Las amenazas informáticas continúan evolucionando a la vez que impactan a las empresas con posturas de seguridad débiles. El costo y la complejidad de los riesgos generan impactos económicos en las organizaciones, que son difíciles de cuantificar. Por su parte, los responsables del área TI necesitan aprovechar la transformación digital para potenciar tecnologías, impulsar el crecimiento del negocio y administrar la seguridad de forma proactiva y más integral.
Estas fueron algunas de las temáticas que se abordaron en la mesa redonda “El futuro de la ciberdefensa integrada desde la perspectiva del CIO”, organizada por CIO México en la ciudad de Monterrey, con el patrocinio de NUGASYS y Symantec, en la cual se revisaron algunas de las principales tendencias que están impactando las estrategias de seguridad.
En su conferencia introductoria, Juan Dávila, Director de Canales de Symantec México, dijo que en la “Generación de la Nube” que actualmente vivimos, la información se ha movido fuera y lejos del ambiente corporativo protegido. Destacó el crecimiento notable que ha tenido la adopción de nubes híbridas a partir de 2017, pues las configuraciones cloud han demostrado hasta un 40% de reducción en el Costo Total de Propiedad (TCO), según la fuente Enterpriseproject.com.
A este respecto, los asistentes a la mesa redonda compartieron cuáles son los retos que enfrentan en materia de seguridad, y qué mejores prácticas de defensa cibernética están llevando a cabo.
Lino Briones, Gerente de Sistemas de Divisas San Jorge, explicó que esta casa de cambio de divisas está migrando hacia la nube. “Tenemos más de 80 sucursales, la mayoría están en Monterrey, y estamos creciendo en Cancún, Mérida, Baja California Sur y Guerrero. Necesitamos mantener segura toda la información y el ambiente híbrido, “pues tenemos tanto sevidores en la red como en la nube, y esto constituye nuestro mayor reto en este momento”.
Por su parte, Orlando Medina, CISO de Pago Express Servicios Prepagados (PESP), “un holding grande cuyas empresas tienen retos muy específicos”, destacó como uno de los principales desafíos de seguridad para su área la migración tecnológica de equipos legacy del datacenter hacia la nube y el otro, aún más fuerte, relacionado con la concientización (awareness) sobre el tema de seguridad TI.
En PESP, dijo, hay empresas de energía, medios de pago, servicios administrados de tecnología, etc., de modo que los perfiles de las personas que laboran son muy diferentes en cuanto a niveles de conciencia en torno a la seguridad de la información. “El reto consiste en transformar a todo el grupo (de empresas) para llegar a esa cultura de seguridad que estamos tratando de crear”.
Un reto similar enfrenta Magdalena Carapia, CIO de Famsa, a partir de sistemas legacy muy personalizados así como el cambio cultural. Y es que, además de las tiendas, “tenemos el Banco Famsa, una parte intermedia dedicada a microcréditos que es un negocio muy fuerte y se cuenta también con presencia en Estados Unidos, de modo que debemos trabajar con diferentes políticas de seguridad”.
Javier de Jesús Jardón, CISO de Femsa OXXO, dijo que también su compañía está valorando las arquitecturas y proveedores para migrar hacia una configuración de nube. “Otro tema también muy importante es la certificación de PCI (el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago o PCI DSS), porque no somos banco como tal, aunque estamos en la delgada línea de serlo o no”. Mencionó que actualmente esta cadena tiene unas 18,300 tiendas en el país.
Para Adalberto Bazaldúa, Gerente de Seguridad e Infraestructura de Grupo Promax, los principales retos para su área son la habilitación y disponibilidad de la información para sus colaboradores, “de manera que puedan trabajar en cualquier lugar, y por ende, la seguridad que esto conlleva”. Grupo Promax integra compañías como Panel Rey, Yesera Monterrey, Plaforama y Zinc Nacional, entre otras, por lo cual el directivo valoró a la concientización en seguridad TI como uno de los principales temas que requiere atender.
Dijo que actualmente el Grupo maneja todo desde su datacenter y están evaluando configuraciones de nube. “A veces se piensa que por ser un sistema basado en la nube se puede dejar de preocupar el tema de la seguridad, pero nada de eso: resulta que es un tema que sólo se traslada a otro lugar, aunque en este caso no tienes el control ni la forma para actuar de forma inmediata”.
En el caso de Gilsa, empresa dedicada a recubrimientos, pisos y azulejos, con ocho sucursales en Monterrey, una en McAllen, Texas, y otra en Saltillo, ha migrado su datacenter hacia el bunker de un tercero. “Parte de nuestra infraestructura está en este lugar y un 35% ya está en ambiente de nube”, explicó Eduardo Briones, Gerente de TI.
Dijo que su compañía está vislumbrando una estrategia omnichannel y, en ese sentido, “requerimos de soluciones que estén en nube, (así como) darles seguridad y acceso a las personas responsables de cada una de esas soluciones, tanto usuarios como la parte técnica, para efectuar la integración de ambas configuraciones (nube y datacenter)”.
Agregó que también le están apostado mucho al tema de la experiencia del cliente y al comercio electrónico que demanda el uso de tecnologías como los motores de pago. Biones consideró que uno de los retos más difíciles es cómo habilitar las reglas dentro de las organizaciones para que fluyan en paralelo a la implementación de soluciones tecnológicas.
Romeo Sánchez, Director de Seguridad y Soluciones de TI de Teleperformance, empresa de origen francés dedicada a la atención a clientes mediante centros de contacto, expuso que, por la naturaleza de este negocio, “uno de los retos más grandes que tenemos es cómo mantener la integridad y confidencialidad de los datos de nuestros clientes, los cuales custodiamos”.
Explicó que de ser un call center tradicional que sólo atendía llamadas telefónicas, hoy la compañía se ha convertido en un centro de contacto, capaz de atender a clientes mediante el uso de redes sociales, “lo cual ha significado un reto para mantener toda nuestra infraestructura segura”.
Por su parte, Arturo López, CIO de la Universidad Metropolitana de Monterrey, compartió con la audiencia que el área de TI a su cargo migró las aplicaciones web a la nube, y que para su ERP utilizan un enlace dedicado de 50 Mbps.
“La nube te da más velocidad para reaccionar en cuanto a respaldos y el DRP, pero es el mismo trabajo que tenerlo abajo (en un datacenter)”, dijo López. “Se deben poner los mismos niveles de seguridad o firewalls; a lo mejor es más controlado hacia fuera porque se liberan únicamente los puertos que se van a ocupar con las credenciales, pero el tema de los ciberataques siempre está vigente”.
Quién es el responsable de la concientización
Los asistentes a esta mesa redonda coincidieron en que la concientización de los usuarios en materia de seguridad TI debe ser una constante al interior de las organizaciones. Sin embargo, surgió la duda sobre quién o qué área debe ser la responsable de efectuar esta labor.
“Creo que debemos empezar por concientizar al área de TI para obtener mejores beneficios: desde el programador, el responsable de respaldar y validar la información, etc.”, aseveró Javier de Jesús, de Femsa OXXO. “Si al personal de TI no le interesa el tema de seguridad, al cliente final –ya sea que pertenezca al área Comercial, Administrativa, Contabilidad o Ventas– le va a interesar menos. Aquí aplica el dicho de ‘el buen juez por su casa empieza’”.
Otra buena práctica es que un externo nos diga cómo está la organización en materia de seguridad. “Y con base en el descubrimiento que haga, nos permita hacer un plan a corto, mediano y largo plazo para lograr un nivel de seguridad aceptable”, opinó Juan Ávila, de Symantec.
En esto estuvo de acuerdo, Arturo Pérez, de la Universidad Metropolitana de Monterrey, al señalar que esta institución pasa por un proceso de auditoría anual, con la intervención de empresas como PwC (PriceWaterhouseCoopers) y Deloitte, que revisan tanto la parte financiera como el ERP, las bases de datos y la seguridad.
Pero aún contando con estándares normativos y regulatorios de seguridad, no bastan para cerrar todas las brechas en esta materia, advirtió Orlando Medina, de Pago Express.
Y esto es así “porque el cumplimiento no es de papel”, agregó Magdalena Carapia, de Famsa. “La labor de un CIO debe hacer flexible la seguridad para que pueda operar en cada uno de los departamentos o áreas del negocio”.
Finalmente, Lino Briones, de Divisas San Jorge, dijo que esta compañía ha establecido cláusulas con su proveedor de nube donde se especifica que cuando dejen de ser sus clientes “nos darán una certificación de que nuestros datos fueron eliminados”, aunque eso no garantiza que lo hayan sido realmente. “Podemos decir que todavía existen ‘cláusulas de buena fe’”, concluyó.