Il a commencé ses études d'ingénieur agronome à l'université de Saint-Jacques-de-Compostelle, au campus de Lugo. Au cours de cette période, il a découvert que sa véritable vocation était l'informatique, ce qui l'a amené à transférer sa formation dans ce domaine. Cette décision lui a ouvert de nouvelles perspectives dans sa carrière professionnelle.
Il a fait ses premiers pas dans le monde du travail chez Visual MS, où il a pris la responsabilité de projets ERP verticaux. Il a également participé activement au développement du premier CMS galicien pour la gestion de contenu web, une innovation importante à l'époque.
Après ces années d'expérience, il a fondé, avec d'autres associés, l'une des premières PME galiciennes spécialisées dans la cybersécurité et, depuis sa création, il a commencé à gérer les systèmes d'information de CMPROMAR, une entreprise qui a évolué pour devenir ce que nous connaissons aujourd'hui sous le nom de groupe Profand.
Au début des années 2000, la cybersécurité concernait principalement les grandes entreprises et ne recevait pas toujours l'attention nécessaire. Conscient de cette lacune, il a décidé en 2007 de diversifier les services dans une nouvelle entreprise et a fondé CÚBICA.
Au cours de ces plus de 20 ans, sa carrière professionnelle a connu de nombreux changements et évolutions. Mais ce qui n'a pas changé, c'est son engagement pour le groupe Profand.
Pendant son temps libre, Alberto s'adonne à divers passe-temps qui lui permettent d'équilibrer sa vie personnelle et professionnelle. Il s'agit notamment de la plongée sous-marine, du tennis et de la cuisine, des activités qu'il pratique régulièrement et qu'il adore, mais ce qui ressort le plus est sans aucun doute son intérêt pour la musique et la production musicale.
Pouvez-vous nous expliquer quel est le rôle du département que vous dirigez chez Profand et ce qu'implique la sécurité de l'information dans notre entreprise ?
Le service de sécurité de l'information du groupe Profand joue un rôle essentiel dans la protection complète des données et des systèmes de l'entreprise. Depuis sa création, nous avons mis en place un cadre rigoureux basé sur des politiques et des procédures d'entreprise, guidées par des réglementations et des normes de sécurité, en particulier alignées sur la norme ISO 27001:2022.
Ma responsabilité principale englobe la gestion stratégique des risques, la conception et l'exécution de plans de continuité des activités informatiques et la garantie de la conformité informatique dans l'ensemble du groupe. Cela implique de veiller à ce que toutes les entités du groupe respectent strictement les procédures établies, en mettant en œuvre des mesures de défense avancées contre les menaces externes (telles que les logiciels malveillants, les attaques par hameçonnage et les intrusions) et internes.
En outre, je supervise la mise à jour continue des systèmes avec les derniers correctifs de sécurité disponibles, en veillant à ce que nos systèmes soient protégés contre les dernières vulnérabilités. Nous intégrons constamment des contrôles supplémentaires et des mesures de sécurité à tous les niveaux de nos infrastructures, dans le but d'identifier de manière proactive les failles de sécurité potentielles et d'atténuer tout risque potentiel avant qu'il n'affecte l'opération.
Ce travail global vise à renforcer la résilience du groupe Profand face aux menaces numériques dans un environnement commercial de plus en plus complexe et changeant.
Quels sont les principaux défis en matière de sécurité auxquels Profand doit faire face aujourd'hui ?
Aujourd'hui, nous sommes confrontés à des cyberattaques de plus en plus sophistiquées, où l'utilisation combinée de l'ingénierie sociale et de technologies avancées telles que l'intelligence artificielle nécessite un investissement important dans nos capacités défensives. La détection précoce des erreurs de configuration des appareils et la sensibilisation continue de l'ensemble du personnel sont les principaux défis à relever dans ce contexte.
En outre, la conformité réglementaire joue un rôle crucial. Des directives récentes, telles que la directive NIS2 de l'Union européenne, fixent des normes plus strictes en matière de sécurité de l'information, imposant la nécessité de mesures encore plus rigoureuses et plus efficaces. Cette réglementation nous incite à rester à l'avant-garde des meilleures pratiques et normes internationales, garantissant ainsi la protection complète des actifs critiques du groupe Profand.
En réponse à ces demandes, nous renforçons continuellement nos capacités technologiques et de gestion, en mettant en œuvre des solutions avancées de surveillance et de réponse aux incidents. Cette approche proactive et multidimensionnelle nous permet d'atténuer les risques, de préserver l'intégrité de nos systèmes et d'assurer la continuité des opérations.
"La détection précoce des mauvaises configurations des appareils et la sensibilisation continue de l'ensemble du personnel sont les principaux défis à relever dans ce contexte.
Comment Profand s'adapte-t-il à ces défis ?
Depuis que nous avons entamé notre processus de certification ISO 27001 en 2018, nous avons posé les bases pour établir un système de gestion de la sécurité de l'information robuste. La mise en œuvre de tests de pénétration réguliers, également connus sous le nom de piratage éthique, sur nos infrastructures a joué un rôle déterminant dans l'identification et la correction proactives des vulnérabilités.
En outre, nous avons intensifié nos efforts de sensibilisation et de formation continue de tous les employés, ce qui a entraîné une réduction notable des incidents de sécurité. Cette approche globale permet non seulement de renforcer notre dispositif de sécurité interne, mais aussi de consolider la culture de la sécurité dans l'ensemble de l'organisation.
Cette année, nous avons franchi une étape supplémentaire en mettant en place un centre d'opérations de sécurité (SOC) qui fonctionne 24 heures sur 24, 7 jours sur 7, et qui surveille activement nos serveurs et nos réseaux pour détecter toute anomalie ou activité suspecte. Ce centre surveille activement nos serveurs et nos réseaux pour détecter toute anomalie ou activité suspecte, ce qui nous permet de réagir immédiatement aux menaces potentielles.
"Cette année, nous sommes allés plus loin en mettant en place un centre d'opérations de sécurité (SOC) fonctionnant 24 heures sur 24 et 7 jours sur 7.
Quels conseils donneriez-vous à tous les utilisateurs du groupe en matière de sécurité de l'information ?
Mon principal conseil à tous les membres de notre groupe d'entreprises en matière de sécurité de l'information est d'adopter une attitude proactive et consciente de cette question, non seulement dans la sphère professionnelle, mais aussi dans leur vie privée. Nous sous-estimons souvent l'impact de nos actions, surtout lorsqu'il s'agit d'ignorance. C'est pourquoi la sensibilisation joue un rôle crucial.
Le personnel est la première ligne de défense en matière de sécurité de l'information. Il est essentiel qu'ils soient bien informés et formés pour identifier les risques et les menaces potentiels. Il s'agit notamment d'adopter de bonnes habitudes en matière de sécurité, telles que l'utilisation de mots de passe forts et la mise à jour régulière des logiciels, ainsi que d'être attentif aux éventuelles attaques de phishing ou autres techniques d'ingénierie sociale.
En outre, il est important de signaler immédiatement tout incident ou activité suspecte, ce qui peut faire une grande différence dans la protection de nos actifs critiques et de nos données.
Je voudrais insister sur le fait que la sécurité de l'information est la responsabilité de chacun. C'est ainsi que nous pourrons renforcer la sécurité du groupe Profand et atténuer efficacement les risques potentiels.
La sécurité de l'information est sans aucun doute un pilier fondamental du succès de Profand Fishing Holding. Y a-t-il des projets spécifiques à l'horizon pour améliorer encore la sécurité chez Profand ?
En ce qui concerne les plans futurs visant à renforcer la sécurité, nous nous concentrons sur plusieurs fronts stratégiques.
Tout d'abord, nous allons intensifier nos efforts de sensibilisation. Dans un avenir proche, nous prévoyons de mettre en place des tests mensuels d'hameçonnage afin d'évaluer et d'améliorer la capacité de nos employés à détecter et à signaler les tentatives d'hameçonnage. Nous reconnaissons qu'une sensibilisation efficace est essentielle pour renforcer notre défense contre les cybermenaces en constante évolution.
En outre, nous sommes en train de mettre en œuvre de nouvelles technologies avancées, telles que le contrôle d'accès conditionnel et le marquage numérique des informations. Ces mesures sont conçues pour empêcher l'accès non autorisé aux données critiques, même une fois que l'information a quitté le périmètre de l'entreprise. Cela renforce notre capacité à protéger la confidentialité et l'intégrité des informations sensibles du groupe Profand.
D'autre part, et ce n'est pas moins important, l'un de nos principaux projets consiste à unifier les critères de sécurité dans toutes les entreprises du groupe. Cette approche globale nous permettra d'établir des normes uniformes et des meilleures pratiques à tous les niveaux, renforçant ainsi notre position globale en matière de sécurité.
Comment gérez-vous la collaboration et la coordination entre les différentes équipes au sein du département de la sécurité de l'information afin de garantir une réponse efficace aux incidents ?
La collaboration interdépartementale est essentielle dans la gestion de la sécurité de l'information pour garantir une réponse efficace aux incidents. Nous avons clairement défini les rôles et les responsabilités au sein de chaque équipe et des équipes interdépartementales. Cela garantit que chaque membre de l'équipe comprend son rôle spécifique et contribue de manière coordonnée à la stratégie de sécurité globale.
En outre, nous établissons des protocoles de communication solides qui facilitent la transmission rapide et précise d'informations lors d'un incident.
En outre, nous maintenons une communication continue et collaborative avec d'autres départements clés, tels que la conformité, les ressources humaines, le service juridique et d'autres. Cela est particulièrement important pour se conformer aux réglementations et aux normes en vigueur, ainsi que pour gérer correctement les questions juridiques et de gestion de crise qui peuvent survenir lors d'un incident de sécurité.
Nous devons promouvoir une culture de la sécurité proactive et résistante dans toutes les entreprises du groupe.
Que pensez-vous de l'intégration de l'intelligence artificielle dans les stratégies de cybersécurité ?
L'intégration de l'intelligence artificielle dans les stratégies de cybersécurité représente une avancée significative. Cette technologie peut non seulement améliorer la détection précoce des menaces et des anomalies, mais aussi transformer la façon dont nous gérons les cyberincidents et y répondons.
L'utilisation de l'intelligence artificielle permet l'analyse rapide et précise de grands volumes de données en temps réel, en identifiant des modèles et des comportements qui pourraient indiquer une activité malveillante. Ceci est particulièrement crucial dans un environnement où les attaques évoluent constamment et deviennent de plus en plus difficiles à détecter avec les méthodes traditionnelles.
Les solutions basées sur l'intelligence artificielle peuvent prendre des décisions éclairées rapidement et efficacement, en mettant en œuvre des contre-mesures immédiates pour contenir et atténuer la portée d'une attaque, mais surtout, elles ne remplacent pas l'expertise humaine et le jugement critique. Au contraire, elles complètent et améliorent les capacités de notre équipe de sécurité, lui permettant de se concentrer sur des tâches de plus grande valeur stratégique et d'analyse approfondie.
Dans le domaine de l'IA, nous avons déjà pris des mesures concrètes en mettant en œuvre des projets d'IA personnalisés qui sont déjà opérationnels dans les départements du groupe Profand, marquant le début d'une série d'initiatives planifiées.
Ces projets ne se limitent pas à la seule sécurité, mais nous explorons également des applications dans d'autres domaines critiques de l'organisation. L'adoption de l'intelligence artificielle représente un engagement permanent en faveur de l'innovation et de l'amélioration de nos processus, garantissant que nous sommes à la pointe de l'utilisation des technologies avancées pour atteindre nos objectifs stratégiques et opérationnels de manière efficace et efficiente.
