De nueva cuenta, este año la seguridad TI se posiciona como la iniciativa tecnológica que atraerá el mayor porcentaje de inversiones a nivel mundial. Así lo revelan estimaciones de firmas de consultoría como IDC, las cuales destacan que la seguridad TI también será la que tendrá un mayor crecimiento en 2018 (53%) en comparación con el 33% obtenido el año anterior (ver gráfica), superando las intenciones de inversión que habrá en otros rubros, como la consolidación de los ERP (37%) o para las configuraciones de nube (33%).

En México, las tendencias de inversión en el ámbito de seguridad de la información también vislumbran cifras prometedoras este año: de acuerdo con IDC, las soluciones de seguridad tendrán un crecimiento de 7% con respecto al 2017, una cifra superior al del resto de la industria TI.

Específicamente en lo que respecta a las soluciones para seguridad de nube, los recursos que destinen las organizaciones pasarán del 11% del mercado total obtenido en 2017 a un 13% en 2018, mientras que para los servicios de seguridad TI se vislumbra un incremento del 16.8%, que es prácticamente el doble de lo que crece el segmento de servicios en nuestro país.

Estas cifras son acordes a lo observado en los últimos tres años, periodo en el que el valor de los servicios TIC en México ha crecido a doble dígito, propiciado por factores tales como aspectos socioeconómicos, el entorno competitivo de las organizaciones, las tendencias de gasto e inversión, y la innovación tecnológica asociada con la tercera plataforma (nube, movilidad, analítica y redes sociales), de acuerdo con Hugo Guevara, Analista de Servicios para IDC México.

“Estos factores han ocasionado una reconfiguración del mercado TIC nacional en términos de competidores líderes y modelos de entrega, así como en la forma de adquisición tecnológica por parte de las organizaciones, lo que no ha sido ajeno para el segmento de servicios relacionados con ciberseguridad”, afirmó Guevara en un artículo publicado en CIO México.¹

¿Cómo armar una estrategia de seguridad TI efectiva?

De acuerdo con una encuesta aplicada por IDC a CISOs, los principales motivadores que definen una estrategia de seguridad TI son: el cumplimiento regulatorio, las vulnerabilidades descubiertas, las noticias sobre ataques difundidos por medios de información, el cumplimiento de las métricas de indicadores de riesgo, y el propósito de coordinar la estrategia de seguridad con la estrategia de negocio.

En esto último coincidió Israel Quiroz, Director General de IQsec, al resaltar que, para ser efectiva, una estrategia de seguridad debe involucrar a la Alta Dirección de la empresa, para que respalde las iniciativas que se propongan realizar. También es importante que los recursos que se destinen para asegurar la información no se consideren como un gasto sino como inversión. “Esta labor debe involucrar tanto a la estrategia, la operación y la táctica para de esta manera asegurar los tres ejes de la seguridad de la información: tecnologías, personas y procesos requeridos”

Quiroz agregó que lo importante es definir cuáles son los riesgos que se aceptan, se mitigan y se administran en una organización. “Esto lo permite saber el análisis de riesgo”.

En efecto, una estrategia de seguridad basada en eventos no es eficaz; en cambio la que se fundamenta en el comportamiento humano, marca la diferencia, como señaló Ramón Salas, Director Regional para México y Centroamérica de Forcepoint. Más aún, dijo que “ésta debe ser una estrategia adaptativa, ya que los ataques son muy novedosos y la seguridad debe adaptarse a estos cambios para ser eficiente”.

Salas compartió datos de la Organización de Estados Americanos (OEA) según los cuales el costo promedio de un incidente de seguridad en México es de un millón 581 mil 641 dólares.

Tomando en cuenta esta realidad, una visión de 360 grados debe ser el fundamento de una estrategia de aseguramiento digital como propone la empresa MTP International en México. “En esta estrategia integral contemplamos un principio amplio, enfocado desde la perspectiva del negocio y que está interrelacionado con aspectos de calidad interna (aplicativos) o experiencias de usuario”, explicó Javier Díaz, CEO de esta compañía. “Un enfoque que no sea holístico, presentará vulnerabilidades y áreas de oportunidad para las amenazas exteriores. La experiencia de usuario, la calidad y la seguridad entrelazadas deben ser consideradas de manera resiliente e integral”.

Más aún, lo importante sería considerar no sólo las tecnologías que están disponibles para quienes tengan el presupuesto suficiente para invertir en seguridad, sino también las habilidades y conocimientos técnicos que tenga el proveedor de seguridad, afirmó Julio Carvalho, Director de Preventa para Seguridad de CA Technologies.

¿Es suficiente la inversión que se hace en seguridad TI?

Las estimaciones de IDC señalan que el 5% del presupuesto destinado a las TI por parte de las organizaciones a nivel mundial se invierte en seguridad.

Por su parte, los últimos datos disponibles proporcionados por Gartner refieren que el gasto mundial en productos y servicios de seguridad de la información crecieron un 7% en 2017 con respecto al año anterior, para alcanzar unos 86,400 millones de dólares.

De acuerdo con esta firma, el incremento se situará en el 7.5% en 2018, lo cual se traducirá en 93,000 millones de dólares

Por áreas, las que están trayendo más inversiones son el testeo de seguridad, y sobre todo el Interactive Application Security Testing (IAST), debido al creciente número de brechas de seguridad que se están produciendo.

Asimismo, según Gartner, las organizaciones a nivel mundial han destinado las partidas presupuestales para ciberseguridad hacia la adaptación de sistemas tradicionales de protección (como la protección del endpoint, firewall, correo seguro, etc.), aunque cada vez emergen con más fuerza las tecnologías de monitoreo, detección y respuesta, ya sean propias o gestionadas.

La situación en México

Pero, ¿qué sucede en nuestro país? ¿La inversión que se está realizando es suficiente para enfrentar los riesgos y aminorar las vulnerabilidades?

“Toda inversión realizada en aminorar riesgos y vulnerabilidades es buena, pero dado que hemos comenzado a considerarlas después de los problemas, siempre los costos son más elevados y su impacto puede percibirse como insuficiente”, aseveró Eduardo Rico, Director de Ventas de Symantec en México.

Agregó que también se deben incorporar a los procesos de seguridad las acciones requeridas para la remediación de los incidentes que puedan ocurrir. “Se necesita revisar y reevaluar el rubro de la inversión de este segmento para asegurar que su efectividad sea mucho mejor y por ende la suficiencia de la misma”, señaló Rico.

¿Hacia dónde se destinará la inversión?

La protección de los datos personales, así como la protección de código, las credenciales privilegiadas y la búsqueda desarrollos seguros serán algunos de los principales focos de la inversión por parte las organizaciones en México respecto a la seguridad TI. Así lo consideró Julio Carvalho, de CA Technologies. “Ahora vemos que un hacker o un defraudador tiene más herramientas disponibles para evaluar si hay vulnerabilidades en el código de una aplicación, por ejemplo. Por eso creo que las empresas comienzan cada vez más a invertir en protección de código, en el desarrollo de éste o en credenciales privilegiadas mediante las cuales se puede tener acceso a sus entornos, tanto internos como externos”.

Obstáculos para adoptar soluciones y estrategias

En referencia a los aspectos comerciales, organizacionales o tecnológicos que pueden dificultar la adopción de estrategias y soluciones integrales de seguridad TI en las organizaciones mexicanas, Julio Carvalho, de CA Technologies, dijo que el principal obtáculo no es el presupuesto asignado a este rubro, sino el conocimiento de las nuevas tecnologías que ya están disponibles.

Y es que en realidad, “nada hay que sea completamente invulnerable”, como refirió Sabas Casas del Río, Vicepresidente para América Latina de S21sec. Por ello, propuso que una organización debe contratar servicios, no productos.

“Algunas empresas proveedoras ofrecen ciertos productos para solucionar aspectos muy específicos. El problema es que éstos son muy sesgados, caros y requieren un tiempo de implementación largo. En cambio, si se adquieren servicios, la cadena de montaje ya está funcionando, porque existen otros clientes que lo utilizan y sólo basta configurar los procesos internos para que en cuestión de semanas se puedan obtener resultados relevantes para el negocio”, manifestó Casas del Río.

Asimismo, Israel Quiroz, de IQsec, destacó que no hay proveedor que pueda dar una solución de 360 grados y necesariamente se tiene que integrar con terceros, pues ninguno puede abarcar todas las áreas para proteger a una organización. “Una labor consultiva permite conocer cómo se puede brindar protección a la empresa de manera única e individual”. Esto, dijo, es semejante al DNA de una persona: “dependiendo del rubro y giro de una organización, requerirá una estrategia de seguridad específica”.

El mayor reto para los CIO en materia de seguridad

Para finalizar, los entrevistados opinaron sobre cuál es el mayor desafío que tiene un CIO en México para alcanzar el nivel de seguridad óptimo en sus organizaciones.

Para Carvalho, de CA Technologies, uno de los desafíos ­–quizá el mayor– consiste en el cambio de mentalidad, ya que la mayoría de los CIO y CSO activos fueron formados en su momento para enfrentar riegos de tecnología en vez de riesgos para el negocio, como se requiere hoy. “Antes los CIO invertían en soluciones de seguridad para proteger los datos de empresa desde una perspectiva exclusivamente tecnológica; en la actualidad, una brecha de seguridad puede sacar a una empresa del mercado por el daño que ocasionaría a su reputación, por eso insisto en que el enfoque debe dirigirse hacia el impacto que producirían este tipo de fallas en el negocio”.

Ramón Salas, de Forcepoint, hizo referencia al concepto Shadow IT, que engloba todo aquello que un área de TI no tiene ya bajo su control, como las aplicaciones que están en la nube (ver artículo en la página 32). “Ante tal escenario, la seguridad debe dar un vuelco completo para crear una manera diferente que proteja el entorno que el CIO tiene bajo su cargo”.

Desde la perspectiva de Renato Ohno, Country Manager de Furukawa Electric México, los directivos de TI se distinguen por su visión estratégica hacia los próximos dos años o más, porque deben vislumbrar el crecimiento de su organización. “Su desafío consiste en cómo colaborar y qué hacer para que la empresa o institución sea más rentable, brinde mejores servicios y capacidades, disminuya costos y sobre todo, entienda el core de su negocio”.

Otro de los retos es que el CIO trabaje en una especie de “ósmosis clara y progresiva” entre lo que es el área de Seguridad y las áreas de Desarrollo, aseveró Javier Díaz, de MTP International. “Su mayor tarea consiste en vincular a su equipo y en general a toda la organización en el desafío que implica la seguridad misma”.

Por su parte, Eduardo Rico, de Symantec, afirmó que el principal reto que enfrentan los directivos de TI hoy en día es el que se deje de considerar la infraestructura informática como un agregado del negocio y no como algo crítico y sustantivo para el desarrollo del mismo.

El segundo reto es que el CIO o CISO tenga la capacidad de poder conversar con los demás ejecutivos del negocio sobre la incorporación de sistemas y seguridad, y su afectación concreta en el usuario final, el cual debe ser reconocido como el actor clave y para quien se deben adecuar los procesos correspondientes. “Mientras no lo hagamos de esta forma, seguirá considerándose al área de TI y al CIO como un mal necesario y un centro muy elevado de costos”, aseveró el directivo.

-Por José Luis Becerra Pozas, CIO México

____________________

¹ Ver artículo en CIO México número 199, septiembre-octubre, 2017.

Guía esencial para un CISO

La firma de análisis y consultoría IDC, distingue cuatro conceptos que debe tener en cuenta un CSO o CISO para el desempeño de sus funciones:

1. El rol del CISO: Su papel consiste en alinear las inversiones de seguridad de TI con el “apetito de riesgo” que tiene la organización.
2. “¿Estamos seguros?”: Es necesario que el CSO explique tanto al CEO y a los demás CxO de su organización que se trata de administrar riesgos y no de garantizar la seguridad, pues nadie está totalmente seguro.
3. Tercerizar: La seguridad TI es una labor compleja y sólo las organizaciones más grandes pueden administrar internamente la totalidad de la misma. Otras deberían optar por la tecerización.
4. Cooperación: Es importante que el CISO no olvide compartir información y prácticas con proveedores, agencias reguladoras e incluso clientes para contar con una estrategia de seguridad robusta.