'El control de la identidad es uno de los principales problemas de seguridad' (Óscar Sánchez Montaner, Puig)

Puig es una empresa familiar de moda y fragancias con sede en Barcelona. Con 26 filiales y una distribución que llega a más de 150 países de todo el mundo, la compañía afrontaba recientemente una reorganización de su estructura empresarial que le ha llevado a crear tres divisiones: Beauty and Fashion, Charlotte Tilbury y Derma, todas ellas operativas a partir del 1 de enero de 2021. Detrás de estas tres divisiones están marcas tan conocidas como Paco Rabanne, Carolina Herrera, Jean Paul Gaultier, Nina Ricci, así como Uriage, Apivita, o Isdin, de la que Puig posee el 50%. El objetivo de la compañía es ambicioso: alcanzar los 3.000 millones de euros en ventas para 2023.

Este contenido salió publicado en el número de Marzo de 2021 de la revista IT Digital Secutity. Descárgatela.

Entre bambalinas, manteniendo la seguridad de los sistemas de Puig desde hace más de tres años se encuentra Óscar Sánchez Montaner, Cybersecurity Director, para quien la evolución del papel del CISO ha sido “bastante accidentada, y especialmente en nuestro país”. Dice que todavía hay que empoderar las C del CISO, que las empresas deberían, tanto a nivel de estrategia como de organigrama, dotar a esta figura, que en muchas ocasiones depende aún del CIO.

La pandemia ha dado mucha visibilidad a las ciberamenazas, y eso ha hecho que se haya reforzado el papel del responsable de ciberseguridad. Los órganos de dirección de las empresas, asegura Óscar Sánchez, “están cada vez más preocupados. No concienciados, sino preocupados” lo que lleva a que exista un movimiento para que el responsable de ciberseguridad participe más de la estrategia de la empresa y tenga un poco más de voz y voto en estos órganos.

Añade Óscar Sánchez que algunos responsables de seguridad también tienen tareas pendientes, como es el saber comunicar, utilizar otro vocabulario, hablar el idioma de negocio “y saber simplificar nuestros pensamientos; cuesta mucho explicar al CEO, o al CIO, un incidente que has tenido; cuesta mucho sintonizar el mismo lenguaje. Pensamos que es fácil intentar explicar algo a alguien que no es del mundo tecnológico, pero para ellos es complicado”.

Empresas y ciberseguridad

“Las empresas que no vean que la ciberseguridad es una prioridad, que debe estar dentro de los dos o cinco temas que les tienen que preocupar, creo que están abocadas a que en un futuro tengan serios problemas”, dice Óscar Sánchez cuando le preguntamos si cree que la seguridad se ha convertido en una prioridad para la empresa española. ¿Y cuándo es una empresa familiar como Puig? “Puig está muy concienciada [con la ciberseguridad]. Prácticamente opera bajo las mismas estructuras y esquemas que una multinacional que no sea familiar y cotiza en el IBEX”, dice el responsable de ciberseguridad de Puig, añadiendo que colocar la seguridad como una prioridad dentro de la empresa tiene más que ver con las personas que están al frente de la misma, de su visión del riesgo, que el hecho de que las empresas sean grandes o familiares.

Sobre el impacto que grandes brechas de seguridad como las de SolarWinds o Equifax tienen, dice Óscar Sánchez que actúan como medios de concienciación y demuestran que la seguridad no tiene fin, que no te puedes relajar por contar con un departamento de seguridad y dotarlo de presupuesto.

Cloud y Servicios

La adopción del cloud se hace… “de una forma acelerada y muchas veces el driver es negocio”, dice el responsable de seguridad de Puig; añade que “a la seguridad le hace falta ir al ritmo del negocio”, porque se tiende a pensar que proteger la empresa es esencial, pero las empresas tienen “sus objetivos de negocio marcados y los departamentos de seguridad tenemos que ser capaces de seguir ese ritmo y ayudarles”.

La adopción de servicios cloud a espaldas de los departamentos de TI, es lo que se conoce como Shadow IT. ¿Se ha dado el paso de tener herramientas que te den visibilidad de ese Shadow IT? “Sí. De hecho, son necesarias. Necesitas herramientas que te den visibilidad de todo, de lo bueno y lo malo, y ente ellas del Shadow IT”. Por suerte, añade, cada vez más los departamentos son conscientes y consultan las repercusiones que podría haber con el uso de algún servicio o tecnología.

Sobre los servicios de seguridad gestionada, “tienen un papel importante, no sólo en Puig sino a nivel general”, dice el directivo. Añade que se trata de encontrar el equilibrio, porque un sistema totalmente externalizado tendrá riesgos y uno internalizado se hace insostenible. A la hora de seleccionar un servicio gestionado “miramos varios ejes, entre ellos la experiencia en ofrecer ese tipo de servicios”.

Tecnologías

¿Qué tecnologías de seguridad cree que son imprescindibles? Menciona Óscar Sánchez la protección del correo como una de las principales, además del control de la navegación, los endpoints a través de un antimalware y un EDR, concienciación, así como sistemas que permitan un correcto control de la identidad, “que hoy en día es uno de los principales problemas de seguridad”.

Mirando hacia adelante dice el responsable de ciberseguridad de Puig que la automatización será imprescindible. “Nosotros intentamos automatizarlo todo, desde la respuesta hasta la gestión del incidente, y si además le puedes aportar elementos o métodos de lo que se deriva de inteligencia artificial, Deep learning y todas esas técnicas de estudio de datos masivos que además te pueden dar patrones, mejor”.

Después de un año de pandemia, ¿esperas algún cambio significativo en torno a la seguridad? “Yo creo que continuaremos más o menos en la misma senda: el teletrabajo seguirá siendo un pilar fundamental”; añade que lo que se están viendo son ataques cada vez más sofisticados, entre otras cosas porque “los cibercriminales que están al otro lado cada vez están más preparados y tienen más recursos”.