Ciberseguridad
ENTREVISTAS

"Hay que seguir alerta en la nube porque se deriva mucha seguridad a los proveedores"

Ángel Luis Gálvez, CISO de Dufry, traza las líneas maestras de la estrategia de ciberseguridad de la conocida multinacional de tiendas libres de impuestos.

angel galvez, ciso de dufry
Play

Mario Moreno/ Imagen: Juan Márquez

Dufry es el conocido retailer de origen suizo que opera en tiendas libres de impuestos en aeropuertos, líneas de crucero, ferrocarriles y otros puntos turísticos de interés. En sus operaciones por todo el mundo está presente en todos los continentes y cuenta con más de 2.300 tiendas físicas. Por ello, asegura su CISO global, Ángel Luis Gálvez, buena parte de la estrategia de ciberseguridad se basa en la estandarización, a pesar de que cada geografía tiene particularidades regulatorias. 

 

¿Cómo se consolida una estrategia de seguridad global para una compañía que opera en múltiples geografías y con una actividad de cara al usuario principalmente física?

Uno de los principales retos es la diversidad y la extensión geográfica, que incluye a todos los continentes y a unos 65 países, con todo lo que implica, además, en regulación. Por lo tanto, uno de los principales objetivos es la estandarización y el trabajo en la misma línea alrededor del mundo. Eso es clave. Nuestra estrategia pasa por ser muy cercanos a todo lo que necesita el negocio e integrar la seguridad en los procesos diarios, tanto en la parte de ventas como en la actividad interna que se realiza desde los diversos departamentos. Tratamos de no reinventar la rueda y de adaptarnos a las nuevas tecnologías y a los nuevos requerimientos de las unidades de negocio. Estamos en un momento de transformación digital muy similar al de otras compañías, con movimientos hacia la nube, inteligencia artificial (IA), etc. 

 

Como comenta, no se trata de reinventar la rueda, pero los contextos cambian, y en marzo de 2020 estalla la pandemia de la COVID-19. ¿Qué supuso la paralización de la actividad física durante esos momentos para el negocio y la estrategia de seguridad de la compañía?

Desde el punto de vista de negocio, y como empresa dependiente del turismo, el impacto fue muy grande. Tuvimos que entrar en ‘modo supervivencia’ y, además, no hemos podido permitirnos relajarnos ni un minuto en seguridad. La pandemia ha acrecentado nuestra actividad; sobre todo en el cambio de modelo de trabajo y en los contactos con los proveedores. Hemos aprovechado durante este período de baja actividad comercial para hacer una revisión interna sobre mejora y optimización de procesos; y para prepararnos de cara al relanzamiento.

 

¿Qué nota le daría a ese relanzamiento?

Sí, hemos avanzado mucho y en los medidores internos que tenemos vamos viendo la evolución; dónde estábamos, dónde estamos y adónde vamos. Sí que hemos experimentado mejoras, también para estar preparados de cara a todo lo que tenga que venir.

 

 

"Los proveedores pueden ser un punto de entrada potencial de problemas"

 

 

En estos dos años ha habido un repunte muy importante de ciberataques. ¿Qué tipo de amenazas detectáis en Dufry?

Sufrimos los mismos tipos de ataque que cualquier compañía. Ha habido un incremento de la sofisticación del ransomware y del phishing. Por ejemplo, esta primera amenaza ya no solo busca cifrar máquinas, la indisponibilidad y pedir rescates, sino que trata de comprometer las copias de backup e, incluso, hacer fuga de datos de tal forma que, si no pagas para recuperarlos, tienes que hacerlo para que no se publique la información. También hemos visto como han crecido muchísimo los ataques a la cadena de proveedores. En muchos casos se trata de pymes que no tienen las medidas adecuadas. Las utilizan como punto de entrada. Y, por supuesto, tratan de aprovecharse del usuario final que, trabajando desde su casa, cuenta con muchas debilidades. Los ciberdelincuentes tratan de explotar dispositivos IoT domésticos y los routers.

 

¿Es el ejemplo de que el ecosistema de seguridad de una compañía ha pasado a depender ya no solo de sus infraestructuras y usuarios, sino también de sus socios?

Sí, no podemos parar un modelo de negocio que es cada vez más colaborativo y más extenso geográficamente. Nos movemos en ecosistemas abiertos y en una situación de deslocalización de la información. Por ello, los procedimientos de seguridad son mucho más exigentes que antes. Lo único que podemos hacer es ir a modelos recurrentes de procesos de mejora continua de revisión, remediación y protección, estableciendo diferentes capas y teniendo en cuenta que los proveedores son un punto de entrada de potenciales problemas.

 

 

En un negocio como Dufry, ¿se cumple la tendencia de la unión de la seguridad física con la lógica?

Sí, están vinculadas, aunque depende mucho del tipo de tienda o de aeropuerto, por ejemplo. Al final, la debilidad en la parte de seguridad física nos puede impactar de forma importante en la lógica. Ambas son muy importantes, sobre todo cuando hablamos de las tiendas.

 

Antes de la llegada de la pandemia, se repetía el mantra de que la ciberseguridad era una barrera para la migración a la nube. Sin embargo, ahora la percepción ha cambiado. ¿Cómo ve este ámbito y qué grado de madurez cloud tiene la compañía?

Nosotros trabajamos con las tres nubes principales. Al final, hay más medidas y control en la nube, pero hay que seguir estando alerta porque, sobre todo en los modelos PaaS y SaaS, se deriva mucha seguridad a los proveedores. Pero, si hay un incidente, las responsables finales son las compañías. Por ello, hay que hacer mucha monitorización y tener mucho cuidado, desde el diseño, en todos los proyectos que se realizan en nube. Nos enfrentamos a un nuevo reto, sin duda.

 

Si hay un incidente, la responsabilidad es de la empresa. No solo desde el punto de vista del inconveniente o de los datos que se hayan podido fugar, sino que trasciende a la reputación de la marca. ¿Se puede asociar la ciberseguridad con la imagen de la compañía?

Sí, impacta tanto en temas legales como de marca. Ahora que la ciberseguridad sale todos los días en las noticias, en ninguna de ellas se dice si el incidente viene dado porque los datos están en nube o en onpremise. Da exactamente igual. Lo que aparece es la empresa que está afectada y qué ha pasado.

 

"Una debilidad en la parte de seguridad física nos puede impactar de forma importante en la lógica"

 

 

También, porque ahora hay una mayor sensibilización por parte de los usuarios y de la sociedad, en general, en términos de privacidad y seguridad. ¿Lo ve de este modo?

En parte sí, pero sigue habiendo mucha inconsciencia por parte de la ciudadanía. Y eso lo vemos en el día a día; en temas como la descarga de aplicaciones, en el uso de datos o en la aceptación de cookies sin leer las políticas. Sí que se conoce más lo que significa la privacidad o qué tipo de datos se pueden compartir, pero en el cómo se maneja la información aún no hay mucho conocimiento de los posibles impactos.

 

¿Qué prácticas de concienciación y formación del usuario lleváis a cabo?

Tenemos un plan global de concienciación con temas transversales de seguridad para todos los usuarios, pero somos conscientes de que podemos caer en la monotonía y el aburrimiento. Así que hemos ido evolucionando hacia pequeñas ráfagas de seguridad dinámicas en las que integramos prácticas y mejoras en el día a día. Dentro de esta estrategia también tenemos programas de formación específicos para aquellos usuarios clave que están en el foco de los ciberdelincuentes, como pueden ser financieros, administradores de sistemas o de desarrolladores de aplicaciones.

 

En los últimos años, y sobre todo a raíz de la invasión de Rusia a Ucrania, hay una tensión en el ciberespacio muy descontrolada, con todo tipo de ciberataques patrocinados por estados. Como experto en la materia, ¿cómo valora este escenario?

Hemos visto que los grupos que antes eran más colaborativos se han dividido en dos grandes entornos; los que van con Rusia, y los que están en su contra y de la de todos sus países satélite. Y los objetivos son sus compañías. Antes, muchas de estas redes estaban orientadas hacia el beneficio económico, y ahora buscan hacer ese daño reputacional y sacar las vergüenzas de las organizaciones. Son ataques mucho más sofisticados porque cuando se fijan un objetivo lo consiguen. Y, sí, los gobiernos están involucrados a un mayor nivel. 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper