Moreno (Tendam): «El público no es consciente del uso de sus datos personales»

Sus primeros pasos en el Grupo Cortefiel se remontan al año 2000, coincidiendo con el lanzamiento de las primeras webs de contacto electrónico de la compañía. Eso hizo que David Moreno, actual CISO y DPO del Grupo Cortefiel, estuviera desde siempre preocupado por la seguridad. Un aspecto fundamental para la actividad de negocio y cuyas claves desgrana en esta entrevista.

datos personales

—El CISO es una figura profesional que poco a poco se ha ido implantando dentro del organigrama de las empresas, incluido el sector retail y superficies comerciales, ¿podría indicarnos cuál ha sido su trayectoria hasta su incorporación en Grupo Cortefiel?

—Mis comienzos en el mundo de la tecnología estuvieron ligados al desarrollo de software, en concreto, de soluciones para e-Commerce. Mi entrada en Grupo Cortefiel se materializa, precisamente, con el lanzamiento en el año 2000 de las primeras webs de comercio electrónico del grupo, realizando labores de Web Producer. Es ese factor el que propició que desde el principio estuviera muy preocupado por la seguridad, inicialmente en los procesos de pago online y más tarde en los propios sistemas de información, diseñando planes directores de seguridad y de continuidad de negocio globales que afectan a toda la infraestructura. Por el mismo motivo, siempre he tenido un contacto muy directo con el ámbito legal al tener que adaptar los procesos tecnológicos a la legislación en materia de privacidad en la captación online de datos de clientes, registro de socios, promociones, etc.

—¿Cómo está organizado en cuanto a estructura e infraestructura, el departamento de Seguridad de la Información de una compañía como Grupo Cortefiel?

—Dependemos del área de Organización y Sistemas (en mi caso reporto directamente al CIO de la compañía) y, aunque tenemos una fuerte relación con el área de tecnología, por razones obvias, es cierto que estamos trabajando en independizar Seguridad de Sistemas, con el fin de eliminar incompatibilidades y aumentar la trasparencia. Contamos, además, con la ayuda de proveedores de servicios que complementan y enriquecen las tareas que desarrollamos con personal propio.

—¿Cuáles son los grandes retos que debe asumir un CISO actualmente a la hora de implantar un estrategia de seguridad, en este caso, como CISO de Grupo Cortefiel?

—Lo primero y más importante es lograr el compromiso y la implicación de la alta dirección. De nada sirve tener un gran presupuesto o un gran equipo si luego no dispones de apoyos a la hora de llevar a la práctica la estrategia. Es fundamental este punto, pero no es menos importante la tarea de concienciación a todos los niveles de la compañía. En mi opinión es más necesario contar con la ayuda del empleado que disponer de la mejor tecnología de detección o mitigación. La clásica frase de «el usuario es el eslabón más débil» es real, la mayoría de los problemas de seguridad suelen estar ligados a malas prácticas o descuidos (intencionados o no) de los empleados. Lógicamente, cualquier estrategia de seguridad debe estar alineada con el negocio, por lo que el CISO debe conocer sus necesidades, hablar su mismo idioma y responder ante los órganos de gobierno con acciones encaminadas a la consecución de los objetivos comunes.

—¿Cree que hoy en día las compañías están concienciadas de la necesidad de apostar por una seguridad integral??

—Sí, pienso que en los últimos años ha habido una mejora en los niveles de concienciación en las empresas, sin embargo, aún queda mucho camino por recorrer. Hay sectores donde la regulación es muy fuerte y tradicionalmente la seguridad ha estado muy presente en los órganos de decisión, bien sea por requerimientos de cumplimiento o imposiciones del mercado. Otros, en cambio, no tienen tan asumida esta necesidad. Tampoco debemos olvidar a las PYMES, que conforman el mayor número de empresas en nuestro país y que en su mayoría no disponen de los recursos humanos y materiales necesarios para desarrollar una buena estrategia de seguridad.

—¿Qué supondrá para las grandes empresas como Grupo Cortefiel el cumplimiento del RGPD? ¿Qué aspectos de la normativa son fundamentales a destacar?

—El nuevo RGPD viene a consolidar y fortalecer una serie de prácticas que ya veníamos realizando con la LOPD actual. El principal reto es pasar de un modelo basado en un reglamento claramente definido, con tareas muy concretas, a otro más orientado a la diligencia debida, donde se debe demostrar por los medios que uno considere oportunos que se está velando por el cumplimiento de la norma. Por supuesto que supone un cambio de mentalidad, pero creo que será muy positivo ya que hay otras regulaciones que están por venir y que tendrán el mismo enfoque. , etc

datos personales

—¿Está la sociedad en general, y las empresas en particular, concienciadas de la necesidad de proteger sus datos e información?

—Cada vez en mayor medida, pero, como decía antes, queda mucho por hacer. El público en general no es muy consciente del uso que se hace de sus datos personales, ni de cómo manejar la tecnología para gestionarlos adecuadamente. En ese sentido, los fabricantes y las empresas de servicios tecnológicos tampoco han puesto de su parte para facilitar la labor. El dato es actualmente el nuevo petróleo, y convertirlo en información útil, el pilar sobre el que se fundamentan muchos modelos de negocio. Debemos ser más precavidos con nuestra información personal y tener claro el uso, tratamiento y finalidad que se le dará.

—El RGPD ha puesto dentro de los perfiles profesionales la figura del DPO, ¿cuáles son sus funciones concretas?

—El DPO debe velar por el uso adecuado de los datos personales, que se traten y almacenen convenientemente y de forma segura, que sean proporcionales y, sobre todo, estar al día de cualquier proyecto que impacte en los mismos. Es una figura con un perfil mixto entre legal y tecnológico, que tiene que estar en contacto con todas las unidades de negocio implicadas y asesorar en materia de privacidad. Y, sobre todo, se debe apoyar en otras áreas de la compañía para poder realizar su trabajo, ya que es muy difícil que un solo perfil sea capaz de realizar todas las tareas asignadas.

—¿Qué mecanismos de colaboración son necesarios entre las figuras del CISO y DPO, a la hora de afrontar la transformación digital que afecta a todas las compañías?

—Yo diría que son uña y carne. No hay transformación sin seguridad, y no hay seguridad sin privacidad, por lo que están íntimamente ligados. Son figuras que deben apoyarse mutuamente para complementar sus áreas de actuación y siempre ir de la mano, informándose de cualquier cambio en procesos, modelos de negocio, nuevos proyectos, etc.