Benjamín Hernández Sepúlveda fue nombrado CIO de Aeroméxico en enero de 2012. En este cargo, es responsable de proporcionar “una visión de TI, una hoja de ruta” y de aportar el liderazgo necesario para lograr la digitalización de la empresa y del proceso de innovación en un entorno seguro.

En los últimos años, la aerolínea ha implementado cambios en materia de tecnologías de la información (TI) que abren brechas en aspectos de ciberseguridad, como por ejemplo: de un solo proveedor de TI, hoy la compañía trabaja con varios; existen múltiples accesos de Internet y WiFi en instalaciones administrativas y operativas; las soluciones basadas en nube brindan servicio de correo electrónico a 16 mil empleados; y se cuenta con una gran cantidad de dispositivos móviles (más de 1,600 smartphones y más de 5,000 tabletas) para soportar la operación de la compañía.

Esto motivó a que Aeroméxico replanteara su estrategia de seguridad TI y decidiera participar con autoridades como la Asociación Internacional de Transporte Aéreo (IATA), la Organización de Aviación Civil Internacional (OACI), así como gobiernos y organismos reguladores en temas de ciberseguridad.

Entrevistado por CIO México, el directivo define a la aerolínea como una empresa eminentemente tecnológica. “Los aviones son tecnología; los sistemas constituyen la tecnología que nos permite ofrecer el servicio, de modo que más vale tener un conocimiento del negocio para actuar adecuadamente”.

Principal problemática

Benjamín Hernández ingresó al Grupo Aeroméxico en 1996. Durante su carrera en la empresa ha desempeñado diferentes puestos y tareas en áreas como Tecnologías de la información, Planificación estratégica, Comercial y de Redes.

Esta experiencia le autoriza poder hablar con conocimiento de causa –y sin menoscabo de emitir algunas advertencias–, acerca de cómo se puede incorporar la seguridad en la transformación digital de las empresas.

Y es que para él, la gestión de TI en las organizaciones está cambiando. Antes, el modelo de gestión ubicaba a los CIO en alguno de estos dos ámbitos: el primero estaba relacionado con la continuidad operativa, donde todos los sistemas que soportaban el negocio no debían fallar. “A esto lo considero como la parte más básica de la responsabilidad que tiene a su cargo un líder de Sistemas”. El otro ámbito tiene que ver con la responsabilidad del líder de TI para mejorar los proyectos que ya se tienen y con la transformación intrínseca del negocio”.

Este último aspecto puede transformar de forma positiva a una empresa mediante la implementación de un sistema o simplificando algunos procesos. Sin embargo, “cuando hablo de ‘innovación’ significa ser disruptivos; es tratar de traer una capacidad inexistente en la organización, o tratar de traer más mercado para la misma mediante tecnologías que normalmente debemos inventar”, aclara. Es en este escenario donde el CIO, gracias al conocimiento del negocio que posee y con el entendimiento de la tecnología, puede provocar una verdadera transformación digital.

Para Hernández, la gran diferencia que aporta la transformación digital radica en que la integración es ahora más viable y factible que nunca. “Ya no tengo que modificar un sistema para poderlo integrar, pues puedo tener sistemas legados a los cuales es posible darles un ‘refresh’ mediante una capa de integración transversal para conectarlos con otros más recientes y llevarlos a otro nivel”.

Sin embargo, el directivo advierte que en los temas de innovación y digitalización se abren retos para temas de seguridad.

“Es un cambio muy duro”, reitera, “un cambio que lleva al responsable de TI a ejercer la seguridad de una manera diferente en los ámbitos del mundo digital”. Y es que el proceso de transformar o mejorar la organización, por lo general conduce a la posibilidad de adoptar una plataforma o un sistema que alguien más hizo, “y lo asumimos como ‘seguro’”. Es así como se le instala y se pone a disposición de los usuarios mediante una arquitectura de seguridad perimetral bajo ciertas políticas.

La otra alternativa, según el directivo, es efectuar un desarrollo interno de sistemas, donde el CIO sea el responsable del código que se utilice.

Continuidad, un aspecto omnipresente

Para el CIO de Aeroméxico, todos los procesos, sean de transformación, mejora o innovación y digitalización, implican o conllevan un cambio cultural en la organización, porque los activos de información –en cualquiera de las modalidades que estén– son responsabilidad de todos, y no una función exclusiva del área de TI.

Para el corto y mediano plazos, el directivo avisora un “despertar de los usuarios en términos de la privacidad y la sensibilidad de la información. Este despertar deberá ir acompañado por un tema regulatorio en México”, y pone como ejemplo a Europa, que está muy avanzada en esto, ya que es la propia autoridad la que protege a los ciudadanos en ese ámbito.

La estrategia de ciberseguridad Aeroméxico

Para asegurar algo, es necesario tomar como base un marco de referencia. Y en el caso de esta aerolínea, después de efectuar un estudio para buscar una guía y un plan de inversión en términos de seguridad, se determinó adoptar el marco de referencia ISO 27002, que está basado en 14 dominios, y cuyo objetivo es asegurar la protección de la información que se comunica por redes, así como proteger la infraestructura de soporte.

“Es así como definimos en dónde queríamos estar en tres años para mover a la organización en ciertos temas que tienen que ver con la seguridad. Actualmente estamos en el año dos de la implementación de esta hoja de ruta” (ver cuadro 1).

Hernández afirma que este marco de referencia les ha dado un indicativo para “dosificar” las inversiones, así como el tiempo requerido para que la gestión y el cambio en la cultura y sensibilización en torno a la ciberseguridad se vaya dando gradualmente.

Principales resultados

Entre los beneficios que ha aportado esta estrategia y que, a criterio de Benjamín Hernández han sido lo más significativos, está el haber posicionado a la seguridad de la información como un tema prioritario para la aerolínea. Otro logro es que la estructura de ciberseguridad pudo ser reforzada y reubicada al interior de la organización para “dar visibilidad, dar peso y que no se supeditara a otra área”. En su opinión, las áreas de Seguridad por lo regular están supeditada al área de Infraestructura, siendo que aquí prevalece más la operación por encima de la seguridad, “por lo cual fue necesario reubicarla”.

Asimismo, se aprovechó este marco de referencia para revisar las políticas y procedimientos, y fuera posible contar con un plan que se cumpliera poco a poco. De esta forma, el Programa de Seguridad Cibernética de Aeroméxico (AMSCP) dio comienzo en 2016 y se espera concluirlo en 2020 (ver cuadro 2).

Un enfoque “agnóstico”

El entendimiento que ha tenido la alta dirección de la empresa con respecto a la relevancia que tiene el tema de seguridad TI es uno de los factores clave para efectuar la estrategia a cargo de Hernández.

Directivos como él –que ha impulsado una mejor experiencia del cliente, y ha participado en la definición de productos, servicios y modelos de negocio más eficientes para la compañía– pueden dar testimonio de cómo ha evolucionado el aspecto de la seguridad de la información y qué retos han enfrentado para implementar una estrategia de este tipo.

Según Hernández, antes el tema del alcance de la seguridad TI estaba relacionado con la infraestructura o las computadoras; hoy tiene que ver más con procedimientos de desarrollo, con tratamiento de datos o con el diseño de la arquitectura de TI, en cuyo diseño se debe incluir el componente de seguridad desde un inicio.

Para que una estrategia como esta funcione, el enfoque debe ser agnóstico a la tecnología que se emplee. “De hecho el primer problema que enfrentamos es que cuando queríamos definir el framework, varias empresas nos ofrecieron hacer la evaluación (assessment), pero sabíamos que el resultado estaría sesgado, porque sólo sus tecnologías serían las apropiadas para lograrlo. De modo que no lo hicimos con ninguna marca en particular”. 

El entrevistado destaca que se trató de una estrategia de negocio, por lo que la protección de la información se definió a partir de las necesidades y procesos reportados por las diferentes áreas de la compañía, y no basados en tal o cual servidor.

Después de efectuar una etapa de descubrimiento (2016), en la cual se estudiaron algunos modelos de referencia y mejores prácticas internacionales, durante el primer año de la estrategia (2017-2018) se crearon las definiciones, es decir, saber qué está pasando en la red. En la etapa de la implementación, que comprende el periodo 2018-2020, “se tienen herramientas para monitorear lo que está ocurriendo, herramientas que están escuchando lo que están hablando afuera de nosotros. Lo que viene ahora es analizar patrones”.

“La seguridad somos todos”    

Colombiano de nacimiento, Benjamín Hernández Sepúlveda es Ingeniero en Sistemas por el Instituto Politécnico Kharkov, en Ucrania, donde también cursó la Maestría en Ciencias Computacionales.

Por más de 18 años ha sido profesor en diferentes universidades públicas y privadas de México (ITESM, Universidad de Monterrey, Tecnológico de Madero) y fundamenta su estilo de liderazgo en el entendimiento y conocimiento del negocio. “Eso te sensibiliza para comprender cómo el área de TI puede aportar el valor que debe a la organización”, afirma quien ha sido miembro del Project Management Institute (PMI) desde 2005.

“La seguridad somos todos” es la frase que se ha acuñado en torno a esta estrategia interna, y es algo de lo cual Benjamín Hernández está convencido. “Hablamos de que somos ‘todos’ porque no es sólo una responsabilidad del área de TI sino de la empresa en su conjunto, y porque no debemos comprometer información sensible ni de nuestros pasajeros, ni de nuestros socios, ni de nuestros colaboradores”, concluye el directivo.

Cuadro 1. En qué consiste la estrategia de ciberseguridad de Aeroméxico

La estrategia incluye la protección de datos y componentes como el software del sistema, las redes y la infraestructura. Tiene 3 objetivos clave:

1. Evitar el acceso a datos no autorizados (internos y externos).

• La detección proactiva de accesos no autorizados.

• Un plan de respuesta inmediata para bloquear cualquier intrusión y garantizar la continuidad del negocio.

Para lograr estos objetivos, la estrategia se desarrolló de acuerdo con el Programa de Seguridad Cibernética de Aeroméxico (AMCSP).

Cuadro 2. Programa de Seguridad Cibernética de Aeroméxico (AMCSP)

Fase de descubrimiento: 2016

• Mediante modelos de referencia y mejores prácticas.

Definición del AMCSP: 2016-2017

• Evaluación de seguridad (cómo es).
• Modelo de seguridad futuro (cómo debe ser).
• Identificación y priorización de brechas.
• Hoja de ruta de seguridad (plan de inversión a 3 años).
• Organización de seguridad TI propuesta.
• Nueva estrategia de gobierno (marco ISO 27002)

Implementación del AMCSP: 2018-2020

• Crear y promover una cultura corporativa de seguridad de la información.
• Evaluación y selección de tecnologías de ciberseguridad y socios tecnológicos.
• Implementación del AMCSP (hoja de ruta a 3 años).
• Llevar a cabo programas continuos de gestión de riesgos y vulnerabilidades.
• Programa Corporativo de Concientización sobre Ciberseguridad.
• Crear un nuevo marco normativo de seguridad cibernética (ISO 27002).

José Luis Becerra Pozas, CIO México