La visibilidad sobre los activos digitales y los puntos de vulnerabilidad sigue siendo parcial, debido a la existencia de tecnologías no declaradas por las áreas de negocio y a la falta de inventarios completos.
En una mesa redonda de IT Masters Club, convocada por Netmedia, 13 líderes IT responsables de la ciberseguridad de grandes organizaciones en México discutieron la transición de un modelo de gestión de riesgos hacia uno enfocado en la gestión de la exposición.
Los participantes señalaron que la exposición debe medirse y comunicarse en términos de impacto financiero, reputacional y operativo, más allá de los indicadores puramente técnicos.
También se destacó que la capacidad de traducir amenazas cibernéticas a métricas de negocio es clave para que la alta dirección priorice inversiones y estrategias preventivas.
Otro consenso fue que la ciberseguridad requiere integrar herramientas y procesos bajo una visión unificada. La automatización, la coordinación entre áreas y los ejercicios de simulación fueron mencionados como mecanismos efectivos para identificar vulnerabilidades y preparar planes de respuesta, incluso ante incidentes inevitables.
Ver fotogalería
Índice de temas
Visibilidad real, pocos
Para abrir la discusión, la directora general de Netmedia, Mónica Mistretta, señaló que evolucionar de la gestión del riesgo al de la exposición “implica un cambio de paradigma, de entender el riesgo como algo estático a algo dinámico que no se detiene”.
A través de un sondeo instantáneo, se le preguntó a los asistentes qué tanta visibilidad tenían.
La directora de Innovación de Grupo Salinas, Ewelina Rodríguez, reconoció que “es muy muy difícil saber por dónde puede venir un ataque”, sobre todo en una compañía de gran tamaño. “Somos muy conscientes, porque al final somos una institución financiera, entonces lo manejamos con mucha seriedad”.
El CISO Latam de PPG Industries, José Luis Benítez, también consideró que la visibilidad depende del tamaño de la organización.“La realidad es que diario nos encontramos con algo nuevo, exposición por todos lados. Cuando creemos que avanzamos en un tema al día siguiente surge otro”.
En la opinión del CISO de Bnp Paribas Cardif, Francisco García, “sería muy pretencioso decir que muy claro”. Apuntó que —en su caso, que respondió “más o menos claro”— hay claridad en cuanto a lo que está dentro del marco de control; sin embargo, “sabemos que hay muchas herramientas que utilizan las áreas de negocio conocidas como Shadow IT, y eso es un dolor de cabeza, que no las descubres hasta que no tienes algún problema”.
El director de Sistemas e IT de ICEE de México, Marco Antonio Gómez, coincidió al señalar que hablar de visibilidad real “es un poco aventurado”. En su intervención, compartió que no si bien no han sido impactados a un punto de parar la operación, la concientización de la alta dirección ha sido clave para cambiar su enfoque de ciberseguridad.
Al argumentar su voto por la misma respuesta, la CIO de Grupo Marti, Rosalinda Montemayor, aseguró que “estamos aceptablemente bien protegidos, no cuidados, porque siempre estamos expuestos” y habló del triángulo al que se enfrentan: tecnología-procesos-usuarios. “Normalmente, la parte más débil son los queridos usuarios, donde se rompe la cadena, por más que tengas cursos”, dijo.
Si bien el tema da para muchos horas más, la discusión concluyó tras dos horas. Los asistentes plantearon que el avance hacia un modelo de exposición exige procesos internos capaces de identificar tecnologías no declaradas y evaluar su impacto antes de que generen incidentes.
Varias organizaciones han comenzado a implementar consejos tecnológicos y mecanismos de revisión para asegurar que cualquier proyecto digital incorpore medidas de seguridad desde su diseño.
También se discutió la importancia de crear espacios controlados para que las áreas de innovación experimenten sin comprometer la operación.
Este enfoque busca equilibrar la adopción ágil de nuevas herramientas con una supervisión que limite la superficie de ataque, evitando que el crecimiento de las empresas ocurra sin una arquitectura de seguridad definida.
Asistentes
Juan Carlos Aldana Ayala, gerente de seguridad estratégica de Conservas La Costeña; José Luis Benítez Santana, CISO Latam de PPG Industries; Francisco Salvador García Dayo, CISO de Bnp Paribas Cardif; Marco Antonio Gómez Moreno, director de Sistemas e IT de ICEE de México; David Jiménez Domínguez, CISO de Coppel; Erika Mata Sánchez, CISO de BanCoppel; Milton Carlos Mejía Galván, subdirector de Infraestructura y Seguridad IT de Fármacos Especializados; Rosalinda Montemayor Romero, CIO de Grupo Marti; Reyes Nava Solano, CIO de Operaciones y Continuidad de negocio de Banco Azteca; Ewelina Rodríguez Leal, directora de Innovación de Grupo Salinas; Humberto David Rosales Herrera, director de Seguridad de la información de Banco Nacional de Obras y Servicios Públicos; Óscar Octavio Salgado Álvarez, CIO de Grupo Mexicano de Seguros; César Ulises Sanabria, director de IT y Datos, propietario sénior de Producto de Danone de México.
