Asegurar la presencia de la seguridad de la información en todos los procesos de la compañía es, en palabras de David Moreno del Cerro, director de Sistemas y Seguridad de la Información de Tendam, uno de los grandes retos que debe asumir la figura del CISO. En esta entrevista con Cuadernos de Seguridad, Moreno aborda los elementos clave de la estrategia de ciberseguridad de Tendam, uno de los principales grupos en Europa del sector de moda especializada, que gestiona marcas como Women’secret, Springfield, Cortefiel o Pedro del Hierro, la implantación de nuevas tecnologías en el ámbito del sector retail o la importancia de la concienciación entre los empleados de la compañía.
— ¿Cuáles son los pilares básicos sobre los que debe asentarse la estrategia de ciberseguridad de una gran compañía como Tendam?
La disciplina de la ciberseguridad es muy compleja, ya que es transversal a todos los procesos de la compañía. De ahí que uno de los principales aspectos a considerar es el alineamiento con los objetivos de negocio y el soporte de la alta dirección, impulsando la definición de una política corporativa y dotando al área de los recursos necesarios. En segundo lugar, la concienciación del personal es clave y conseguir que los usuarios actúen como primera línea de defensa aumenta en gran medida las posibilidades de detección de amenazas.
Y, por último, en mi opinión es importante tener un proceso claramente definido de análisis de riesgos en las áreas de negocio y priorizar los esfuerzos en mitigar aquellos que claramente tengan más probabilidad de ocurrencia y un mayor impacto. En definitiva, alinear el apetito de riesgo de la empresa con los recursos y medios que disponemos.
— ¿Cree que hoy en día el sector retail es objetivo claro de las organizaciones cibercriminales?
Todos los sectores están claramente amenazados y no creo que el retail sea una excepción. Al final, los cibercriminales siguen un modelo de coste-beneficio para obtener sus ingresos y atacarán aquella empresa que tenga unas medidas de protección más débiles, con el fin de chantajearlas, de vender la información exfiltrada o ambas.
Tendam y la política de ciberseguridad
— ¿Cuáles son las principales características de la política de ciberseguridad y continuidad de negocio de Tendam?
En Tendam el foco principal de nuestra continuidad de negocio es asegurar los procesos que permiten a nuestras tiendas operar con normalidad. En este sentido, la cadena de suministro es clave ya que es el corazón de nuestro modelo de negocio y tenemos varias iniciativas para evaluar a diferentes operadores y partners estratégicos. Además de esto, la protección de la información que gestionamos, especialmente la de nuestros clientes, es una de nuestras grandes preocupaciones y donde ponemos los mayores esfuerzos.
— Inteligencia Artificial, Big Data…, ¿cómo cree que afecta y qué implantación tiene en el ámbito de la ciberseguridad en el sector de retail?
En ciberseguridad el uso del dato es crítico para poder identificar escenarios de amenazas y dar una respuesta más rápida ante anomalías. Llevamos muchos años trabajando con modelos de analítica avanzada, machine learning y predicción de comportamiento en diferentes áreas, con el fin de proveer un mejor servicio y ser más eficientes en nuestras inversiones.
Creo que la incorporación de la Inteligencia Artificial Generativa supondrá un salto cualitativo muy importante, de cara a optimizar procesos, acelerar las respuestas y focalizar los esfuerzos en aquellas áreas que aporten más valor al negocio, a nuestro cliente y a nuestros stakeholders.
— ¿Qué acciones y programas lleva a cabo Tendam para concienciar a sus empleados de la importancia de la ciberseguridad y la protección de los datos?
Para nosotros la concienciación es clave, los usuarios son nuestra primera línea de defensa y deben estar al día de las diferentes amenazas que deben enfrentarse en su día a día, no solo en el ámbito profesional sino también en el personal. En este sentido, tenemos desplegado un programa completo que abarca a todas las áreas y empleados de la empresa, que incluye desde píldoras informativas hasta ejercicios de phishing, simulaciones de situaciones de crisis, ciberejercicios, etc., con contenido genérico para todo el mundo, pero también específico en función de la responsabilidad de cada uno.
