Executive Security Advisor en la creación de programas de seguridad corporativa y gestión de riesgos cibernéticos, Luca Lumini ha sido durante los últimos cuatro años CSO en AXA Group Operations, contribuyendo a crear un entorno digital seguro y de confianza que respalda el crecimiento del negocio, protege la marca y los datos de los clientes. Ha sido profesor adjunto del Máster en Ciberseguridad del IE School of Human Science and Technology de Madrid, es formador profesional para la IIA e ISACA, Education Officer del Capítulo Español de ISC2 y ponente en eventos y conferencias internacionales de ISACA e ISC2.
“El verdadero valor innovador de la NIS2 es cómo gestiona la cadena de suministro”
Aunque su camino hacia la ciberseguridad no fue directo, Luca encontró en este ámbito un terreno natural para desarrollar su experiencia en gestión de riesgos. Con formación en ingeniería de redes y comunicaciones, su trayectoria comenzó en consultoría y fue evolucionando al ritmo del propio mercado, cada vez más enfocado en los riesgos digitales. Según explica, muchos llegan a este sector por pasión, especialmente los perfiles más jóvenes; otros, como él, lo hacen desde áreas adyacentes como la gestión de riesgos, donde la seguridad digital se ha convertido en una prioridad. “No tengo esa pasión”, dice con humor, “pero vengo de otro enfoque que también tiene mucho que aportar”.
Para Luca, un buen CISO debe conocer el negocio, ser capaz de comunicar riesgos en un lenguaje accesible para toda la organización y elevar la conversación a los niveles directivos. Tiene claro que es imprescindible hablar el idioma que habla el negocio “y ser capaz de explicar la dimensión de riesgo que conlleva la ciberseguridad. Si no, el tema se queda dentro del departamento de tecnología… y ahí ya está”.
Cuando se le pregunta por los principales riesgos actuales, Luca señala dos grandes frentes: la cadena de suministro y el avance tecnológico, especialmente el impacto de la inteligencia artificial. En cuanto al primero, reconoce que la gestión de terceros plantea retos importantes, ya que las organizaciones suelen tener visibilidad principalmente sobre los proveedores directos. A partir de ahí, admite, el control se vuelve más complejo: “Más allá del primer nivel, muchas veces la mejor herramienta está en las cláusulas contractuales, ya que es difícil aplicar auditorías o controles directos con la misma eficacia”.
En cuanto a la inteligencia artificial, destaca que no está cambiando tanto el tipo de amenazas como abaratando su coste y haciéndolas más eficaces y añade que hoy, con muy poca competencia técnica, “se pueden montar ataques efectivos gracias a herramientas accesibles y baratas”. Advierte también del uso de deepfakes o campañas de phishing mucho más creíbles gracias a la IA generativa.
“Primero deben definirse bien los procesos, después contar con las personas adecuadas, y sólo entonces elegir la tecnología”
Sobre cómo escoger tecnología en un mercado saturado, Luca explica que se tiende a optar por soluciones reconocidas, alineándose con las principales referencias del sector, aunque considera importante no depender únicamente de los rankings y apostar por pruebas de concepto que permitan validar las soluciones en escenarios reales. “Las pruebas requieren tiempo, pero ofrecen una visión más clara y tangible”, afirma. También sugiere ser prudente con las promesas comerciales excesivas: “Primero deben definirse bien los procesos, después contar con las personas adecuadas, y sólo entonces elegir la tecnología. Si se invierte ese orden, es fácil complicarse”.
Entre las tecnologías básicas que considera imprescindibles hoy en día, cita la protección de red, la seguridad de los endpoints (EDR/XDR), un centro de operaciones de seguridad (SOC), y algo que muchas veces se pasa por alto: “Sin un buen inventario de activos, todo lo demás pierde eficacia”.
Sobre la gestión de proveedores, destaca que la regulación está ayudando a que los CISOs trabajen más estrechamente con los departamentos de compras, y menciona que “hoy existen tecnologías que permiten monitorizar el estado de seguridad de tus proveedores. No son la panacea, pero ayudan a empezar”.
Cree que NIS2 ha puesto el foco en este tema como una de sus principales novedades: “El verdadero valor innovador de la normativa es cómo gestiona la cadena de suministro”.
“Hay que poner medidas para filtrar el tráfico y proteger el entorno donde se usa la IA”
En cuanto a la IA, insiste en que los CISOs tienen un papel fundamental para evitar el llamado Shadow AI y asegura que se están yendo los datos fuera de la empresa muy rápido y sin control; “hay que poner medidas para filtrar el tráfico y proteger el entorno donde se usa la IA”, asegura.
Defiende con claridad el papel de la formación y concienciación, aunque matiza que no puede exigirse al empleado que actúe como una barrera de seguridad: “El empleado no puede ser la línea de defensa primaria. Tiene que estar concienciado, saber cómo actuar y, sobre todo, a quién alertar si pasa algo”.
A los servicios gestionados les pide, ante todo, dos cosas: “Eficiencia de costes e integración con los procesos de la empresa. No puede ser algo externo, tiene que funcionar como una relación entre socios”.
Preguntado por qué le haría fracasar como CISO, responde sin dudar: “Que ocurra algo grave en mi empresa sin que yo me entere. Es como si tuviera una habitación en mi casa donde alguien entra sin que lo sepa. Eso es lo peor”.
Entre sus proyectos más relevantes de su carrera profesional destaca la implantación de un SOC para la red eléctrica italiana: “Fue una experiencia intensa, formativa, llena de obstáculos. Pero ahí aprendí de verdad lo que es hacer ciberseguridad, aunque entonces aún no se llamara así”.
Mirando al futuro, cree que las empresas necesitan acelerar para seguir el ritmo de los atacantes: “Ellos avanzan más rápido. Nosotros necesitamos más capacidad de observación, más inteligencia de amenazas, más prevención. Y para eso hacen falta presupuesto, competencia y compromiso”.
