Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo gestionar la seguridad en un escenario Digital

CA Technologies, Seidor Technologies y CIO Perú conversan con los CIO

[13/06/2017] La seguridad de la información sigue siendo un tema sobre el que se vuelve constantemente. Y esto se debe a que, en el actual entorno de transformación digital, son más las áreas en donde se pueden producir incidentes de seguridad. El "a mí no me va a pasar, entonces, se hace cada vez menos probable.

Es por ello que cuando CA Technologies, junto con Seidor Technologies y CIO Perú, planteó reunirse a un conjunto de CIOs para conversar sobre el tema, la respuesta fue positiva. Diez ejecutivos de compañías altamente reconocidas nos ofrecieron en una reunión sus pareceres sobre el actual estado de la seguridad de la información.

Compartieron el momento Fernando de los Ríos, gerente de corporativo de TI y Procesos del Grupo Efe; Ricardo Celis, jefe de Producción del Grupo Efe; Denisse del Rosario, jefa de Seguridad de la Información de Oncosalud/Auna; Miguel Flores, gerente de TI de Los Portales; Neptalí Mayorga, gerente de TI de Compañía Operadora de Gas del Amazonas; José Rebaza, subgerente de TI de San Martín Contratistas Generales; Ernesto Landa, jefe de Seguridad de la Información de Compañía Operadora de Gas del Amazonas; Roberto Calderón, gerente de TI de Crossland; Carmen Iriarte, gerente de Operaciones TI de Oncosalud/Auna; y José Villalobos, Jefe de Seguridad de la Información de Compañía de Minas Buenaventura.

Por parte de CA estuvo Denyson Machado, vicepresidente de Solution Sales - CyberSecurity & API Management de CA Technologies para América Latina, y Omar Crespo, solution account Director de CyberSecurity & API Management. Participó también Carlos Anchante, director de Seidor Technologies, partner de CA Technologies.

Con todos ellos conversamos en un ambiente distendido, lo cual nos ofreció abundante información sobre lo que estos profesionales quieren para sus organizaciones.

Conversando sobre la seguridad

Una de las primeras observaciones que se hicieron es que la separación entre TI y TO (Tecnologías de la Operación) ya casi no existe. Dado que las empresas tienen un componente industrial -al menos, una buena parte de ellas- la tecnología ya no solo tiene que ver con la información que generan las organizaciones, sino también con las operaciones diarias que se realizan en ellas.

La vieja TO que se encontraba reducida a lo que usualmente se encontraba dentro de una fábrica, ha trascendido las fronteras de la organización de la misma forma en que lo hizo alguna vez la TI, y por las mismas razones, es decir, por la necesidad de contar con información ya no solo de parte de los sistemas sino de las propias máquinas. Obviamente, esta tendencia se ha visto exacerbada por la Internet de las cosas, un escenario en el que precisamente los sistemas que antes se mantenían detrás de los muros de las fábricas, los sistemas SCADA, ahora también pueden ser alcanzados desde fuera de ellas.

La ciberseguridad industrial plantea nuevos retos para las áreas de TI, Pero esto también implica un reto para las empresas que proveen de tecnología (de seguridad). Por ejemplo, uno de los invitados sostuvo que ya no solo deben guiarse, en temas de seguridad, por las normas ISO sino también con las normas y estándares de seguridad de los sistemas industriales.

CA Seidor Seguridad CIOs

En pocas palabras, en el camino al mundo digital se requiere una estrategia de ciberseguridad integral de TI y Ciberseguridad Industrial.

Machado indicó que la visión de CA es que ya no existe el perímetro, que los usuarios pueden encontrarse en cualquier lugar y trabajan con dispositivos que no son los que usan en el trabajo; usando, además, datos confidenciales de la organización. Adicionalmente, los datos ya no se encuentran en la corporación, pueden encontrarse en la nube. Y una forma de combatir este problemático entorno es centrándose en algo que es común a los diferentes ambientes: La identidad del usuario digital.

En todos los servicios de TI los usuarios deben identificarse, debe ser la persona que tiene la capacidad de utilizar ese sistema para acceder a los datos a los que tenga acceso. Y estos sistemas también incluyen los servicios de TI vinculados a procesos industriales. Los ataques siempre van a existir, y siempre van a buscar a las personas que tienen la capacidad de adentrarse en los sistemas; es decir, a los usuarios privilegiados. En tal sentido se hace necesario tener una estrategia de gestión de usuarios privilegiados

No solo ataques

Los ataques, sin embargo, no fueron la única preocupación de los ejecutivos. Otro ejecutivo sostuvo que parte de las preocupaciones y acciones que ha estado desarrollando, se han dirigido al tema de las contingencias que debe tener la empresa en caso de que alguna aplicación importante dejase de funcionar.

Para ello realizan planes de pruebas de contingencia que se realizan de forma periódica, pasando de un sistema al otro en temas de comunicación o servidores, probando diferentes puntos para asegurarse de que la firma cuenta con la disponibilidad necesaria para hacer frente a alguna dificultad.

Y a pesar de ello, también es necesario trabajar con el factor humano.

Uno de los CIO refirió que parte del tema de la seguridad que se desarrolla en su institución tiene que ver más bien con la concientización en los usuarios. Algo tan básico como el cambio de contraseñas puede representar una molestia para los usuarios; pero es necesario, y por tanto es necesario realizar actividades para concientizar a estos usuarios de los beneficios de tal actividad.

Dado que los CIO ya se encontraban charlando sobre los temas que tienen que enfrentar surgió, obviamente, lo que implica la digitalización.

En este campo, los retos tienen que ver con lo que las personas piden y a lo cual están acostumbradas. Si se ofrece que algo se pueda hacer desde un teléfono móvil, los clientes buscarán que todas las empresas realicen este tipo de oferta, la "empresa en la palma de la mano es lo que se ha registrado como la forma de transformación digital que buscan los usuarios.

Eso implica que todos los procesos que están detrás, se encuentren alineados con esa tendencia, atender a un cliente "Digital requiere un rediseño de los procesos de la empresa. Uno de los CIO sostuvo entonces que el tema de la multicanalidad es básico en este entorno. Los clientes ya no solo buscan que se los atiendan los diversos canales; sino que la atención, la experiencia, sea la misma en todos ellos, y que incluso los procesos puedan fluir indistintamente a través de ellos. El reto aquí es proveer seguridad sin impactar la experiencia del cliente.

El reto de la transformación digital no solo es un reto del área de tecnología, pues implica una verdadera transformación de toda la empresa. "Eso no es fácil de lograr, es complicadísimo, señaló uno de ellos. Ya que no solo depende de temas digitales sino de procesos como la cadena de valor en la empresa.

Todos estos cambios han generado, como se dijo en un inicio, que el área de peligro se haya incrementado. ¿Cómo convencer de que es necesario tomar más medidas de seguridad? La respuesta es meditando -o hacer que los tomadores de decisión mediten- sobre los costos y riesgos de no hacerlo, de no prepararse para los problemas de seguridad. "Es un apostolado ingrato, dijo uno de los CIO. Pero es necesario.

Crespo indicó que es necesario integrar en la agenda digital de la empresa la estrategia de ciberseguridad, donde se incluya un modelo de gestión de ciberseguridad de riesgos, gobierno y tecnologías, en el camino hacia el mundo digital, requerimos identificar y proteger al usuario, también las APIs, y proveer seguridad sin fricción, comento el ejecutivo

Los eventos que han surgido en semanas anteriores son solo un recordatorio que las medidas de seguridad son claves en una organización, el enfoque tiene que ser más proactivo que reactivo, el balance entre costo, riesgo y valor tiene que tener un balance en una organización. Los CIO con los que nos reunimos tienen en claro que el mundo ha cambiado y seguirá cambiando, y que ese mundo requiere de seguridad.