¿Qué estrategias de ciberseguridad implementan las organizaciones en México?, ¿Qué controles de seguridad han implementado y les han resultado más efectivos?, son algunos de los aspectos que se debatieron en la mesa redonda: El panorama estratégico de la seguridad centrado en la información, realizada por CIO México y patrocinada por Symantec y Data Warden.

La introducción al tema corrió a cargo de Eduardo Rico, director de Ingeniería de Symantec México, quien presentó una ponencia sobre el Informe de Amenazas de Seguridad en la Nube 2019.

Algunas de las conclusiones de este análisis que destacó el directivo fueron: un 53% de las cargas de trabajo se ejecutan en la nube, mientras que el 54% de los encuestados afirmaron que su seguridad en la nube no va a la par de la adopción. A lo anterior aseguraron que la confianza es baja; y el equipo de TI está rebasado, ya que el 25% de las alertas en la nube no son atendidas.

Para los encuestados, en promedio sus empleados utilizan 452 aplicaciones en la nube. Mientras que según estimaciones de Symantec, en promedio una organización utiliza 1,807 aplicaciones.

También el 93% reconoció que el uso compartido inadecuado es un problema. Mientras que el 68% ha observado evidencias directas o probables de que sus datos han sido puestos a la venta en la web oscura.

Por otro lado, aseguraron que predominan las prácticas inmaduras de seguridad, ya que tres de cuatro tuvo un incidente de seguridad debido a configuraciones débiles. Y existe un comportamiento arriesgado del usuario final, pues se calcula que 1/3 de los datos no deberían estar en la nube.

Sobre las principales amenazas que se detectaron se encuentran: administrar identidades y autenticación 45%, phishing 43%, y amenazas accidentales de fuentes internas 42%.

Para enfrentar este panorama, Eduardo Rico enumeró como soluciones para mitigar el comportamiento de riesgo del usuario: autenticación multifactor, políticas uniformes, rastreo de cumplimiento, gestión de acceso, cifrado y DLP.

Adicionalmente, el directivo de Symantec presentó las mejores prácticas para construir la madurez de la seguridad en la nube, entre ellas: desarrollar una estrategia de gobernabilidad respaldada por un centro de excelencia en la nube (CCOE), adoptar un modelo de zero trust, promover la responsabilidad compartida, aprovechar la automatización y la inteligencia artificial siempre que sea posible, además del aumento del conocimiento especializado de seguridad en la nube internamente con servicios administrados.

Seguridad en riesgo

José Luis Becerra, editor de CIO México, quien fue moderador de la mesa, inició el debate con la pregunta: ¿qué estrategias de ciberseguridad han implementado en sus organizaciones?

Al respecto, Saúl Esquivel, gerente de TI Site IT Lead, North LATAM de Philips Mexicana Signify, aseguró: “en el tema de la ciberseguridad el eslabón más importante pero también el más débil es el usuario, no sólo para temas de seguridad, el factor humano es determinante para el éxito de cualquier iniciativa”.

Por ello, la estrategia de Philips busca hacer conciencia en los usuarios, que sientan la propiedad de la información, que entiendan cómo les afecta si se pierde. “Si logramos que las personas reconozcan, por ejemplo, que las aplicaciones que usan tienen un impacto en sus móviles, estamos avanzando”, afirmó Esquivel.

Fernando Job González, head of operationes and Infraestructure Grupo HiTec de México, coincidió que aún falta mucho por hacer para concientizar a los usuarios, aunque el tema de ciberseguridad en México está tomando importancia. Al respecto, José Abelardo Martínez, gerente de Infraestructura de Prevem Seguros, enfatizó que el tema de la ciberseguridad es tanto cultural como tecnológico.

Juan Carlos Martínez, director de Tecnología de Información LATAM de Avon Cosmetics, comentó que en empresas como Amazon, donde laboró, no han sufrido fugas de información gracias a sus estrictas medidas de seguridad de cero tolerancia, donde no se permite, por ejemplo, ni el uso de USB.

“En el caso de Avon hay aún varias áreas de oportunidades, por ejemplo, tenemos 157 sistemas para operar, de los cuales de 20 a 30 ya están en la nube, los cuales requieren seguir los protocolos de seguridad. También reconoció que es necesario que a nivel directivo exista un compromiso con la seguridad, lo anterior en muchos casos es un reto”, señaló el directivo.

En opinión del ejecutivo de Avon, las personas deben usar el mismo sentido común que emplean en su vida cotidiana dentro de la oficina; por ejemplo, “abrir un correo es como abrir la puerta de tu casa, tienes que saber a quién le das esa confianza”.

Francisco Israel Regino, jefe de Infraestructura y soporte técnico de Grupo HiTec México, destacó que lo importante al poner restricciones es que se respeten, ya que las excepciones no se deben convertir regla. En cuanto a la estrategia de Grupo HiTec de México, también se centra en campañas de educación. “Si les afecta es más fácil que lo entiendan, cuando a uno le duele comprenden las medidas, es necesario que sepan que habrá consecuencias”.

También Heriberto Cruz, oficial de Seguridad Informática e Infraestructura de Mutuo Financiera, reconoció la necesidad de proteger todos los activos de información.

Controles de seguridad, nunca suficientes

Sobre los controles de seguridad que emplean las empresas que asistieron a este debate, el directivo de Avon destacó que la primera regla es que el WiFi del móvil sea diferente al de la red corporativa, en su caso, “por la red WiFi del móvil no pasa ninguna aplicación de negocio”, aseguró.

Mientras que para lograr movilidad y eficiencia, Saúl Esquivel cree que efectivamente se requiere una red segura pero también “es importante añadir seguridad a los dispositivos (endpoints), los cuales podemos formatear de manera remota; se trata de buscar cómo balancear el nivel de confianza y el nivel de acceso”.

Por su parte, Adriana García, country manager de Symantec México, compartió que en su empresa se realizan campañas de correo electrónico para poner a los usuarios a prueba y ver si caen en mensajes que pueden ser riesgosos; si abren el mail, es obligatorio tomar un curso. “Los usuario deben ser los principales defensores de la empresa, hay que capacitarlos”.

Eduardo Rico agregó que no basta con contar con las políticas adecuadas, hay que tener claros los procesos, los pasos para realizar determinado fin, para los cuales la tecnología es un gran apoyo.

Por ejemplo, agregó el ejecutivo de Symantec, “en una planta de químicos, la gente entiende que sólo debe caminar por la raya amarilla o llevar casco en determinada área, lo cual es parte del proceso, igual es en los temas de ciberseguridad, hay que tener claros los procedimientos. Por ejemplo, los ISO son certificaciones, son procesos que son necesarios para lograr la eficacia”.

A decir de Jesús Navarro, director de Data Warden, es importante no poner reglas de forma autoritaria a los usuarios para evitar una reacción desfavorable, en lugar de crear un clima de colaboración. “Mientras más fácil es el proceso para todos nos verán como un habilitador, no como el policía malo”.

“Los usuarios tienen que sentir que somos un apoyo para hacer lo que tienen que hacer de forma segura y no sólo para restringirlos. Por ello, hay que entender qué los motiva, para buscar decir sí de forma segura”, agregó Navarro.

En opinión de Saúl Esquivel hay que convencerlos de que el proceso funciona, para que se suban al barco. “Debemos pedirles que nos ayuden a entender para qué necesitan esa aplicación, cuál es la función del negocio que hacen que no lo pueden hacer con otra, y nosotros les ayudamos a que la tengan”.  A fin de cuentas, dijo José Abelardo Martíne, “el proyecto es suyo, ellos lo diseñan, nosotros los apoyamos”.

Además, al participar en este evento, Data Warden ofreció una evaluación gratuita de Shadow IT a las organizaciones que participaron. “Con una semana de información podemos presentar un reporte con las aplicaciones y el nivel de riesgo de cada una. Tenemos más 30 mil aplicaciones valoradas, más de 70 puntos de la nube. Lo que permite tener visibilidad de lo que está pasando”, informó José Luis Sánchez, director comercial de Data Warden.

Por Sandra Luz Plata, reportera CIO México