¿Qué tan segura es su empresa? ¿Está realizando las acciones necesarias para mantener protegida su información e infraestructura contra las amenazas internas y externas? ¿Ha establecido políticas corporativas para el manejo de dispositivos y equipo de la compañía? ¿Tiene una relación de confianza con clientes y proveedores? Éstas y otras preguntas se plantearon y respondieron durante el CSO Executive Seminar, Seguridad de 360°, que la revista CIO México llevó a cabo el 13 de noviembre pasado, con el apoyo de ESET, CA México, IDC y ALAPSI.
Con una asistencia cercana al centenar de profesionales de TI, este seminario demostró que la seguridad sigue siendo un tema relevante en su agenda, y están llevando a cabo acciones para brindar protección de 360°.
Los desafíos que los CIOs enfrentan en su día a día no son pocos. A decir de Ignacio Sbampato, vicepresidente para Latinoamérica de ESET, hoy existen diferentes desafíos detonado por aspectos como el entorno, la organización misma, las tecnologías, la legislación, la economía, los empleados y la evolución del negocio, los cuales pueden reducir la visibilidad de los aspectos más relevantes.
Y habló de realidades que deben asumirse como el hecho de que el perímetro ya no existe. “Hoy ya no existe, se acabó; es difuso y no lo es todo”, afirmó. De igual modo, el endpoint no se sabe dónde está realmente; y no existe la seguridad ni la administración al 100%; tampoco el ROI es fácil de demostrar, además de que existen nuevas tecnologías que no contemplan la seguridad o la auditoría, agregó.
Recomendó que la seguridad debe ser transversal a todo el negocio, y no perder de vista las amenazas de ayer que están regresando para sorprender a las organizaciones. Por otro lado, sugirió volver a analizar las estrategias actuales teniendo en cuenta las nuevas perspectivas, además de elegir lo mejor y no lo mas fácil de implementar o administrar.
Una de las mayores tendencias tecnológicas es, sin duda, la virtualización. Si bien representa ventajas sustanciales en administración de TI y en ahorros de energía, espacio y recursos, también puede representar un desafío desde el punto de vista de seguridad.
“Sabemos aplicar la seguridad en una red física, pero ¿y en los ambientes virtuales?” Esta pregunta fue lanzada por Samuel Daciga, Consultor Senior de CA México. La virtualización, continúo, debe cumplir el requisito de mitigar los riesgos – “Para asegurar el cumplimiento de normatividades necesitamos un esquema de seguridad consistente, políticas de cambios de configuración y proteger activos tanto físicos como virtuales”.
Entre las soluciones planteadas, añadió, está administrar problemas de desempeño a través de ambientes físicos y virtuales, y tener control de quién accede a qué recursos, llámense éstos físicos o virtuales.
Por su parte, Edgar Fierro, director general de IDC México, abordó la forma en que la seguridad puede ser un elemento para la eficiencia de TI, un tema que llamo poderosamente la atención de los asistentes. El ejecutivo señaló que la seguridad no está aislada y debe basarse en la eficiencia de las TI – desde los recursos hasta el perímetro extendido.
“La eficiencia de TI no es un producto o una tecnología”, aseveró. “Es un proceso de negocio continuo”. Se necesitan las tecnologías y soluciones adecuadas para iniciar el camino hacia la eficiencia de TI.
Fierro describió los cuatro pasos en el ciclo de la eficiencia de TI: 1) Consolidar y Virtualizar, 2) Optimizar y Proteger, 3) Seguridad & Compliance, y 4) Administrar con políticas.
Asimismo, proporcionó una guía esencial que recomienda que los administradores de TI deben evaluar en qué etapa de eficiencia se encuentran para alinear sus procesos a sus objetivos de negocio; y define a una organización eficiente de TI como aquella que maximiza el valor que puede ser obtenido de sus activos digitales “La eficiencia de TI requiere de mejora continua. No es un solo proceso sino el efecto acumulado de varios procesos: como el incremento en productividad, incremento en utilización, el incremento en tiempo de respuesta, incremento en escalabilidad y el incremento en la predictibilidad.
Por último, Francisco Javier Álvarez Solís, socio fundador de ALAPSI (Asociación Latinoamericana de Profesionales en Seguridad Informática) y gerente general de Planeación y Servicios Informáticos de la Comisión Nacional Bancaria y de Valores, destacó el papel que la seguridad y la auditoría en informática pueden ser socios de control.
“Ambas áreas ocupan técnicas, métodos, normas y metodologías de auditoría en informática, así como métodos y conocimiento de las tecnologías en Seguridad en Informática en apoyo a sus actividades”, aseguró. “Ocupan dentro de sus funciones la identificación, evaluación y tratamiento de riesgos que se generan durante la administración, uso y control de las tecnologías de información”.
Asimismo, señaló que es recomendable definir perfectamente las funciones y responsabilidades de cada área, manejadas bajo un ambiente de mutuo entendimiento. “Los responsables de ambos grupos deben reunirse regularmente para discutir informalmente los proyectos y objetivos. Estas juntas pueden evitar duplicidad de esfuerzos innecesarios y sensibilizar a un grupo para que no pase los límites del otro. Más aun, puede ayudar a puntualizar futuras actividades que puedan ser más apropiadas para un tipo de función que los otros”.
Mejores prácticas
Finalmente, la editora de la revista CIO México, Claudia Mercado, fue la encargada de moderar una mesa redonda que giró en torno a Las Mejores Prácticas de Seguridad, y en la que participó Juan Carlos Cedillo, director regional para México y América Latina de Hasbro, y Martín Eduardo Pacheco, oficial de Seguridad de la Información de Banco Autofin México, así como Ignacio Sbampato de ESET y Samuel Deciga de CA México.
Destaca lo dicho por Pacheco en el sentido de no confundir la seguridad informática y la de la información. “No es lo mismo la seguridad informática (gente, sistemas, redes, switches) que la seguridad de la información. Ésta es más normativa e involucra procesos de negocio y sistemas de gestión de información”.
Resaltó que su organización cuenta con un comité de seguridad de la información y uno más de tecnología.
Por su parte, Cedillo de Hasbro, explicó que Hasbro cuenta con una estrategia de seguridad global, y es un equipo de seguridad capacitado el que está a cargo de proteger los activos de información de la empresa “Es un tipo SWAT Team localizado en las oficinas corporativas y le reporta al CIO”, señaló. De hecho, añadió, no se han detenido las inversiones en seguridad en la empresa.
Ante la pregunta de qué les preocupaba más en cuestión de seguridad, Pacheco señaló que su mayor inquietud se concentraba al interior de la institución en los rubros de tecnología, políticas y procedimientos y el factor humano. Por su parte, Cedillo señaló la infraestructura, la cual debe fortalecerse. “De ahí que sea el corporativo el que lleve una Internet segura a través de un solo punto de acceso”.
Vea algunos de los aspectos de este evento en nuestra galería.
