"No concibo una compañía en la que el CIO no sea parte del comité de dirección"

Mario Moreno/ Vídeo: Juan Márquez

Nacida en 1999, Global Dominion es una compañía de origen vasco que, a día de hoy aglutina una cantidad de negocios diferentes; desde la energía hasta soluciones industriales pasando por las telecomunicaciones. David García es el CIO de Dominion Commercial, el paraguas B2C de la firma, que incluye a la histórica y reconocida Phone House. Aterrizado en 2020, cuenta que el punto de inflexión de la estrategia TI de su equipo lo marca, más que la pandemia, un ciberataque en abril de 2021 a esta marca de tiendas físicas de smartphones que se saldó con el robo de datos de 13 millones de clientes y trabajadores. Cuenta durante la entrevista el caso de éxito que al final supuso superar este incidente. Y habla de las claves de la nube, de los cambios de cultura asociados y de cómo convertirse en una compañía data driven: “Una empresa tiene su estrategia basada en el dato cuando realmente se abre a experimentar”, sentencia.

¿Cómo se aterriza una estrategia de transformación digital en un espectro tan amplio de actividades como el que abarca su área y cuáles son las sinergias con los demás negocios del grupo?

El conglomerado de compañías y su diversidad, que es parte del ADN de Dominion Global, es muy alto. Existe un equipo de dirección corporativa mediante el cual todas las empresas del grupo compartimos ciertas tecnologías y sinergias; desde administraciones de servicios hasta cuentas de correo. Pero, aunque todos mantenemos los valores de la matriz, tenemos unos niveles de autonomía muy amplios. Cada división se rige por sus propias normas bajo una visión estratégica de crecimiento que viene definida por la firma. Dentro de Commercial, tenemos unas cuantas compañías con un paraguas en común enfocado en B2C y clientes finales: telecomunicaciones, energías, servicios del hogar... Construimos una estrategia digital común a todas las verticales. Y aunque tratamos de no frenar la verticalización por la transversalidad de TI, intentamos mantener una arquitectura común.

 

Uno de los cambios que ha traído la pandemia pasa por una migración masiva a la nube. ¿En qué punto de este viaje se encuentra la compañía y cuál es su plan al respecto?

La pandemia ha sido un dinamizador, pero no el punto de transformación. Llevamos oyendo hablar de digitalización mucho tiempo. Nuestro modelo de negocio pasa por una serie de productos que nosotros creamos y proveemos por diferentes canales. Tradicionalmente, el apalancamiento de la venta de estos servicios se producía de forma muy marcada en el canal físico, pero ya éramos conscientes de que, cada vez más, el porcentaje de beneficios de los canales digitales tenía que ir en aumento. Cuando yo me incorporo a este proyecto en 2020 con un equipo nuevo de tecnología, tenemos claro que nuestra estrategia es cloud por temas de eficiencia, interconexión de compañías, que eran monolitos muy aislados, y por time-to-market. Nuestra primera inversión que hacemos en la nube es migrar nuestro ecommerce. Y, a partir de ahí marcamos una estrategia para, poco a poco, ir sacando servicios obsoletos onpremise para llevarlos a la nube. Nuestro mayor acelerador, no obstante, no ha sido la pandemia, sino un incidente de seguridad que tuvimos en abril del año pasado en Phone House, que nos hace tomar la decisión de ir más rápido a la nube.

 

Antes de hablar del ciberataque, ¿cómo afectó la pandemia, con el consiguiente cierre de las tiendas físicas durante un tiempo, a la actividad de ese buque insignia, Phone House?

Si algo tiene Phone House es resiliencia. Lleva 24 años en España y ha visto muchas cosas; desde la revolución del móvil en la que todo el mundo cambiaba de dispositivo cada poco tiempo hasta la incorporación de servicios en los que se incluían paquetes de fibra y conexión junto con la venta de teléfonos. Después ha incrementado mucho la competencia en el sector de las telecomunicaciones, que es muy vivo y en constante cambio. Pero en este sentido que preguntas, es cierto que la página web de la compañía siempre ha estado muy bien posicionada y con mucho tráfico orgánico, y los procesos han funcionado bien, por lo que el paso a digital durante la pandemia ha ido realmente bien. Es verdad que nosotros, por vender energía y telecomunicaciones, entrábamos dentro de una industria esencial durante esos meses y, por tanto, el cierre no fue tan atroz y se pudieron entregar servicios en determinados puntos de recogida. Evidentemente se vio afectada, pero la resolución por parte del canal digital fue excelente.

 

 

"El ataque a Phone House ha supuesto un mayor acelerador de nuestra digitalización que la pandemia"

 

 

Llegamos a ese abril de 2021, cuando un ransomware afecta a la información de usuarios de Phone House.

Todo el core del punto de vista físico de Phone House se vio completamente afectado. Cuando nos enfrentamos a esta situación, tenemos dos opciones: o recrear la arquitectura técnica que tenemos con sistemas de virtualización o intentamos hacer un lift and shift de esos datos a la nube. Tuvimos un día de evaluación muy intenso y vimos que la mejor opción era hacer ese lift and shift e interconectar todos los servicios. Y, en unas ocho semanas teníamos todos los servicios estratégicos levantados y funcionando.

 

¿Cómo vivió esos días a nivel personal?

Con la primera palabra que me quedo es con aprendizaje. Llevo 22 años trabajando de forma ininterrumpida en el mundo TI y siempre se aprende, pero una experiencia de este tipo te da mucha madurez. Las primeras cuatro semanas son muy intensas y hay poco descanso. Desde un punto de vista personal, me quedo con el apoyo de toda la gente, tanto interna como de los socios con los que trabajamos, porque no teníamos ni conexión. En seguida uno tiene que tomar conciencia de la complejidad de la situación, entender que el daño es severo y hacer una planificación ‘suicida’ para que las tiendas pudieran intentar vender y conectarse a Internet cuanto antes. Montamos un site en Google para informar a la compañía de la evolución de los servicios con predicciones y con un intento de analizar los pasos correctos para ir avanzando. No es sencillo levantar todo esto. Tuvimos mucha comunicación con la compañía y, finalmente, sí que podemos decir que fue un éxito porque había que levantar un parqué de 200 servidores con más de 60 servicios muy interconectados y 2.000 personas trabajando y vendiendo productos en diferentes canales. Había muchos ingredientes que hicieron de este un tema muy complejo y una vez que pudimos sacarlo adelante sentimos mucho orgullo. Si hablamos del tema de ciberseguridad, se montó un equipo, un Centro de Operaciones de Seguridad (SOC, de sus siglas inglesas), y ya trabajamos en los pilares básicos como el gobierno de los sistemas para intentar minimizar el riesgo. También había que preparar todo el trabajo de prevención, parcheados, etc. En este sentido, la nube está teniendo un impacto muy importante para los procesos de continuidad de negocio. La gente tiene que ser consciente de que esto no es una broma y que nos haya pasado una vez no significa que no nos pueda volver a pasar.

 

 

No es muy común que las compañías traten un incidente de seguridad con tal transparencia…

Al final, yo supongo que es una cuestión de valores. Me sabe mal decir esto, pero muchas veces en España tenemos complejos a la hora de contar algunas vergüenzas. El problema no es nuestro, sino que hay gente fuera (ciberdelincuentes) que tiene un negocio montado alrededor de los ataques que es muy goloso. Los malos son ellos y nos han hecho daño. Reconocer esto es el primer paso. Dominion, a pesar de ser una gran empresa, no es conocida en el país por este nombre, pero Phone House si es una marca muy reconocida. Es un tema de honestidad y transparencia; intentamos poner al cliente en el centro de todas nuestras decisiones y cuando tenemos un problema también tenemos que hacerle partícipe. Además, hay comunicaciones de brechas a los distintos agentes legales que son obligatorias por ley. Tratamos muchos datos,  también de terceros a los que se les informó y, siguiendo las recomendaciones, fuimos lo más cercanos que pudimos. Afortunadamente, los datos que se expusieron no eran sensibles. A partir de ahí, yo creo que hay que contar la experiencia para que la gente que lo vea de fuera lo sepa. Yo no tengo ningún problema en reconocer qué vulnerabilidades tuvimos y cuál fue nuestra reacción al incidente desde un punto de vista de TI. Hay que transformar la amenaza en una oportunidad para compartir el caso de uso con la gente. También es una muestra de resiliencia de la compañía, como he mencionado antes.

 

¿Esta experiencia ha acercado tu figura, o por el contrario ya lo estaba, al comité de dirección de la compañía?

Sí, yo ya no concibo una compañía en la que el CIO no sea parte del comité de dirección. Viniendo del mundo técnico por carrera, soy el primero que dice que el trabajo tradicional de TI es una comoditie. No se necesita a alguien velando por el CPD, por trivializar el asunto. El CIO tiene que estar muy pegado a negocio porque es fundamental entender cuáles son sus entresijos para poder escribir la arquitectura que permita esas iniciativas. Estamos hartos de ver empresas con muy buenas ideas de negocio que, por no hacer las cosas técnicamente bien, fracasan o son adelantadas por otras. Y, ahora tenemos más recursos tecnológicos que nunca para dar servicios ágiles y escalables al negocio.

 

En un momento en el que la brecha de talento en el sector es muy importante, ¿se vuelve más complicado encontrar perfiles que no solo sean técnicos sino que también entiendan de negocio?

Este es un tema muy complejo y sensible al que nos enfrentamos todas las empresas. Hay roles que todavía pasan desapercibidos en las empresas pero que cada vez son más cotizados y que permiten estructurar este tipo de estrategias alineadas. Es muy difícil que todo el mundo entienda de negocio y no podemos pretender que todo el mundo sepa. Pero sí que podemos estructurar un departamento capaz de tener un balance entre gente con un gran talento técnico y gente que sea capaz de tener habilidades de comunicación y de negocio. En ese sentido, por ejemplo, un product manager sí que tiene que entender el negocio y cómo forma parte de su actividad.

 

 

"El aspecto cultural es una de las claves del fracaso de muchas compañías"

 

 

 

¿Cómo ha sido el choque o cambio cultural dentro de la organización para el aterrizaje de esta nueva estrategia? ¿Cuáles son las claves para avanzar en este aspecto?

Si analizásemos las estadísticas, los temas culturales serían una de las claves del fracaso de las compañías porque es muy difícil gestionar según qué cambios. Nosotros tuvimos la suerte de que el cambio de dirección supuso una renovación que facilitó una nueva mentalidad. Es verdad que nosotros teníamos una amalgama de compañías muy diferentes en lo que a cultura se refiere. Partíamos de dos empresas que tenían todavía esa mentalidad startup, tanto en lo bueno como en lo malo. Y, por otro lado, teníamos un gran barco como Phone House, con más de 20 años de trayectoria y con una enorme complejidad. Una de las cosas que hicimos fue variar completamente la forma en la que trabajábamos. Hicimos un inventariado de productos digitales con equipos enfocados en distintas partes del negocio y dotamos de marcos ágiles de trabajo a la gente para armar este nuevo escenario. Y lo hicimos dejando de hablar de productos para hacerlo de proyectos, dejando de hablar de ROI para pasar al término valor y dejando lado la palabra tareas. Todavía tenemos complejidades por las que a veces no todo el mundo entiende esta forma de trabajo, pero estamos en la línea correcta.

 

Al final, el objetivo de la transformación digital de toda compañía es convertirse en data driven. ¿Cuáles son los principales retos?

En primer lugar, los temas de legislación son cada vez más complejos, sobre todo en Europa, que se vela más por nuestra privacidad, lo que hace que a nivel técnico no podamos desarrollar ciertas cosas. Además, también hay un tema cultural. Los primeros datos fiables de las compañías por historia son los de contabilidad. Después, casi todas las empresas tienen un buen sistema de control de gestión y lo difícil es entender que ahora existen multitud de datos a los que se pueden acceder y con los que generar negocio. Esto hace que la gente que lleva trabajando mucho tiempo con datos de gestión asuma que tal vez su experiencia no es suficiente como para predecir según qué cosas. Cuando un empresa es realmente data driven es cuando se abre a experimentar asumiendo que se puede equivocar en sus predicciones. Entonces se plantean hipótesis y se buscan alternativas para encontrar el camino correcto.

 

Un ciberataque para evolucionar la estrategia digital El pasado 11 de abril de 2021, una de las marcas más reconocidas en España de tiendas de smartphones y telecomunicaciones, Phone House, sufrió un ciberataque de tipo ransomware por el que se vieron afectados datos de hasta 13 millones de clientes y trabajadores de la compañía. Entre ellos se encontraban números de DNI, de cuentas bancarias, correos electrónicos, direcciones y fechas de nacimiento. Tal y como cuenta David García, CIO de Dominion Commercial, área de actividades de la firma que engloba a Phone House, rápidamente se activó un dispositivo que no solo consistió en tratar de levantar los servicios caídos en tiempo récord, sino también en hacer un ejercicio de transparencia frente a todo su ecosistema para “convertir la amenaza en caso de éxito”. García cree, con acierto, que la única responsabilidad de lo sucedido es de los ciberdelincuentes, que son los que hacen el daño, y que no hay que tener vergüenzas a la hora de contar los incidentes. “Esto demuestra la resiliencia de la compañía”. Además, afirma rotundamente durante la entrevista,  un evento de estas características ayuda más al impulso digital que la revolución que ha traído la pandemia de la COVID-19. En el ámbito de la ciberseguridad, dice, se han establecido nuevas prácticas, “aunque nadie puede poner la mano en el fuego que esto no nos pueda volver a pasar, como a cualquier otra empresa”. Pero el trasfondo evolutivo del caso, asevera, pasa por una mayor predisposición, si cabe, a abrazar la nube como baluarte de los procesos de continuidad de negocio y de la estrategia transversal corporativa.