Ángel Gálvez es el CISO de Avolta, la compañía resultante de la combinación de los negocios de Dufry y Autogrill. Se estrenó en el mundo de la ciberseguridad a través de un proyecto de continuidad de negocio, “de los primeros que se hacían en España”, en los tiempos en los que, en lo que a ciberseguridad se refiere, lo habitual era la autoformación.
Tras más de doce años en AXA, donde ocupó diferentes puestos relacionados con la ciberseguridad, Ángel Gálvez se convirtió en Global CISO de Dufry en julio de 2019. Habla de esta última etapa como una de las más retadoras; una etapa que le ha permitido desarrollar la ciberseguridad de Dufry prácticamente desde cero. El siguiente paso en su carrera es la integración de cuatro compañías totalmente diferentes, tanto desde el punto de vista tecnológico como de madurez o cultura que no solo afectan a la parte cíber, sino a todos los niveles de negocio de IT; “que todas estas empresas sigan con la misma actividad desde el punto de vista de negocio con impacto cero y que todo sea mejorando la seguridad es un reto”, asegura el CISO Global de Avolta.
Preguntado por las principales cualidades que debería tener un CISO, tiene claro Ángel Gálvez que la primera es “tener una actitud positiva”. Añade la capacidad de formación, tener la mente abierta a todo lo que pueda ocurrir, estar alineado con la parte de negocio, tener flexibilidad, así como tener una “buena comunicación y relación con todos los elementos de la empresa, porque al final somos una unidad transversal que damos servicio a toda la organización”.
“tener un buen backup es tener un backup libre de ransomware”
Respecto a las prioridades que establece en materia de ciberseguridad, tiene claro Ángel Gálvez que lo principal “es hacer las cosas básicas” para mantener el negocio operativo. ¿Cuáles? “Corrige las vulnerabilidades, controla a tus usuarios privilegiados, controla el perímetro y que los usuarios de tu empresa tengan buena concienciación y hagan su día a día de forma segura y de forma lógica”, dice el directivo, explicando que la mayoría de los incidentes se generan por fallos en los procesos de seguridad y control básicos (vulnerabilidades, protección del perímetro, gestión de usuarios, etc,).
Menciona también el backup como un elemento básico de la ciberseguridad y aclara que, ahora mismo, “tener un buen backup es tener un backup libre de ransomware y con fácil recuperación para que el tiempo de indisponibilidad sea el menor posible”.
Asegurando que la protección del dato a nivel global es clave, identifica la fuga de información como el tipo de amenaza que más le preocupa; “además, con todos los sistemas abiertos, y la flexibilidad que hay en trabajos y dispositivos, cada vez es más complicado proteger el dato”, comenta. Otro elemento en el que se pone foco en Avolta es la disponibilidad de los servicios y aplicaciones de negocio.
En un mercado saturado de fabricantes y propuestas, ¿cómo escoger? Hay varios criterios, dice Ángel Gálvez. Uno de ellos es “la experiencia que puede haber de esa herramienta en otras compañía”, además del “soporte y evolución de la misma” así como la capacidad de integración que tenga con otras soluciones tecnológicas, “y las funcionalidades que te va a aportar, cómo se adapta lo que tú necesitas”.
Hace tiempo que se habla de la pérdida del perímetro de seguridad tradicional que algunos colocan en los datos, y otros en la identidad. En opinión de Ángel Gálvez eso depende de cada empresa, aunque “los datos son la joya de la corona de cualquier empresa”. En el caso de Avolta, que el dato es estratégico para el negocio está claro a nivel de comité ejecutivo, y sobre el dato se va construyendo el resto de protección de la información. No significa que la identidad no sea también muy importante para la compañía, sobre todo relacionada con el dato: quién accede a que dato, cuándo, cómo… “pero las identidades las puedes reconstruir, y si pierdes los datos tu negocio deja de funcionar”.
El mercado de servicios gestionados no deja de crecer. Según datos de Allied Market Research, se llegarán a los 77.010 millones de dólares en 2023, con un crecimiento medio anual del 12,8 % hasta entonces. Avolta no es ajena a esta tendencia y en la compañía existen diferentes servicios gestionados. Lo que tiene claro Ángel Gálvez es que “el conocimiento se tiene que quedar en la casa”. Explica que a veces se externaliza tanto que el conocimiento se va fuera “y luego puede haber problemas en la continuidad de las operaciones”.
¿Qué le pides a un servicio gestionado? “Proactividad y experiencia”, asegura Ángel Gálvez. Comenta que muchos servicios gestionados son pasivos y que hay poca proactividad en el sentido de: voy a entender tu negocio y te voy a proponer mejoras con respecto a tu negocio. Es decir, a los servicios gestionados les falta personalizar, saber adaptarse al negocio o necesidades del cliente.
“La pérdida de confianza” es lo que haría fracasar como CISO a Ángel Gálvez. Explica que incluso cuando ocurre un incidente, y a quien no le ha ocurrido le va a ocurrir, “si hay confianza en que las cosas se están haciendo bien no pasa nada, se corrige, se aprende, se mejora y se continua trabajando más fuerte”.
“La misma configuración no vale para todos”
Preguntado por qué tecnología cree que será imprescindible en un futuro no muy lejano, a un medio plazo, tiene claro Ángel Gálvez que se irá a tener la máxima proactividad posible en seguridad, y no reactividad. Explica que siempre quedará una base de reactividad, pero que “hay que moverse lo máximo posible a ser más proactivos, el adelantarse a todo lo que te pueda ocurrir”. ¿Ciberinteligencia? “Exactamente”, responde el directivo añadiendo el uso de tecnologías que añadan inteligencia al comportamiento humano, así como la gestión del riesgo en tiempo real y poder establecer servicios adaptativos a ese nivel de riesgo, “de forma que, sin preocuparte, automáticamente se vaya cambiando la capacidad de protección y de seguridad en aquellos servicios más críticos”. Tiene también claro Gálvez que la tecnología que lo hace posible está disponible para la venta, “pero todavía no hay suficiente madurez para implementarla”.
Preguntamos también al Global CISO de Avolta por la tendencia de las plataformas. Y es que en el mercado de ciberseguridad se ha pasado de un ‘best of breed’ que, entre otras cosas, ha añadido mucha complejidad, a una apuesta por plataformas en las que integrar la máxima cantidad de herramientas de seguridad, propias y de terceros, que simplifique la operación y mejore la visibilidad.
Comenta Ángel Gálvez que es cierto que “cada vez hay más integración entre los fabricantes, cosa que es muy útil. Pero estas plataformas globales que integran diferentes servicios, sistemas, automatizaciones, etcétera, hay que saber muy bien cómo se configuran y como se implementan, porque luego hay que introducir la lógica de negocio y las necesidades específicas de cada uno. La misma configuración no vale para todos y esto enlaza con la proactividad que deberían tener los servicios gestionados” comentada anteriormente.
Dice también el Global CISO de Avolta que a veces no es necesario tener la mega plataforma con la última tecnología, “sino algo más sencillo que explotes al 100 %. En mejor tener las mínimas soluciones estrictamente necesarias, pero bien configuras, al máximo rendimiento, y que cubran los procesos básicos. Y con eso tienes el 80% de tu seguridad está garantizadas.
No podemos despedirnos de Ángel Gálvez sin hablar del uso de que se está haciendo en Avolta de la Inteligencia Artificial. Nos cuenta que ya hay algunos servicios basados en IA para la parte de negocio, relacionado sobre todo en cómo usar el dato en marketing, promociones, ventas, etcétera, además de un servicio externo más consultivo. “Aquí el principal problema, como siempre, es cómo proteger el dato y qué información alimenta a estas fuentes de inteligencia artificial. Porque hay que tener mucho cuidado con la información interna que es compartida hacia fuentes externas”, dice el directivo.
