Inició sus estudios en Ingeniería Agrónoma en la Universidad de Santiago de Compostela, en el Campus de Lugo. Durante este periodo, descubrió que su verdadera vocación estaba en el ámbito de la informática, lo que le llevó a trasladar su formación a esta área. Esta decisión abrió nuevas perspectivas en su carrera profesional.
Su primera incursión en el mundo laboral fue en Visual MS, donde asumió responsabilidades en proyectos de ERP verticales. También participó activamente en el desarrollo del primer CMS gallego para la gestión de contenidos web, una innovación significativa en esa época.
Tras estos años de experiencia, fundó con otros socios una de las primeras pyme gallegas especializada en cyberseguridad y desde su constitución, comenzó a administrar los sistemas de información de CMPROMAR, empresa que evolucionó hasta convertirse en lo que hoy conocemos como Grupo Profand.
A comienzos la década de los 2.000, la ciberseguridad era una preocupación principalmente de grandes corporaciones y no siempre recibía la atención necesaria. Reconociendo esta brecha, en 2007 decidió diversificar los servicios en una nueva empresa y fundar CÚBICA.
A lo largo de estos más de 20 años, su trayectoria profesional ha experimentado numerosos cambios y evoluciones. Sin embargo, lo que ha permanecido inalterable es su compromiso con Grupo Profand.
En su tiempo libre, Alberto disfruta de una variedad de hobbies que le permiten equilibrar su vida personal y laboral. Entre ellos, el buceo, el tenis y la cocina; actividades que practica con regularidad y que le encantan, pero sin duda lo que más destacaría es su interés por la música y la producción musical.
¿Podrías explicarnos cuál es el rol del departamento que diriges en Profand y qué implica la seguridad de la información en nuestra empresa?
El departamento de seguridad de la información en Grupo Profand desempeña un rol crítico en la protección integral de los datos y sistemas de la empresa. Desde su establecimiento, hemos implementado un marco riguroso basado en políticas y procedimientos corporativos, guiados por las normativas y estándares de seguridad, especialmente alineados con la norma ISO 27001:2022.
Mi responsabilidad principal abarca la gestión estratégica de riesgos, el diseño y ejecución de planes de continuidad del negocio en el área informática, y la garantía del cumplimiento normativo en esta área de todo el grupo empresarial. Esto implica asegurar que todas las entidades dentro del grupo sigan estrictamente los procedimientos establecidos, implementando medidas avanzadas de defensa contra amenazas tanto externas (como malware, ataques de phishing y intrusiones) como internas.
Además, superviso la actualización continua de sistemas con los últimos parches de seguridad disponibles, asegurando que nuestros sistemas estén protegidos contra las vulnerabilidades más recientes. Incorporamos constantemente controles adicionales y métricas de seguridad en todas las capas de nuestras infraestructuras, con el objetivo de identificar posibles brechas de seguridad de manera proactiva y mitigar cualquier riesgo potencial antes de que afecte a la operación.
Esta labor integral está dirigida a fortalecer la resiliencia de Grupo Profand frente a las amenazas digitales en un entorno empresarial cada vez más complejo y cambiante.
«Nuestra labor es fortalecer la resiliencia de Grupo Profand frente a las amenazas digitales en un entorno empresarial cada vez más complejo y cambiante»
¿Cuáles son los principales desafíos de seguridad que enfrenta Profand hoy en día?
En la actualidad, nos enfrentamos a una creciente sofisticación de los cyber ataques, donde el uso combinado de ingeniería social y tecnologías avanzadas como la inteligencia artificial exige una inversión significativa en nuestras capacidades defensivas. La detección precoz de configuraciones incorrectas en dispositivos y la sensibilización continua de toda la plantilla emergen como los principales desafíos en este contexto.
Además, el cumplimiento normativo desempeña un papel crucial. Directivas recientes como NIS2 de la Unión Europea establecen estándares más rigurosos en materia de seguridad de la información, imponiendo la necesidad de adoptar medidas aún más estrictas y efectivas. Esta regulación nos impulsa a mantenernos a la vanguardia de las mejores prácticas y estándares internacionales, asegurando la protección integral de los activos críticos de Grupo Profand.
En respuesta a estas exigencias, estamos continuamente fortaleciendo nuestras capacidades tecnológicas y de gestión, implementando soluciones avanzadas de monitoreo y respuesta ante incidentes. Este enfoque proactivo y multidimensional nos permite mitigar riesgos, preservar la integridad de nuestros sistemas y garantizar la continuidad operativa.
«La detección precoz de configuraciones incorrectas en dispositivos y la sensibilización continua de toda la plantilla emergen como los principales desafíos en este contexto».
¿Cómo se está adaptando Profand a estos desafíos?
Desde que iniciamos nuestro proceso de certificación en la norma ISO 27001 en 2018, hemos sentado las bases para establecer un sólido sistema de gestión de la seguridad de la información. La implementación de pruebas de penetración periódicas, también conocidas como hacking ético, sobre nuestras infraestructuras ha sido fundamental para identificar y corregir vulnerabilidades de manera proactiva.
Además, hemos intensificado nuestros esfuerzos en la concienciación y formación continua de todos los empleados, lo cual ha resultado en una notable reducción de incidentes de seguridad. Este enfoque integral no solo fortalece nuestra postura de seguridad interna, sino que también refuerza la cultura de seguridad en toda la organización.
Este año hemos dado un paso más con la implementación de un Centro de Operaciones de Seguridad (SOC) operativo las 24 horas del día, los 7 días de la semana. Este SOC se encarga de monitorear activamente nuestros servidores y redes en busca de cualquier anomalía o actividad sospechosa, permitiéndonos una respuesta inmediata ante posibles amenazas.
«Este año hemos dado un paso más con la implementación de un Centro de Operaciones de Seguridad (SOC) operativo 24 horas del día, los 7 días de la semana».
¿Qué consejos tiene para todos los usuarios del Grupo respecto a la seguridad de la información?
Mi principal consejo para todos los miembros de nuestro grupo de empresas en cuanto a la seguridad de la información es que adopten una actitud proactiva y consciente hacia este tema, no solo en el ámbito profesional, sino también en su vida privada. A menudo subestimamos el impacto que nuestras acciones pueden tener, especialmente cuando se trata de desconocimiento. Por ello, la concienciación juega un papel crucial.
La plantilla de trabajadores conforman la primera línea de defensa en la seguridad de la información. Es fundamental que estén bien informados y capacitados para identificar posibles riesgos y amenazas. Esto incluye practicar buenos hábitos de seguridad, como utilizar contraseñas seguras y actualizar regularmente el software, así como estar alerta ante posibles ataques de phishing u otras técnicas de ingeniería social.
Además, es importante reportar cualquier incidente o actividad sospechosa de inmediato puede hacer una gran diferencia en la protección de nuestros activos y datos críticos.
Me gustaría destacar que la seguridad de la información es responsabilidad de todos. De esta manera podemos fortalecer la seguridad de Grupo Profand y mitigar eficazmente los riesgos potenciales.
«Me gustaría destacar que la seguridad de la información es responsabilidad de todos. De esta manera podemos fortalecer la seguridad de Grupo Profand y mitigar eficazmente los riesgos potenciales.»
Sin duda, la seguridad de la información es un pilar fundamental para el éxito de Profand Fishing Holding. ¿Hay algún proyecto específico en el horizonte para mejorar aún más la seguridad en Profand?
En cuanto a los planes futuros para fortalecer aún más la seguridad, estamos enfocados en varios frentes estratégicos.
Primero y ante todo, vamos a intensificar nuestros esfuerzos en la concienciación. Próximamente, planeamos implementar pruebas de phishing mensuales para evaluar y mejorar la capacidad de nuestros empleados para detectar y reportar intentos de phishing. Reconocemos que la concienciación efectiva es clave para fortalecer nuestra defensa contra las amenazas cibernéticas en constante evolución.
Además, estamos en proceso de implementar nuevas tecnologías avanzadas, como el control de accesos condicionales y el etiquetado de información digital. Estas medidas están diseñadas para prevenir el acceso no autorizado a datos críticos, incluso una vez que la información ha salido del perímetro corporativo. Esto refuerza nuestra capacidad para proteger la confidencialidad y la integridad de la información sensible de Grupo Profand.
Por otro lado y no menos importante, uno de nuestros principales proyectos es unificar criterios de seguridad en todas las empresas del grupo. Este enfoque integral nos permitirá establecer estándares uniformes y mejores prácticas en todos los niveles, fortaleciendo aún más nuestra postura global de seguridad.
«Uno de nuestros principales proyectos es unificar criterios de seguridad en todas las empresas del grupo.»
¿Cómo gestionas la colaboración y coordinación entre diferentes equipos dentro del departamento de seguridad de la información para asegurar una respuesta efectiva ante incidentes?
La colaboración interdepartamental es fundamental en la gestión de la seguridad de la información, para garantizar una respuesta eficaz ante incidentes. Tenemos claramente definidos los roles y responsabilidades dentro de cada equipo y entre los equipos interdepartamentales. Esto asegura que cada miembro del equipo comprenda su función específica y contribuya de manera coordinada a la estrategia de seguridad global.
Por otra parte, establecemos protocolos de comunicación robustos que facilitan la transmisión rápida y precisa de información durante un incidente.
Además, mantenemos una comunicación continua y colaborativa con otros departamentos clave, como compliance, recursos humanos y legal, entre otros. Esto es especialmente importante para cumplir con las regulaciones y normativas pertinentes, así como para gestionar adecuadamente los aspectos legales y de gestión de crisis que puedan surgir durante un incidente de seguridad.
Debemos promover una cultura de seguridad proactiva y resiliente en todas las empresas del Grupo.
¿Cuál es tu opinión sobre la integración de inteligencia artificial en las estrategias de ciberseguridad?
La integración de inteligencia artificial en las estrategias de ciberseguridad representa un avance significativo. Esta tecnología no solo puede mejorar la detección temprana de amenazas y anomalías, sino que también transforma la forma en que gestionamos y respondemos a incidentes cibernéticos.
El uso de inteligencia artificial permite el análisis rápido y preciso de grandes volúmenes de datos en tiempo real, identificando patrones y comportamientos que podrían indicar actividad maliciosa. Esto es especialmente crucial en un entorno donde los ataques evolucionan constantemente y se vuelven más difíciles de detectar con métodos tradicionales.
Las soluciones basadas en inteligencia artificial pueden tomar decisiones informadas de forma rápida y eficiente, implementando contramedidas inmediatas para contener y mitigar el alcance de un ataque, pero es muy importante destacar que no reemplaza la experiencia humana ni el juicio crítico. Más bien, complementa y potencia las capacidades de nuestro equipo de seguridad, permitiéndole enfocarse en tareas de mayor valor estratégico y análisis profundo.
En el ámbito de la IA, ya hemos dado pasos concretos en la implementación de proyectos personalizados de inteligencia artificial que ya están funcionando en departamentos de Grupo Profand, lo cual marca el inicio de una serie de iniciativas planificadas.
Estos proyectos no se limitan únicamente al ámbito de la seguridad, sino que también exploramos aplicaciones en otras áreas críticas de la organización. La adopción de inteligencia artificial representa un compromiso continuo con la innovación y la mejora de nuestros procesos, asegurando que estemos a la vanguardia en la utilización de tecnologías avanzadas para alcanzar nuestros objetivos estratégicos y operativos de manera efectiva y eficiente.
