Fluidra constata el valor de fomentar la cultura de la ciberseguridad
Ángel Uruñuela, CISO de la compañía especializada en soluciones conectadas para piscinas, explica las claves de la estrategia de ciberseguridad.
El fomento de una cultura de ciberseguridad y la alineación de este departamento al negocio han sido dos de las mejoras clave en Fluidra, la empresa de equipamientos y soluciones conectadas para piscinas que cotiza en el IBEX 35, desde la llegada como CISO de Ángel Uruñuela en 2019. Precisamente fue en ese ejercicio, cuenta el directivo que ha sido reciente finalista de los CIO 100 Awards Spain 2023 en la categoría CISO del año, cuando se crea la función de ‘Global Cybersecurity’, lo que ha supuesto un incremento de la madurez en todas las áreas de NIST CSF, con el soporte del consejo y de los equipos de Digital/IoT e ingeniería de TI.
Uruñuela explica que el principal desafío de este proyecto ha sido y “sigue siendo” gestionar la ciberseguridad de un entorno complejo y heterogéneo con sistemas TI, OT y IoT en 47 países y múltiples compañías con negocios y equipos tecnológicos diferentes. Sin embargo, ha conseguido que tanto las áreas de negocio como los departamentos digitales tengan una comunicación abierta con el suyo “aunque intentamos que los equipos sean cada vez más independientes y puedan tomar sus propias decisiones”. Esto se está aterrizando mediante formaciones y workshops, “y todos son conscientes de la importancia de esta función para la continuidad de las operaciones”.
"La innovación es una parte importante en nuestra estrategia"
Asimismo, el plan de ciberseguridad de Fluidra (2023-2026) incorpora medidas para mejorar la resiliencia y la gestión de las crisis, “asegurando que la organización pueda recuperarse lo más rápidamente ante incidentes”. Además, expresa, “la innovación es un parte importante de nuestra estrategia, y este año hemos adoptado soluciones de CAASM (Cyber Asset Attack Surface Management) y estamos trabajando en programas de automatización en las diferentes áreas, mejorando nuestra eficiencia operativa”. Y, durante el año pasado su equipo ha continuado implementando controles tanto en la detección como en la respuesta y la protección.
Lecciones aprendidas
Preguntado por todo lo aprendido durante estos cuatro años, Uruñuela responde que es necesario “hacer un ejercicio importante de relativizar todos los riesgos y escoger muy bien las iniciativas, especialmente aquellas que pueden tener un mayor impacto en la protección del negocio y la resiliencia”. También estima que una “buena” comunicación sigue siendo clave en la ejecución de iniciativas y programas de ciberseguridad. De cara a futuro, Fluidra se enfocará en iniciativas como la gestión de identidades, la seguridad desde el diseño en sus productos IoT de piscina conecetada y en la prevención de pérdidas de datos y la protección OT.
Por último, el directivo analiza el panorama actual del CISO: “Destacaría el creciente desafío que supone la nueva realidad que estamos viviendo con las implicaciones del director de seguridad de SolarWinds” tras el famoso ciberataque. “Y la complejidad actual de nuestro rol, que debe ser un experto en amenazas y controles técnicos, un gestor de riesgos y un ejecutivo capaz de presentar ante un consejo”.
