La seguridad es un tema siempre presente en las agendas de los CIO, sin importar el giro al que se dediquen, debido a que el mundo digital de hoy abre oportunidades para nuevos negocios. Sin embargo, esta apertura puede también propiciar ataques o fugas de información.
Es por ello que CIO México, en conjunto de Symantec, Asha Solutions y VMware, realizaron la mesa redonda “Integración de soluciones para su estrategia de seguridad”, en la cual se expuso la necesidad de incluir una visión integral que contribuya a contrarrestar los ciberataques ante un mundo cada vez más conectado y móvil.
De acuerdo con Sébastien Chaussée, Director de Operaciones de ASHA Solution, una de las áreas más comunes en donde se perpetran los ataques cibernéticos sigue siendo el correo electrónico, pues a pesar de que se hay una mayor información respecto a los ataques como el spam o el phishing, estos cada vez son más sofisticados y siguen siendo la principal fuente para la fuga de información.
En concreto, según datos proporcionados por Asha, se estima que 90% de los ataques llegan a través de email, un 55% de los grandes corporativos fueron afectados por Spear Phishing, y un 12% de los usuarios hacen clic en enlaces que no son de confianza. Estadísticas similares indican que cada 4 segundos un malware desconocido es descargado, y que 78% de los sitios legítimos pueden ser utilizados para entregar algún malware.
Retos de ciberseguridad para Finanzas y Retail
En opinión de Chaussée, uno de los sectores con mayor cantidad de ataques registrado año con año es el financiero, ya que, según la Organización de Estados Americanos (OEA), durante el último año, 9 de cada 10 entidades bancarias de Latinoamérica fueron víctimas de ataques cibernéticos. Es por ello que esta mesa reunió a representantes de bancos y retailers para debatir acerca de los principales retos de seguridad que enfrentan día con día.
Lidia Sarmiento, Information Technology Project Manager de Citibanamex, manifestó que para hacer frente a los ciberberataques se requiere una estrategia adecuada, por lo que mantener siempre la información más crítica a salvo es un desafío habitual para esta institución. Es por ello que renueva continuamente sus estrategias de protección a fin de detectarlos y frenarlos antes de que logren sus objetivos.
Por su parte, Héctor Suverza, CISO de Shinhan Bank de México, comentó que en los tres años que tiene esta institución coreana en nuestro país, aún no han sufrido de ataques, debido principalmente a que cuentan con una red totalmente privada y controlada. Sin embargo, no son ajenos a las tendencias del mercado, por lo que están mirando hacia la banca electrónica teniendo siempre los modelos de seguridad en mente, lo cual representaría un reto totalmente diferente para la sede en México.
Otro de los participantes en este encuentro, Brian Rodríguez, Director General de Contraloría y Administración de Riesgos del Banco de México (Banxico), dijo que han probado una serie de estrategias de seguridad y protección de datos, intentando siempre estar a la vanguardia, por lo que sus esfuerzos hoy en día se enfocan al control de la Dark Web. “Ya la hemos explorado pero a un nivel muy básico; queremos entenderla y expandirla”, comentó.
En su oportunidad, Erika Mata Sánchez, CISO de BBVA Bancomer, expuso que su área ha desarrollado herramientas y estrategias en forma local que incluso se han exportado a filiales de BBVA en otros países. Agregó que hoy se encuentran explorando tecnologías Agile, lo que les ha representado un fuerte reto, obligándolos a reforzar no sólo su marco de seguridad, sino su cultura de prevención. “El reciente caso de SPEI nos mostró muchas lecciones básicas de seguridad, ya que fueron éstas precisamente las que fallaron. A veces invertimos mucho en tecnología, pero dejamos a la gente de lado y es ahí donde debemos enfocarnos”, comentó.
El panorama para las empresas de retail no es muy diferente, debido a la cantidad de información de usuários y de datos bancarios que manejan, y los procesos de digitalización que deben asegurar. Al respecto, Miguel Camacho, Gerente de Inteligencia de Negocios de TI en El Palacio de Hierro, comentó que ellos en parte también funcionan como un banco, ya que cuentan con la tarjeta de crédito Palacio. Sin embargo, su principal reto tiene que ver con habilitar la movilidad. “Sabemos que el usuario de hoy es móvil, y que quieren tener su tienda en la palma de la mano”, comentó Camacho.
Arturo de la O Reyes, Gerente de Telecomunicaciones de Waldo’s, afirmó que están trabajando en su proceso de Transformación Digital, por lo que su principal reto en referencia a la seguridad tiene que ver con el control y manejo de información, ya que están migrando sus datos y aplicaciones a la nube. “Tenemos todo bajo SaaS (Software como Servicio), por lo que la mayoría de los aspectos de seguridad son cuestiones de los proveedores, pero los datos y control de flujos de información es totalmente nuestra responsabilidad, por lo que debemos asegurar la integridad de aquello que estamos subiendo”, explicó.
Importancia de la seguridad en el Core del Negocio
Para Alejandra Pineda, Directora de la práctica GRC (Gobierno, Riesgo y Cumplimiento), no se trata de delegar a la compañía de outsourcing la seguridad de los datos, sino que es una responsabilidad compartida. “No debería haber proyecto en la empresa sin considerar desde cero la seguridad y el cumplimiento regulatorio”, aseguró.
De igual manera Pineda destacó la importancia de la “cultura de protección” entre usuarios, ya que ésta suele ser la principal puerta de fuga de datos. “Así como hay controles tecnológicos, controles físicos y administrativos, las compañías deben poner más atención en los usuarios, pues ellos suelen ser el eslabón más débil. Recordemos que un proyecto, sea de seguridad o de cualquier otro ámbito, debe abarcar tecnología, procesos y personas”, comentó.
Tradicionalmente la seguridad vivía en el área de tecnología, sin embargo, para alcanzar un óptimo nivel de madurez y control se debe compartir la labor, al menos así lo aseveró Erika Mata, de BBVA Bancomer. “Seguridad es un tema de negocio. Si bien el core siempre tiene que ver con impulsar estrategias de Transformación Digital para aumentar ventas o clientes, el segundo paso es seguridad. Se debe pensar en cómo hacer negocio, pero también considerar cómo mantener la seguridad en cada proceso; por ello que es muy acertado decir que la seguridad es un trabajo en conjunto”, agregó.
Waldo’s ya lo está aplicando de esee modo, puesto que la seguridad es uno de los aspectos que toman en cuenta desde el inicio de cualquier proyecto de TI. Así es como están trazando el camino hacia la Transformación Digital. “Nos encontramos en un punto de análisis de vulnerabilidades (para determinar) qué es lo que debemos hacer, cómo manejamos los datos bancarios de clientes, etcétera. Estamos en un proceso de certificación de seguridad y protección de datos para poder dar el paso hacia el e-commerce”, comentó De la O.
Lidia Sarmiento, de Citibanamex, también resaltó la importancia de las certificaciones para la protección de datos y seguridad que ayuden a respaldar cualquier proyecto, así como impulsar el core del negocio. Es por ello que este banco trabaja constantemente en estar en línea con las regulaciones tanto nacionales como internacionales para reducir al máximo los riesgos de fuga de información, y otros aspectos de seguridad claves para banca, como es el lavado de dinero.
Por su parte, El Palacio de Hierro tiene una serie de proyectos digitales como e-commerce, líneas de crédito y movilidad donde el reto es correlacionar todas estas iniciativas. “El Palacio tiene un 85% de su información en la nube, básicamente quedando sólo fuera las líneas de crédito para proteger la información de clientes. La nube nos ha permitido avanzar más rápido, tanto en disponibilidad como en storage, ya que podemos guardar más información. Incluso hemos digitalizado aquello que teníamos en papel”, señaló Camacho.
Movilidad ¿sí o no?
Según el consenso de los integrantes a este mesa redonda, el mundo de hoy es móvil, y por ello tanto clientes como trabajadores exigen herramientas a las que puedan tener acceso desde la pantalla de su celular, tableta o laptop. Es por ello que las empresas deben esforzarse en ofrecer estas capacidades, sin arriesgar la seguridad.
“Estamos trabajando en desarrollar una aplicación móvil, sin embargo, aún tenemos clientes que visitan nuestra tienda para comprar, solicitan atención telefónica o ventas con asesoría por teléfono. De hecho, nuestros más grandes tickets son de este sector. Para nosotros es muy importante manejar la mejor atención para todas las generaciones: tanto el millenial que exige apps y comercio online, como los adultos mayores que quieren seguir comprando en línea con la ayuda de un asesor”, afirmó Camacho, de El Palacio de Hierro.
Por su parte, Alejandra Pineda resaltó la importancia de sumarse no sólo a la tendencia de movilidad, sino a la digitalización en general y adoptar tecnologías disruptivas, así como no frenar ni hacerse ajeno a este tipo de avances por miedo a la fuga de datos y ataques. “Recordemos que algunas grandes empresas han quebrado por no adoptar tecnología, o por no subirse al tren de innovación a tiempo. Si tu cliente hoy te exige movilidad y comercio electrónico, debes dárselo para no perder competitividad”, comentó.
En Banxico están llevando a cabo la movilidad a través de BYOD (Bring Your Own Device), empezando con correo y herramientas colaborativas de acceso autorizado 24/7, aseguró Rodríguez. “Esperamos que pronto se expanda, ya que la seguridad es un tema primordial para la institución”.
Para ayudar a las empresas a mantener sus datos seguros sin importar dónde se encuentren, Asha integra las soluciones de seguridad Symantec End Protection (SEP) Mobile y la solución de movilidad de VMware Airwatch, protegiendo la información en tres etapas: sistematización de la clasificación de la información, protección del centro de datos, nube y aplicaciones, y el control de compliance.
“Protegemos los flujos de información desde los celulares hasta el centro de datos y la nube, automatizamos el establecimiento de políticas con el análisis continuo de vulnerabilidades, y priorizamos las respuestas por niveles de riesgo”, finalizó Alejandro Zermeño, especialista en Seguridad e Ingeniero Senior de Symantec México.
-Por Karina Rodríguez, Computerworld México.