José Antonio Romero

Minsait México / Cliente Indra Corporativo España

• Implementación del Modelo de Seguimiento a las actividades principales de los LISOS de Indra en los países de México, Brasil, Chile, Colombia, Perú, Italia, Portugal, Filipinas y Noruega, con el fin de diagnosticar el nivel de madurez de seguridad de su geografía y así priorizar los esfuerzos necesarios para elevar el nivel de seguridad en la misma. 
• Llevar a cabo reuniones de seguimiento trimestrales con los LISOS de cada país, donde se evalúa el cumplimiento de los objetivos fijados por el CISO bajo los criterios de visibilidad, riesgo y necesidades de su geografía:
  • Determinar la madurez de la función del LISO
  • Conocimiento de normativa y contactos de seguridad globales; identificación contactos de proveedores y clientes para seguimiento de temas de seguridad
  • Identificación y tratamiento del riesgo en el ciclo de vida de las operaciones y proyectos con clientes
  • Gestión de las alertas e incidentes de seguridad de la información en tiempos aceptables
  • Impulso y seguimiento a la formación y concienciación obligatoria
  • Reporte de requisitos corporativos y legales
  • Atención y corrección de vulnerabilidades dentro de la infraestructura
  • Implantación del modelo de Seguridad Gestionada de Proyectos, para garantizar la valoración de los requisitos de seguridad anticipadamente en los mismos
• Elaboración y presentación de informes trimestrales a la Dirección de Seguridad de la Información, sobre los resultados de los seguimientos y preparación de la información para la presentación anual, con la Dirección General de cada país.
• Revisión de los objetivos y parámetros aplicados durante el año para la medición de resultados de los seguimientos, con el fin de proponer su evolución para elevar el nivel de seguridad en cada país de acuerdo con las necesidades y contexto de su mercado.
• Acompañamiento y asesoría a los LISOS de cada país antes y después de cada seguimiento para alcanzar y mejorar los resultados de los parámetros objetivo. 

Minsait México / Cliente BBVA México

• Liderar al equipo de consultoría, en colaboración con los equipos de Ciberseguridad del Banco, para cambiar la cultura de Seguridad y mitigación de riesgos de Fraude o Fuga de Información en los principales procesos del Negocio y soporte.
• Análisis de riesgos/controles a alto nivel sobre los procesos de la taxonomía corporativa del Banco.
• Identificar procesos y gaps de seguridad para proponer medidas nuevas o modificar las existentes, implementando controles tácticos y estratégicos
  • Conocimiento del proceso, identificación de áreas y personas involucradas
  • Realización de entrevistas e identificación de riesgos
  • Definición e implementación de medidas de mitigación en conjunto con las áreas y entrega de informe
  • Seguimiento al cumplimiento de los planes de mitigación y cierres de proyecto.

Banco S3 Caceis México

• Reporte directo al Director General y al CISO Global de España y LATAM.
• Administrar correctamente los riesgos de seguridad de la información y ciberseguridad.
• Definir y verificar la implementación y continuo cumplimiento de las políticas y procedimientos de seguridad de la información y ciberseguridad, asegurando se encuentren alineadas a las disposiciones regulatorias y globales.
• Autorizar accesos a los usuarios a los sistemas e infraestructura, así como accesos privilegiados y definiciones de configuración de seguridad de los equipos. Análisis y Aprobación de excepciones de seguridad.
• Elaborar el Plan Director de Seguridad, así como su actualización y seguimiento de los proyectos que lo integren.
• Gestionar las alertas de seguridad de la información recibida por canales internos o externos, así como los incidentes de seguridad de la información, debiendo coordinar y liderar al equipo para la detección y respuesta a los mismos.
• Informar a los diferentes Comités los incidentes de seguridad de la información, acciones tomadas para hacer frente al incidente y dar seguimiento a las medidas para prevenir o evitar que se presente nuevamente.
• Presentar informes de gestión y revisiones en materia de seguridad que muestren las acciones para mejorar la seguridad de la información
• Informar del resultado de la evaluación de los indicadores de seguridad de la información, que ayuden a determinar el nivel de exposición y tolerancia al riesgo de la institución.
• Garantizar la seguridad de la información generada, recibida, transmitida, procesada o almacenada en los sistemas informáticos y de telecomunicaciones de la institución, así como la aplicación de las medidas preventivas y correctivas necesarias para subsanar cualquier deficiencia detectada en materia de seguridad de la información.
• Evaluar la vulnerabilidad en el hardware, software, sistemas, aplicaciones desarrolladas internamente y redes, a través de pruebas para detectar las insuficiencias de los controles instalados y de esa manera generar acciones correctivas y preventivas.
• Apoyo a los responsables de área, con la coordinación de los planes de contingencia BCP y DRP, a fin de asegurar la capacidad y continuidad de los sistemas implementados para la ejecución de operaciones.
• Asegurar el mantenimiento y ejecución de planes de contingencia para recuperación del negocio a través de las pruebas anuales de usuarios e infraestructura.
• Asegurar la concientización de seguridad de la información y Ciberseguridad por medio de campañas y capacitación para todo el personal de la institución.
• Participación en las Comisiones de Ciberseguridad y Continuidad de Negocio de la ABM.

Operadora COVAF  (Operadora de Fondos Limitada, Soluciones y Servicios Financieros)

• Responsable de establecer las políticas de Seguridad de Información, así como de definir y supervisar los lineamientos normativos aplicables a la Operadora. 
• Validar y supervisar que los controles de los recursos de infraestructura de TI estén apegados a las políticas de seguridad. 
• Definir los mecanismos implementados para el resguardo de información. 
• Identificar y controlar riesgos tecnológicos en los sistemas e infraestructura verificando el cumplimiento de la regulación vigente. 
• Identificar riesgos internos en prácticas no adecuadas. 
• Coordinar Pruebas de Penetración, Evaluación y Análisis de Vulnerabilidades en Infraestructura y Sistemas.
• Atención a Auditorías Internas, Clientes y Reguladores.
• Llevar el control de incidencias de Seguridad y  TI, asegurarse de contar con acciones correctivas y confirmar su implementación.
• Concientización de seguridad de la información para todo el personal de la empresa. 

Consultor Independiente

• Aplicación de evaluaciones basadas en ISO27001 y mejores prácticas de otras normas internacionales. Consultoría en aseguramiento de calidad (QA) para proyectos de Tecnología. Elaboración de planes de Seguridad. Creación e implementación de políticas y procedimientos relativos a Seguridad de la Información y Ciberseguridad. Aplicación de controles para la correcta administración de aplicaciones y aseguramiento de accesos apropiados.     Preparación de cursos para crear conciencia de la Seguridad de la Información y Ciberseguridad.