Con más de un siglo de historia y a pesar de que su buque insignia es la cerveza Estrella Galicia, Hijos de Rivera es hoy un gigante compuesto por más de una treintena de empresas, más de 1.500 empleados y presencia en casi una decena de países. Ana Salazar Díaz es su Cybersecurity Manager, una labor nada sencilla considerando el elevado grado de digitalización de la compañía.
Hijos de Rivera es una empresa familiar. ¿Está reñido ese concepto con la innovación y la transformación digital?
Cuando entré a trabajar en Estrella Galicia, yo venía del entorno de la banca y ya entonces se estaba innovando. Cuando entré se digitalizó todo el proceso HORECA, desde los preventas que van al bar y mandan todos los pedidos, que antes se hacía con una libreta y entonces ya se digitalizó con terminales de mano tipo móviles, pero más rugerizados, hasta la carga de esos mismos camiones que se hace en delegación. Ahora se habla mucho de transformación digital y yo creo que muchos llevamos digitalizando desde hace muchos años. Y después se han seguido digitalizando todos los procesos de la industria, de logística, compras…
Ese nivel de digitalización complicará la securización…
Sí que supone un pequeño reto porque hay muchos activos que securizar y muchos procesos. Utilizamos para eso la metodología de desarrollo seguro, para intentar digitalizar de forma segura ya desde el inicio de los proyectos.
¿Cómo resuelve la difícil ecuación para conseguir el equilibrio entre funcionalidad y seguridad?
Realmente no deben estar reñidos y tenemos que trabajar todos en conjunto. Dependiendo del tipo de proyecto, lo que estamos exigiendo es algún tipo de certificación de seguridad de forma que sepamos que lo que estamos comprando es seguro y que nos están certificando. Si nos metemos en algún desarrollo, utilizamos el ciclo de vida de desarrollo seguro de forma que no esperamos al final a realizar una auditoría, porque si lo haces así vas a tener un montón de iteraciones. Ya desde el principio decimos que hay que desarrollar de forma segura.
¿Cambian muchos las prioridades en materia de ciberseguridad de una empresa como Hijos de Rivera a otra de un sector distinto?
Creo que hoy todos globalmente estamos recibiendo todo tipo de ataques. Por un lado, cuando ahora salga la transposición de la Directiva NIS2, muchas de las empresas que hasta ahora no estábamos obligadas a alinearnos, ahora nos vamos a tener que alinear, porque han ampliado de las empresas esenciales a las empresas importantes y eso está muy bien. Por otro lado, lo que también estamos viendo y es una de las últimas tendencias, es que lo que hacen los cibercriminales con las empresas un poco más grandes, y que estamos más securizadas porque la ciberseguridad es una de nuestras líneas estratégicas, es ir a por nuestra cadena de suministro. Si tienes un tercero, como un bar o un distribuidor, que está comprometido te afecta. A parte de securizarnos nosotros, tenemos que ayudar de alguna manera a esos terceros para ir todos juntos de forma segura.
En el escenario actual, ¿diría que uno de los mayores retos en ciberseguridad es el blindaje del endpoint?
El endpoint es como la primera capa que todo el mundo empieza a proteger, aunque antes todo era mucho más fácil porque todo estaba dentro de una seguridad perimetral y ahora tienes a la gente trabajando desde cualquier sitio. Tienes que proteger esos endpoints de otra manera, pero creo que es un punto simplemente. Después tienes que tener otra serie de servicios que te alerten de los problemas en toda la parte global que tienes de infraestructura. Para mí también son muy importantes los servicios de Incident Response (IR), es decir, una empresa que sea experta en resolver este tipo de problemas cuando tengas un incidente, tuyo o de un tercero, que te ayuden a buscar evidencias a las que tú no puedes acceder, como puede ser en la Dark Web. Ellos te van a ayudar en ese tipo de soluciones. Es posible que las empresas más pequeñas no lo tengan y quizás todas deberían empezar a contratar estos servicios.
Ha mencionado el teletrabajo, pero además de ese modelo, ¿cómo está afectando la apuesta por los entornos cloud en materia de ciberseguridad?
Antes podías tener a gente en casa pero podías protegerlos porque era de tipo, digamos, servidor, pero ahora tienes que pensar cómo está ese cloud. Por un lado, lo que se suele hacer es una auditoría para ver cómo estamos y después tienes que tener una herramienta que te permita monitorizar el estado del propio cloud, no del servidor que tienes montando en el cloud, sino del propio cloud en sí, por si existe alguna mala configuración, que te alerte. Es muy importante tener alertas para que sepas lo que está pasando.
Entre otras tendencias en materia de ciberseguridad y resiliencia ahora están apareciendo SLAs y garantías de recuperación tras ataques de ransomware. ¿Cómo se ve el panorama desde Hijos de Rivera?
Últimamente lo que me está llegando a través de alguno de los foros en los que estoy es que ya ni se molestan en encriptar tus datos, eso es mucho trabajo; directamente te chantajean con filtrarlos. Lo que veo últimamente, que lo vi de manera teórica y lo estamos experimentando ahora, son muchos ataques a la cadena de suministro, tanto directos como indirectos. Últimamente lo que gestionamos más son ataques a terceros. También, ahora que está muy de moda todo lo relacionado con ChatGPT, estamos también vigilando para que no se produzcan por ahí fugas de información.
¿Cree que la Inteligencia Artificial (IA) está jugando o jugará un papel clave en materia de ciberseguridad? ¿En qué áreas especialmente?
Ya hace muchos años, nuestra solución de antimalware ya lo publicitaba. Existen diferentes módulos en las herramientas, nosotros lo que procuramos es tener todos activos, y disponía de una parte de comportamiento heurístico, es decir, que recaban toda la información de todos los endpoints que tienen a lo largo del mundo y explotan eso con sus propios CPDs para hacer un análisis heurístico de los equipos. Eso ya estaba publicitado hace cuatro o cinco años. Ahora se van sacando nuevos módulos de análisis de comportamiento de red, de comportamiento anti-ransomware,… todo está relacionado con ir analizando los comportamientos en los distintos activos que tienen y creo que se lleva años explotando. A medida que madure, se hará todavía más rápido, pero la IA en las soluciones de seguridad lleva años presente.
¿Pero la IA junto a las funcionalidades de automatización no ha facilitado el análisis masivo de alertas, la identificación de falsos positivos…?
Todo el descarte de falsos positivos es un trabajo que te va a llevar X tiempo y después ya no lo vas a necesitar. Ahí creo que pusimos más inteligencia humana que artificial. La parte de bloqueo automático sí, creo que eso lo están teniendo las herramientas y si detectan un comportamiento heurístico extraño que no tengan en firmas, te bloquean el equipo. El actor malicioso se cansa porque está bloqueado y no logra llegar y tienes ese tiempo para poder reaccionar y ver lo que está pasando. Esa parte de automatización sí que la estamos utilizando.
¿Han alcanzado a Hijos de Rivera los problemas para captar y retener talento TI?
Sí, lo estoy padeciendo en primera persona ahora que estoy montando mi departamento. Me acaba de pasar hacer un mes, que prácticamente habíamos fichado a una persona de Madrid [nosotros estamos en A Coruña] y a última hora se ha echado atrás. Sí que está pasando. Yo creo que el boom del teletrabajo ha contribuido a que muchas personas puedan trabajar para muchas empresas extranjeras desde sus casas, pero las que exigimos que vengan algún día a la semana a la oficina nos está costando más. Al tener el teletrabajo híbrido, puedo plantearme traer a personas de toda Galicia, pero de fuera es más complicado. Y así va a seguir mientras que las empresas no den la opción de teletrabajar al 100%, y parece que vamos en la dirección contraria porque dicen que la tendencia es la vuelta a las oficinas. Por ahora lo que me toca a mí es captar, porque estamos creciendo, y en Galicia, al ser una empresa grande sí estamos consiguiendo atraer talento de otras empresas.
¿Cómo valora la contribución de la Asociación @ASLAN al sector de la innovación y la transformación digital?
Yo llevo trabajando con la Asociación desde el año 2009, cuando el Congreso todavía se llamaba SITI @ASLAN. A mí me parece muy bien porque en el pasado el punto de encuentro se realizaba en Madrid, pero desde hace años se realizar tours tecnológicos. Eso nos viene muy bien porque vienen a Galicia y es el día de encuentro para reunirte con fabricantes que te cuentan sus soluciones y, además, la parte de networking me parece fundamental. Este año, además, volví al Congreso @ASLAN de Madrid y eso aún es mejor porque tienes encuentros con personas de toda España.
Creo que la labor de la Asociación es muy buena porque nos permite ponernos en contacto a diferentes empresas, vemos cómo funcionan, y tenemos un trato directo.
En ciberseguridad, ¿se produce también ese networking e intercambio de experiencias o se tiende a ser más reservado?
Pues a mí me ha sorprendido, porque en el momento que comienzas a asistir a charlas, eventos, como ahora que estoy en un grupo de CISOs, se comparten amenazas, experiencias con soluciones, bien en grupo o en privado, y estamos todos en contacto. Nos estamos ayudando unos a otros y eso es fundamental, porque al final el enemigo es el mismo, son cibercriminales que están muy bien organizados, empresas gigantes que están contra nosotros, y más ahora con la guerra de Ucrania, que desde el envío de tanques vemos más ataques no solo contra la Administración sino contra las empresas españolas. En este caso la unión hace la fuerza.
Nosotros estamos potenciando mucho también CIBER.gal, que es un espacio de colaboración concebido por la Xunta que agrupa a más de 50 entidades públicas y privadas de Galicia, que están comprometidas con sensibilización, capacitación y mejora del nivel de seguridad de la Comunidad, así como C1b3rWall, la iniciativa de la Policía Nacional cuyo congreso este año patrocinamos. Si no colaboramos entre todos no paramos a los cibercriminales y este tipo de iniciativas son fundamentales.
Hijos de Rivera
CISO
