Si bien en ciberseguridad detectar, enfrentar y anular posibles ataques, así como disminuirriesgos es un camino conocido y hasta cotidiano para los CISO, ahora surge el reto de avanzar hacia un modelo que permita también gestionar la exposición del riesgo ante la inteligencia artificial (AI), por sus siglas en inglés).
Sobre el tema, nueve líderes IT de grandes organizaciones en el norte de México compartieron su opinión en la mesa redonda ¿Cómo pasar de la gestión del riesgo a la gestión de la exposición? del IT Masters Club de Netmedia en Monterrey (Nuevo León), con el apoyo de Tenable e Ikusi.
A lo largo de la sesión se habló de cómo medir el riesgo real, de manera holística, sin depender de tecnologías específicas, cómo reducir la dificultad de priorizar riesgos en entornos con tecnologías aún no estandarizadas, y cómo construir un programa sostenible de gestión de exposición desde la perspectiva del negocio.
Para iniciar la discusión, la directora general de Netmedia, Mónica Mistretta, dio la bienvenida, agradeciendo la participación de los asistentes y planteando el tema: “Siempre hablamos del riesgo, pero lo que hoy se plantea es moverse de esa concepción muy puntual, que ve a la organización en silos, al de exposición”.
Cuando se habla de este, añadió, “ya no se ven los riesgos aislados, sino como un ecosistema completo para evitar una interrupción operativa”, indicó.
Índice de temas
El CISO, hablando el idioma del negocio y frente al consejo
Como primer consenso, los asistentes —en su mayoría directores de IT responsables de la seguridad de la información en sus organizaciones y algunos CISO— consideraron que su rol debe cambiar para tener un mayor peso en el negocio.
Coincidieron en que que el área de tecnología no debe estar aislada con lenguaje técnico, sino evolucionar hacia un diálogo términos de negocio con otras áreas como finanzas, legal o comercial para no solamente comunicarse de una manera más entendible, sino para integrar a las otras áreas del negocio a la responsabilidad de reducir la exposición a un ataque que puede representar una fuerte pérdida económica o un grave daño a la reputación.
De igual manera, comentaron, las organizaciones tienen la disyuntiva sobre si permitir que el CISO participe en juntas de consejo con el fin de que pueda captar mejor la estrategia de la compañía y hacia dónde se dirige.
En su oportunidad, el director sénior de Ventas para América Latina de Tenable, Arturo Barquín, consideró importante que el CISO hable ante el consejo, desde una perspectiva de ciberseguridad, pero en términos de negocio.
En su experiencia, agregó, cuando se comunican con el Consejo usando términos técnicos de seguridad reciben menos atención, recursos y prioridad. En contraste, cuando el lenguaje incluye el impacto al negocio se facilita que el comité directivo lo entienda.
Al respecto, el CIO y director de Proceso de negocios de Lámina y Placa Comercial, Héctor Carlos Cantú, consideró que normalmente el negocio no entiende cuando se habla de ransomware o malware, entonces, ante ello, se tienen que ver los riesgos para la organización, tales como pérdida de dinero y de reputación, entre otros.
“Les muestras todos los riesgos y preguntas, como si fuera un seguro: ‘¿Cuáles quieres correr y cuáles no?’. Y responden: ‘No quiero correr ninguno’. Pero cuando enseñas la cuenta, piden que se reduzca y, entonces, la conversación gira sobre cuáles evitar. Así empiezan a entender de los riesgos que se están cuidando y con cuales se la juegan”, enfatizó.
Cantú, de Lámina y Placa Comercial, opinó que va a estar muy complicado que un CISO esté presente en una junta de consejo de administración. Incluso, afirmó: “¡Eso nunca va a pasar¡ Y si llegara a pasar creo que no tiene el nivel para entender el negocio y estarlo traduciendo”.
En contraparte, Barquín, de Tenable, y el CDO & CIO de Industrias Alen, Rubén Velasco, coincidieron en que cada vez más organizaciones en México reciben al CISO brevemente, durante 15 minutos, en reuniones de Consejo.
Velasco agregó que esa tendencia se está dando con mayor fuerza en empresas fuera de México, aunque ciertamente hay algunas en el país que lo están implementando. Aunque —dijo— también está la opción de que el CISO tenga una línea directa con la dirección general sin necesariamente ser parte del comité directivo.
¿Se puede tener una visibilidad real?
En la primera parte del IT Masters Club, los líderes IT también coincidieron respecto a que traducir los indicadores de riesgo para llevarlos al tema de la exposición es un reto que llevará tiempo, pero que ya comienza a darse en ciertas organizaciones.
Al cuestionar qué tanta visibilidad real se tiene de la exposición y que parte del negocio impide avanzar, la mayoría señaló que es muy clara, aunque algunos reconocieron no tener una visibilidad real.
Al explicar su respuesta sobre la ausencia de visibilidad real, Velasco, de Industrias Alen, apuntó que aun así llevan a cabo muchos esfuerzos para detener y prevenir los ataques, así como para recuperarse en caso de que se materialice el riesgo. Incluso, agregó que han practicado simulacros en los que reflexionan sobre cómo operaría el negocio sin sistema.
“Estamos llenos de herramientas. Lo típico en defensa: profundidad, procesos, gente y la tecnología […] Siento que estamos haciendo las cosas bien, pero con este enfoque de exposición, jamás lo hemos hecho”, afirmó.
El analista global de GRC de Mohawk Industries, Marcial Martínez, comentó que en una empresa grande y compleja es casi imposible tener una visibilidad real; sin embargo, si se tiene una certeza superior al 80% o 90% del valor de la exposición, se puede trabajar y atacar los puntos más fuertes.
“La exposición es muy dinámica, muy elástica, a diferencia de los riesgos que podemos evaluarlos, si somos muy buenos, a lo mejor los evaluamos trimestralmente, pero la exposición es constantemente cambiante y desgraciadamente sorpresiva”, mencionó.
Obstáculos que impiden mejorar la visibilidad
El subdirector de Desarrollo de servicios y soluciones en Ciberseguridad de Ikusi, José Luis Ponce, consideró importante tener visibilidad de lo que ya se tiene control, pero también de lo que no. “Posiblemente si se tiene visibilidad de la organización, pero cuando se extiende hacia la cadena de suministro es todavía más complejo”, señaló.
El CISO de Autofinanciamiento México, Rubén Malerva, se refirió a la poca integración entre áreas por el desafío que hay en la institucionalización de las herramientas de software.
“Eso es todavía parte del remanente que se tiene por el postcovid. Todavía hay muchas áreas que de alguna manera pueden generar ese riesgo que estamos asumiendo en algunas unidades de negocio”, indicó.
Velasco, de Industrias Alen, comentó que el exceso de herramientas desconectadas impiden una mejor visibilidad. “Creo que eso nos ha dado un poquito de problemática para tener esa visibilidad más clara, y es que cada herramienta proporciona un indicador, entonces el reto es cómo poder consolidar toda esa información y qué realmente puedan dar información que ayuden a tomar decisiones”, opinó.
Camino hacia la gestión de la exposición
A la pregunta sobre con qué frecuencia discute el tema de exposición con otras áreas fuera de IT, la mayoría de los asistentes contestó que frecuentemente.
Martínez, de Mohawk Industries, afirmó que en la actualidad “el tema de la seguridad de la información ya no lo ven únicamente como de un rinconcito del área de IT excesivamente técnico Afortunadamente, y gracias al esfuerzo de muchos líderes IT, hemos cambiado nuestro léxico, integrando términos financieros, de costos, legales”.
Sobre este punto, el CISO de Grupo Financiero Base, Carlos Fernando Rodríguez de la Peña, dijo que han comenzado a determinar los riesgos que sí pueden llegar a materializarse, así como aquellos que ponen a la organización en un nivel más alto de exposición, por lo que están hablando con las distintas áreas sobre los controles que se pueden implementar para reducir el nivel de exposición.
“Para poder llegar a hablar del nivel de exposición implicó meterse más en la parte de procesos y más en el negocio en sí, y tratando de traducir ese riesgo incluso llegando a monetizarlo”, destacó.
Como parte de la moderación de la mesa del IT Masters Club, Mistretta también preguntó sobre qué tan preparado está el equipo para cambiar de la gestión del riesgo a la gestión de la exposición. La mayoría (80%) respondió que ya están en ese camino y dos participantes dijeron que lo están explorando y alguien puso que no está seguro.
El director de IT y CX de Promotora Ambiental, Fernando Casas, señaló que la gestión del riesgo tiene una tónica más técnica; es decir, más enfocada a lo que estaría en el control del equipo de tecnología, en tanto, la exposición trae la capa de negocio.
“Entender la exposición te ayuda a tomar decisiones cuando tienes que invertir en una cosa o en otra, entonces, yo creo que ese es el paso que tenemos que dar como equipo de tecnología, de ir entendiendo el negocio y los impactos que tengan las posibles disrupciones al servicio”, consideró.
El mayor impulso para la gestión de la exposición
Respecto a que tendría que pasar dentro de la organización para que la exposición se vuelva una prioridad real, la mayoría contestó que la seguridad debe ser parte de la estrategia del negocio.
Sin embargo, el director ejecutivo de IT y Negocios Digitales de Praxair México, Adrián Espinosa, señaló que en muchas ocasiones —y no es lo adecuado— eso ocurre cuando sucede un gran impacto en el negocio.
Recordó que un reconocido directivo extranjero le comentó que la empresa hará caso de la ciberseguridad hasta que le suceda algo que le impacte fuertemente. “Siempre insisto que tiene que ser estrategia de negocio y de ahí balancear recursos, prioridades y cuidar que el riesgo no nos llegue, y muchas industrias lo ven [al riesgo] como un tema tecnológico, que los policías de IT se encargan. Hay que desarrollar gente con el perfil de negocio y que maneje riesgo, no es un tema tecnológico, es un tema de riesgo”, detalló.
En su oportunidad, el director de Canales para México de Tenable, Javier Salazar, preguntó cómo poder medir el avance de la ciberseguridad, ya que el tema preventivo se vuelve invisible y en ocasiones se invierte cierto monto y pareciera que nada cambió. “¿Ustedes como perciben ese reto de saber como estamos en exposición, pero también en que dirección vamos, si estamos avanzando o estamos estáticos?”, cuestionó.
En respuesta, el director IT de Canadian Pacific Kansas City, Iván Hernández comentó que se han dado casos de ataques que pegan a todas las empresas, pero existen aquellas que tuvieron un impacto bajo, o incluso que no lo recibieron. Eso, argumentó, da un mayor resultado para el CEO que mostrarle métricas.
Lo que se debe cambiar
Para cerrar la mesa, Mistretta preguntó sobre lo que desearían cambiar los asistentes de su estrategia actual de ciberseguridad. Las respuestas fueron variadas, desde tercerizar los riesgos críticos asumidos o minimizar el tiempo del riesgo asumido, pasando por mayor participación de las áreas del negocio, líneas funcionales, hasta la postura del riesgo, presupuesto, involucramiento en roles y responsabilidades.
La que generó más consenso fue la existencia de una alineación de prioridades y definirlo como objetivo de los empleados. Hernández, de Canadian Pacific Kansas City, mencionó la creación de un área independiente de IT, con una visión más integral del negocio y un mayor soporte de la dirección general, así como evitar el conflicto de intereses.
El gerente de Seguridad de la Información y Riesgos para América de Heineken, Carlos Treviño dijo que en muchas ocasiones las otras áreas del negocio sienten que no es responsabilidad de ellas gestionar la exposición del riesgo, o incluso, el riesgo como tal.
“Muchas veces escuchamos al de ventas: ‘Es que a mí lo que me interesa es vender, no me detengas mis proyectos, yo tengo que vender’. Pero eres el principal responsable de que tu área esté gestionando los riesgos y todos los impactos que puedas tener para el negocio en ese sentido”, ejemplificó.
Añadió que se ha pasado de manejar una cultura donde el riesgo solamente se mide en las áreas de tecnología a una que son riesgos de negocio, en la que los responsables de las distintas áreas tienen que también involucrarse en esa responsabilidad.
La jornada concluyó con la coincidencia entre los participantes en torno a la necesidad de integrar la gestión de la exposición a amenazas como un proceso continuo dentro de las estrategias de ciberseguridad empresarial.
Los líderes IT subrayaron que este enfoque requiere visibilidad permanente, priorización de riesgos basada en contexto, colaboración entre áreas y automatización de acciones. También se destacó que el cambio hacia este modelo implica una transformación en la cultura organizacional, en la que el área de ciberseguridad asume un rol más proactivo en la toma de decisiones estratégicas.
Participantes
Héctor Carlos Cantú Medina, CIO y director de Proceso de negocios de Lámina y Placa Comercial; Fernando Casas González, director de IT y CX de Promotora Ambiental; Adrián Espinosa Aguilar, director ejecutivo de IT y Negocios Digitales de Praxair México; Iván Hernández Zubiria, director IT de Canadian Pacific Kansas City; Marcial Martínez, analista global de GRC de Mohawk Industries; Rubén Malerva Cruz, CISO de Autofinanciamiento México; Carlos Fernando Rodríguez de la Peña, CISO de Grupo Financiero Base; Carlos Alberto Treviño Fernández, gerente de Seguridad de la Información y Riesgos para América de Heineken, y Rubén Velasco Figueroa, CDO & CIO de Industrias Alen.
