Con el fin de compartir experiencias sobre las principales problemáticas que enfrentan los responsables de la seguridad de la información de las organizaciones, en una economía digital, se realizó la mesa redonda “Panorama estratégico de la seguridad centrado en la información”, organizada por CIO México, con el patrocinio de Symantec.

Al inicio de su ponencia, Francisco Robles, Ingeniero de Preventa de Symantec México, preguntó a los directivos de TI presentes “¿qué tan restrictivos o permisivos son con la forma como los empleados manejan la información?, y ¿qué tanta visibilidad tienen acerca de cómo viajan los datos de su empresa?”.

En términos de seguridad, consideró que es lamentable la frecuencia con la que los empleados suben información a sitios que no están regulados por las compañías, o se mandan documentos a sus correos personales con el argumento de “facilitar su trabajo”.

Seguridad como prioridad

En opinión de Jorge García, IT Manager de Constructora Subacuática Diavaz, los proyectos de ciberseguridad deben ser apoyados por la dirección, además de integrar a las demás áreas.

“Se trata de una inversión importante; hay que demostrar que vale la pena, presentar los beneficios y el costo de perder la información”. Constructora Subacuática Diavaz es un grupo de 47 años, que ofrece servicios de mantenimiento y construcción a instalaciones de Pemex.

Uno de sus retos es mantener su operación y buscar la competitividad. Además, tiene la división que está en Monterrey, de gas natural, donde necesitan proteger los sistemas de facturación. Adicionalmente, esperan migrar su información a la nube, por lo que han considerado varios aspectos de seguridad.

Cómo fomentar la cultura de la seguridad

Para Gerardo Sierra, Gerente de Proyecto de Provident, el problema es que el usuario no tiene mucha información sobre seguridad, por lo que es el principal responsable de la fuga de información en las empresas.

A este respecto, “lo que estamos haciendo es ir tomando medidas y escuchando las opiniones de los empleados, por ejemplo, cerramos los accesos a Dropbox. Cuando empezaron a reclamar, les pedimos que nos comentaran para qué lo usaban y les dimos alternativas seguras”, señaló Sierra.

Jorge García, de Diavaz, comentó que en esta empresa tienen la ventaja de tener todo virtualizado y respaldado, y ahora lo que se requiere es movilidad. “Es un tema de cultura e inversión, pero ya cuando presentamos la relación costo/beneficio que se puede obtener, se reconoce la necesidad de un presupuesto para temas de seguridad”.

Por su parte, Claudia García, Directora de Auditoría Interna de TI del Bank of China en México, consideró que las regulaciones que hay en nuestro país no siempre son suficientes para “vender” a la Dirección General la necesidad de contar con una solución de tecnología.

“Si las empresas no sienten el temor de que si no se certifican pueden perder la licencia o ser multadas, creen que no es necesario invertir. Hay que sensibilizar a los usuarios, comentarles que leyes como la de Protección de Datos Personales o el Código Penal sobre robo de información también es susceptible apenas, en México o China. Lo ideal es que todos tengamos conciencia de nuestra seguridad”, enfatizó García.

Juan Carlos Aldana, IT Services, Security and Networking Chief de Conservas La Costeña, manifestó que uno de los problemas es la agilidad del área de TI para ofrecer servicios al usuario. “Los usuarios tienen varios requerimientos: algunos muy particulares, aunque no se pueden hacer inversiones por cada uno. Lo mejor es dar un servicio más general. Cuando no se logra, el usuario puede llegar a emplear aplicaciones no validadas por la compañía, por ejemplo”.

De hecho, la Secretaría de Seguridad y Protección Ciudadana (SSPC) trabaja con cada una de las entidades para crear una estrategia unificada. “Hay áreas con un mayor nivel de madurez, (mientras que) otras no tienen nada de controles; el problema es ver cómo nos ponemos de acuerdo, porque queremos aprovechar lo que ya existe”, explicó Eduardo Godínez, Director de Seguridad Informática de la dependencia.

Isaac Palma, Subdirector de TI de la SSPC, agregó que están trabajando en la parte de educación con los usuarios, además de unificar una propuesta de ciberseguridad.

¿Seguridad vs productividad?

Los asistentes a la mesa redonda refirieron otro reto muy común: la lucha entre la seguridad y la productividad.

“Hemos tenido que bloquear varios sitios, y trabajar para conocer las políticas apoyadas en la regulación, de ahí incentivamos a la Dirección para pedir soluciones o licencias”, comentó Luis Murillo, Subgerente de Seguridad de la Información de Grupo Actinver. “Hemos implementado diferentes herramientas, monitoreo, proxys y hacemos el esfuerzo para que los datos del cliente y la empresa estén resguardados”.

Más aún, Guillermo Hita, Senior Manager IT Audit de HSBC, aseveró que es necesario concientizar al personal respecto a las políticas y procedimientos de seguridad empleados, para que sepan qué instalar y qué no instalar. “Hay un ‘boom’ de innovación. Sabemos que cada día sale algo nuevo, en este aspecto se está invirtiendo desde la casa matriz en Londres”.

Lecciones y logros

En esta reunión también se habló sobre los principales logros que han tenido en materia de seguridad. “Nosotros hemos estado trabajando en actualizar políticas de seguridad, en hablar de los riesgos”, señaló Luis Murillo, de Grupo Actinver. Dijo que además se da un curso de inducción en esta materia cuando llega un nuevo colaborador y otro sobre ciberseguridad una vez al año. “Hoy se nota que la gente ya tiene un poco más de conciencia: saben qué es el phishing y saben cuáles son las sanciones a las que serían acreedores por no cuidar la información”

Aldana, de La Costeña, sugirió que en las áreas operativas se deben explicar los riesgos que implica no hacer un buen uso de la información. “Cuando llega un nuevo empleado, antes que maneje la información de la empresa, tienen un curso de seguridad, porque puede tener experiencia en su área, pero es muy probable que no conozca de seguridad”.

De hecho, estos cursos sobre seguridad deben ser obligatorios, como en sucede en el HSBC. “Si los empleados los cursan, pueden recibir un bono o, si no los realizan, una sanción. Con estas medidas se han minimizado los riesgos”, aseguró Guillermo Hita, auditor en TI de esta institución bancaria.

Por su parte, Erick Johans Zamorategui, Jefe de Seguridad PCI de PagaTodo, coincidió en que los retos más importantes para las compañías son la falta de cultura de la ciberseguridad y la resolución de incidencias. “Como estrategia, buscamos llevar todos los mecanismos de seguridad tanto a las áreas reguladas como no reguladas, para el cumplimiento de las políticas”. De acuerdo con Zamorategui, el apoyo de la alta dirección es muy importante, así como el de gerentes, quienes ayudan a bajar la información a los empleados.

“En nuestro caso, dijo Gerardo Sierra, de Provident, aunque entregamos préstamos en cheque, cobramos en efectivo. En este caso, el Comité de Ética de la empresa puede sancionar a las asociadas por un mal manejo de la información”.

Finalmente, Claudia García, del Bank of China, expuso que han logrado establecer una buena alianza con las áreas legal, de TI y auditoría para –“en equipo”– buscar los argumentos que sustenten la compra de servicios y tecnologías que se requieren.