¿Cómo está organizada la ciberseguridad en Leroy Merlin?
La seguridad de Leroy Merlin está orientada a nuestro modelo de negocio, entendiendo cuáles son las necesidades desde el punto de vista del retail, y mediante dos niveles de control desde la perspectiva operacional. El primer nivel está orientado al día a día, a la gestión de los incidentes, a las operaciones de los equipos de seguridad… Por encima tenemos un segundo nivel de control orientado a la gestión de los riesgos tecnológicos, a los controles de privacidad y a todo el marco normativo que nos es de aplicación, tanto en relación con la casa matriz, situada en Francia, como aquellos relativos al retail.
En una compañía como la suya, ¿cuáles son los principales activos a proteger?
Al tener más de 10 millones de clientes y más de 20.000 usuarios, nuestro principal activo son los datos de nuestro clientes y colaboradores. Ese es el principal activo donde centramos la protección y los mecanismos de ciberseguridad que aplicamos.
En concreto, ¿cómo trabajan en Leroy Merlin para aplacar los principales riesgos del sector de ‘retail’ relacionados con la ciberseguridad?
Las medidas van dirigidas a dos elementos principales. El primero es la gestión de los datos y el segundo la gestión del negocio, a la disponibilidad de nuestra plataforma de e-commerce y nuestros puntos de venta en tiendas; es decir, a que cuando nuestros clientes acceden a nuestros canales de venta tengan la máxima disponibilidad y el mínimo riesgo.
Actualmente, existen en el mercado multitud de proveedores y de soluciones. ¿Cuáles son esas tecnologías imprescindibles para su compañía a la hora de proteger sus activos y tecnologías en la Red?
El mercado de la ciberseguridad ha tenido un crecimiento exponencial en los últimos años. No hay una receta mágica para la elección de herramientas de ciberseguridad. Yo destacaría las soluciones que van orientadas a la gestión del riesgo y a saber dónde están tus principales activos.
Desde el punto de vista de Leroy Merlin, esto va orientado a distintas capas. Uno de los elementos principales es el acceso al dato; es decir, las herramientas de gestión de identidades privilegia- das tienen una permeabilidad muy importante para nosotros.
«La seguridad de la cadena de suministro no es un proceso únicamente interno, sino que va de extremo a extremo»
En segundo lugar, es importante poder acceder de manera segura desde distintos puntos. Aparte del cliché del covid, la realidad es que el teletrabajo ha venido para quedarse y la disponibilidad de conectarse de una manera remota y tener la misma percepción que estando en la oficina es un elemento que exige más. En ese sentido, todo lo que tiene que ver con tecnologías de Zero Trust termina siendo también un elemento principal, así como la protección del endpoint y de los servidores con las nuevas estrategias de XDR [Extended Detection and Response].
Yo creo que las tres herramientas principales que podríamos mencionar son: BAM (Business Activity Monitoring), XDR y ZTDA [Zero Trust Data Access].
Estamos en RSA de San Francisco. ¿Qué soluciones le interesan o le están sorprendiendo más de esta feria por los avances que suponen?
Creo que vemos una evolución del mercado sobre todo a nivel de los SIEM [Security Information and Event Management]. Creo que la gestión de los logs y la data de ciberseguridad es donde se está focalizando la mayoría de los proveedores que podemos observar. Creo que el SIEM clásico ha muerto, la idea es poder integrar medidas de automatización y no solamente orientarlo al complejo de Diógenes que hace tener la data por el mero hecho de tenerla.
Por otro lado, los servicios gestionados de ciberseguridad están al alza, pero hay empresas que siguen apostando por otro tipo de soluciones. ¿Cómo cree que debe abordarse la contratación de estos servicios con los proveedores?
Creo que de un modo híbrido. El proveedor es un factor principal, porque tener internamente todo el conocimiento del mundo en ciberseguridad es inabarcable. Sin embargo, creo que el core del negocio y de las aplicaciones de ciberseguridad tiene que estar internalizado.
Ese know how no puede estar determinado por el cambio de un proveedor o de la tecnología.
La seguridad de la cadena de suministro es una de las preocupaciones generalizadas en estos momentos. ¿Cuál es la estrategia a seguir para que el usuario tenga sus activos protegidos incluso cuando los malos se pueden ‘colar’ a través de un proveedor?
Uno de los elementos de la cadena de suministro que hay que entender es que no es un proceso únicamente interno, sino que va de extremo a extremo. ¿A qué me refiero? Que la involucración de los proveedores es fundamental. En todas las organizaciones tenemos distintos proveedores con distintos niveles de madurez en tecnología y ciberseguridad.
Tenemos que apuntalar nuestra estrategia apoyando a los proveedores para no trasladar los riesgos dentro de nuestra cadena de suministro.
Te interesa: Intervención de Gabriel Moliné, CISO global de Leroy Merlin, en el 15º Encuentro de la Seguridad Integral.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer la entrevista completa?