Asociada tradicionalmente a la fabricación de componentes eléctricos y soluciones de distribución de energía, Legrand atraviesa una etapa de transformación que le ha convertido en un actor clave en ámbitos tan diversos como los centros de datos, el IoT doméstico, la gestión inteligente de edificios o la infraestructura para vehículos eléctricos. Esta diversificación —mucho más tecnológica, conectada y regulada— ha llevado a la compañía a evolucionar también su estrategia de ciberseguridad.
Así lo explica José Julián Fuentes Mediana, su CISO para Europa, Oriente Medio y África, quien describe un cambio profundo en el enfoque corporativo: de una postura más reactiva a un modelo orientado a la anticipación. “Intentamos hacer algo más predictivo y resiliente, apoyándonos mucho en inteligencia de amenazas y en la automatización”, afirma. Este salto es clave en una organización que, además de fabricar productos industriales, gestiona sistemas conectados que llegan a hogares, hospitales, edificios públicos o plantas de producción.
La estructura de Legrand añade otra capa de complejidad. Es un grupo global con una presencia muy descentralizada, donde conviven países con grandes volúmenes de producción —como Francia, India o China— con otros mercados más fragmentados. En ese equilibrio, su rol como CISO regional funciona como engranaje entre la estrategia global y la capacidad de ejecución local. “Somos la bisagra entre la estrategia global y cómo los países deben implementarla… no implemento directamente, pero debo asegurar que todos estén alineados bajo el mismo marco y métricas”, explica.
Este modelo permite que cada país conserve su autonomía operativa, pero sin fracturar la coherencia de la seguridad global, algo imprescindible ahora que la compañía aborda simultáneamente IT, OT e IoT.
Seguridad desde el diseño y un IoT que exige más madurez
Una parte fundamental del trabajo de Legrand es garantizar que los productos conectados nazcan con una base sólida de seguridad. José Julián Fuentes Mediana lo resume de forma contundente: “La seguridad desde el diseño es súper importante… y I+D entiende que la seguridad no es el último invitado a la fiesta”. Esto implica que, desde la fase de concepción de un dispositivo, se tenga en cuenta cómo se conectará, qué servicios ofrecerá y qué arquitectura de seguridad requerirá.
Este enfoque se complementa con estándares, actualizaciones seguras, monitorización continua y, sobre todo, certificaciones que aporten confianza. “No es sólo ‘nice to have’. Nos lo pide el mercado, los clientes y los accionistas”, señala. En un sector donde cualquier vulnerabilidad puede impactar en hospitales, hogares o infraestructuras críticas, disponer de sellos de resiliencia y cumplimiento normativo se convierte en un factor de diferenciación real.
El reto de la convergencia IT/OT
La frontera entre la tecnología corporativa (IT) y la tecnología industrial (OT) se ha desdibujado completamente. Para el CISO, la separación ya es más terminológica que real: “Ponerle el apellido OT a algo es más por organizar responsabilidades que porque sea una isla”. En este nuevo escenario, la clave no es sólo proteger sistemas, sino involucrar a las personas.
“Es clave que la gente de operaciones se suba al barco”, explica. Mostrar a los equipos qué ocurriría si una fábrica pierde disponibilidad genera conciencia del impacto del riesgo; “cuando ven cuál sería su peor escenario, es más fácil que se involucren”, añade, explicando que, con esa base, el grupo trabaja en un marco unificado de ciberseguridad que conecta operaciones, tecnología, negocio y cumplimiento.
Cadena de suministro: el gran dolor de cabeza
La cadena de suministro es uno de los vectores que más preocupan a Legrand, tanto por su papel como proveedor de terceros como por su dependencia de múltiples fabricantes y servicios.
La llegada de NIS2 intensifica esta presión. Aunque España aún no haya traspuesto la norma, su alcance incluye a todos los países de la Unión Europea. El CISO para EMEA de Legrand recuerda que deben tenerse en cuenta las particularidades de cada uno y señala que “hay países como Hungría que fueron súper restrictivos desde el día uno”. Para evitar disparidades, se ha optado por mantener un observatorio permanente sobre la transposición de la directiva y adoptar una política global lo suficientemente exigente como para cumplir con todos los marcos.
IA como aliado poderoso
José Julián Fuentes Mediana tiene una posición muy clara respecto a la inteligencia artificial: no viene a sustituir, sino a potenciar. No supone una amenaza para los equipos de seguridad, sino un acelerador de productividad. Lo explica con un ejemplo histórico muy gráfico: “Con la imprenta, los escribas pensaron que su trabajo desaparecería, y lo que hizo fue democratizar el conocimiento. Con la IA ocurrirá lo mismo”.
Sin embargo, advierte que la IA debe gobernarse como a un usuario más, aunque con mayor precaución por su nivel de acceso: “Si yo le pregunto a un copiloto dónde está la nómina del comité de dirección, igual sí que lo sabe”. Eso implica controles estrictos, permisos, roles y una supervisión constante. En cualquier caso, su visión es optimista: en 2026, dice, la IA debería formar parte natural de muchos procesos internos.
Cultura, amenazas y fracasos
Admite José Julián Fuentes que llevar la cultura de seguridad a todos los rincones es un desafío permanente. “Es repetición, repetición, repetición”, insiste. Legrand aplica campañas constantes de phishing, formaciones obligatorias y medidas que afectan incluso al acceso a Internet si alguien no completa las formaciones. Para el CISO de la región de EMEA, la idea es simple: “Un clic mal dado puede tirar abajo todo el esfuerzo”.
Cuando se le pregunta qué le quita el sueño, no duda: ransomware y cualquier incidente que impacte en OT. “Si te paraliza una fábrica, el impacto en producción y ventas es enorme”, afirma. La prioridad, por tanto, es reforzar la capacidad de anticipación con inteligencia de amenazas y proteger los activos industriales más sensibles.
En lo personal, su visión del fracaso es clara y muy alineada con el rol moderno del CISO. Para él, “fracasar como CISO es perder la confianza del negocio”, y mantiene un lema consistente: “No quiero hacer ciber para ciber… somos servidores del negocio”.
Su mayor orgullo profesional no está en un proyecto técnico, sino en aquellos casos en los que consiguió que otras áreas interiorizaran la seguridad: “Cuando ves que ya no tienes que perseguir a nadie, y que vienen a ti porque han entendido que es importante… ahí sabes que has añadido valor”.
Tendencias: IA defensiva, hardware seguro y regulación más estricta
De cara al futuro inmediato, identifica tres tendencias que marcarán el ritmo del mercado:
- IA defensiva más avanzada, capaz de equilibrar el terreno frente al cibercrimen.
- Seguridad embebida en hardware, especialmente relevante por la expansión del IoT.
- Normativas más estrictas, con la resiliencia como KPI central.
Y concluye con un mensaje que refleja bien su visión: “Que los árboles no nos impidan ver el bosque. No estamos aquí para hacer cumplir controles por cumplir, sino para ayudar al negocio a avanzar”.
