El tema de IT Security ha evolucionado bastante. “Desde hace varios años, Heineken considera a la IT security como un tema top risk a nivel mundial. Cada año la compañía hace una evaluación de los riesgos más importantes o que se consideran de mayor impacto para la organización y, tras clasificarlos, determina cuáles son los riesgos más considerables que se deben atender”.
“Hemos venido trabajando para robustecer este tema, no simplemente desde el área operativa sino a todos los niveles de la organización”, explica Carlos Treviño, Manager de Global Audit IT Américas en Heineken.
En entrevista con CIO México, pone como ejemplo lo realizado por el área a su cargo, que ha auditado diferentes formas “no tradicionales”, que van más allá de lo simple y técnico. “Las hemos abordado desde otros enfoques para verla de manera más holística. Nos dimos cuenta que las organizaciones muy frecuentemente enfocaban la atención de los temas de IT Security en el área de Infraestructura, es decir, hacia los componentes de tecnología adecuados, los antivirus, firewalls, pero dejaban toda la responsabilidad de IT Security en el área de TI”.
Sin embargo, para Treviño, el usuario final –independientemente de la función que realice– es en realidad “el principal responsable del tema de seguridad de una organización”.
Tres líneas de defensa
Carlos Alberto Treviño Fernández está por cumplir ocho años de trabajar en Heineken con sede en Monterrey, Nuevo León, donde ha forjado un ascenso profesional en breve tiempo.
Inició desempeñado funciones como CISO en Heineken México. Después fue el responsable de Ciberseguridad y Gestión de Riesgos TI en Heineken Américas, y desde hace tres años asumió las funciones como Global Audit IT Manager Américas para Heineken International, cuya operación comprende desde Canadá, Estados Unidos, México, Brasil, Panamá, Ecuador, Perú y Caribe.
En su actual puesto, es responsable del diseño e implementación del plan de Auditoría de TI para la región de Américas, que comprende desde Canadá, Estados Unidos, México, Brasil, Panamá, Ecuador, Perú y Caribe. También supervisa la gestión de riesgos informáticos, así como la evaluación de proyectos tecnológicos e investigaciones especiales.
En 2010, Heineken adquirió Cervecería Cuauhtémoc Moctezuma, lo que requirió hacer una transición de servicios de seguridad de información del dueño anterior (FEMSA) al actual. De esta manera, a partir de 2012, el equipo encabezado por Treviño se dedicó a esta labor, así como al diseño e implementación del modelo operativo regional para los servicios de TI. De ahí pasó a funciones más globales y a una línea de defensa más allá del nivel operativo, así como a la gestión de riesgos, diseño de estándares, guidelines y procesos.
En los últimos tres años, el área de Global Audit IT Américas bajo su cargo se ha dedicado a la revisión del cumplimiento de programas de TI en temas de seguridad, y a la evaluación del nivel de cumplimiento de las distintas operadoras que tiene la compañía en la región. De esta manera, Treviño Fernández ha estado al frente de tres líneas de defensa: el nivel operativo, el de gestión de riesgos y el de auditoría de riesgos que realiza actualmente.
Un error, “encapsular” la Seguridad sólo en TI
El directivo comenta que desde hace varios años se han elevado los niveles de conocimiento y capacitación del personal de todas las funciones para llevarlos a un nivel superior y hacerlos responsables de atacar y gestionar los incidentes de seguridad.
“El usuario es el primer responsable de los incidentes de seguridad internos. Hoy por hoy, son pocas organizaciones que transmiten esta responsabilidad al usuario y no sólo a los equipos de TI. Creo que es algo importante que cualquier negocio debe considerar para estar más protegido, lo cual incluye aspectos de infraestructura, temas técnicos, de monitoreo y otros”.
Treviño insiste en que es muy importante que las organizaciones comiencen a ver la seguridad TI de esta manera. “Antes, el tema de seguridad TI se le veía muy ‘encapsulado’ en el área de Tecnología. Desde hace algunos años esto ha cambiado y no se debe ver más así, ya que toda la organización requiere tenerlo en mente en todo momento, y todas las funciones deben estar capacitadas para manejarlo”.
El directivo añade que desde hace varios años se han efectuado iniciativas para llevar a la organización a un nivel superior de entrenamiento y de security awareness (conciencia de seguridad) desde los niveles ejecutivos a los operativos y en todas las funciones. “Sin importar si pertenece al área de Contabilidad o de Finanzas, nuestro personal tiene la obligación de capacitarse en temas IT security y cyber security de manera constante e incremental”.
Dice que eso último se modificó, ya que antes se trataba de un entrenamiento que se hacía una vez al año y eso bastaba para considerarlo suficiente. “Hoy tenemos un programa incremental, que le permite a nuestro personal cursarlo paulatinamente hacia niveles superiores”. Además, y como parte de la iniciativa, se ha incrementado el uso de analítica, de Inteligencia Artificial y algoritmos que se integran a procesos.
La meta: reducir incidentes de seguridad
El directivo explica que, por ser una empresa con presencia global, Heineken ya había establecido mucho antes el tema de infraestructura. “Nuestro perímetro y líneas de producción estaban lo suficientemente seguras, pero nos dimos cuenta que muchos de los incidentes surgen adentro”. De esta manera, y como objetivo a corto plazo, se estableció que los entrenamientos y la capacitación del personal deberían reducir los incidentes de seguridad a su mínima expresión. A mediano y largo plazo se pretende tener una organización más robusta en temas de seguridad TI, “ya que todos los niveles ya conocerán y estarán preparados para no sólo detectar un incidente sino también saber manejarlo de forma más adecuada”.
Valor para el negocio
Es indudable que los incidentes de seguridad no sólo tienen una repercusión meramente financiera. Acaso el mayor daño es el que afecta a la reputación de una compañía y por consiguiente tiene un impacto financiero fuerte en el producto o servicio que ofrece una organización.
De acuerdo con el entrevistado, el impacto que se tiene hacia el consumidor final se puede minimizar, de manera que éste pueda ver una empresa sólida, que así como es ordenada en sus procesos internos, conserva los mismos estándares para sus productos. “Siendo Heineken una empresa cervecera, el consumidor final aprecia que el producto sea de calidad, que tenga las condiciones adecuadas cuando lo compra, que el sabor sea el que busca, etcétera. Para nosotros como compañía, el valor que representa una iniciativa de este tipo es que al momento que se reduce el número de incidentes de seguridad y el impacto de los incidentes que sí se concretan, también se disminuye el riesgo reputacional de la organización”.
Reducción en costos operativos
Entre los resultados tangibles que se han logrado gracias a esta iniciativa, Treviño destaca la reducción de costos. En efecto, “si en un proyecto se incluyen temas de IT security desde un inicio, o si son planeados y diseñados, se puede lograr una reducción de aproximadamente el 20% en los costos operativos a causa de incidentes de seguridad que generalmente se tienen”, afirma el directivo y en seguida menciona las que, a su consideración, han sido las tres principales claves para lograr el éxito en esta iniciativa.
“La primera es que la organización tenga la madurez necesaria para detectar que tienes una necesidad fuerte para atacar el riesgo de IT security; la organización debe tener la conciencia de detectar estos riesgos y no actuar sólo de forma reactiva ante un incidente de seguridad. En la medida que la organización lo asimile de esta manera será el primer paso para movilizar esa maquinaria. La tendencia es ser más preventivos y predictivos que reactivos”.
En segundo lugar, dice, el equipo directivo debe estar de acuerdo y “enganchado” con esta iniciativa. “El tema de IT security debe ir permeando de arriba hacia abajo, por lo que el equipo ejecutivo debe estar casado con la idea del valor de estas iniciativas de seguridad de la información; debe entender el riesgo que se está evaluando y cuáles serían los impactos para la organización en caso de no atenderlos”.
La tercera clave es que la gente esté capacitada para operar estos temas, como se expuso anteriormente. “Si tienes estos elementos, así como otros involucrados como el tener cierto presupuesto, recursos humanos, etc., se puede lograr un proyecto exitoso”, sentencia Treviño.
Experiencia técnica y softskills
Ingeniero en Sistemas egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey, con un Diplomado en Seguridad Informática, y con Maestría en Administración de Empresas por el mismo instituto, Carlos Treviño Fernández ha trabajado por más de 18 años en el sector privado en áreas de Seguridad de Información, Gestión de Riesgos TI, Operación de TI y Transformación Digital, entre otras.
Señala que otra característica de su estilo de liderazgo es la capacidad para hacer sinergias con funciones muy específicas de la compañía para obtener los resultados correctos. “Considero que una cualidad fundamental de cualquier CISO es tener esa sensibilidad para detectar, primero, las áreas donde se van a generar valor con las estrategias, y luego saber convencer y venderlas”.
En su trayectoria profesional ha fomentado el desarrollo de habilidades blandas (softskills) para lograr una mejor interacción con las posiciones claves del negocio para llevar una estrategia al éxito. “Para mí ha sido claro: puedes tener la mejor estrategia de todas, pero si no eres capaz de hacer ver a la organización el valor que se está agregando, probablemente no vas a tener mucha facilidad para implementarla ni el éxito esperado”.
Dice que a medida que este tipo de interacciones fluyen de mejor manera con las áreas de la organización, “y que el valor que prometiste u ofreciste de un proceso a un área en particular y se pueda materializar y observar, eso te da muy buenos puntos y percepción para que vean en ti un liderazgo para este tipo de iniciativas y ser depositario de la confianza para futuros proyectos o que puedas apoyar al negocio en determinado proyecto o estrategia. Creo que eso genera mucho valor a nivel personal, que puedan ver en ti una persona confiable, capaz de materializar lo que estás proponiendo”.
Carlos Treviño concluye que mientras la gente de otras áreas no vea el valor que conlleva la Seguridad TI para sus procesos, será complicada la interacción. “Finalmente, esto forma parte de la madurez de una organización: a mayor madurez se puede tener más apertura hacia estos temas y una asimilación más fácil y rápida para lleva a cabo dicha estrategia”.
Por José Luis Becerra Pozas, CIO México