Si hoy la tecnología otorga valor a cualquier negocio, la seguridad debiera ser un elemento básico e imprescindible, inmerso en los procesos de cualquier organización. Sin embargo, la realidad que a diario enfrentan los directores de TI es totalmente distinta y se convierte en una de esas preocupaciones que pocas veces se atreven a compartir.
En la mesa redonda “Cómo entregar seguridad en una Era de nube”, organizada por CIO México con el patrocinio de Blue Coat Systems, esta temática encendió la polémica luego de que Daniel Casados, director general de Blue Coat Systems México, cuestionara a los asistentes: “Cuando ustedes piensan en seguridad, ¿piensan en inversión o en operación? Los asistentes opinaron que ambas. Luego les preguntó: “Entonces, ¿este tipo de inversión debe considerarse como un Capex o un Opex?”.
Al respecto, Darío García, CIO para México y Centroamérica de Manpower, expresó que depende de las políticas financieras de cada organización. “Lo que se busca es cómo convencer a la empresa de la necesidad de invertir en seguridad y de los beneficios que se van a lograr; esa es nuestra responsabilidad, aunque no es tan sencillo que la gente te entienda. Hay CFO muy abiertos y que tienen claro que se trata de una necesidad. Nuestro trabajo consiste en aportar los argumentos convincentes”.
Para Rubén Bravo, Director General Adjunto de Tecnología de Bansefi, esta situación representa un gran problema. “¿Cómo hago el planteamiento de la inversión? Cuando hablas de ‘seguridad’, si fuera una ‘cerradura’, cuando menos la ves, pero si no tienes absolutamente nada y debe estar ahí, y si la tienes, no hay forma de demostrarla, es cuando el planteamiento se torna más difícil”.
Fernando Thompson, CIO de la Universidad de las Américas Puebla (UDLAP), recomendó que si el director general o el consejo directivo de una organización no entienden a lo que se están enfrentando, es mejor como responsables del área de Tecnología pecar de paranoicos e insistir para obtener el presupuesto. “Vale más correr este riesgo y recibir un ‘no’ como respuesta, a que llegue a ocurrir algún incidente en sus empresas y que al rato los culpen porque era su responsabilidad”.
Por su parte, Luis Carlos Cáceres, CIO de Marzam, dijo que en muchas ocasiones los proveedores de seguridad buscan implementar grandes proyectos y no es fácil llegar con este tipo de propuesta a una compañía que apenas está empezando a tener sensibilidad al respecto. “No es sencillo proponer un macro proyecto a la alta dirección cuando hay muchas necesidades del lado operativo, por ejemplo”.
Por su parte, Juan Carlos Ortiz, CIO de Suspensión y Dirección del Grupo DAR, dijo que a partir de que detectaron conductas desleales por parte de la competencia, empezaron a poner mayor atención en cuestiones de seguridad. “Considero que tener un solo ‘policía’ no es funcional. Debes tener dos o tres ‘policías’ al mismo tiempo cuidando de tu negocio. ¿Cuánto vale tu información? Hoy tenemos un boom en proyectos de Big Data, Business Intelligence, esos datos valen muchísimo y se han vuelto un punto muy importante que debemos cuidar”.
Concientización, una preocupación latente
Más adelante, Fernando Thompson, de la UDLAP, mostró su preocupación al señalar que México recibe en promedio 12 ciberataques por minuto de diversa índole, ya sea a una empresa o a un dispositivo, “de ese tamaño es el problema”.
Agregó que para los hackers, “nuestro país es un ciberparaíso, por la cantidad de información que manejamos, por la cantidad de dinero, por el uso tan extendido de dispositivos móviles y por la inconsciencia del usuario”. Ante ello, dijo, los CIO necesitan primero establecer políticas y procedimientos de seguridad dependiendo del rol y las funciones de cada usuario. Y como segundo punto, deben buscar la concientización de éste. “Mucho del malware que estará entrando en nuestras empresas ni siquiera será identificado. Además, no existe un solo proveedor que ofrezca todas las soluciones y es mejor que tengas diferentes marcas para hacerle la vida más difícil a los malosos”, enfatizó el directivo.
Ray Jiménez, vicepresidente Regional de Ventas y Operaciones de Blue Coat Systems, mencionó que, de acuerdo con un estudio de Vanson Bourne, gran parte de los ataques que ocurren dentro de las organizaciones son internos, ya sea de tipo malicioso o por ignorancia. “Deben estar conscientes de que internamente pueden tener todo seguro, pero que quizás el ‘ladrón’ se encuentre dentro”.
Para Rubén Bravo, de Bansefi, a las compañías les están faltando tres cosas, una de ellas es asumir la responsabilidad como agentes de cambio, conciencia y cultura; la segunda es imponer una disciplina, pero no “de grillete” sino de “metodología”; y la tercera consiste en poner miles de capas. Sin embargo, advirtió que si esas capas no están bajo un concepto arquitectónico, la solución se volverá compleja.
El directivo consideró que en nuestro país no hay foros en donde se hable de esos tres aspectos de manera consistente y permanente. “Nuestra problemática –más allá de la nube o del lugar donde hoy se tiene la información– es de conexión, intercambio, manejo; esa gran dispersión de información y comunicación es donde nos faltan los elementos fundamentales. Puedes tener la tecnología, pero si no tienes la cultura, la metodología o la arquitectura, al final la seguridad será nula”.
A este respecto, Omar Pérez, CIO de la Oficina Corporativa del Grupo BAL, destacó la importancia de promover una “conciencia en seguridad” entre los diferentes niveles ejecutivos de las organizaciones. Explicó que en su compañía se creó un Comité de Crisis, donde le ha tocado explicar temas como el cibercrimen o delitos informáticos y se ha logrado generar esa conciencia que luego hace falta en las empresas. “Gracias a esto, los proyectos se pueden implementar de mejor manera”, aseguró.
Otra labor similar es la que realiza Nicolás Rodríguez, Business Proximity Manager CISO de Siemens. El directivo externó que por lo menos dos veces al año esta firma sostiene pláticas con los diferentes usuarios del negocio para crear conciencia sobre los riesgos en seguridad. También se refirió a los cuidados que las empresas deben tener cuando alguna persona externa ingresa a la organización, “qué accesos se le pueden otorgar y estar conscientes de hasta dónde le permiten pasar”.
Seguridad al 100%, una exigencia
Daniel Casados, de Blue Coat Systems, mostró su preocupación de que la seguridad informática se siga concibiendo como una idea muy asociada a la seguridad perimetral. Por ello preguntó a los asistentes si pueden proveer ambientes seguros en esta era de la movilidad.
Al respecto, Ubaldo Briseño, CIO de Maskota, compartió su experiencia sobre una serie de intrusiones no autorizadas que presentó esta empresa durante junio del año pasado, luego de que se difundiera un video de un supuesto maltrato a unos cachorros por parte de un empleado. “La primera semana de junio tuve 40 intrusiones no autorizadas cada hora”, dijo.
Gracias a las estrategias que emprendió el directivo, logró que la compañía no fuera hackeada e impidió el robo de información. “Tenemos muy bien identificado de dónde vienen los ataques, sabemos quién es, dónde está, tenemos todo vigilado… En ese tipo de ataque necesitas tener un buen DRP (Plan de Recuperación de Desastres) para saber cómo actuar y que tu operación no caiga”.
Briseño agregó que la seguridad debe aplicarse tanto en el lado del proveedor de servicios de nube como dentro de la empresa.
Por su parte, Gloria Marrón, CIO de Sanofi, expresó que en ocasiones no se valoran las inversiones en seguridad porque no existe conciencia de las vulnerabilidades. “En mi caso me funcionaría emular un ataque antes de que se convierta en crisis. Adicional al portafolio de soluciones que me ofrezca un proveedor de seguridad, también podría conseguir a un hacker que me demostrara qué tan vulnerable es mi empresa. Esto me permitiría –con elementos más tangibles– conseguir una mayor inversión”.
La Seguridad como Servicio
Otro tema abordado durante este encuentro fue la Seguridad como Servicio (SaaS). Al respecto, Daniel Casados comentó que de, forma nativa, la seguridad informática se está convirtiendo en servicio.
Sin embargo, a decir de Rubén Bravo, de Bansefi, la gran dificultad cuando el ofrecimiento de la Seguridad como Servicio esté disponible será tener la capacidad de discernir qué están ofreciendo en ese servicio, diferenciarlo, y ser capaces de juzgarlo adecuadamente como buena propuesta. «La capilaridad y el nivel de detalle de la SaaS será el reto».
Juan Hernández, Director de Operaciones de Gestión de Información de Grupo Financiero Interacciones, simpatizó con la idea de que haya un modelo de Seguridad como Servicio, aunque advirtió que éste deberá ser lo suficientemente robusto y ofrecer control total para personalizar esa seguridad desde la nube. “Esto nos permitiría ser muy flexibles, pues podríamos brindarla primero a nivel ejecutivo y después irla permeando al resto de la organización”.
En esto coincidió Omar Pérez, de Grupo BAL, ya que, “el tema de adopción de la nube siempre ha sido un tema a discusión por las diferentes empresas que conforman el Grupo. GNP es una de las que están adoptando el tema de nube más fuertemente, por lo que la presentación de Seguridad como Servicio será fundamental para nosotros”, concluyó.
-Mireya Cortés, CIO México
