Tanto el presupuesto como el factor humano son los principales obstáculos para lograr una operación continua, por lo que ahora, la identidad es el nuevo perímetro de defensa en temas de ciberseguridad.
Así fueron algunas de las conclusiones que los integrantes del diálogo “Ciberseguridad empresarial: de la gestión reactiva a la estrategia basada en servicios administrados” resaltaron luego de generar una mesa de diálogo en torno a este tópico.
Y para abrir el diálogo, esta vez nos acompañó Francisco Iglesias de IT Masters, quien estuvo moderando la mesa en donde además, enfatizó en la necesidad de traducir las métricas técnicas al lenguaje de negocio, por lo que abrió el diálogo con algunos datos alarmantes: en México, una brecha puede tardar hasta 241 días en ser detectada y contenida.
“Así que hoy, pongo en la mesa, la ciberseguridad: se mide en tiempo y no se mide en tecnología. ¿Cuánto tiempo están dentro de nuestra red? ¿Cuánto tiempo nos tardamos en identificarlos y en cuánto tiempo podemos sacarlos, para que no tengan chance a dañarnos o afectarnos de más”
Posteriormente, le dio la palabra a Mara Anahí Correa, responsable en desarrollo de estrategia de productos y alianzas Bestel, quien fue patrocinadora del evento y destacó que el objetivo principal de esta mesa de diálogo fue escuchar las preocupaciones reales de los directivos para mejorar la estrategia de servicios en cuanto a ciberseguridad.
“Estar aquí nos permite escuchar la voz de ustedes sus preocupaciones, sus necesidades, sus experiencias. La verdad es que nos sirve bastante para enriquecer nuestro portafolio y la estrategia que tenemos en Bestel”
De esta manera, arrancó la participación de los 11 integrantes, quienes compartieron sus perspectivas, propuestas y vivencias a manera de que pudieran retroalimentar la actividad.
Gobierno de Ciberseguridad y Realidad Actual
Francisco Iglesias, comenzó con la primera pregunta: ¿Qué tan definido está su gobierno de ciberseguridad para operar con terceros?
El primero en compartir su punto de vista fue Heriberto Landeta, CIO para México y Perú de GM Financial de México, explicó que en su empresa, aunque tienen modelos aprobados para el gobierno de la ciberseguridad, consideró que el exceso de herramientas genera cierta lentitud en los sistemas, pero lo considera como un “dolor necesario”.
“Los mismos usuarios experimentamos la lentitud de nuestro sistema… empieza a hacerse un poco desesperante, pero es un hecho que el modelo lo tenemos ahí está… A veces es dolor necesario”
Ivonne Escobar, jefa de IT de Oxxo Gas, a propósito de lo que detalló Landeta, compartió que en su compañía tuvo un incidente hace 4 años que sensibilizó al negocio, por lo que destacó la importancia de buscar aliados expertos.
“Cuando nos pasó, el negocio en sí tuvo una sensibilidad (…) tomamos todos acciones inmediatas sobre la prevención, sobre la protección, buscar terceros, buscar expertos, buscar alianzas que nos ayudaran”
Adalberto Bazaldúa Tienda, director de IT de Grupo PROMAX, comentó que trabaja con múltiples proveedores y que la conciencia organizacional suele despertar tras un incidente,
“Hasta que te pasa algo, un incidente pequeñito, la conciencia de la gente y la organización empieza a responder: ‘Oye, ya nos pasó algo o pudo habernos pasado algo’. Entonces empiezas a estar pensando en una mejora una y otra vez”
En ese sentido, Mario Antonio García Olvera, director de IT de Cuprum, resaltó el valor de los terceros no solo por la operación, sino por el asesoramiento basado en experiencias previas con otros clientes.
“No es solamente la parte operativa del tercero en estos temas de ciberseguridad, sino la parte de advice basado en la experiencia y en lo que ellos ven en el entorno. La verdad es que eso para mí siempre ha sido un valor muy importante”
Hernán Elionay Guerra Martínez, director de IT de Trayecto, explicó cómo la ciberseguridad pasó de ser una jefatura relegada a una “dirección que reporta al Consejo”, como así lo calificó, especialmente tras sufrir ataques de ransomware.
“De que el área de ciberseguridad estuviera relegada debajo de una jefatura en el área de infraestructura a que ahora esté a nivel dirección y de los proyectos de la organización a nivel consejo”
Por su parte, en su primera intervención, Gerardo Martínez Díaz, CIO de Value Grupo Financiero, señaló que para su compañía, estos procedimientos son normativos (incluso por normativa federal), y compartió que actualmente utilizan ejercicios de “table top” o donde se discute un escenario de probable crisis, con el objetivo de concientizar a las áreas sobre cuánto tiempo tardarían en levantar la operación tras un ataque.
“Los de table top en donde nos sentamos y decimos: ‘A ver, nos pegó esto. Tú esta área, ¿cuánto tiempo te tardas en levantar?’. Platicadito, y empiezas a hacer que la gente tome conciencia del impacto de un ataque real”
Ante el panorama que sostuvo Guerra Martínez, Heriberto Landeta contó una experiencia que ocurrió en su compañía, cuando tuvieron un problema con un proveedor, provocando que no pudieran contar con sistema para realizar créditos automotrices durante 15 horas.
En ese sentido, Ivonne Escobar retomó de nuevo la palabra y señaló que por parte de Oxxo Gas, cada año al menos se tienen tres auditorías con una empresa de ciberseguridad (refiriéndose como Sygna) en donde se hacen pruebas para poder reforzar los sistemas de ciberseguridad.
En esa misma línea y con su primera intervención, Alethia Quintanilla, directora de Gobernanza de activos de IT de Schneider Electric México, clasificó los riesgos financieros, operacionales e incluso reputacionales de la compañía y sugirió que estos últimos son clave para elevar el tema al Consejo de la empresa y analizar una posible solución.
“Cuando tienes un ciberataque surgirán varios riesgos; uno es el riesgo financiero inmediato, otro es el riesgo operacional, pero también es el riesgo reputacional. Entonces, si te llegan a pegar muy fuerte y asociar a las noticias… eso es un impacto muy alto”
Mara Anahí Correa, tuvo su segunda intervención en donde resaltó que en todos estos procedimientos también es de vital importancia que se focalice en la cadena de suministro, por lo que sugirió que se cambien de proveedor periódicamente.
Francisco Javier González Morales, director de IT de Dollar General, mencionó que en su rubro realizan evaluaciones de seguridad antes de contratar a cualquier proveedor de servicios en la nube, y dentro de los análisis se incluye una póliza de seguro en los contratos.
“Cada vez que vamos a implementar una nueva solución o un nuevo proveedor… hacemos un assessment antes de seguridad para ver cómo estamos… incluso llegando ahora ya a meter hasta pólizas de seguro dependiendo de los riesgos”
En su primera intervención, Juan Antonio García Ramírez, gerente de IT de Viakem, abogó por los escaneos de vulnerabilidades como una práctica interna constante para no ser sorprendidos por las autoridades
“Los escaneos de vulnerabilidad en las auditorías se tienen que realizar como una práctica interna de tecnología para que justamente cuando vengan las autoridades, no quieres que te descubran que estás mal”
Barreras para la Operación Continua
Finalizada la primera cuestión, Francisco Iglesias de IT Master comenzó a detallar la segunda pregunta: ¿Qué te impide pasar de reactivo a operación continua?
La mayoría de la mesa redonda identificó que uno de los principales obstáculos para lograrlo fue el presupuesto.
Partiendo de esa premisa, Hernán Guerra Martínez detalló que el salto financiero de reactivo a continuo es muy grande, por lo que han tenido que avanzar por etapas en su roadmap.
“Tuvimos que hacer el roadmap este de qué se necesitaba hacer y lo que nos dijeron es, bueno, hagamos los siguientes dos pasos antes de llegar al de operación continua… sí el salto en presupuesto era importante, no se negó la petición, lo que nos dijeron es vamos asegurando los pasos anteriores”
Por su parte, Heriberto Landetta destacó que el tema del presupuesto sigue siendo muy cuestionable.
“El tema de presupuesto siempre es cuestionable… te preguntan muchísimo, ¿y por qué?, ¿y qué me vas a dar?, ¿y qué va a pasar?, ¿y si no lo implementas, qué? …solamente no puedo garantizar nada”.
Por su parte, en una primera intervención, Adalberto Bazaldúa, compartió que como respuesta, él contestó con la palabra “riesgo”, pero no dejó de lado la palabra que más respondieron en la mesa redonda, coincidiendo que el presupuesto es clave para la mejora en la ciberseguridad.
“El costo se vuelve exponencial. Entonces, tienes que voltear a ver, oye, ¿cuál va a ser mi recuperación? La recuperación tiene que ser más rápida que poner más capas para llegar a un 10% de riesgo. Entonces empiezo a ver cómo me recupero más pronto si me pasa algo”.
Alethia Quintanilla, expresó que en ese tema de presupuesto, para evitar que tenga un gran porcentaje de inversión, una opción sería identificar directamente las áreas en dónde se podría tener una fuga y en ese punto, blindar, ya que no siempre está relacionada una herramienta en específico, sino también el factor humano.
En ese sentido, en una primera intervención al diálogo, Alejandro García Parra, gerente de IT de Fibra MTY, mencionó que una de las opciones para evitar que el presupuesto les afecte, fue la entrada de directores de tecnología al Consejo, decisión que facilitó la aprobación de inversiones y fue a través de esa decisión, se enfocaron en simular ataques de phishing e ingeniería social para entrenar al usuario, que es el eslabón más débil
“Hemos estado invirtiendo en tener herramientas que simulen envío de correo phishing o que estén este simulando incluso llamadas telefónicas… para hacer ingeniería social controlada y ver en dónde exactamente si nos tenemos que enfocar”.
Por su parte, Mario García Olvera criticó que el negocio aún vea la ciberseguridad como un “problema de tecnología” y no propiamente de la empresa.
“Desafortunadamente todavía el riesgo de ciberseguridad de muchas de nuestras organizaciones se sigue viendo como una bronca de tecnología… mientras te restablezco, ese es un problema de negocio y es ese involucramiento de las áreas de negocio hacia estos temas todavía es muy complicado”.
Así mismo, Juan García Ramírez, detalló que tiene que ver el tiempo en el tema de ciberseguridad, sobre todo en lo relacionado a lo que se tiene que acoplar.
“Iba a poner tiempo, pero es como que una cadenita de cosas, o sea, no haces las cosas porque parece que no tienes el tiempo para realizarlo porque son limitados en personas… para poder acceder a incrementar el equipo ahora esto tiene hitos de presupuesto”
En ese sentido, Hernán Guerra Martínez coincidió con lo que expresó García, y agregó que no solo estaba involucrado el tiempo, sino también la audiencia.
“En el caso de nosotros tienes a final del día que leer tu audiencia… le dije: ‘En horas hábiles estamos vendiendo 6.5 millones y medio por hora. Pues tú dime cuántas horas estás dispuesto a quedar fuera’. Ya cuando se los mides así: ‘Ah, pero me cuesta lo que me estás pidiendo, ya te entendí'”
Comunicación con el Negocio y Métricas
La tercera pregunta en la mesa redonda correspondió a la siguiente cuestión, la cual tenían que completar en una frase: “Para que el Comité Ejecutivo / Consejo vea valor en la seguridad, la métrica que hoy nos falta es….” a lo cual, la mayoría de los asistentes contestaron “Pérdida por día”, seguido de “Impacto al negocio” y luego, “Ventas”.
La primera en abrir este bloque de diálogo fue Ivonne Escobar, quien enfatizó que se debe hablar en términos de negocios y no de sistema, es decir, hacer un cambio de cultura donde IT debe hablar el idioma de las finanzas, para mejorar todas las áreas que están en ese espacio.
“Tenemos que hablar el idioma de las cosas, ¿no? dejamos de hablar de seguridad perimetral, cuando empecemos a hablar ingresos; las pérdidas, cuando empezamos a entender los EBITDA… vámonos otra vez a recordar todas las finanzas porque este es el idioma que debemos hablar todos”
Por su parte, Juan García Ramírez sugirió presentar el “paquete completo”, es decir, qué se pierde y qué riesgos residuales está aceptando el Consejo si no invierte para así, determinar si requiere un arreglo o una mejora.
“Contrastar el paquete completo es la gección del riesgo… decirle: ‘Bueno, estás aceptando el no avanzar, no apoyar por lo que tú quieras… estos son los riesgos que está quedando como residuales y ahí como que ya tienes toda la enchilada'”
Alethia Quintanilla, explicó que en su empresa han descentralizado la seguridad, es decir, cada área como ventas o la cadena de suministro, debe gestionar y pagar por sus propios riesgos.
Mario García Olvera, también compartió cómo realizaron un simulacro de noticias ficticias para mostrar a los consejeros cómo se vería la empresa en los medios tras un ataque, lo cual fue muy efectivo para sensibilizarlos.
Alejandro García Parra, compartió que en su organización las capacitaciones de ciberseguridad tienen un impacto directo en el bono anual de desempeño de los empleados.
Le pega finalmente en un porcentaje de los resultados a cada persona, el hecho de que no tome las capacitaciones o este o no atienda los consejos de ciberseguridad, o sea, tiene un peso del bono anual que es la empresa”
En consecuencia, Mario García Olvera mencionó la importancia de métricas como el impacto en el valor de la acción y la reputación en medios, así como compartió que utilizaron un simulacro de noticia ficticia con un periodista real para sensibilizar a los consejeros sobre cómo se vería la empresa tras un ataque.
Mara Anahí Correa, trajo a la mesa de trabajo el concepto de observabilidad y cómo todas las áreas deben ser sensibles al riesgo, ya que un solo clic de un usuario puede impactar a toda la organización, así como también señaló que los hackers han hecho la vulnerabilidad más “cercana” al atacar a las personas en sus dispositivos personales.
Adalberto Balzaldúa Tienda describió cómo la concientización sobre la ciberseguridad mejoró al pedir a los empleados de su empresa que compartieran incidentes personales y profesionales, por lo que estas acciones incrementaron la participación en las capacitaciones mensuales de 20 a 600 usuarios.
Francisco González, destacó que para que los procesos funcionen, el apoyo de la dirección es clave, mencionando que su director general fue anteriormente director de TI, lo que facilita la adopción tecnológica y la discusión sobre temas como la Inteligencia Artificial
Para cerrar este bloque, Alejandro García Parra concluyó que han pulverizado las campañas de entrenamiento por área (jurídico, contabilidad) y que el cumplimiento de estas capacitaciones tiene un peso directo en el bono anual de desempeño de los empleados.
Selección y Prioridades de Servicios Administrados
Ya casi para finalizar y como penúltima pregunta, Francisco Iglesias hizo la siguiente cuestión, ¿qué servicio debería de darles o qué solución debería darles principalmente el servicio de administrado?
El diálogo comenzó con Alejandro García Parra, quien destacó que su prioridad número uno es la respuesta a incidentes porque ya cuentan con monitoreo 24/7 desde hace tres años, además de que señaló que la urgencia de cada servicio depende del punto de madurez en el que se encuentre la organización.
“En el caso de nosotros ahorita principalmente para el número uno era que ya se tenga muy aterrizado todo lo que es la respuesta a incidentes… me interesa más el tema de la respuesta incidentes”
Ivonne Escobar, reforzó la idea de que el servicio administrado debe ser por medio de un socio con el que se trabaje de la mano para resolver las causas raíz de los problemas, no solo para atender tickets y recalcó la idea que el socio ayude a hacer la traducción de los impactos al lenguaje de negocio.
“Lo que estás buscando es que el servicio ya esté administrado, que tú no tengas que hacer la traducción… Vamos juntos en esto de resolver las causas raíz. Entonces ellos (los de sistemas) son los primeros que se vuelven un partner tuyo”.
Por su parte, Gerardo Martínez Díaz, coincidió en que el monitoreo debe de ser 24/7 y la respuesta a incidentes son elementos “obligatorios”
“Yo creo que todos coincidimos en que si no es el 24/7, pues no es un servicio atractivo, entonces es obligado, ¿verdad?. La respuesta a los incidentes pues es detectada y ¿cómo me vas a ayudar? Eso es natural de lo que esperarías de este partner”.
Hernán Guerra Martínez, abordó los criterios de selección, mencionando que buscan proveedores con experiencia específica en su industria y argumentó que un equipo externo es preferible a uno interno porque el externo tiene la visibilidad de lo que le está pasando a la competencia global y local, lo que permite una prevención mucho más amplia.
Alberto Bazaldúa, en torno al comentario anterior, propuso un orden de prioridades distinto como una cobertura de identidad, preparación para incidentes, monitoreo y, finalmente, reportes, además de que consideró que lo más valioso que le ha entregado un proveedor fue una demostración en vivo de una vulnerabilidad, lo que impulsó una remediación inmediata que un reporte escrito no habría logrado.
Heriberto Landetta, se enfocó en la necesidad de reducir el MTTR (tiempo medio de recuperación) y obtener reportes ejecutivos que muestran tendencias claras
“Ya estoy en un punto en el que, si yo busco tener un sizing, consideraría contratar a alguien para que me diga: ‘Oye, bueno, es que sabes que ya en temas de sizing ya estás sobrepasado, tienes demasiados proveedores, tienes demasiados aplicativos de seguridad. Ahora, preocúpate en expandir, darle más recursos a tus sistemas y a tu propio negocio’”.
Juan García Ramírez, subrayó la importancia legal de las cláusulas de salida por incumplimiento de expectativas o niveles de servicio (SLA/OLA) y consideró que hay que ser honestos sobre las capacidades del proveedor, así como revisar sus referencias, es vital para una relación sana.
Por último, Mara Anahí Correa, Bestel, cerró el bloque recomendando que, antes de contratar, las empresas realicen procesos de RFP/RFI exhaustivos y sugiere evaluar certificaciones, clientes de referencia en el mismo segmento y la experiencia real del personal que administrará los servicios para garantizar que el socio entienda las necesidades específicas del negocio
“Fíjense en las certificaciones que tiene el proveedor, fíjense en los clientes de referencia que tiene el proveedor, contratos similares… evaluar desde un principio la experiencia y la referencia que te puedan dar para que eso te ayude como a cerrar esas opciones que puedes tener del servicio administrado”
El tiempo de cada una de las incidencias
Para finalizar, Francisco Iglesias, les preguntó a los participantes sobre el tiempo en el que cada una de las empresas tardan en responder en caso de que surja alguna incidencia relacionada con ciberseguridad, y la gran mayoría destacó que reacción de 1 a 24 horas como tiempo de contención, pero señalaron que lo ideal sería de 1 a 12 horas.
En esta última pregunta, además de contestar, se llegaron a las conclusiones en general.
Entre las que más se destacan, se encuentra Gerardo Martínez Díaz, quien mencionó que, aunque el SOC tiene un SLA de menos de una hora para detección, la remediación suele tomar de 1 a 3 días porque fuera de horas de oficina dependen totalmente del tercero.
Alejandro García Parra destacó que en su empresa realizan ejercicios de recuperación de sistemas críticos y no críticos tres veces al año.
Por su parte, Mario García Olvera, coincidió en que la detección es rápida en su empresa, pero la contención depende de la vulnerabilidad, como ataques de día cero; en sí, su conclusión es la necesidad de especificaciones claras para los socios y el testeo continuo
.
Heriberto Landetta, indicó que en su empresa sí hay una detección menor a una hora y contención de 19 a 24 horas, además de que resaltó la importancia de la detección inmediata de bots en sus sitios web comerciales para no afectar las ventas
Hernán Guerra Martínez, admitió que, aunque sus KPIs se miden en segundos o menos de una hora, en la realidad operan en el rango de 1 a 24 horas, además de que también concluyó que deben integrar al SOC como parte de la organización, no solo como un proveedor
Francisco González, explicó que tener sus aplicaciones core en la nube (SaaS) y el apoyo de su equipo en Estados Unidos les permite una respuesta muy rápida, mandando equipos a cuarentena de inmediato ante anomalías.
Ivonne Escobar, destacó que el área de seguridad está separada de TI pero interactúa diariamente, por lo que para ellos, una notificación del socio de seguridad tiene la misma prioridad que una instrucción del CEO.
Alethia Quintanilla, mencionó que en su compañía, el tiempo de contención es de menos de una hora y cuentan con una gobernanza de ciberseguridad externa a TI que supervisa al SOC, por lo que a manera de conclusión, subrayó que la seguridad nunca se pone en riesgo por la operación
Alberto Bazaldúa, definió la ciberseguridad como un proceso de mejora continua, además de que advirtió que no se debe dejar solo al SOC, por lo que también hay que monitorear que los encargados de dicho departamento, también estén haciendo su trabajo correctamente.
Juan García Ramírez, señaló que la contención suele ser el reto más grande porque requiere capacidades y expertos internos que ejecuten las acciones remediadoras tras el aviso del SOC.
Y para concluir, Mara Anahí Correa, cerró el evento enfatizando que el modelo de servicios administrados crece por la escasez de talento y advirtió que el phishing con Inteligencia Artificial es la amenaza más compleja actualmente y reafirma que la seguridad hoy se trata de velocidad de recuperación y confianza en los “partners”.
