Llegamos a ustedes gracias a:



Conversando con...

Sebastián Bortnik, ESET Latinoamérica

"El awareness ya está hecho, falta dar el siguiente paso"

[21/09/2015] Hace unos días estuvo de paso por Lima Sebastián Bortnik, gerente de Investigación y Tecnología para Latinoamérica de ESET, un ejecutivo al que entrevistamos ya durante algunos años.

Precisamente, por el tiempo que lo conocemos, decidimos reflexionar con él sobre las transformaciones de las que ha sido testigo en la región en cuanto al tema de la seguridad. Bortnik percibe que su trabajo inicial, el awareness de la seguridad, ya se ha logrado. Ahora falta pasar al siguiente nivel.

Sebastián Bortnik, gerente de Investigación y Tecnología para Latinoamérica de ESET.
Sebastián Bortnik, ESET

Bortnik estuvo por Lima para participar del evento de ISACA, una de las principales organizaciones de profesionales de seguridad, y para conversar con clientes y empresas, además de realizar la gira antivirus. Ésta consiste en visitar universidades y hablar con los estudiantes de ingeniería sobre cuál es el trabajo que hacen en el laboratorio antivirus de ESET Latinoamérica.

Usted ha venido en varias ocasiones al país, ¿ve un cambio en la forma en que se percibe la seguridad?

Este es el séptimo año que recorro la región con ESET. Cuando empecé a recorrer la región, muchos temas había que explicarlos y no había equipos de seguridad como ya hay hoy formados. Entonces, en el segmento corporativo se ve una madurez que aún no está reflejada en la práctica, pero ya se sentaron las bases y la estructura; las conversaciones están sobre la mesa, los equipos están armados y seguramente vamos a tener años desafiantes en los próximos tres a cinco años por esto que le digo, creo que hemos cumplido la primera etapa.

Recuerdo que en los primeros años que trabajaba el tema era instalar la problemática de la seguridad en las empresas; hoy en día está muy instalada, pero que esté instalada no significa que realmente estemos con niveles de seguridad. Las empresas siguen siendo atacadas, nuestras estadísticas nos dicen que prácticamente la mitad de las empresas sufrieron incidentes de malware en la región en lo que va del año, y que más de la mitad de las empresas sufrieron accesos indebidos a sus bases de datos.

Entonces ahora viene el desafío de convertir el trabajo realizado en los últimos cinco años en mejoras en los próximos cinco años.

¿Se podría decir entonces que ya hay un awareness pero aún falta pasar a la acción?

Nosotros siempre hablamos de awareness como la primera capa para entender un tema. Y creo que ese objetivo está cubierto. De hecho, nosotros mismos hemos cambiado nuestro discurso, porque hay muchas cosas que antes decíamos que ahora no hace falta decirlas. Muchos de los esfuerzos que estuvimos haciendo todos estos años han dado su fruto, y no me refiero solo a ESET, sino a la comunidad en general.

Explicar a una empresa que tiene que tomar un responsable de seguridad, eso ya lo saben y generalmente lo tienen. Creo que el awareness dio resultado pero no se detiene, porque si hay conocimientos aprendidos lo que hay que aprender son cosas nuevas, y seguimos en ese camino.

¿Hay algún factor que se tiene que vencer para que las empresas pasen del awareness a la acción? ¿Quizás los presupuestos?

Lo de los presupuestos es relativo. A medida que los equipos de seguridad tomen más fuerza, van a poder conseguir mayores partidas presupuestarias. Pero al mismo tiempo me encuentro muy seguido con organizaciones que no toman buenas decisiones en la administración de su presupuesto.

Entonces, primero tenemos que aprender a gestionar lo que tenemos. Los equipos de seguridad tienen que comenzar a ser más profesionales y mucho más orientados a la gestión. Hoy en día los equipos están muy orientados a la implementación técnica de proyectos y, en ese sentido, pasan cosas como lo que me ocurrió.

Visité una empresa muy grande en el Perú y uno de los responsables de la seguridad de la compañía me preguntó si le recomendaba implementar determinada tecnología. Él esperaba un "si o un "no como respuesta, pero yo le dije "depende; depende de qué va a proteger y cuántos ataques tuvo durante el año, porque si con lo que ya tiene se pudo defender ¿para qué reforzar la seguridad? Si lo hace está perdiendo dinero que se puede usar en algo más útil, pero si ha determinado que las medidas de seguridad no eran suficientes sí hay que invertir.

Entonces, veo que falta eso; falta hacer el análisis de riesgos y hacer estudios que nos digan si vale la pena invertir en una u otra cosa. Es decir, no proteger todos los servidores con la misma tecnología; hay servidores que necesitan más inversión y otros menos inversión, y esto depende de cuánto vale la información que está alojada y qué probabilidades hay que sean atacados.

Entonces, este trabajo de profesionalizar los equipos de seguridad es el que va a hacer el cambio para pasar del awareness a la acción.

Y segundo, empezar a posicionar mejor a los equipos de seguridad en las empresas. Aún los equipos de seguridad hablamos un lenguaje muy técnico y poco de negocios. Cuando empecemos a hablar el lenguaje de negocios, cuando expliquemos a la empresa que el objetivo del equipo de seguridad no es proteger los servidores sino el negocio, vamos a tener mucho más fuerza dentro de la empresa. No nos van a traer los proyectos ya cerrados para que los aseguremos, sino que vamos a participar desde su construcción para construirlos seguros; y para eso hay que hacer un trabajo de crecimiento interno de las áreas de seguridad que todavía no estamos haciendo.

¿Aún se puede encontrar en las empresas una falta de planificación?

Hay empresas que hacen planificación, generalizando diría que cuanto más grande es la empresa vemos una tendencia mayor al orden; pero insisto en que tenemos asignaturas pendientes: ordenar los equipos de seguridad, ordenar la toma de decisión. Por supuesto que hay empresas que están haciendo un gran trabajo, pero esa es mi observación genérica luego de visitar 15 países de la región.

También visita universidades, ¿ve cambios en ellas con respecto a la seguridad?

Lo que veo es exactamente lo mismo. Hace muchos años veíamos a los estudiantes de ingeniería y les contábamos lo que era la seguridad informática y apenas sabían que había un campo que era la seguridad informática. Hoy ya lo saben, pero seguimos teniendo el problema de que faltan profesionales en seguridad. A ese nivel tenemos el mismo problema, el awareness fue exitoso pero nos falta llegar a la acción.

A mí ya no me pasa que tenga que ir a una universidad y explicar qué es un ataque informático o que las empresas deben tener un equipo de seguridad; pero todavía nos falta mucho para obtener los profesionales de seguridad que la región necesita, porque hay escases de recursos en seguridad y las universidades siguen generando profesionales desarrolladores de software, administradores de sistemas y redes, pero nos siguen faltando profesionales en seguridad.

El awareness está hecho, el diálogo cambió, hay muchas cosas que ya no tenemos que explicar, ahora tenemos que dar el siguiente paso.

¿Cuál diría que es la fortaleza que ESET ha generado durante estos años?

La mayor fortaleza de ESET en la región, y el motivo por el que somos la empresa antivirus que más creció en la región en los últimos años, es la presencia que tenemos. Hoy mientras otros fabricantes tienden a reducir su presencia en la región y dejar solos a sus socios, nosotros seguimos creciendo. En ESET Latinoamérica estamos cerca de los 100 empleados, cuando ingresé éramos unos 12 empleados, o sea que la empresa ha hecho una inversión en la región; fuimos la primera empresa antivirus en tener un laboratorio de análisis de malware en la región. Entonces lo que buscamos es tener un diferencial.

A pesar de que al igual que otras compañías seguimos vendiendo a través de socios, nosotros estamos al lado de nuestros socios apoyándolos de forma directa; nuestros socios cuentan con soporte de segundo nivel en español, mientras que en otros productos se tiene que acudir a soportes en inglés o brindados desde Europa o India, nosotros brindamos soporte con nuestra gente de ESET Latinoamérica. Creo que ahí está nuestra diferencia, somos una empresa que invierte en la región.

¿Y en el Perú qué ha sido lo que más ha visto durante estos viajes?

Perú es un país donde tenemos una particularidad; es el país que tiene el negocio de retail más grande de la región y ese es un logro muy fuerte de nuestro equipo, el cual ha logrado no solo posicionarnos en el segmento corporativo sino que la gente se lleve una caja de ESET a su casa para estar más protegida. Ese es un rasgo del Perú no solo en América Latina sino en el mundo.

Jose Antonio Trujillo. CIO Perú