"El CISO se obsesiona con sentarse en la mesa directiva, pero, ¿qué quiere contar? Lo importante es estar en el diseño de los proyectos"
Gabriel Moliné, Deputy Global CISO de Leroy Merlin, analiza el escenario actual de los departamentos de ciberseguridad y muestra el camino y las alianzas que comparte con los fabricantes de soluciones.
El gigante francés del bricolaje y decoración, Leroy Merlin, ha hecho de la confianza en su marca una de las claves de su negocio en los 16 países en los que está presente. En España, cuenta con dos firmas, Leroy Merlin y Bricomart, y unos 30.000 empleados. Hablamos con su CISO global, Gabriel Moliné, en el marco del evento Risk to Resilience World Tour de Trend Micro, sobre su estrategia y de las claves a la hora de elegir un proveedor de ciberseguridad.
¿Cuáles son los pilares comunes de la estrategia global de ciberseguridad de Leroy Merlin?
Tenemos presencia en 16 países y nuestra filosofía, a nivel de ciberseguridad, es la protección de nuestros clientes y colaboradores, es decir, de la fuerza laboral. Acompañamos el proceso de transformación digital de la compañía para ofrecer nuestros productos y servicios por distintos canales que sean cercanos a nuestros usuarios. La mejora continua se da con servicios que resguarden los datos y que ofrezcan canales seguros, fiables y mantenibles. En definitiva, que no importe si estemos trabajando por WhatsApp o a través del ecommerce o en tienda física. Queremos que la experiencia sea la misma, y con la misma certeza de que vamos a tener un nivel de seguridad adecuado en todas las transacciones.
La estrategia es común, pero, ¿qué particularidades puede haber en las geografías en las que la empresa está presente?
Nos centramos en los objetivos globales del negocio, y de la visión tecnológica común, pero evidentemente tenemos particularidades asociadas a la propia naturaleza de cada uno de los países. Pero, al final, en el framework común de incidentes vemos los mismos riesgos, aunque con aproximaciones distintas.
En concreto, ¿España es un país muy particular?
Es un sitio encantador [risas]. Pero, sí, contamos con retos interesantes. Tenemos presencia de dos marcas a nivel de grupo [Bricomart y Leroy Merlin] y, además, vemos también necesidades distintas en los clientes. Probablemente, algunos de ellos estén menos acostumbrados al uso de tecnologías de la información, con lo cual, buscamos una aproximación diferente a la hora de buscar una oferta de productos que no entorpezcan los canales de venta.
Teniendo en cuenta el tipo de producto que comercializa la marca, ¿los usuarios finales demandan ciberseguridad y confianza en los canales tecnológicos? De hecho, participáis en cuestiones de prevención e investigación de campañas de phishing.
Sí. La concienciación de los ciudadanos ha crecido muchísimo, y un valor muy importante está asociado a la la marca, a la confianza que aporta. Pero esto no se gana a través del nombre, sino con hechos. Por ejemplo, con esa colaboración que tenemos con las Fuerzas y Cuerpos de Seguridad del Estado para notificar los posibles riesgos de nuestros usuarios. Aunque no somos una infraestructura crítica, tenemos más de 10 millones de clientes en nuestra base de datos en España. Tenemos el compromiso de que, ante una brecha o una nueva amenaza, vamos a comunicar a organismos como el Instituto Nacional de Ciberseguridad (INCIBE) o los distintos Cert y asociaciones.
Solo en España, la empresa cuenta con unos 30.000 empleados. ¿Cómo consigue Leroy Merlin que la ciberseguridad sea un asunto de todos ellos también?
Hay que convertir el lenguaje técnico en algo que se pueda entender. En líneas generales, se ha cometido el error de creer que el mensaje es igual para todos. Y, es distinto para todo tipo de personas, desde rangos de edad más jóvenes, gente más formada… Es importante entender sus necesidades, dónde nos pueden apoyar y saber las amenazas que les afectan. Por ejemplo, la suplantación de identidad para nosotros es un riesgo latente. También tenemos necesidades regulatorias que las tiendas sufren, a nivel de elementos como puede ser el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas).
"Hay que convertir el lenguaje técnico en algo que se pueda entender"
¿El departamento de ciberseguridad de Leroy Merlin está completamente integrado con el negocio y la alta dirección?
Sí. Este tema se ha convertido en una obsesión para los CISO. Tengo que sentarme en la mesa, pero, ¿para qué? ¿Qué quiero contar? Cuando hablamos de negocio lo importante es estar en el diseño de los proyectos. Entender al negocio no es sentarse en una mesa a hablar con el director general, sino saber qué quiere el área de marketing o el de clientes, por ejemplo, y ser un habilitador. Participar en que los distintos canales digitales se sientan seguros y puedan funcionar de una manera eficiente. Ahí es donde está el cambio del juego.
¿Qué amenazas miran con más recelo? Últimamente se habla mucho de toda la red de socios y de la cadena de suministro como la gran puerta de entrada a las compañías.
Efectivamente, en el análisis de riesgos que podemos hacer desde fuera, uno de los elementos primordiales es garantizar que tus partners tengan un mínimo de seguridad. Esto no supone simplemente hacer una lista de la compra para tu socio, porque muchos de ellos no son nativos digitales y necesitan un acompañamiento desde el punto de vista de entender la ciberseguridad. Tenemos que apoyarlos.
Otra de las grandes tendencias en cuanto a amenazas es la de la inteligencia artificial (IA) generativa. Teniendo en cuenta el rápido avance de las nuevas tecnologías, y como experto, ¿cómo se imagina en el futuro la eterna lucha entre el cibercrimen y el CISO?
Cuando empezaron a circular los coches, la gente vio en esto una amenaza, ya fuera porque se fueran a acabar los caballos o porque fueran utilizados como un arma. El tema de la IA y de los cambios de paradigma ha surgido en el ámbito tecnológico como un Big Bang y se ha democratizado para el usuario final, con ChatGPT, por ejemplo. Pero es lo mismo, yo las veo como herramientas positivas, más que negativas. Tenemos que librarnos del miedo y del oscurantismo. Lo que viene es un habilitador y una evolución en el uso de las tecnologías. Por ejemplo, hay tareas muy repetitivas en el mundo de la ciberseguridad. Ahora mismo se necesita mucho talento, y este tiene que tener un ámbito de desarrollo. La automatización nos puede ayudar a mantener el talento motivado y con evolución de carrera.
A pesar de la crisis económica, ¿cree que, a nivel general, los presupuestos de ciberseguridad siguen aumentando?
Estamos en un escenario de inflación y de cambios de modelos. Vivimos en un proceso de transformación digital permanente. Ese es el mantra de todas las organizaciones, y los presupuestos de ciberseguridad están atados a estas evoluciones. Ya hay una proporcionalidad entre el cambio tecnológico y el presupuesto de seguridad. Mientras haya nuevas necesidades, se incrementará nuestro presupuesto. Por eso me reafirmo en que la ciberseguridad tiene que tener un por qué y un para qué.
El camino con el 'partner' de seguridadDurante la jornada, CSO reunió a Moliné con representantes de Trend Micro para analizar los desafíos y la andadura conjunta que conlleva la elección de un proveedor de ciberseguridad en un contexto complejo en el que el mercado tiende a la consolidación de fabricantes –búsqueda de plataformas holísticas y soluciones conectadas–, en el que la innovación tecnológica ha cogido velocidad de crucero, y en el que la brecha entre la oferta y la demanda de talento es cada vez más acuciante. En este sentido, explica el CISO de Leroy Merlin, “un elemento muy importante para mí es que las herramientas automaticen tareas repetitivas, nos quiten lastre y otorguen capacidades a nuestra gente. Talento hay, pero la clave está en retenerlo”. De este modo, prosigue, nos encontramos en un punto de ruptura en el que “íbamos hacia una estrategia de mantener datos y no información, pero las decisiones hay que tomarlas de una manera mucho más rápida, y tener un enorme data lake no es funcional. Buscamos soluciones que en momentos críticos puedan tomar decisiones al instante”. Raúl Guillén director de estrategia de ciberseguridad de Trend Micro, coincide en que “el tiempo marca la diferencia entre el éxito y el fracaso. Nuestro objetivo es hacer la operativa más eficiente. Que los departamentos de seguridad se dediquen a hacer tareas de alto nivel; llegar a más con los mismos recursos”. Aquí, una variable necesaria pasa porque los departamentos de seguridad también consigan mejoras económicas. “Hay que invertir en las medidas oportunas para que el negocio siga funcionando”, certifica Moliné. Preguntados por cómo debe ser la relación entre cliente final y fabricante, ambos coinciden en que tiene que haber entendimiento y que se debe “sufrir” codo con codo para sortear este escenario de amenazas. “Más allá de que las tecnologías que incorporas formen parte de tus ideas, necesitamos que estén inmersos en nuestros viaje, que levantes el teléfono y te ayuden instantáneamente”, asevera Moliné. Y, es que, en este mercado, “para sentirte cómodo y poner ‘muchos huevos en la misma cesta’ tiene que haber esa comunicación”. Ahí, añade Guillén, nuestro concepto real de plataforma hace que todo se enriquezca y se eficiente la respuesta”.
¿Qué hay de la nube? Una de las tendencias tecnológicas que ha dominado desde la pandemia de la COVID-19 es, sin duda, la nube, habilitador de los procesos en períodos de confinamiento y parada obligatoria de toda compañía que se haga llamar digital. En un zoco dominado por los grandes hiperescalares, que también cuentan con grandes ofertas de seguridad asociadas, “los otros proveedores tienen que tener algún diferenciador para que les elijamos, porque no es bueno tener al lobo cuidando a las ovejas [en referencia a estos grandes proveedores de nube]”. “Esto redunda en la independencia”, continúa Guillén. “Cuidado con ponerlo todo en un jugador de nube. Muchos de ellos intentan aglutinar todo el conjunto del servicio. Es peligroso ser juez y parte. Igual que en las sociedades hay separación de poderes, aquí también debe haberla en cuanto a análisis y responsabilidades”, concluye.
|
