De acuerdo con el estudio IDC Latin America Investment Trends 2H18, publicado en marzo de este año, esta firma consultora revela que en México el 48% de las organizaciones que participaron en el análisis indicaron que la seguridad TI es su prioridad de inversión número uno; las configuraciones de nube lo es para el 16% de los entrevistados, y el 5% señalaron a los sistemas cognitivos (Inteligencia Artificial) como su principal foco para destinar recursos.

“Y es que la ciberseguridad y la Inteligencia Artificial permiten mejorar y crear nuevas capas de servicios, así como plataformas de respuesta a incidentes, administración de amenazas, riesgos y fraudes, confianza digital y cumplimiento”, aseveró Carlo Dávila, Analista Senior en Seguridad para IDC Latinoamérica.

El objetivo de la seguridad TI –en todos sus ámbitos de aplicación– consiste en reducir los riesgos a niveles mínimos para mitigar posibles amenazas. Es por ello que para este Reporte Especial CIO México conversó con usuarios, proveedores y analistas para sondear cómo es posible construir una estrategia de seguridad TI efectiva.

¿Cómo hacerla eficaz y efectiva?

Para Benjamín Hernández, CIO de Grupo Aeroméxico, quien encabeza la implementación de una estrategia de ciberseguridad en esta aerolínea, fue necesario efectuar una hoja de ruta para cumplir los objetivos planteados. Primero se procedió a efectuar una etapa de descubrimiento acerca del marco de referencia que podrían utilizar, y una vez identificado, vino una etapa de diagnóstico del nivel de madurez que tenía la organización en torno a ese marco para determinar hacia dónde se quería llegar en un periodo de tres años. “Eso nos permitió definir la estrategia y la agenda con los niveles de inversión asociados”, explicó el CIO.

Pero además de contar con ese marco de referencia y el destino futuro de madurez en la organización, fue necesario crear una estructura de Ciberseguridad para que sea la responsable de articular dicho programa y de crear la cultura necesaria al interior de la organización, “ya que este tipo de iniciativas va más allá del área de TI”. 

En esto coincidió Eduardo Rico, Director de Ingeniería en Symantec México, al señalar que en una estrategia de seguridad TI se debe incorporar –desde un inicio– a la estrategia de negocio que tenga la organización. “Es sabido que típicamente se desarrollan las estrategias de negocio basadas en iniciativas de desarrollo de mercado, nuevos productos o tendencias, pero es común que la seguridad se quede fuera de tal estrategia o sea vista como un stopper”.

Para que sea efectiva se requiere incorporar también los recursos humanos, los sistemas de TI y las plataformas para formar un ecosistema integral de negocio, señaló Rubén Díaz, Director Comercial de Grupo Siayec.

Más aún, en una estrategia de ciberseguridad es necesario tener en cuenta que los estados de un ataque van desde la parte más perimetral de la empresa hasta la parte de producción y servidores, y “que hay que poner una capa en cada punto”, afirmó Jesús Rodríguez Antuna, Vicepresidente para Latinoamérica y Mercados Emergentes de Bitdefender. “¿Cómo hacerla efectiva? Depende del presupuesto que cada organización tenga, pero como mínimo se debe contar con una solución perimetral, una solución de gateways y otra para endpoint”, manifestó.

Por su parte, Ramón Salas, Director Regional para México y Centroamérica de Forcepoint, dijo que la seguridad TI debe ser vista de manera diferente. “La seguridad tradicional basada en eventos que suceden, y donde normalmente somos reactivos, no nos ha ayudado mucho para ganar en efectividad. Por eso nuestra propuesta es abordar la seguridad desde el punto de vista del ser humano (Human Centric Security) porque éste es quien comete errores o perpetra los ataques”.

Sólo desde esta perspectiva, dijo Salas, es posible detectar mejor cuáles son los cambios de comportamiento que tienen los seres humanos en nuestras redes, ambientes y nubes para contextualizarlo y, mediante la calificación de riesgo de tales cambios de comportamiento, se logre automatizar una respuesta más efectiva.

Por su parte, Luis Isselin, Director General de Tenable México, consideró que el punto primordial para construir una estrategia de ciberseguridad de primer nivel consiste en regresar a los componentes fundamentales de una buena “higiene digital”, lo cual significa conocer todos los activos que hay dentro de una organización para saber lo que es necesario asegurar; tener temas muy básicos como la autenticación de doble factor, mecanismos de cifrado y una gestión continua del riesgo.

“No podemos seguir arrastrando una práctica de evaluaciones puntuales cada tres o seis meses cuando estamos viendo que el contexto de amenazas es muy acelerado. Necesitamos que las organizaciones logren un nivel de madurez mayor donde su programa de gestión de riesgo se realice de manera continua”, apuntó Isselin.

¿Es suficiente el presupuesto para seguridad TI?

¿Pero acaso la inversión que se está realizando en México es suficiente para enfrentar los riesgos y aminorar las vulnerabilidades?

El consenso de los entrevistados para este reporte señaló que aunque este tipo de inversiones está creciendo en nuestro país, su efectividad depende de la valoración de los riesgos. “En las organizaciones más avanzadas, que tienen un nivel de madurez mayor, el análisis de riesgos es muy puntual y se pueden mover de una manera adecuada para atender aquello que es más riesgoso para la organización, dejando algunos riesgos bien identificados con un plan de mitigación específico y que pueden irse incorporando en el tiempo para resolverlos en forma paulatina”, aseveró Eduardo Rico, de Symantec.

Sin embargo, señaló, “me ha tocado trabajar con otras empresas que más bien buscan parchar o tapar hoyos, sin medir los riesgos de los impactos que pueden ocasionar algún tipo de ataque o pérdida de información”. Este tipo de compañías usualmente tienen que desembolsar más de lo que esperan ahorrar porque a la hora de que les llega una eventualidad, deben detener la operación, la producción o la facturación.

Destino de las inversiones

El mercado mexicano continúa manejando buenas expectativas de crecimiento, pero ¿hacia dónde se enfocará la inversión de las organizaciones en México respecto a la seguridad TI?

“La proyección que traemos para el mercado de la ciberseguridad en México está en 915 millones de dólares para el 2019. La parte de soluciones de seguridad crecerá 13.2% este año con respecto al anterior; los servicios de seguridad se incrementarán 64%; mientras que los productos de seguridad lo harán en un 8.8%, en comparación con el 2018”, aseveró Carlo Dávila, de IDC.

El analista de la firma consultora advirtió que un 70% de las compañías participantes en el estudio IDC Latin America Cybersecurity Report 2017 declararon que no tienen inversiones o planes para invertir en seguridad en sus configuraciones de nube.

Sin embargo, éste es un rubro donde la inversión en seguridad debería estar alineado, destacó Eduardo Rico, de Symantec. “La protección de la nube forma parte de su mismo modelo de operación donde el desembolso se puede ver más como gasto operativo que como gasto de inversión. También la protección del usuario móvil, sin importar desde dónde se conecte, es otro de los negocios donde estamos viendo un incremento de la inversión en seguridad”.

Sin embargo, no siempre un mayor monto de inversión en esta materia es sinónimo de mayor seguridad. “Así lo hemos visto en el pasado reciente: en los últimos siete años se han invertido un trillón de dólares a nivel global en soluciones de seguridad TI y no ha aumentado el nivel de seguridad en esa proporción”, aseveró Ramón Salas, de Forcepoint. “Lo que debemos hacer ahora es que las estrategias estén basadas y planeadas en el Human Centric Security para que en realidad se pueda sacar jugo a esas inversiones”.

Adam McCord, Vicepresidente para Latinoamérica y el Caribe de CyberArk, empresa de origen israelí enfocada a la seguridad y gestión de cuentas de altos privilegios, consideró que en México hay una inversión creciente en seguridad de la información. “Pero si las organizaciones no invierten pensando en cómo reducir el riesgo en mayor medida, mayor tiempo y con menor presupuesto, estarán descuidando la salvaguarda de recursos de las propias organizaciones”.

Para Antuna, de Bitdefender, la inversión en México con respecto a la seguridad TI se enfocará al datacenter. Esto será así porque la parte de endpoint cada vez es más madura, así como la parte perimetral, de modo que el área de oportunidad estará en los datacenters, sobre todo en las organizaciones medianas y grandes. Las micro y pequeñas seguirán invirtiendo en la parte perimetral y en gateway”.

Los entrevistados reconocen que existen factores que han impactado favorablemente el desempeño de la ciberseguridad en el mercado de servicios TIC en México.

Uno de ellos –quizá el principal, en opinión de estos directivos–, es que las organizaciones están aprendiendo las lecciones respecto a los efectos que producen los ciberataques, y se han hecho más predictivas para responder este tipo de situaciones de mejor manera.

Además, “la transformación digital se ha constituido como un motor y un vehículo que está moviendo a las organizaciones para conocer cómo los usuarios nos acercamos a las compañías y viceversa”, dijo Rubén Díaz, de Grupo Siayec.

Para Luis Isselin, de Tenable, la importancia que se da a la ciberseguridad está aumentando “porque la transformación digital está haciendo que la tecnología sea un habilitador del negocio y no simplemente un tema olvidado”.

Desde esta perspectiva, ¿cuál sería entonces el mayor reto que tiene un CIO o un CISO en México para alcanzar el nivel de seguridad efectivo en su organización?

En opinión de Benjamín Hernández, CIO de Aeroméxico, el principal reto es la gestión del cambio al interior de la organización “para hacerla sensible de que éste no es un tema de tecnología sino que es un tema que involucra y es responsabilidad de todos”.

Refirió que otro reto ha sido abrir un espacio al área de Ciberseguridad al interior de la estructura de TI y cómo hacer ver al personal de Aplicaciones e Infraestructura que esta área necesita su espacio por la relevancia que tienen los activos de información y el riesgo que se corre en caso de ser vulnerados.

Aunque su estrategia de ciberseguridad vigente terminará en 2020, el CIO de esta aerolínea señaló que no se trata de un plan estático. “Vamos a hacer pausas en el camino para hacer análisis y diagnósticos del nivel que hemos ido alcanzando para confirmar que efectivamente sí estamos moviendo a la organización en el nivel de madurez propuesto”. Los análisis y diagnósticos que se realicen cada año le permitirán descubrir elementos que antes no estaban para incorporarlos en la estrategia.

Por su parte, Amado Piñón, Gerente de Sistemas de GINgroup, afirmó que tener una visión clara o contar con una arquitectura robusta y consultores que indiquen lo que hay que hacer son aspectos de gran ayuda para un CIO.

Sin embargo, en la ejecución es donde radica la mayor falla, porque, dijo, existen tecnologías mejores y peores, pero el problema termina siendo el recurso humano: “si no se tiene quién pueda administrar de manera efectiva, sea un tercero o alguien interno, no importa que se tenga la mejor tecnología del mundo, simplemente no se lograrán los objetivos”.

Finalmente, Piñón aconsejó a sus colegas fomentar la seguridad en los tres ámbitos: hardware, software y red. Esto, dijo, no garantiza que se tenga un nivel de seguridad del 100% porque la tecnología siempre cambiará, “pero sí mitigaremos los riesgos al 95 y tal vez hasta un 99% si tenemos esa conciencia”.

José Luis Becerra Pozas, CIO México.