“Realmente a quienes debemos de proteger es a las personas”, afirma, categórico, Héctor Méndez Olivares, CSO de Mobility ADO y Presidente de la Mesa de Trabajo de Ciberseguridad en la Confederación Patronal de la República Mexicana (Coparmex). Y así explica esta creencia: “Porque a partir de que las personas aprenden a protegerse a sí mismas, automáticamente aprenden a proteger su entorno; y la organización donde laboran forma parte de su entorno”.
Como responsable del Gobierno Digital y la Ciberseguridad para las oficinas de Mobility ADO en México, España y Centroamérica, Méndez es un creyente de que “educar es la base de la prevención en materia de seguridad”, y que lo más importante a nivel de organizaciones consisten en tener un orden establecido y darle cumplimiento. “Lo que hizo la pandemia fue abrirnos hacia vectores distintos como es el home office y al fomento de una nueva cultura que debemos tener todos los usuarios”, señala en entrevista con CIO México.
Un Grupo multimodal e integral
Los orígenes de Mobility ADO se remontan a 1939, cuando fue fundada la empresa mexicana Autobuses de Oriente (ADO). Un año después, inició la ruta México-Puebla-Perote-Xalapa-Veracruz con seis unidades de primera clase. Desde entonces, el Grupo ha sumado a empresas como Autobuses Unidos (AU), Cristobal Colón, Tres Estrellas de Oro, ha incorporado otras soluciones como Autotur, Turibus e incursionado en la movilidad urbana con el sistema BRT (Metrobús y Red Urbana de Transporte Articulado).
En 2013 adquirió a Grupo Avanza, compañía de transporte en España, con diferentes sistemas urbanos eléctricos sobre riel, y en 2017 el Grupo ADO cambió su nombre a Mobility ADO al ofrecer soluciones multimodales e integrales de movilidad en América y Europa. Actualmente ha diversificado sus negocios hacia otras ramas como restaurantes, cafeterías, terminales y tiendas de conveniencia.
Esta cobertura amplia y diversa ha significado también un reto para el equipo a cargo de Méndez Olivares. “En el área de Seguridad en Mobility ADO somos tres personas quienes atendemos a más de 30 mil personas a nivel global. Tan sólo en diciembre pasado, detectamos más de 79 millones de ataques. ¿Cómo hemos logrado contener sus efectos con apenas tres personas? Por supuesto, la colaboración que recibimos de los proveedores es importante y parte de esto tiene que ver con el Gobierno Digital que impulsamos de manera interna. Por eso resalto el conocimiento mutuo que hemos logrado para saber ¿quiénes son nuestros proveedores, cuánta confianza les otorgamos y hasta dónde nos conocen ellos? Se trata pues de una amalgama de esfuerzos que, como CSO, debes saber manejar”.
Para Méndez, la ciberseguridad se asemeja a “los frenos” de un auto de carreras, en el cual las empresas corren y pueden ir tan rápido como se sienta segura de que su sistema le va a funcionar.
“De ahí que mi primera recomendación sea educar al personal de una organización, porque es fundamental que todos tengan la información correcta para prevenir cualquier tipo de ciberataque”.
Después de la educación, explica, viene el tema de la aceptación, en el sentido que debemos “aceptar las actualizaciones de los sistemas operativos y software que utilizamos, no emplear software pirata, que la navegación sea por sitios web seguros y evitar riesgos que puedan dañar la infraestructura o saturar las redes de la empresa o de nuestros hogares”.
Zero Trust, medida “funcional y correcta”
En 2011, Méndez Olivares se especializó en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en España, de ahí su conocimiento para citar experiencias recientes que se han tenido en otras latitudes.
Pone como ejemplo las recomendaciones públicas que ha emitido el gobierno español como es bloquear todo lo que no tenga que ver con el negocio de una empresa y esté relacionado con los países actualmente en conflicto bélico (Rusia y/o Ucrania) que pudieran afectar alguna transacción o movimiento desde o hacia estos países. Otras medidas siguen siendo el parcheo, la instalación de antivirus, la actualización de firewalls, etc.
Sin embargo, en el caso de las pequeñas y medianas empresas el panorama es diferente: “Éstas carecen de algún especialista que les indique lo que deben hacer. Es aquí donde las grandes empresas, organizaciones y medios de información como CIO México pudieran tener una gran injerencia al divulgar este tipo de recomendaciones, que nos ayuden a mantener la integridad de las personas y de los sistemas de cómputo”.
A este respecto, Méndez considera que el Zero Trust es una de las alternativas más funcionales y correctas en materia de seguridad con las que puede contar un CSO.
“Zero Trust de alguna manera lo que nos dice es cómo tener confianza en un medio. Por ejemplo, hoy se pueden generar cientos de perfiles de personas mediante el uso de Inteligencia Artificial, que es como lo hacen los hackers. ¿Cómo validar que la persona que ingresa en nuestras instalaciones, redes o servicios es quien dice ser? En este caso, la autenticidad y confidencialidad se vuelven muy importantes, y Zero Trust resulta de gran ayuda sobre todo en ambientes de nube, que están proliferando”.
Asimismo, dice que el arribo del 5G a nuestro país ha acrecentado la expectativa de más y mejores servicios de conectividad en dispositivos móviles, a la par de que se convertirá en una responsabilidad más a cargo de los CSO y CISO en las organizaciones. “El 5G es una banda más ancha que la generación anterior, lo cual otorga más facilidad para acceder a ella y el uso de tecnologías como el IoT (Internet de las Cosas) se hará más extensivo, ya que esta quinta generación de tecnología celular ofrece mayor velocidad y la posibilidad de manejar datos de las personas”.
No obstante, el directivo advierte que esto último “podría volverlo peligroso, si se le emplea de manera desmedida, sin control y sin tener la percepción de qué es lo correcto –¿a quién estoy dejando entrar o qué software estoy instalando?–, pues ahora no sólo será posible transmitir información bancaria o por dónde se navega, sino también la información de la salud del usuario, ya que estos mecanismos pueden incidir en personas con algún padecimiento. Si no hay una autenticación de a quién se le da nuestra información, lo hará vulnerable”.
Para Méndez, las redes 5G ofrecen una facilidad más de la comunicación, aunque el problema podría ser, nuevamente, el usuario: cómo lo usa, para qué lo usa y si se confía o no en el depositario de su información.
El cumplimiento ante todo
Al puntualizar en los aspectos preventivos que deben realizar las organizaciones que cuentan con la infraestructura, políticas y procesos para defenderse ante ataques cibernéticos, hace hincapié en que sus acciones deben apegarse hacia las mejores prácticas de seguridad. “Por ejemplo, cuando una persona se separa de una empresa, en automático también debe quedar separada de todos los sistemas con los que tuvo comunicación o contacto. Su información puede quedar resguardada, pero ya no se le debe dar acceso a ella. Algunos, al retirarse de sus funciones, solicitan recuperar la información personal que han almacenado en los sistemas de la empresa. Aquí la pregunta es: ¿y por qué tienen guardada información personal en los equipos y/o redes de la empresa?”.
El CSO de Mobility ADO es determinante al respecto: “Cuando se violan las políticas y los procesos es cuando empiezan los riesgos. El ser humano tiene muchísimas facetas y una de ellas es la posibilidad de causar daño a otros, incluso en el sitio donde trabajó. Por eso insisto tanto en que lo mejor es cumplir las políticas y procesos de manera estricta y rigurosa conforme a la normativa”.
Aunque reconoce que no existe una “receta de cocina”, porque cada persona es distinta, Méndez recomienda ir a lo básico: “La mejor forma para decirle a las personas lo que deben hacer y cómo lo deben hacer es enfocarlo de manera personal. Las estrategias que condicionan mediante la frase ‘La empresa te prohíbe…’, ya no resultan tan efectivas. Ahora es mejor indicarles de qué manera se pueden proteger mejor sus finanzas, sus equipos e incluso su red cuando trabajan desde casa, para salvaguardar su información y a los miembros de la familia, en su caso. Por eso insisto en que realmente a quienes debemos de proteger es a las personas, porque a partir de aquí aprenden a proteger su entorno, y la empresa forma parte de su entorno”, asevera.
Hacia un Gobierno Digital
En su trayectoria profesional, Héctor Méndez ha sido consultor Independiente en materia de ciberseguridad, Ley de Protección de Datos y Seguridad de la Información, y ha trabajado desde hace 15 años en proyectos en las áreas de Ciberseguridad, seguridad y gobernanza de la información, protección de datos y privacidad para organizaciones privadas y públicas, participando en el diseño de arquitecturas informáticas en la nube.
Su labor como CSO de Mobility ADO, más que un reto, dice, ha sido una invitación para innovar.
“Agradeciendo la confianza que han depositado en mí los directivos de la compañía, lo que estamos conformando no es una protección de datos, como se hacía antes, sino un Gobierno Digital conjuntamente con una estrategia de Ciberseguridad”.
¿Y por qué un Gobierno Digital? Según el entrevistado, es frecuente que al implementar un modelo de nube, se adquieran algunas soluciones de Software as a Service, se atiendan a los usuarios, a la expansión de las empresas, las redes o la adopción de nuevas tecnologías como 5G, y también que sea necesario cuidar a los terceros. Esto último se logra con normativas como GDPR (para protección de datos personales) o PCI (para proteger las transacciones electrónicas) que nos advierten sobre posibles riesgos que existen cuando se pretende liberar algún producto al mercado.
“Estábamos acostumbrados a que la seguridad fuera reactiva; ahora se está volviendo proactiva, porque nos está ayudando a que las estrategias de negocio vayan de manera más limpia. Todo esto está relacionado con un Gobierno Digital basado en Ciberseguridad en Mobility ADO, que tengo a mi cargo”.
De esta manera, y como Presidente de la Mesa de Trabajo de Ciberseguridad en la Comisión de Seguridad de la Coparmex, uno de los propósitos de Héctor Méndez ha sido replicar este modelo integral que es común en las grandes empresas –“o al menos en las que están organizadas”–, para difundirlo entre las pequeñas y medianas empresas de esta confederación.
Señala que en la mesa de trabajo que él encabeza participan dependencias gubernamentales como la Guardia Nacional, así como representantes de empresas, responsables del área de Seguridad (CISO, CSO, CIO), abogados, etc., con el propósito de que esta mezcla de talentos pueda ayudar a más personas.
“Atender los procesos del negocio dentro de un marco de Gobierno Digital es clave para una transformación digital exitosa”, asevera el entrevistado.
“Estoy para aprender”
Ingeniero en Electrónica por la Universidad Nacional Autónoma de México (UNAM) y Licenciado en Sistemas de Cómputo Administrativo por la Universidad del Valle de México, Héctor Méndez Olivares no se considera un jefe, sino le gusta tratar de ser un líder y aprender de sus compañeros de trabajo.
“Quienes colaboran en mi equipo son personas que me ayudan a pensar y a mover; son mis manos, mis ojos, mis oídos y muchas veces mi cerebro, porque uno, por sí mismo, no puede hacerlo todo. Por eso he aprendido a delegar y apreciar a la gente que está conmigo. Somos un equipo y si me equivoco, les pido me lo notifiquen, porque yo también estoy aquí para aprender”.
Finalmente, el CSO resalta una vez más la labor de prevención en materia de seguridad basada en una educación integral y participativa. “Puede haber cientos de recomendaciones y cursos, que siempre serán bienvenidos y será muy bueno atender y asistir a ellos. Sin embargo, aquí dependerá mucho del enfoque que se tenga y del trabajo conjunto con las áreas de Recursos Humanos, para que ésta sea la encargada, junto con el área de Seguridad, de establecer un programa de educación”, concluye.
José Luis Becerra Pozas, CIO.com