Llegamos a ustedes gracias a:



Conversando con...

Joan Domenéch, profesor extranjero invitado a la XXVIII Semana Internacional de Esan

La seguridad y el perfil de quien vela por ella en las empresas

[27/01/2014] Hace unos días conversamos con Joan Domenéch, profesor extranjero invitado a participar de la XXVIII Semana Internacional de Esan, sobre la forma en que ha evolucionado la seguridad en las empresas y las personas que están a cargo de ella en las empresas, es decir, del oficial de seguridad.
Domenéch indica que la región está formando buenos oficiales de seguridad y que se debe comprender el rol que éstos tienen al interior de las organizaciones. Como en otros campos de la actividad empresarial, hay que diferenciar el día a día de lo estratégico en cuanto a seguridad. Ambos campos tienen sus particularidades. Domenéch pasó por Lima como profesor invitado de la Semana Internacional de Esan, una actividad que se realiza desde hace más de una década -en enero y julio de cada año- y que busca promover la exposición de los participantes en un ambiente global.
¿Cuáles son las amenazas actuales a la seguridad?
Hoy en día el tema de las amenazas está cambiando a una velocidad muy rápida, pero esencialmente estamos hablando de lo mismo; es decir, virus, ataques de denegación de servicio, y otros, pero van asociados a la tecnología que se está imponiendo en esos momentos. Ahora hay una serie de ejes de actuación en las empresas que van muy ligados por un lado a la movilidad -ya que ahora la gente accede a los sistemas de información de la compañía desde cualquier sitio-, y a la tercerización -ya que tenemos proveedores que acceden a nuestros sistemas informáticos.
Eso son los básicos. Además hay que considerar que estadísticamente hablando, la mayoría de los problemas vienen del entorno de la empresa; es decir, de adentro o de conexiones muy cercanas. Los incidentes de seguridad con alguien desconocido son posibles y se dan, pero no son la norma. En esa línea, el acceso a información privilegiada es uno de los puntos más destacados. ¿Qué medios se usan para esto? Virus, pero con metodologías distintas. Antes con el virus se quería hacer ruido y llamar la atención, pero ahora se busca pasar desapercibido, lo más sutilmente que se pueda, para obtener información y acceso.
¿Y las empresas están preparadas para estas nuevas amenazas o son reactivas?
Tenemos que diferenciar, es difícil generalizar. Las grandes empresas y sobre todo las empresas con alto nivel de sensibilidad a la información tienen un grado de conciencia bastante alto; en general, como las empresas financieras, de seguros, farmacéuticas. Donde la información es fundamental generalmente hay un nivel de conciencia bastante alto.
Pero cuando se sale de ellas, hacia otros tipos de empresas, se puede no tener conciencia de que alguien quiera robar los datos. En ese nivel, es donde hay más debilidades. Además el problema es que se avanza a saltos; es decir, la empresa implementa una nueva tecnología, y cuando lo hace, toma conciencia de las necesidades de seguridad de esa nueva tecnología y probablemente implemente las medidas básicas de seguridad.
El problema es que la tecnología no para, ni en el sentido tecnológico de que se implementan cosas nuevas ni en el sentido de la delincuencia electrónica, la cual busca nuevas maneras de sabotear la tecnología existente. Entonces si se implementa una tecnología de seguridad hoy el gran pecado de las empresas es que no termina de entender la seguridad como un proceso, piensa que una vez que pone la medida de seguridad ya está resuelto el problema. En realidad, tienes que mantenerte en un proceso de mejora continua; es decir, las empresas necesitan integrar la seguridad en todos los elementos del negocio. Entonces, sí hay una cierta reactividad en ese sentido; lo bueno es que cada vez es menor, la conciencia de la seguridad se va imponiendo poco a poco.
¿Es necesario tercerizar la seguridad de las empresas?
La tercerización no es estrictamente necesaria pero puede ser una ayuda en un momento determinado, va a depender en esencia de nuestro potencial económico; es decir, si implemento tecnologías punteras y tengo en nómina a los especialistas capaces de dar soporte y cobertura a esa tecnología, no hay problema.
El problema es que muchas veces se implementan tecnologías que vienen de la mano de consultoras o de empresas externas que nos dotan de medios que sobrepasan la capacidad de gestión del personal interno, ahí hay un problema.
La tendencia general es que la gestión de la seguridad, es decir, de la seguridad estratégica (qué necesidades tengo, qué vulnerabilidades tengo, cómo quiero operar en términos de seguridad) es algo interno; y la ejecución práctica de la seguridad, la tecnología de la seguridad, puede ser algo externo. Esto se debe a que para asegurar tantos dispositivos y tantas tecnologías, necesito demasiados especialistas en demasiados temas distintos como para estar al día en lo que está pasando a nivel internacional. Entonces, en esto sí tienes que buscar soporte externo, incluso en grandes empresas y grandes corporaciones.
¿Cuál es el perfil de un oficial de seguridad? ¿Estamos produciendo oficiales de seguridad en el país, en la región?
Se están produciendo buenos oficiales de seguridad, y en cuanto al perfil diría que están cambiando las exigencias del perfil. En principio apareció el perfil del oficial de seguridad como un auditor, como un policía, que controla que dentro de la empresa las cosas se hagan como se mandan, que se cumplan las normas y las políticas, pero hoy se necesita mucho más que eso. Se necesita un facilitador, la figura del oficial de seguridad tiene que ser la de alguien que, en colaboración estrecha con la dirección, es capaz de sensibilizar a la empresa de los riesgos y las amenazas que afectan a los objetivos estratégicos de la dirección. Es decir, es una visión absolutamente conceptual.
Entonces, una vez hecho esto, tiene que conseguir que la dirección apoye y promueva la implantación de medidas de seguridad dentro del negocio, y no sea solo una iniciativa del information security officer. El oficial de seguridad no es el responsable de las medidas de seguridad sino que tiene que recomendar esa seguridad y la compañía tiene que adquirir el compromiso de la seguridad, el oficial de seguridad lo que tiene que hacer es verificar que las medidas de seguridad se hayan implementado. Él está en medio de toda esta vorágine y tiene que tener un conocimiento muy exhaustivo de todo el entorno. Y si es necesario ya vendrá un auditor externo a verificar que el trabajo del information security officer es el correcto.
Jose Antonio Trujillo, CIO Perú