Según el Informe sobre Amenazas, llevada a cabo por la Organización de los Estados Americanos (OEA), México ocupa la segunda posición en países latinoamericanos que más sufrieron ataques dirigidos durante 2013, el primero en países de habla hispana. Otros estudios lo colocan en la novena posición en el ranking mundial y como uno de los principales países donde los cibercriminales hospedan el malware.
Por su parte, la firma de análisis de mercado Gartner señaló que para 2020 el porcentaje del presupuesto para seguridad TI empresarial se incrementará al 75%, asignado a enfoques de respuesta rápida.
Al participar en el mesa redonda “Protección contra Amenazas Avanzadas en sus Redes”, organizada por la revista CIO México con el patrocinio de Blue Coat Systems, Agustín de Jesús Astorga, gerente de Seguridad de la Información de Controladora Comercial Mexicana, dijo que la seguridad de TI debe dejar de ser considerada como un gasto. “Hay que verla como un proceso negocio para que proporcione valor y como un facilitador de los objetivos de negocio, más que como un centro de costos”.
Astorga focalizó la importancia de una solución personalizada a las necesidades de cada caso. “Si se va a utilizar tecnología de prevención contra amenazas es porque ya se tiene un panorama concreto de los riesgos a los que se está expuesto o ya se cuenta con una estrategia bien definida para tener las mejores soluciones a sabiendas de las necesidades. Pues lo que le funcionó muy bien a la competencia o al socio, no puede ser lo ideal para el propio corporativo”.
Agregó que, al usar herramientas no enfocadas, se puede estar ocultando un riesgo mucho mayor, por lo que es importante consultar un experto. “Cuando se da una emergencia y se cuenta con una solución no especializada en el sector, se suele culpar a la herramienta, cuando en realidad ésta no falló, sino que no había conexión entre los indicadores”.
Para Adriana Islas Molinar, CIO de Estafeta Mexicana, la seguridad en redes es un tema serio, ya que en el mundo de hoy las soluciones convencionales y sencillas de hace un par de años resultan obsoletas, precisando de tecnologías más completas y ajustables a las necesidades específicas de cada empresa. “A nosotros nos ha funcionado mucho ponerle pesos y centavos a cada riesgo, es decir, ¿cuánto me gasto en recuperarla y qué daños pudo haber dejado? Cuando lo pones bajo esta perspectiva, te percatas que definitivamente sale mucho más barato prevenir que recuperar”, afirmó.
La importancia de la cultura de prevención
Una mala implementación de tendencias como el BYOD o cloud, de la mano con una mala cultura de prevención puede ser catastrófica. Por ello, Astorga, de Controladora Comercial Mexicana, destacó la importancia de integrar al equipo de seguridad los procesos de negocio, para evitar que se vaya en contra de los objetivos de la organización. “Necesitamos que la empresa nos involucre en todas las etapas, desde el desarrollo de aplicaciones hasta la adquisición de una nueva tecnología. Al poner reglas de uso, podemos hacer excepciones, pero todo se documenta, se monitorea y al final de cuentas no podemos cerrar los ojos ante las innovaciones”, aseveró.
Los participantes de la mesa redonda señalaron que el uso de redes sociales o de cloud computing hacen que se vaya dejando información en todos lados, no sólo personal sino muchas veces corporativa y sensible, y si no se crea una cultura de prevención de riesgos, no hay otra manera de seguir el rastro de todos esos datos.
“¿Qué vamos a hacer con nuestros usuarios? Porque creo que ahí es donde tenemos un hueco enorme, ellos no lo hacen con dolo, es por desinformación. Y no importan las herramientas que tengamos, así sean las mejores, debemos trabajar en la cultura de nuestros empleados que es donde hay mayor riesgo”, puntualizó Islas.
La CIO de Estafeta Mexicana destacó la importancia de hacerles entender en su totalidad las políticas de seguridad y los riesgos que hasta el más simple hábito puede conllevar, haciéndoles ver que no se trata de limitaciones infundadas o con el propósito de minimizar distracciones, sino va más allá, a temas de pérdida de datos valiosos, que pueden generar un gran costo para la empresa, y obviamente su despido. “El reto está en que ellos no lo tomen como un bloqueo,” aseveró.
Por su parte, Ignacio Alberto Bravo González, director de Tecnologías de la Información del Instituto Nacional para el Federalismo y el Desarrollo Municipal (INAFED), afirmó que la fuga de información ya no es consecuencia de aspectos tecnológicos sino humanos. “Hoy se invierte mucho en seguridad, pero de qué sirve que si no se cuidan los aspectos más básicos. Lo obvio es a lo que más le dejamos la puerta abierta”.
Agregó que muchas veces no es que se carezca de información o que los responsables de las áreas de TI no estén conscientes de los posibles ataques, sino que prefieren brincar las normas o se buscan métodos para violar las reglas de seguridad, y en esa misma búsqueda es donde se puede cometer un error que le salga caro al corporativo.
Esta situación no sólo aplica en los equipos empresariales o en dispositivos móviles, muchas veces la seguridad se debe llevar desde las redes sociales personales, ya que los usuarios suben información que creen que sólo verán sus “amigos”, pero una vez que está en la web, es de carácter público y cualquiera puede acceder a ella.
“Y es que la cultura de prevención es algo muy difícil de cambiar”, aseveró Guillermo López Jiménez, Secretario Operativo de Tecnologías de la Información y las Comunicaciones del Tribunal Federal de Justicia Fiscal y Administrativa (TFJFA).
“Es bastante complicado advertir que no basta con la confianza que se tengan entre pares, sino hay que ser muy precavidos con la información. Muchos usuarios le dan la contraseña del correo institucional a la secretaria para que ella conteste correos, escriben las claves en su agenda o en un papelito y las dejan sobre el escritorio. Todo esto puede ser más cómodo, pero es más inseguro”, comentó
Sinergia entre tecnología y prevención
En opinión de Alejandro Cuéllar, IT Manager Computing and Telecom de General Motors México, la seguridad consiste en mediar entre la tecnología y la cultura preventiva, así como inculcar estrategias de seguridad. “Hay que proteger el ambiente corporativo, pero también dejar a los empleados que se sientan a gusto con sus actividades,” comentó.
“Se trata mucho de trabajar atrás, es decir, en la infraestructura y en las soluciones para que tú, como miembro del área de TI, te asegures que el entorno está protegido”. Agregó que también se trata de una comunicación con los usuarios, quienes son los que están expuestos, los que pierden los equipos y los que están poniendo en riesgo los datos. “Tenemos que llegar a ese punto donde hagamos feliz al usuario y también estemos protegidos”, aseveró Cuellar.
Los asistentes coincidieron en que no hay que sentirse conformes con esa “falsa sensación de seguridad”, y que no sólo se trata de prevenir y contar con un plan ante desastres, ya que cualquier movimiento sin estrategia es inútil. A manera de resumen, es necesario perfilar el acceso a las tecnologías o a la información de la empresa, darse cuenta de los requerimientos de cada departamento o área de la organización y gestionar los permisos de acceso correspondientes, concluyeron.
– Karina Rodríguez Peña, Computerworld México
