Liliana Nicoli, country manager de ETEK Perú.
[30/05/2017] Hace unos días tuvimos la oportunidad de conversar, para nuestra sección de Primer Contacto, con Liliana Nicoli, country manager de ETEK Perú, empresa de seguridad de la información, y con ella charlamos sobre cómo afrontar los actuales retos de las amenazas a la información. Además de los dispositivos y del software que los acompaña, Nicoli hizo énfasis en la necesidad de conocer qué tan segura es la organización y qué tan al tanto de los riesgos a la seguridad están las personas que trabajan en ella.
Nicoli sostuvo que este campo se enfrenta con awareness y con capacitación. Dos factores que también se deben de tomar en cuenta al momento de pensar en seguridad.
¿ETEK es una compañía peruana?
Es una compañía internacional que tiene actualmente sedes en Colombia y en Perú. Tiene joint ventures en otros países como Brasil, pero Colombia es la sede más fuerte y tiene más años en el mercado.
Esta empresa tiene alrededor de 35 años de formada en América Latina, con 17 años de especialización en seguridad de la información, ya que antes comercializaba diferentes líneas; en el Perú se formó hace aproximadamente ocho años.
¿Dentro de su oferta de seguridad hay líneas?
Sí. Dentro de ETEK, si bien nos especializamos en seguridad, proveemos productos y servicios de manera integral, tenemos cuatro pilares básicos. El primero son los productos, básicamente hardware y software que ayudan a proteger la información de los clientes. Trabajamos con diferentes marcas reconocidas a nivel mundial y establecidas en el mercado. No es que tengamos una marca nosotros, sino que, de acuerdo a la necesidad de los clientes, recomendamos una u otra. Por ello, tenemos varias alianzas con diferentes proveedores de las marcas top de la industria.
El segundo pilar es el de servicios. Ahí tenemos un grupo de ingenieros entrenados y certificados en instalar y proveer soporte continuo sobre las tecnologías que comercializamos, eso a nivel local. También tenemos algunos clientes que han solicitado que nuestros ingenieros trabajen en sus empresas, tercerizados por nosotros. Entonces tenemos ingenieros en sitio que trabajan en las oficinas de nuestros clientes en seguridad.
También dentro de servicios ofrecemos monitoreo y gestión de manera remota, y eso se realiza a través de nuestros SOC de Colombia. Los equipos de seguridad de nuestros clientes se conectan de manera remota con el centro de operaciones de Colombia que continuamente monitorea la información y brinda servicios adicionales para ayudar a los clientes a vigilar que los equipos funcionen, y que no se generen ataques. Además, ofrecemos servicios de correlación; es decir, ordenamos los datos de seguridad que se recolectan de los equipos y los ordenados de tal manera de que se generen reportes que tengan sentido para el cliente en cuanto a que se relacionen con sus necesidades de negocio.
El tercer pilar es la educación y capacitación. Aquí brindamos cursos variados de seguridad, es decir, para oficiales de seguridad, hackeo ético, y muchos otros, pero todos relacionados con la seguridad de la información. Brindamos entrenamiento básico sobre las tecnologías que nosotros vendemos y por otro lado brindamos cursos oficiales a los que nosotros estamos certificados para brindar por parte de la marca. Por ejemplo, una marca que comercializamos es CheckPoint y nosotros somos los únicos autorizados en el Perú para brindar cursos de capacitación de CheckPoint. Para ello tenemos que cumplir con un estándar de calidad, certificación de los profesores, etcétera.
Además, tenemos diferentes alianzas con diferentes empresas que son estándares en el mercado para brindar estos cursos de capacitación; por ejemplo, el DRI (Disaster Recovery Institute). Hay varias empresas con las que estamos asociadas que nos permiten brindar estas capacitaciones y ofrecer la posibilidad de que los estudiantes se certifiquen.
Esos entrenamientos se pueden realizar en la oficina del cliente o en nuestras oficinas. También pueden ser cursos virtuales, ya que nosotros tenemos una plataforma de cursos que muchos prefieren porque se pueden tomar en el propio tiempo del estudiante, aunque siempre guiado por un profesor de manera remota.
Otra línea de este pilar es lo que denominamos awareness. Es la concientización de las personas en una empresa en referencia al resguardo de la seguridad de la información. Esto lo tenemos porque un poco más del 30% de la información sale de la empresa involuntariamente a través de los propios trabajadores. Esto se producto porque la gente comparte su clave o porque un empleado que sale de la compañía -y no lo hace en buenos términos- y al cual no se le cancelaron sus accesos puede acceder a la información confidencial de la firma. Hay diferentes formas de que la información salga de la empresa.
Con esta sub línea ayudamos a los trabajadores a que tomen conciencia de la importancia de resguardar la información para los clientes. Y lo hacemos de diferentes formas. A veces creamos videos que se distribuyen entre los colaboradores. O mediante viñetas, presentaciones o juegos, de acuerdo a las necesidades. Y no solo a los trabajadores del área de seguridad o tecnología, sino a todos los trabajadores.
El cuarto pilar, que es muy importante, es la consultoría. Es importante porque nos permite entender de manera detallada cuál es la situación real de seguridad de los clientes. Muchas veces lo que nos piden es hacer levantamientos de información, análisis de riesgos, análisis de vulnerabilidades, básicamente ayudamos a la empresa a levantar información y generar reportes para darles una foto de su situación actual en cuanto a cómo están resguardando la información y qué riesgos existen en su compañía. Y eso es sumamente importante para ellos, porque les permite ver cuál es el nivel de madurez de la empresa y entender por dónde es que tienen vulnerabilidades o dónde están expuestos para luego realizar -e implementar- un plan de seguridad de la información y cerrar esas brechas.
La consultoría es importante, entonces, porque permite a las empresas tener una foto integral de cómo están. Antes cuando hablamos de seguridad nos preocupábamos por la PC del escritorio, porque ahí estaban los datos; pero ahora que todo se ha globalizado y todo está conectado, los datos están expuestos y se guardan en diferentes medios y lugares. Entonces hay diferentes capas de seguridad que requieren diferentes soluciones. La información puede estar en la nube o en los celulares, y por ello se requieren de diferentes formas para resguardar la seguridad de manera integral.
Esos son los cuatro pilares con los que tratamos de abarcar todo.
¿En qué nivel se encuentran las empresas respuesta a estos cuatro pilares? Parece que fueran reactivas.
Muchas veces son reactivas. Es difícil generalizar, pero si tuviera que hacerlo diría que la mayoría de empresas están en un estado bastante básico de madurez. Normalmente empiezan con un firewall y muchas veces se quedan en él. Pero ahora los datos y los riesgos se han multiplicado, entonces uno necesita anticipar y prever diferentes ataques en muchas más áreas, y es ahí donde muchas veces están expuestos.
Por ejemplo, el WannaCry, el ransomware, en general, no es nuevo. Los primeros surgieron en el 2006 y aunque tienen diferentes variantes, hay varios mecanismos para protegerse de ellos. Sin embargo, este tema que ha cobrado visibilidad y se está generando awareness sobre él justamente de manera reactiva. Creo que el segmento financiero está más avanzado que los otros, quizás por las regulaciones que les obligan a tener mayores controles y porque ellos manejan mucha información confidencial.
¿Desea agregar algo?
En general, hay mucho por hacer y por ello recomendaría a las empresas que, como punto de partida, trabajen con un socio que realmente les pueda ofrecer una foto real de cómo está su empresa en cuanto a seguridad, por lo menos para que entiendan cuáles son los riesgos y puedan priorizar los cambios, ya que no se pueden hacer todos los cambios ideales de una sola vez.
Jose Antonio Trujillo, CIO Perú