CIO México, en colaboración con Symantec y Asha Solutions, llevaron a cabo la mesa redonda “Cumpla con las nuevas regulaciones planificando su Ciberseguridad”, donde se expusieron los riesgos a los que las empresas mexicanas de diferentes verticales se están enfrentando, y su necesidad de incluir una visión integral basada en flujos de negocio, protegiendo la información sin importar su ubicación, desde dispositivos móviles hasta el centro de datos y la nube.
Según datos reportados por Symantec, en 2018 un 87% de las empresas declararon haber sufrido un incidente de seguridad en su información, en algunas ocasiones más de una vez, siendo un mercado cada vez más rentable para los cibercriminales dentro del mercado negro, incluso por arriba del negocio de las drogas. En concreto, se estima que el mercado de la cocaína tiene un costo promedio de 85 billones anuales, frente a los 400 billones que representa el mercado del cibercrimen a nivel global.
“La seguridad y privacidad de los datos no se trata de un tema a tratar esporádicamente, sino de un tema que debe estar siempre en la agenda de los CIO de manera constante y permanente, estableciendo políticas obligatorias no sólo para empleados, sino para colaboradores, que sepan los riesgos y las consecuencias de una brecha para mantener el entorno asegurado”, comentó Karel Cuevas Hernández, CIO de Ventura Entertainment La Feria.
El periódico ‘El Universal’ tiene un alto tráfico en medios de información, lo que lo hace un constante blanco de ataques, con fines lucrativos o sólo para desinformar. Juan Carlos Ortíz de Montellano, CIO y CTO de “El Universal”, aseguró que ante este panorama, su obligación es estar en constante búsqueda de mejorar sus sistemas de seguridad. “Siempre estamos en busca de opciones que nos permita cerrar cualquier posible brecha, abordando cada aspecto de tecnología, procesos y personas, cumpliendo con sus respectivas normas”, comentó.
Por su parte, Juan Carlos Aldana Ayala, IT Services, Security and Networking Chief de Conservas La Costeña, dijo que actualmente se encuentran en camino de habilitar la movilidad en la empresa, por lo que la protección del dato ha cobrado un mayor interés. “Para nuestra compañía lo más importante es habilitar la movilidad en la parte de venta. Estamos conscientes de que al abrir la movilidad a esta área estamos abriendo nuestra superficie de ataque, por lo que estamos explorando los mejores métodos para subsanar esta problemática y mantener segura la información y el flujo de datos personales”, comentó.
Regulaciones y usuarios, un reto constante
Si bien, los desafíos que enfrentan las empresas en México son variados, la mayoría de los asistentes concordaron en dos principales: los usuarios y mantener la innovación en línea con las normas locales, especialmente para aquellas empresas de origen extranjero que tienen que adecuar sistemas a regulaciones establecidas en nuestro país.
Sodimac es un ejemplo, la empresa de origen chileno está incursionando en el mercado mexicano, por lo que uno de sus principales retos ha sido precisamente adaptarse a las normas y políticas locales. “Estamos adaptando todas las políticas y normalidades que tenemos en Chile pero dándole el sabor mexicano, no sólo en leyes sino en prepararse ante las amenazas, ya que éstas también cambian por regiones”, aseguró José Luis Calderón, subdirector de Seguridad y Sistemas de Sodimac, agregando que están adaptando los compliance de manera cautelosa para que éstas no afecten la agilidad ni el core del negocio.
Otro de los casos fue la empresa japonesa Tokio Marine Cía. de Seguros, para la cual es muy importante la imagen que les dan a los clientes, por lo que es esencial no arriesgar sus datos. “A través del grupo global de TI compartimos mejores prácticas de manera mensual enfocado a vulnerabilidades que pueden afectar todos nuestros sistemas, bajo un marco regulatorio global y local”, comentó José C. Arriaga Murcia, CIO & BPM de Tokio Marine Cía. de Seguros.
Isami Romero, vice president Information Security Officer del Bank of America Merrill Lynch, aseguró que actualmente están atravesando por dos importantes retos: acoplarse a las normas locales para todo lo relacionado a seguridad de la información; y la colaboración para poder tener acceso a información valiosa. “Los bancos debemos de compartir información no sólo de vulnerabilidades sino de aspectos que nos afectan solamente a los bancos, por ejemplo SPEI, donde sólo México cuenta con él; los retos, las regulaciones, entre otros temas”, comentó.
Sin embargo, otro de los fuertes desafíos que van más allá de la tecnología o las regulaciones, tienen que ver con la cultura de ciberseguridad y privacidad del dato por parte de los usuarios.
Grupo Financiero Multiva (Casa de Bolsa) tuvo la presencia de su CISO, Gabriel Mendoza Carmona, quien destacó que el reto más grande para la institución consistía en mantenerse siempre al día de las exigencias de las normas regulatorias, así como reforzar la cultura de seguridad en sus usuarios. “Nos dimos cuenta que contábamos con normas y políticas que no eran suficientes para atender un sistema extendido donde necesitamos siempre estar alerta, comunicarnos mejor y alinear las políticas a la estrategia del gobierno e instituciones financieras, mejorando las prácticas para minimizar el riesgo y poder reaccionar mejor ante un incidente y las interacciones entre personas, dispositivos y procesos”, comentó el CISO.
The Royal Bank of Scotland Mexico Accendo Banco tuvo la presencia de su CIO, Raúl Ramírez García; y de su Country Security Officer, Julio Castañeda. Este banco ha nacido totalmente digital, nunca ha tenido sucursales, por lo que los retos de seguridad también nacieron con ellos. “Siempre hemos tenido mucha exposición pero hoy en día el reto ha sido mayor al lanzar productos electrónicos para personas físicas, por lo que tenemos que asegurarnos de entregar una plataforma solida para nuestros usuarios, diseñado y acoplado a seguridad desde la raíz”, comentó Julio Castañeda.
Por su parte, Raúl Ramírez agregó que las preocupaciones por las que atraviesa RBS Investa Bank Accendo Banco, se centra no sólo en los posibles errores humanos, sino en lo vulnerables a ataques intencionales o fraudes de empleados o colaboradores. “Nuestro banco siempre está al pendiente de cualquier cambio en sistemas o comportamientos. Siempre estamos al pendiente de nuevos métodos para mejorar nuestra seguridad, ya que tenemos que avanzar al mismo ritmo que lo hacen los atacantes”, comentó Raúl Ramírez García, CIO del banco.
Cibergestión México fue otra de las empresas que tuvo la asistencia de dos miembros de TI, Javier Briseño y Pedro Gómez Salgado, CIO y CISO, respectivamente. Para esta compañía el principal reto también se encuentra en el riesgo que representa el usuario. “Debemos de reforzar la delicadeza que se le da a cada paso de la información, sobre todo al ser proveedores de banca”, comentó Pedro Gómez.
Por su parte, el CIO agregó que su reto consiste principalmente en mantenerse activo y competitivo, sin sacrificar la seguridad que conlleva la digitalización. “Tener un CISO no nos hace dejar la seguridad de lado. Hemos avanzado en la concientización y hemos tenido resultados visibles en consultorías que involucran tecnología a lo largo del negocio, ahora el reto será hacerlo aún con mayor agilidad, haciendo alianzas adecuadas”, aseveró.
Para Miguel Cachón de la Riva, director de Riesgo Tecnológico y Ciber de Santander, el principal reto consiste en impulsar la cultura de riesgos y el valor de los datos a usuarios con privilegios de acceso a la información. “No sólo se trata de impulsar la ciberseguridad, sino de evitar la fuga por mal uso de la información, es decir, muchas veces la información no es un riesgo de tecnología, sino un riesgo de negocio por mal uso de las personas que tienen acceso a información sensible. Esta es la parte en la que más estamos trabajando, llevando consciencia y responsables de los datos que tienen acceso”, comentó.
Para Aeromexico, el principal desafío se encuentra en ofrecer una mejor experiencia al cliente sin que se vea vulnerada la seguridad. “Es primordial ofrecer una experiencia enriquecedora a los clientes, donde la seguridad también se tiene que ver reflejado en nuestras propuestas. Hoy en día ofrecemos contenido de entretenimiento a bordo, lo cual tenemos que mantener siempre con cautela porque así como ofrece grandes comodidades a nuestros pasajeros, sabemos que también es una posible fuga de información”, comentó Adriana Meza Méndez, gerente de Seguridad y Gobierno de TI de Aeroméxico.
¿Cómo prepararse para reducir el riesgo?
Es por ello que Symantec nos comparte cuatro etapas que todas las empresas deben considerar dentro de sus estrategias de ciberseguridad para reducir el riesgo y fuga de información desde la preparación hasta la respuesta.
1 – Preparar. Lo primordial es entender la importancia de los datos personales y la postura que tienen éstos de riesgo. Deben descubrir el valor de sus datos y evaluar el impacto de la privacidad, la postura de riesgo y remediación, incluso de aquellos datos que se encuentran en constante movimiento a través de dispositivos o en la nube.
2. Proteger. Prroteja los datos personales ante un posible ataque o mal uso de éstos. Debe estar consciente que tarde o temprano puede existir una brecha, por lo que debe estar preparado y contar siempre con medidas de protección y gobierno de la información, protección contra amenazas, y cifrado tokenización de datos.
3. Detectar. Prepárese para proporcionar detección rápida y oportuna. Esto puede lograrlo gracias al monitoreo e inteligencia de amenazas, además de experiencia cibernética, logrando detectar no sólo comportamiento inusuales en sistemas que están tratando de ser vulnerados por terceros, también en usuarios que cometen errores intencionales o no intencionales, detectando además, amenazas persistentes.
4. Responder. En caso de que un ataque llegue a efectuarse, aprenda a responder de manera eficiente y efectiva, mitigando el riesgo y el impacto de la violación. Cuente con estrategias de manejo de crisis y respuesta a incidentes, cyberinsurace y analisis forence. Realice pruebas constantes para asegurar su efectividad en caso de requerirse.
“Symantec puede soportar una estrategia basada en estas cuatro etapas. Hay diferentes vectores y rubros que necesitamos identificar y para cada una de ellas hay una tecnología que nos podría ayudar, mejorándose para enfrentar un mundo digital cada vez más retador, con más dispositivos y más información”, comentó Fidel García, ingeniero senior de Symantec México.
Para cubrir estas etapas, la marca presentó a inicios de año la plataforma Symantec Integrated Cyber Defense (ICD) controlando todos los puntos de acceso: endpoints, redes, email, y nube; basándose en funciones core como protección contra amenazas, protección de información, y aplicación de gobernanza. Esta protección se logra gracias al sistema de inteligencia de amenazas, Security Operations Services y ecosistemas abiertos.
“Con nuestro socio de negocio, Asha, estamos trabajando muy fuerte en la homogenización de soluciones, no sólo de Symantec sino de terceros, para lograr una mayor protección de la información que conjunte tecnología y normas, ofreciendo lo mejor en seguridad para las empresas”, agregó Fidel García.
¿Cómo Asha potencia dicho enfoque en su estrategia de seguridad?
Asha Solutions ofrece seguridad para las empresas de punta a punta, agregando a Symantec en su estrategia completa basada en integración de soluciones, procesos de seguridad, y gobierno de seguridad.
“Antes el perímetro era el centro de datos pero ya las empresas migraron a la nube. Por eso nos encargamos de proteger todo el flujo de la información, desde data center hasta nube; desde el celular hasta la nube, también. Por eso en Asha Solutions recomendamos realizar un análisis continuo de vulnerabilidades y priorización por niveles de riesgo. Existen muchas integraciones que hacer para proteger estos flujos y Asha las tiene todas”, comentó Sébastien Chaussée, director de Operaciones de Asha Solution.
El programa “De la mano con Asha” ofrece servicio de soporte especializado con visitas mensuales de consultores especializados en operación de NOC/SOC/CERT; además de otros servicios de asesoría de seguridad, recomendaciones de políticas y mejora continua. Todo bajo una estrategia alineada a los marcos de referencia ISO, NIST, COBIT, ITIL y PCI.
Asha, de la mano de Symantec, ofrecen un análisis de vulnerabilidades continuo, logrando obtener una movilidad segura, protegiendo el dato sin importar por qué vía se mueva o dónde se almacene, protegiendo activos físicos, virtuales e híbridos, teniendo siempre en cuenta políticas y gobernanza.
“La protección va desde los celulares hasta el centro de datos y la nube. Existen muchos tipos de soluciones pero depende también de la operación y necesidades de los negocios el crear una estrategia adecuada no sólo en tecnología, sino en normas que deben cumplir, por eso Asha siempre piensa en todos los aspectos para proteger el dato”, finalizó Sébastien Chaussée.
-Karina Rodríguez, editora de Computerworld México.