‘Identificar los roles críticos en la organización, que no necesariamente son los del comité de dirección, es fundamental’ (Gabriel Moliné, Leroy Merlín)

Para Gabriel Moliné, CISO de Leroy Merlín, la evolución de la figura de los responsables de ciberseguridad de las empresas en los últimos años ha sido “una especie de travesía por el desierto” en la que se ha pasado de ser “una figura técnica que se encargaba de solucionar problemas” a tener un rol capaz de mitigar los riesgos del negocio “y habilitar muchas oportunidades”. Dice también el directivo que también ha habido una evolución en el discurso, más orientado a negocio.

Este contenido salió publicado en el número de Octubre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Respecto a si la evolución continuará en el futuro y el rol del CISO cobrará más protagonismo, dice Gabriel Moliné que “no se trata de conquistar la cima del Everest”, de estar directamente en el consejo de dirección porque “perderíamos el contacto con las preocupaciones tecnológicas, perderíamos la capacidad de conocer los problemas en el terreno de juego para poder trasladar esas necesidades a los ámbitos de dirección y viceversa”.

Sobre las cualidades que debe tener un buen CISO, dice el de Leroy Merlín que es importante no perder el foco “porque las tecnologías son elementos habilitadores, pero lo más importante son las personas”, añadiendo que lo que finalmente se intenta proteger son las personas y las acciones que ejecutan. Esto lleva a que el CISO deba tener la capacidad de trasladar el lenguaje técnico y no perder el foco en que “lo más importante en cualquier organización son las personas”.

Después de una pandemia sanitaria que ha acelerado la adopción de muchas soluciones y herramientas, uno de los retos a los que se enfrentan los CISOs post-pandemia es, en opinión de Gabriel Moliné “el rentabilizar las inversiones que hemos hecho en tecnología, sacar el máximo provecho de las inversiones de seguridad”. Añade el directivo que adoptar numeroso elementos tecnológicos no nos va a hacer más seguros, sino “potenciar el ecosistema existente”.

Como no podía ser de otra forma por el alcance y crecimiento exponencial que está teniendo, el ransomware es algo que inquieta a Gabriel Moliné. Recuerda el directivo que las ciberamenazas aumentan en distintos vectores y asegura que hay una cosa que realmente le preocupa: el VAP, o Very Attacked Person. Explica el CISO de Leroy Merlín que muchas veces nos enfocamos en las personas que están en el comité de dirección, y no en las que están en su entorno, personas críticas dentro de la organización que pueden ser puerta de entrada y que son muy buscados por los ciberdelincuentes; “intentar identificar en la organización esos roles críticos, que no necesariamente son los del comité, es una de las cosas que más que más me preocupan a día de hoy”.

Mercado y servicios

Habla Moliné de una extrema saturación de proveedores, resellers y fabricantes cuando le preguntamos cómo poder escoger el mejor producto, la mejor solución, entre tanta oferta. Probarlos todos es imposible y el modelo clásico de confianza es el que tiene más éxito; “eso no quiere decir que cierre la puerta a otro proveedor, pero todo se basa en un modelo de confianza delegada. Para mí tiene un valor muy importante la opinión de otro responsable de seguridad sobre qué están haciendo con esos proveedores”.

Sobre la seguridad gestionada dice Gabriel Moliné que es importante, “pero entendiéndola en su justa medida”. Explica que la clave del éxito en estos modelos está en un modelo dual, “que tengas un equipo de seguridad interno que te garantice una transferencia tecnológica del Know How y conocimiento de la organización y que puedas extender las respuestas por los servicios de seguridad”. De forma que, de cara a los proveedores, es vital que conozca cómo se trabaja, y cuáles son las virtudes y defectos del cliente.

Sobre le cloud se lleva hablando desde hace mucho tiempo. Su adopción se aceleró durante la pandemia sin que aun esté claro, en la mayoría de las ocasiones, qué papel juega la seguridad en ese movimiento. Como la mayoría de las empresas, Leroy Merlín está en un proceso de adopción de todos los sistemas hacia un modelo cloud, “pero creo que es importante resaltar que no hay varita mágica. Llegar a la cloud no quiere decir que nos desentendamos de la seguridad, siempre es un modelo compartido. La responsabilidad de los datos, de la información del cliente, de las brechas de seguridad… no se pierde”.

Tecnologías a tener en cuenta

Planteamos a Gabriel Moliné cuáles serían las herramientas de seguridad imprescindibles, esas sin las que una empresa no puede pasar. Responde apuntando que la elección dependería del tipo de empresa y explicando que si se trata del canal retail la protección de los canales de venta y de la información de los clientes es vital, y que la selección de las herramientas “se basa en los riesgos y en saber dónde está la cadena valor. Las cosas importantes son las que tengo que proteger”.

Asegura que las amenazas han ido evolucionando y transformándose en ataques dirigidos y que dependiendo del tamaño del ecosistema, “es imposible que puedas estar detrás de cada uno de los activos” por lo que considera que el XDR, “como una solución que intentan aunar todo este ecosistema de herramientas de ciberseguridad que tenemos, sería una de las herramientas fundamentales para la protección”.

Junto a XDR, y apuntando a que todos tenemos presencia web, “los WAF (Web Application Firewall) también sería otra herramienta que deberíamos tener”.

Mirando en el corto medio plazo menciona el CISO de Leroy Merlín una tecnología que será imprescindible: la orquestación, “precisamente por este crecimiento, especialización y atomización del mercado de seguridad”. Añade que “a nivel ideal sería necesario extrapolar el XDR y la orquestación al mundo IoT” porque todo lo que nos rodea en nuestros hogares y en nuestra vida cotidiana son elementos que están conectados, son vectores de acceso y de riesgo y requieren de “herramientas que puedan orientarse de manera rápida y no intrusiva, teniendo en consideración todo el ámbito de la privacidad. Ahí es hacia donde debería moverse el mundo de la seguridad”.

Rosalía Arroyo