Para el responsable de ciberseguridad de una empresa es vital tener una buena administración de los riesgos en torno a la seguridad digital, esto incluye el manejo y la atención en los datos como en el personal. Para ello, debe tener la habilidad de valorar si las técnicas de monitoreo y vigilancia son las adecuadas para saber identificar un riesgo.
Con la intención de abordar este tema de importancia para los CIO y los CISO, y saber cómo establecer una estrategia para identificar una conducta riesgosa, CIO México en conjunto con Forcepoint llevaron a cabo la mesa redonda virtual “Gestión del Ciber Riesgo: los nuevos indicadores de comportamientos riesgosos en los entornos laborales actuales”.
En esta reunión a distancia se contó con la opinión de responsables de TI quienes aportaron valiosos conocimientos y experiencias sobre seguridad, así como la participación de Adriana García, Country Manager para México de Forcepoint, y de Mario Cinco, Sales Engineer de Forcepoint para México y Centroamérica.
Retos que ha desatado la nueva ola de home office
Adriana García señaló que las empresas en el país enfrentan desafíos muy similares debido al confinamiento provocado por el COVID-19.
Dijo que implementar la práctica del trabajo a distancia de manera correcta exige “ofrecer la calidad de operaciones de siempre para garantizar la operabilidad”. También se deben asegurar más los procesos, ya que con el trabajo remoto viene un riesgo más grande. Al no estar en la red, el usuario es el perímetro de seguridad más grande.
“Los atacantes buscan targets muy rentables como pueden ser nuestras organizaciones. Inicialmente no buscan dinero, buscan datos que posteriormente se venden”, señaló García.
En la presentación introductoria al tema de la mesa redonda, Mario Cinco, Sales Engineer para México y Centroamérica para Forcepoint, aseveró que muchas empresas están en un nivel medio de maduración en lo que refiere a experiencia en ciberataques, regulaciones, leyes, etc. Por tanto, ya cuentan con un marco de trabajo y mejores prácticas; mismos que son los pilares de su actual gestión de riesgos.
“Debemos anticiparnos al riesgo, verlo a diez kilómetros de distancia. Hoy es posible identificar los usuarios con mayor riesgo y evaluar el nivel de impacto que podrían tener sus actividades. Toda esta gestión oportuna de los riesgos ayuda a visualizar que nuestras herramientas tienen un retorno de inversión seguro”, afirmó Mario Cinco.
Amenazas a la ciberseguridad: cómo enfrentarlas
En este evento en línea, los participantes compartieron testimonios y experiencias acerca de la prevención y defensa ante ataques digitales dentro de las organizaciones.
Roberto Salvador Hernández, Director de Sistemas de Cosmocel, dijo que para el control de la información, su organización aplica periódicamente assessments de seguridad. Agregó que para ello se han apoyado mucho en las herramientas en la nube, que aportan facilidad al usuario en su experiencia remota.
“A nivel industria es muy importante la información confidencial que se maneja. Una de las acciones que hemos hecho a lo largo de este año ha sido el análisis de riesgo y vulnerabilidades en la empresa”, aseveró Hernández.
En este mismo orden de ideas, Francisco Acosta, CIO de Olarena Hospitality Group, comentó que en el periodo de la emergencia sanitaria provocada por la pandemia una de las acciones ha sido reforzar la cultura de ciberseguridad. Para ello, se han realizado webinars y campañas con el personal que labora en casa, “ya que en los endpoints es donde menos control se puede tener”. Acosta añadió que constantemente se revisan las alertas de seguridad y con base en ello ajustan las políticas respectivas.
Coincidiendo con lo anterior, Herón Arteaga, CISO del Tribunal Electoral del Poder Judicial de la Federación (TEPJF), agregó que ha sido un reto manejar diversas tecnologías, así como las diversas alertas de seguridad que reciben a diario, en especial las que proceden de dispositivos externos y a los que no tienen acceso.
Fabián Martínez, Director de Tecnología de Mundo Imperial, dijo que en su caso es esencial que la parte operativa tenga acceso a datos para dar reportes, realizar procesos de analítica, etcétera. Sin embargo, bajo el nuevo esquema de teletrabajo, esta situación deja muchas posibles brechas de seguridad. Por ello, aseguró que es muy importante seguir un tracking de información y actividades, e hizo énfasis en hacer un correcto uso de las herramientas de seguridad.
Al respecto, Adriana García, de Forcepoint, distinguió tres tipos de ataques comunes: el interno, que es intencionado para sustraer información o hacer daño a la organización; el externo, que busca alguna brecha de seguridad para atacar; y el tercero, que también es externo, pero se vale de personal interno de la organización para lograr su objetivo.
El Gerente de TI de Grupo Acosta Verde, Paul Estrada, dijo que una de las principales problemáticas a las que se ha enfrentado este grupo desarrollador, propietario y administrador de centros comerciales en México, es saber hasta dónde deben darle a sus usuarios libertad de uso de equipos y dispositivos externos.
Para ello, se han propuesto efectuar cursos de capacitación que abordarán los riesgos identificados en las pruebas de vulnerabilidad. Posterior a dichos cursos se volverán a realizar los análisis de riesgo, para evaluar la mejoría en la concientización del personal, explicó Estrada.
Rogelio Rodríguez, CISO de Hutchison Ports, coincidió en que es muy importante medir la ciberseguridad del personal, por lo cual siguen una estrategia similar al del caso anterior para evaluar al personal más vulnerable ante ataques de phishing. Adicionalmente, han implementado la doble autenticación en dispositivos que están fuera de la empresa.
Por su parte, Eduardo Godínez, Director General de Seguridad Informática de la Secretaría de Seguridad y Protección Ciudadana (SSPC), comentó que en esta dependencia implementaron una estrategia de VPN y campañas de concientización. Dijo que estas campañas se enfocan en hacer conciencia entre el personal sobre el uso de servicios de mensajería, videoconferencia y dispositivos móviles.
En el caso de Mauricio Quezada, Gerente de Seguridad TI para Ventura Entertainment, las campañas que han realizado les permiten identificar tramos de seguridad no controlados. Dichos resultados también son reportados a la dirección general para mejorar la inversión en su área de trabajo.
En tanto, Juan Carlos Aldana, Security and Networking Chief de Conservas La Costeña, señaló que por lo general se protegen los corporativos y oficinas, que son ambientes donde normalmente se encuentran los colaboradores, sin embargo, ahora que el personal trabaja en el exterior, es necesario cambiar las políticas para ingresar a los sistemas.
Con respecto a esta situación, Mario Cinco, de Forcepoint, aseveró que no es posible tener protecciones en cada punto de acceso en el exterior. Ante ello, “una buena opción es que todos los flujos pasen por la nube, misma que puede ser elástica e integrar seguridad para evitar la fuga de datos, efectuar acciones antimalware, filtrado de correos, etc., con la posibilidad de tener dashboards sobre las representaciones de riesgo. Con este tipo de soluciones, de lo único de lo que hay que preocuparse es la administración de las políticas y el tuning”, afirmó.
La nube como aliada de la operatividad y ciberseguridad
Ante la necesidad de obtener operatividad y ciberseguridad exitosas y confiables dentro de las empresas, en esta mesa redonda virtual se habló sobre el proceso de migrar operaciones críticas a la nube.
Francisco Acosta, de Olarena Hospitality Group, dijo que aunque anteriormente valoraban como riesgoso tener operaciones y datos delicados en la nube, poco a poco han ido cambiando de modelo. Añadió que sería ideal contar con un sistema de seguridad en la nube que sólo requiriera ajustar las políticas de cada organización.
Roberto Salvador Hernández, de Cosmocel, coincidió en que en un principio se veía a la nube con cierto recelo, especialmente porque en términos de operatividad de una compañía de manufactura, retrasarse un sólo segundo representaba un alto costo. Sin embargo, dijo que han encontrado más beneficios en la configuración de nube con la actual situación que ha dejado la pandemia.
El CIO de Mundo Imperial, Fabián Martínez, añadió que tradicionalmente el sector de la hospitalidad está bajo un formato on-premise, pero que tras migrar a la nube todas sus plataformas, sistemas de operación críticos y administración del ERP, notaron que los tiempos de respuesta eran inmediatos, situación que ayudó a que el retorno de inversión fuera muy rápido.
Finalmente, Eduardo Godínez, de la SSPC, dijo que es difícil la decisión de subirse a la nube, pues aunque a nivel técnico resulta sencillo, el verdadero desafío es la seguridad, que en muchos casos no es un servicio incluido en el alojamiento que brinda el proveedor. Por tanto, fijar políticas y medidas de ciberseguridad es y siempre será responsabilidad de cada organización, puntualizó.
César Villaseñor, CIO México.