«Nuestro propósito es actuar como un habilitador ciberseguro de las operaciones»

Ana Salazar lidera la estrategia de seguridad de la información en Hijos de Rivera, la corporación gallega reconocida internacionalmente por marcas tan emblemáticas como Estrella Galicia. Como CISO de la compañía, Salazar ha vivido en primera persona la transformación de la ciberseguridad, que ha pasado de ser una función de soporte técnico fragmentada a consolidarse como un eje estratégico transversal y una ventaja competitiva esencial. Centrada en la resiliencia operativa, la protección del ecosistema logístico y comercial, y la adopción de tecnologías avanzadas como la inteligencia artificial, su enfoque combina la rigurosidad técnica con una fuerte apuesta por la concienciación y el desarrollo de equipos de alto rendimiento.

[MCPRO] ¿Cómo ha pasado la ciberseguridad de ser una función de soporte técnico a convertirse en el eje estratégico que garantiza la resiliencia operativa en una compañía con el nivel de digitalización de Hijos de Rivera?

[Ana Salazar] Tradicionalmente la ciberseguridad ha formado parte de las áreas de Tecnologia de forma fragmentada, se aplicaba seguridad en el Endpoint, se seguían los procedimientos de desarrollo seguro en las aplicaciones y se mantenía la seguridad perimetral. El salto necesario es tener la visión conjunta que permita ver las relaciones y riesgos entre los distintos sistemas corporativos.

Para lograr esto, es fundamental la elaboración de un plan director, que nos permita un crecimiento ordenado y dotar de las capacidades necesarias al área de Ciberseguridad. Esta evolución suele comenzar con los servicios de protección y monitorización (Blue Team) para madurar después hacia capacidades ofensivas Red Team y así analizar la capacidad ofensiva desde el punto de vista del atacante.

Hoy en día, uno de los mayores retos del área es consolidar la ciberseguridad como una ventaja competitiva, totalmente alineada con los objetivos corporativos. Nuestro propósito es actuar como un habilitador ciberseguro de las operaciones, facilitando la innovación. Es una responsabilidad conjunta de compañía.

[MCPRO] Proyectos de Vanguardia: Con el reciente lanzamiento del «Nuevo Ecosistema de Inteligencia Artificial» de la corporación, ¿qué retos adicionales de seguridad plantea integrar la IA de forma transversal en áreas tan críticas como la logistica o la estrategia comercial?

[Ana Salazar] En el desarrollo de proyectos recientes, fue necesario adaptar las auditorías de seguridad a estas nuevas herramientas. Se ampliaron las capacidades para auditar los prompts buscando ese nuevo tipo de vulnerabilidades que surgen con el uso de los LLMs, comprobando que no se puedan realizar inyecciones de prompts ni fugas de información, confirmando que funcionan correctamente los guardarailes.

Todas las empresas necesitamos un Framework alineado con la IA, manteniendo al día el inventario de herramientas autorizadas y no permitiendo el uso de las que no lo están, el Shadow IT se amplía.

Normativas, cumplimiento y mejora de la resiliencia

[MCPRO] Ante la entrada en vigor de normativas como NIS2, ¿cuáles han sido los mayores desafios para adaptar la resiliencia de la compañía a los estándares exigidos para sectores esenciales?

[Ana Salazar] Aunque la cerveza puede parecer no esencial para muchos, de cara a la NIS2 somos una “compañía importante”. Por lo tanto, los requisitos están adaptados a la criticidad del sector. El alineamiento que se está llevando a cabo es con la ISO27001, dado que disponemos de filiales fuera de España. Muchos de los controles ya están cubiertos por ese framework y estamos ampliando los necesarios para cubrir los puntos requeridos por NIS2.

Cuando pienso en regulaciones, no pienso sólo en el check del control, sino en cómo se mejora la seguridad cuando lo aplicamos. Lo importante es el GAP de mejora de seguridad que se consigue. Tener documentados los procedimientos es fundamental, y esto es uno de los puntos que obliga tanto la ISO como NIS2. Redactarlos permite mejorarlo. Deben ser sencillos pero aplicables.

[MCPRO]  En una cadena de suministro tan amplia, ¿cómo gestionan el riesgo de ciberseguridad de los proveedores externos que tienen acceso a sus sistemas para mantenimiento industrial o logistica?

[Ana Salazar] Por un lado, nos apoyamos en el área de compras, que realiza una evaluación del proveedor muy completa, entendiendo que el riesgo ciber es tan critico como el financiero. Las compañías con las que trabajemos deben de demostrar su resiliencia con certificados, una compañía con un incidente deja de prestarnos servicio en la fase de mitigación, por lo que afecta de forma directa al negocio.

Además, somos conscientes de que operamos en un ecosistema muy amplio (logística, proveedores, clientes) donde existen diferentes niveles de madurez tecnológica, por lo que intentamos ser embajadores de ciberseguridad, potenciando la concienciación ciber desde la compañía.

Suplantación de marca y detección temprana

[MCPRO] Usted ha mencionado en ocasiones el ataque de phishing de la «neverita de Estrella Galicia». ¿Cómo ha evolucionado la estrategia de concienciación de la empresa para que los empleados detecten amenazas que utilizan la propia potencia de la marca como gancho?

[Ana Salazar] Es importante matizar que este caso fue una suplantación de marca, por lo que el objetivo real eran los consumidores, no nuestra infraestructura corporativa. En estos casos tenemos que actuar en dos frentes, por un lado, internamente se comunicó y bloqueo el acceso de forma preventiva y externamente utilizamos nuestras redes sociales para alertar a los clientes de que no era una promoción oficial.

Este tipo de suplantaciones necesitan servicios de Ciberinteligencia que alerten del uso fraudulento de las marcas. Lo que nos encontramos es que no es sencillo que se lleve a cabo el take-down. En caso de ser en redes sociales puede ser más rápido.

Sin embargo, cuando los atacantes levantan infraestructuras web en ciertas jurisdicciones internacionales complejas, los procesos legales o de colaboración policial requieren sus propios tiempos. Por ello, nuestra estrategia principal no depende solo del cierre técnico, sino de la detección temprana y la comunicación rápida. Al alertar al consumidor de forma inmediata, neutralizamos el impacto y el éxito de la campaña atacante mucho antes de que finalice el proceso legal.

[MCPRO] ¿Cómo diseñan programas de seguridad efectivos para redes comerciales (HORECA) que operan en entornos de movilidad y no en oficinas tradicionales?

[Ana Salazar] Desde el punto de vista de seguridad en las comunicaciones fuimos pioneros hace unos años, securizando las comunicaciones de nuestros pedidos de la mano de los operadores de telecomunicaciones con sus redes APN. Como toda tecnología se evoluciona hacia soluciones SASE (Secure Access Service Edge) que faciliten a los usuarios la seguridad desde los distintos entornos en los que trabajan.

El mensaje de concienciación que intentamos trasladar a todo nuestro ecosistema y canal HORECA, se centra en asegurar lo que llamamos la Seguridad Básica (Do the basic):

• Antivirus actualizado en todos los dispositivos.
• Equipos actualizados. Debemos de controlar la obsolescencia de los equipos.
• Correos con doble factor y protección antivirus, para evitar accesos no deseados a nuestra información tanto de correo como drives.
• Red con Firewall actualizados.
• Transferencias bancarias: Con carácter previo a realizar una transferencia comprueba la titularidad de la cuenta con el destinatario.

Hacia un modelo de confianza cero (Zero Trust)

[MCPRO] ¿Hacia dónde se dirige la inversión tecnológica de Hijos de Rivera: hacia la protección perimetral clásica o hacia la implementación de arquitecturas Zero Trust adaptadas a entornos industriales complejos?

[Ana Salazar] La concepción tradicional del perímetro corporativo ha evolucionado por completo. Ahora debemos protegernos con el concepto de malla de seguridad, protegiendo cada una de las entidades, los activos y las relaciones que tienen entre ellos. Debemos asegurarlas de forma proporcional, optimizando las soluciones y capacidades de las que disponemos.

Además, como vemos frecuentemente en la industria, la cadena de suministro digital es hoy uno de los vectores de ataque más explotados, por lo que nuestra estrategia Zero Trust va más allá de nuestros activos, analizando la postura de seguridad que tienen los distintos servicios en la nube.

[MCPRO] Como referente en la visibilización del talento femenino, ¿de qué manera cree que la diversidad en los equipos de ciberseguridad ayuda a identificar riesgos o soluciones que de otro modo pasarían desapercibidos?

[Ana Salazar] Para que otras mujeres se animen a formar parte de este ecosistema es importante dedicar tiempo a participar en eventos o escribir artículos como este para que vean que todas aportamos. Aunque es cierto que en muchos congresos sí que veo falta de presencia femenina, no es así en redes sociales o acciones online. Yo misma, como firme defensora de la conciliación, muchas veces priorizo mi vida familiar frente a la asistencia presencial, canalizando mi participación hacia el mundo online.

Y con respecto a los equipos, me parece fundamental el dejar que cada profesional pueda crecer, y sientan que forman parte de un equipo de alto rendimiento donde cada opinión es importante.