La ciberseguridad es un tema que se encuentra siempre en la mente de los CIO. Sin importar en qué nivel de digitalización estén, siempre tendrán que considerar a la seguridad dentro de sus planes. Es por ello que CIO México, en colaboración con Symantec y Grupo Tecno, llevaron a cabo la mesa redonda “Principales problemáticas del CISO”, donde los asistentes pudieron debatir sobre los principales retos que enfrenta el Director de Seguridad de la Información ante esta economía digital.
Falta cultura de ciberseguridad
Ransomware, phishing, DDoS, entre otro gran etcétera. Si bien los retos a los que se enfrentan los Chief Information Security Officer (CISO) a nivel global suelen tener gran similitud, existen ciertos desafíos específicos que expusieron los asistentes a esta mesa redonda, donde se destacó la importancia de crear una cultura de ciberseguridad y hacer entender a los altos mandos de la importancia de la misma.
En el Instituto Nacional para la Evaluación de la Educación (INEE), por ejemplo, se realiza un constante análisis de vulnerabilidades con el fin de identificar cuál es su postura en el ámbito de la ciberseguridad. Con base en ello, se han concentrado en atacar lo más crítico. “Hemos atendido cuestiones de normas como la ISO 27001, por mencionar una, para que toda la organización esté inmiscuida en el tema de ciberseguridad, no sólo el área de informática”, aseguró Enrique Verduzco, Director General de Informática y Servicios del INEE.
El principal reto para el INEE ha sido formar conciencia al interior del Instituto sobre la importancia que tienen desde los aspectos más básicos de seguridad.
Algo similar ocurre en la empresa de servicio de montacargas Momatt, ya que si bien el foco de seguridad antes era el Endpoint, con el paso de los años esto ha pasado a segundo término, debido a que la digitalización prácticamente ha eliminado al Endpoint.
“La empresa tuvo que cambiar su visión de lo que significa seguridad, no sólo en materia de tecnología, sino en concientización de la gente, ya que éste suele ser un punto muy débil, el eslabón más frágil de la cadena”, comentó Roberto Calderón, Gerente de Tecnologías de la Información de Momatt.
Por su parte, Marco Antonio Gómez, Gerente Corporativo de Sistemas y TI de ICEE de México, es otro convencido de que aquéllo es primordial, ya que muchas veces aunque se pongan políticas de protección y barreras tecnológicas, el humano siempre busca el modo de romperlas, vulnerando la estabilidad de protección de la compañía. “Tenemos muchas tecnologías de protección de la información, firewalls, bloqueos de sitios, entre un gran etcétera, pero, lo que más nos ha funcionado es otorgar permisos de accesos, para que cada departamento sólo pueda acceder a lo que debe”.
En cuanto a ayudar a la concientización de los empleados en materia de protección y seguridad, en ICEE se realizan seminarios mensualmente para toda la compañía. “Si mantenemos una constante concientización del personal y los involucramos en los procesos de seguridad, ellos empiezan a estar más atentos a los correos maliciosos y otros ataques que puedan detectar más fácilmente, e incluso pueden alertar a terceros”, explicó Gómez.
Para el Grupo Avante Textil, al ampliar su negocio a diferentes productos, el reto se vuelve aún mayor. Esta empresa, que antes sólo se dedicaba a la manufactura de telas, hoy ha incursionando en la construcción y la hotelería. “Estamos hablando de muchos ámbitos con intereses distintos, por lo tanto tenemos diferentes riesgos que cubrir”, comentó Mauricio Amaro, Gerente Corporativo de Sistemas.
Dijo que antes el grupo sólo realizaba pruebas de vulnerabilidad donde se parchaba la brecha. Sin embargo, año con año se dieron cuenta de que eran más atacados, por ello se decidió cambiar la estrategia para otorgar seguridad integral.
“Es cierto, los usuarios son el punto más débil y a su vez, es el que más cuesta proteger. Es por ello que empezamos a hacer un plan de acción: fortalecimos toda la parte perimetral, creamos una parte de monitoreo de la red y un firewall, entre otras estrategias, para fortalecer este punto débil. Ahora estamos buscando la forma de optimizar el comportamiento”, comentó Amaro.
Aeromexico Cargo está apuntando hacia tecnologías más disruptivas, al implementar una plataforma de seguridad total basada en algoritmos de inteligencia artificial, que involucra al personal de la compañía. La herramienta –que inició con el propósito de prevenir accidentes, personas y equipajes alterados– ha resultado ser una excelente arma contra atacantes.
“Ha sido una herramienta muy efectiva, nos ha ahorrado muchos problemas, sobretodo porque estamos hablando de una industria muy sensible donde un descuido puede costar la vida de mucha gente y hemos descubierto que la IA es tan basta que es un buen aliado para la seguridad”, afirmó Oscar Mario García, IT Manager de Aeroméxico Cargo.
En Quierocasa (Side House), también han decidido apoyarse de la Inteligencia Artificial para fortalecer sus estrategias de seguridad, especialmente para la detección de amenazas. “El nivel de análisis e inteligencia que estamos introduciend en la empresa es impresionante”, comentó su CIO, Mateo Turanzas. Sin embargo, afirmó que no sólo se trata de mejorar la tecnología, sino de mejorar la cultura de ciberseguridad en empleados.
“Puedes poner dos PIN de acceso, pero si el usuario no está consciente de los riesgos de vulnerar estas barreras, no tiene sentido. No se trata sólo de implementar una solución de seguridad en particular; se trata de crear toda una estrategia de protección en toda la organización”, agregó.
Grupo Biossmann (antes Medicus), dedicado al abastecimiento de insumos, materiales de curación, fármacos y tecnología para quirófanos, atraviesa por un proceso de transformación digital. Su principal reto de seguridad está en los dispositivos móviles de los empleados, que les permiten llevar información valiosa “en la palma de la mano”. Al respecto, Miguel Hernández, Gerente Corporativo TI del Grupo, afirmó que una de las estrategias de prevención que más ha implementado es la creación de respaldos continuos. “Hacemos respaldo de todo: base de datos, aplicaciones, a veces hasta tres veces al día, para así, en caso de ataque, poder tener un punto seguro de retorno”, aseveró.
Millennials, un nuevo reto
Los asistentes a la mesa redonda coincidieron que en el ámbito de la ciberseguridad y la protección de datos, las nuevas generaciones, como los millennials, constituyen otro desafío, ya que si bien ellos siempre buscan sistemas y redes abiertas, más tecnología, movilidad y trabajos flexibles, abrir la empresa significa también abrir el perímetro de protección. Además, es muy difícil hacerles entender los riesgos a los que están expuestos.
“Se estima que del total de ataques que recibe una organización, un 60% de ellos llega por medio del correo electrónico, muchos de los ataques de ransomware, phishing y ataques dirigidos llegan por este medio, por ello es muy importante capacitar a los empleados y usuarios a identificar un ataque”, comentó Juan Ávila, director de canales de Symantec México.
Al respecto, Mateo Turanzas, de SideHouse, dijo que “los millennials quieren tener todo abierto, y es parte de lo que permite atraer y retener talento. Sin embargo, el tema de tener todas las herramientas abiertas también nos está dando dolores de cabeza”.
Por su parte, Enrique Alfaro, CIO de la Fundación contra el Cáncer de Mama (FUCAM), puso manos a la obra para demostrarles a los millennials, y a esta asociación civil en general, que los ataques no son un mito. Se realizó un experimento de simulación de phishing por correo electrónico, creando un sitio bastante similar al oficial del FUCAM, donde se solicitaba una ‘actualización de datos’. La mayoría de los empleados cayó en el engaño. Fue así como Alfaro logró demostrarles lo fácil que era vulnerarlos.
“Estamos en un proceso muy avanzado de digitalización, por lo que cada vez más tengo que abrir mi información, pero también debemos mantener protegido al ambiente y crear prácticas reales de concientización”, aseveró.
Sin duda uno de los sectores que más ataques recibe es el financiero, desde su infraestructura hasta ataques a cajeros automáticos o ambientes digitales, por lo que suelen ser las instituciones con mayor rigor en materia ciberseguridad.
A este respecto, “estamos empujando una iniciativa a nivel de ley para todo lo que tiene que ver con el civismo tecnológico, porque creemos que la parte de formación y educación de las personas es fundamental. Ellos son el primer contacto en el combate contra los ataques”, comentó Román Leyva, IT Director de Seproban (Seguridad y Protección Bancarias).
“Aún en México, y no sólo a nivel financiero sino en términos generales, no existen suficientes CISOs para cubrir la demanda. Aún se siguen controlando desde el área de TI, no desde un área específica de seguridad. El tema de seguridad va más allá de poner un software; hay que apostar por un ‘todo’, es decir, tecnología y personas”, aseguró, Leyva.
Arturo Rivera, Subdirector de Servicios al Cliente de Citibanamex, secundó lo anterior al asegurar que “muchas veces, aunque tengamos la mejor tecnología, por cualquier error humano puede venirse abajo la seguridad, y no sólo hablamos de falta de cultura, sino de errores como una mala configuración o el exceso de confianza. La seguridad no es un activo tecnológico, es una inteligencia de negocios que abarca procesos y personas”, afirmó.
Para el sector de seguros, desde la visión de José Arriaga, CIO de Tokio Marine, se necesita mezclar un marco operativo con uno tecnológico para mejorar la seguridad.
“Nosotros elaboramos un mapa tecnológico para garantizar que ninguna app esté expuesta, y creamos políticas desde desarrollo, para que desde que se planee algo nuevo, se haga teniendo a la seguridad como base. Tenemos todo esto muy controlado”, aseveró.
Cinco pasos para establecer una ciberestrategia eficaz
Según Symantec, existen cinco requerimentos básicos para asegurar este nuevo mundo digital al que se estén enfrentando las compañías.
El primero de ellos tiene que ver con la unificación de la seguridad en ambientes de nube y oficinas, que sea capaz de proteger todos los equipos con un solo agente, desde equipos de oficina, hasta dispositivos móviles e IoT. El segundo consiste en utilizar no sólo la Inteligencia Artificial sino la humana para poder estar un paso adelante de los cibercriminales, haciendo una perfecta mancuerna entre humano y las máquinas.
El tercero es prepararse ante los ataques multicapa, multivector y cifrados. El cuarto requerimiento tiene que ver con cuidar y monitorear el tráfico de la red para detectar anomalías, establecer controles necesarios y crear hábitos de inspección profunda, y asegurar todas las aplicaciones como si fueran suyas (IaaS, PaaS, SaaS). Por último, la compañía recomienda utilizar una solución de seguridad integrada y personalizada por diseño con base a lo existente, lo nuevo y lo futuro.
“Contamos con un portafolio muy interesante para hacer frente a las amenazas de hoy en día, tanto a nivel de tecnología como a nivel de educación, para dar toda la instrucción, incluso ayudando a hacer pruebas para los usuarios”, comentó Sergio Navarro, responsable de ciberseguridad en Grupo Tecno.
Por Karina Rodríguez, Computerworld México
