use by definition. What needs to be easy is the integration of security

mechanisms of different platforms, i.e., how I can keep elements with different security levels within a uniform setting. For example, the sites where I swap photos with my friends and where I store my payslips both need to be on hand but with completely different levels of security.Some ideas currently on the boil are due to come into their own soon, such as the “Bring Your Own PC“ concept. Just as you buy your own shoes or the suit you wear to work, you also buy your own PC, where you store much of your productive capacity. The companies finance part of the cost each year, giving rise to a different strategy: wherever you may be you always access the information through the same medium and the same applications of your working environment. Security is a fundamental fulcrum to make sure this all works properly.

Smartphones are now catching on quickly, opening up a whole new world of possibilities: greater functionality, more power to the online mobile channel, payment by cell phone, etc. From the security point of view, however, what additional challenges does this pose?

And do you have any recommendations, especially for users?The recommendation for all users of mobile services is this: more important than how you do your business is who you do it with. In other words, doing business with BBVA is always going to be secure because you’re doing it with BBVA regardless of the medium used. We shouldn’t really be scared of any medium in itself. BBVA is working to make all possible channels and devices an access port to help clients relate with each other and do business with the bank, not only the clients but also the employees. We are a firm that prides itself on its technological level. The challenge is how to continue progressing on the technological front without lowering the security level. We need to be good risk analysts from the security point of view. The main problem here is that we need to have a very good idea of reality to adjust the risks properly. Control overkill will hand over the advantage to other firms that have analyzed and adjusted risks better than you. On the other hand, if you fall short on control you will run into problems that will eventually muddy your image.

GMV NEWS nº48 May 2011 I p. 9

INTERVIEW / ENTREVISTA

Hablando de gestión de riesgos, en los últimos años se está convirtiendo casi en un elemento estructural de cada vez más organizaciones y particularmente en las entidades financieras, ¿Cómo encaja el BBVA la gestión de riesgos desde el punto de vista de la Seguridad Lógica en la gestión global de riesgos de la entidad?En BBVA, tenemos el modelo CISO, Chief Information Security Officer, que es un modelo de seguridad ampliado, donde toda la responsabilidad en materia de gestión tecnológica del riesgo, es decir, la seguridad y lo que no es seguridad, cae bajo el paraguas del CISO. La parte de gestión de riesgos de todo el gobierno IT la asume el CISO.En BBVA hemos entendido que el riesgo más volátil que tenemos siempre está asociado a la seguridad, a que se mantenga ese nivel de seguridad, y que nosotros al final como Seguridad de la Información, somos, dependiendo del área que toques, entre el 40 y el 60% de todo el riesgo total que hay que gestionar en materia de TI. De esta manera, no parece descabellado que en una entidad financiera se cree una figura apalancada en la seguridad de la información, pero que se mueva hacia la parte de gestión tecnológica del riesgo, como uno de los pilares del buen gobierno.

Hablando de alianzas y de lo que veíamos antes de que la seguridad no sea un argumento de ventas como tal respecto a la competencia, ¿Cómo se gestiona la colaboración dentro del sector?En el sector financiero nadie gana porque otro tenga un incidente de seguridad, en ese campo hay una colaboración bastante discreta entre los responsables de seguridad de las distintas entidades, nos conocemos, compartimos foros, no es un mundo demasiado grande. Donde mantenemos una cordial confrontación es en ver como cada uno consigue hacer que la seguridad dentro de nuestras organizaciones sea más barata de operar, más eficiente, más simple; es decir, que vaya aportando a un mejor posicionamiento en la competitividad, pero una competitividad como ingeniería, no como función del negocio.

¿Cuáles son las amenazas más características del momento?Como sociedad nos estamos transformando en unas infraestructuras mundiales que nos permiten globalizarnos tecnológicamente, y donde los riesgos que debemos asumir y gestionar no los conocemos. Tanto los ciudadanos, como las empresas y los gobiernos, estamos trabajando en que este nuevo campo de juego que son las redes globales y sus plataformas sea un sitio cómodo para estar y para compartir.

Sobre el tema de la protección de las infraestructuras críticas, ¿cree que vamos progresando a la velocidad adecuada, estamos trabajando ya en acciones, nuevas estrategias, o todo esto se está viendo afectado por la crisis? En los países serios, nos encontramos entidades y corporaciones serias; por ejemplo el caso de España: cuando me exigen qué es lo que debo tener para ser una infraestructura crítica del país ya lo tengo. Las empresas serias ya se preocupan de tener los niveles de disponibilidad adecuados, puede que en algún momento haya alguna petición un poquito más especial, pero en líneas generales las corporaciones españolas tienen un nivel de partida muy bueno para cumplir cualquier regulación de infraestructuras críticas. Sobre la velocidad de adecuación, yo creo que las Administraciones lo están haciendo bien, como organización y como sector en general, creo que va a un ritmo adecuado, al que se puede ir, son ideas que tienen que ir aterrizando un poco.

Seguridad integral, uno de los grandes titulares de la última época, ¿cuál es su opinión?En el sector financiero los departamentos de seguridad debemos trabajar completamente de la mano porque

Speaking of risk management, in recent years this is becoming almost a structural element of more and more organizations, especially banks. How does BBVA tackle risk management from the logical-security point of view in the overall risk management of the company?In BBVA we have the CISO model, Chief Information Security Officer, which is an enlarged security model taking in the whole, across-the-board responsibility for technological and security risk management under the umbrella of the CISO. The risk management part of total IT governance is taken on by the CISO.In BBVA we believe that the security-related risk is the most volatile risk we are faced with, that this level of security needs to be maintained. In the end we as information security account for between 40 and 60% of the total IT risk to be managed, depending on the area concerned. It is therefore by no means farfetched for a bank to create a figure based on information security but also geared towards the technological management of the risk, as one of the pillars of good governance.

Speaking of alliances, and on the grounds of what we have already said about security not being wielded as a sales argument against the competition, how is collaboration arranged within the sector?In the financial sector no one wins from another stakeholder suffering a security incident. In this field there is a fairly discrete collaboration between the heads of security in the various banks; we all know each other, share forums; it’s not a very big world. Where we do keep up a cordial confrontation is making security cheaper to operate, simpler and more effective within our respective organizations. In other words security can give us a competitive edge but in terms of superior engineering rather than a business function.

Which are today’s most characteristic threats?As a society we are building up worldwide infrastructure that enables us to globalize technologically, and where the risks we have to take on and manage are an unknown quantity. Citizens, companies and governments are all working towards the same end of making this new playing field

of global networks a more comfortable place to be and compete.

As regards the protection of critical infrastructure, do you believe that we are progressing fast enough in terms of new actions, new strategies, or is the whole undertaking being affected by the worldwide downturn? Serious-minded countries, like Spain, have serious-minded companies and corporations: when I’m told what I need to have to form part of the country’s critical infrastructure, I tell them it’s already in place. Serious-minded companies already concern themselves about ensuring suitable availability levels, to be able to field any unusual request that might crop up at any moment. But on general lines Spanish corporations have a very good starting level for complying with any critical infrastructure legislation. As regards the speed of progress, I think the government is doing well, both as an organization and the public sector as a whole. The speed seems about right because these new ideas have to be fed in carefully so that people can get used to them.

pág. 10 I GMV NEWS nº48 Mayo 2011

tenemos un continuo en los problemas de seguridad que tenemos que gestionar. Un problema de seguridad puede empezar en el mundo físico y pasar al virtual y del virtual pasar al físico, y ser el mismo problema y ser la misma acción, por lo cual hay que trabajar de forma muy coordinada. Pero el nivel de especialización que requiere el departamento de seguridad corporativa y el departamento de seguridad de la información son distintos.Toda la tecnología de seguridad corporativa la lleva seguridad de la información. Esto nos permite que haya unicidad de procesos, unicidad de tecnologías, que no haya dispersión tecnológica en cuanto a la gestión de las identidades. Pero a nivel de gestión de departamentos somos distintos, porque las cosas que ellos gestionan y las que gestionamos nosotros, teniendo

una superficie común son radicalmente distintas. Nos hemos organizado de tal forma que tenemos el beneficio de la integración, y tenemos el beneficio de la no integración.

Uno de los paradigmas actuales es el cloud computing. En pocas palabras ¿Cuál es su opinión sobre cloud computing y seguridad?Nosotros como banco somos una entidad muy regulada en todo aquello que es nuestro negocio financiero con su determinado nivel de seguridad, pero además tenemos muchas otras aplicaciones empresariales que tienen otro nivel de seguridad diferente.En este segundo caso estamos abiertos a todo lo que aparezca en este mundo globalizado que nos permita la reducción de costes y la mejora de procesos. Pero

en todo aquello que tenga que ver con nuestro negocio regulado queremos tener las máximas garantías y control, no solamente por nuestros clientes sino para las entidades que nos regulan.

El BBVA está haciendo una apuesta muy importante por la innovación, en lo que se refiere a seguridad ¿qué temas podría destacar?Cómo entidad financiera tenemos un plan de innovación específico, hemos creado junto con la Universidad Rey Juan Carlos un Centro de Investigación para la gestión tecnológica de los riesgos, donde estamos trabajando en varias líneas.La primera es la búsqueda de nuevos algoritmos que nos permitan la búsqueda de anómalos, es decir, encontrar datos raros dentro de volúmenes ingentes de datos, como pueden ser ataques por

Integral security, one of the buzz words of recent times. What’s your take on it?We security departments in the financial sector have to pull together because we are dealing with a continuum of security problems. The problem might first rear its head in the physical world and then pass on to the virtual world and vice versa but it’s the same problem and calls for the same action so we need to work in a very coordinated way. But the level of specialization called for in the corporate security department and the information security department are different.The whole technology of corporate security is run by information security. This enables

us to unite processes and technologies and fend off technological dispersion in terms of the management of identities. But at department management level we are different because the things they manage and the things we manage ourselves, although overlapping at times, are radically different. We have organized ourselves in such a way as to benefit from both integration and non integration.One of today’s paradigms is cloud computing. In a nutshell, what is your opinion of cloud computing and security?As a bank we are heavily regulated in terms of our financial business with its given security level but we also have many

other business applications with a different security level.In this second case we are open to all the new features of this globalized world that help us cut costs and improve processes. But in everything to do with our regulated core business we do want to have the maximum guarantees and control, not only for our clients but also our regulating authorities.

BBVA has gone for security innovation in a big way. Which standout themes would you mention?As a bank we have a specific innovation plan. Together with the university

GMV NEWS nº48 May 2011 I p. 11

INTERVIEW / ENTREVISTA

internet, ataques en tarjetas…, y empresas como GMV nos permiten de forma conjunta mejorar la efectividad en esta línea, intentando anticiparnos a lo que pueda suceder en el banco.Otra línea son los mecanismos naturales de identificación de personas, hacer que los sistemas de información faciliten una relación cada vez más natural con los clientes, para esto estamos trabajando en temas de biometría, intentando facilitar el reconocimiento de las personas por su comportamiento.La tercera línea son metodologías específicas de análisis de riesgos, hasta dónde asumir o no riesgos. Hay una línea de investigación muy interesante que es el análisis del comportamiento intencional basándonos en teorías de juego, y

aplicándolo al comportamiento de los grupos de delincuencia organizada.

Desde la perspectiva de un Directivo que ha llegado muy lejos en el campo de la Seguridad, un consejo bajo el punto de vista de carrera profesional.Aquí no hay más consejo que trabajar duro, ser apasionado y no parar de formarte. Dentro de las disciplinas de las TI, este mundo de la Seguridad de la Información es tremendamente apasionante. En ésta además tienes un punto de interés añadido, y es que tienes un adversario, lo cual provoca que intelectualmente sea tremendamente atractivo. En contra tiene que es un trabajo que exige mucha dedicación, no solamente por las horas, sino porque los incidentes ocurren

en cualquier momento, no cuando a ti te apetecería. Y, por último, el tema de la formación permanente. Los profesionales de seguridad de la información son de los mayores expertos en todas las nuevas tecnologías que van apareciendo. Una de las claves en el tema de la formación es conseguir rodearte de gente más inteligente que tú, porque así tendrás la suerte de siempre tener de donde aprender.

Son casi 10 años los que BBVA y GMV llevan colaborando juntos, ¿querría hacer un balance de su experiencia en estos años?Con GMV se ha producido lo que denomino “innovación co-evolutiva”, que consiste en la evolución de dos empresas que se ayudan sin necesidad de que exista un pacto. Se establece una relación en base al conocimiento y a la mejora continua basado en la confianza. Cuando en el BBVA tenemos una necesidad que no sabemos muy bien cómo cubrir se os lanza una idea en la que os ponéis a trabajar, obtiendo resultados muy buenos. Vosotros como empresa conseguís productos interesantes y yo consigo tener empresas que mejoran mi capacidad.

Universidad Rey Juan Carlos we have set up a research center for technological risk management, where we are working along several lines.The first is the search for new algorithms allowing us to track down anomalies, i.e., ferret out strange data within huge volumes of data, such as internet attacks, credit card hacking, etc. Companies like GMV help us to continually increase our effectiveness, trying to keep one step ahead of new banking events.Another line of research involves natural person identification mechanisms, steering information systems towards an increasingly natural relationship with clients. We are therefore working on aspects like biometrics, trying to facilitate behavior-

based recognition of persons.The third line of research is specific risk analysis methodologies, deciding up to which point risks should be assumed. Another very promising strand is the analysis of purposive behavior based on games theories, applying the results to the behavior of organised criminal groups.

As a security professional who has reached the top of the tree, what career tips could you give us.There’s no one secret other than working hard, staying enthusiastic and continually learning. In the IT world, information security is a thrilling challenge. And it’s made even more interesting by the fact that you’ve always got an adversary out there to

keep you on your toes. The downside is that its tremendously demanding in terms of time, not only because of the hours you have to put but also the untimeliness with which the problems always crop up. And lastly there’s the matter of permanent education. Information security professionals are the top experts in all the new technologies that keep appearing. One of the keys to education and training is surrounding yourselves with people more intelligent than you so that you have always got someone to learn from.

BBVA and GMV have been collaborating together for almost ten years now. How do you see this experience from your side?With GMV we have achieved what I call “co-evolutive innovation”, meaning two firms that evolve together with no need for a written pact. A trust-based relationship is built up from knowledge and continual improvement. When we in BBVA have a need that we not sure how to meet, we throw you out a working idea and an excellent result always come back. You as a company achieve interesting products and I as a manager find a company I can rely on to improve my capacity.

pág. 12 I GMV NEWS nº48 Mayo 2011