Banco Santander, Crosspoint Capital, ex do FBI, do BCE… Assim são os guardiões da cibersegurança da Inditex
O Comité Consultivo de Cibersegurança da Inditex, constituído no final de 2023, é composto por sete especialistas independentes e encarrega-se de reforçar a supervisão dos riscos tecnológicos que enfrenta a multinacional
Comentarios
No final de 2023, a Inditex constituiu o Comité Consultivo de Cibersegurança, um órgão independente da Comissão de Auditoria e Conformidade que nasceu com o objetivo de reforçar a supervisão dos riscos tecnológicos enfrentados pela multinacional e “posicionar a cibersegurança como matéria de análise estruturada ao mais alto nível”. Este órgão consultivo é integrado por especialistas independentes com uma reconhecida trajetória no âmbito da cibersegurança.
O primeiro deles é Hugh Thompson, atual presidente do comité, que é sócio-diretor da Crosspoint Capital Partners, empresa focada em cibersegurança, privacidade e infraestrutura de software. Anteriormente foi diretor de tecnologia da Symantec Inc, que foi a maior empresa de software de segurança do mundo, com mais de 12.000 empregados. Thompson já testemunhou perante o Congresso dos Estados Unidos como especialista em cibersegurança e foi reconhecido como um dos “5 Pensadores Mais Influentes em Segurança de TI” pela prestigiada publicação SC Magazine especializada em segurança.
Outra integrante é Marene Allison, uma antiga Agente Especial do FBI que também ocupou cargos de responsabilidade em riscos corporativos e segurança durante mais de 30 anos na Johnson & Johnson. Allison foi membro do Conselho de Administração da Health ISAC e é membro fundadora e presidente da West Point Women, organização formada por mulheres que estudaram na United States Military Academy, a academia militar dos EUA.
Também faz parte do comité a espanhola Hazel Díez Castaño, diretora global de Segurança da Informação (CISO) do Banco Santander, que lidera uma equipe de mais de 2.000 pessoas em cibersegurança e fraude. Conta com mais de 20 anos de experiência trabalhando em ambientes multiculturais e liderando departamentos de segurança a nível global em várias organizações, entre elas, o grupo segurador e de gestão de ativos britânico Aviva. Conforme consta em seu perfil no Linkedin, Díez Castaño também passou pela Deloitte, onde atuou por quase cinco anos como consultora sênior.
Outros membros do Comité Consultivo de Cibersegurança da Inditex incluem Christopher C. Krebs, o primeiro diretor da Agência de Infraestrutura e Cibersegurança (CISA) do Departamento de Segurança Nacional dos Estados Unidos e cofundador do Krebs Stamos Group, uma consultoria de gestão de riscos geopolíticos e tecnológicos.
Em abril do ano passado, Donald Trump ordenou abrir uma investigação contra Krebs e um funcionário do Departamento de Segurança Nacional, Miles Taylor, para revisar suas atividades durante o período em que foram empregados do Governo, após terem criticado abertamente o magnata. O presidente americano acusou Krebs de “abusar de sua autoridade governamental”. “A má conduta de Krebs envolveu a censura de discursos desfavoráveis relacionados às eleições de 2020 e à pandemia de COVID-19”.
Alberto Yépez também faz parte do comité desde sua constituição. Yépez é cofundador e diretor geral da Forgepoint Capital, a maior e mais ativa firma de capital de risco especializada em cibersegurança, avaliada em mais de 1.000 milhões de dólares australianos (cerca de 610 milhões de euros na cotação atual) e com quase 50 empresas no portfólio. Possui uma longa trajetória na criação e sucesso de empresas globais em cibersegurança.
Junta-se a todos eles Maria Markstedter, CEO da Azeria Labs e Pessoa do Ano em Cibersegurança pela Forbes em 2024. Também faz parte do comité de revisão técnica para a conferência de segurança Black Hat e do conselho consultivo técnico do Comité Consultivo de Cibersegurança da CISA. Markstedter é especialista em engenharia reversa e exploração da arquitetura ARM, reconhecida por seu livro ‘Blue Fox: Arm Assembly internals & externals & reverse engineering’.
Última contratação
A última contratação ocorreu em fevereiro de 2024, quando se incorporou ao comité José Manuel Gonzalez-Páramo Martínez-Murillo, o célebre economista nascido em Madrid, com raízes familiares na província de Lugo, que ocupou cargos destacados em vários
conselhos corporativos, incluindo o Banco Central Europeu (BCE) e o Banco de Espanha. Atualmente, exerce como presidente do Conselho de Supervisão da European DataWarehouse e da European DataWarehouse GmbH, a primeira iniciativa europeia que, desde o setor privado, responde à necessidade de dotar os mercados de titulização de elevados padrões de transparência. Também é membro do Conselho Consultivo Europeu da LLYC.
González-Páramo foi membro independente do Conselho e do Comité de Riscos do Abanca e conselheiro executivo do BBVA, além de responsável global de Economia, Regulação e Assuntos Públicos entre 2013 e 2020.
“A composição atual garante um equilíbrio entre experiência técnica, institucional e empresarial, aportando uma visão independente sobre o nível de maturidade do modelo de segurança da informação, a gestão de incidentes críticos, o apetite de risco e a evolução regulatória na matéria”, destaca a companhia na última memória.
Durante o último exercício, o comité informou a comissão sobre sua atividade e os principais assuntos tratados “com o objetivo de orientar o processo de tomada de decisões diante de possíveis ameaças, informar sobre incidentes críticos, medidas de segurança, possíveis riscos e fraquezas de controle e, em geral, sobre o nível de maturidade do sistema de segurança da informação do grupo”.
Ataque às bases de dados
Na última quarta-feira, a multinacional informou sobre um acesso não autorizado às suas bases de dados, alojadas em servidores de um terceiro fornecedor, que contêm informações sobre a relação comercial com clientes de diferentes mercados. O ataque informático não afetou informações pessoais nem bancárias. Em concreto, a companhia indicou que não foram expostos dados como nomes e sobrenomes, telefones, endereços, senhas, cartões bancários ou outros meios de pagamento.
«A Inditex aplicou imediatamente seus protocolos de segurança e iniciou a notificação às autoridades competentes sobre este acesso não autorizado, que tem origem em um incidente sofrido por um antigo fornecedor tecnológico que afetou diversas companhias com atividade internacional», explicavam em comunicado.
