La visibilidad sobre los activos digitales y los puntos de vulnerabilidad sigue siendo parcial, debido a la existencia de tecnologías no declaradas por las áreas de negocio y a la falta de inventarios completos.
En una mesa redonda del IT Masters Club, convocada por Netmedia con el apoyo de Tenable y Cycsas, 13 líderes IT responsables de la ciberseguridad de grandes organizaciones en México discutieron la transición de un modelo de gestión de riesgos hacia uno enfocado en la gestión de la exposición.
En sus palabras de apertura, la CEO de Cycsas Enaela García afirmó que son dos temas completamente distintos. “Podemos tener riesgos en diferentes momentos, pero la exposición y la explotación es lo que más nos preocupa, donde más tenemos que poner nuestros ojos para que nuestras empresas estén sanas y salvas”.
Los participantes señalaron que la exposición debe medirse y comunicarse en términos de impacto financiero, reputacional y operativo, más allá de los indicadores puramente técnicos.
También se destacó que la capacidad de traducir amenazas cibernéticas a métricas de negocio es clave para que la alta dirección priorice inversiones y estrategias preventivas.
Otro consenso fue que la ciberseguridad requiere integrar herramientas y procesos bajo una visión unificada. La automatización, la coordinación entre áreas y los ejercicios de simulación fueron mencionados como mecanismos efectivos para identificar vulnerabilidades y preparar planes de respuesta, incluso ante incidentes inevitables.
Índice de temas
Visibilidad real, pocos
Para abrir la discusión, la directora general de Netmedia, Mónica Mistretta, señaló que evolucionar de la gestión del riesgo al de la exposición “implica un cambio de paradigma, de entender el riesgo como algo estático a algo dinámico que no se detiene”.
A través de un sondeo instantáneo, se le preguntó a los asistentes qué tan clara tenían la exposición real de su organización. La mayoría (50%) respondió que “más o menos”, mientras que 33% señaló que la tenía “muy clara”.
La directora de Innovación de Grupo Salinas, Ewelina Rodríguez, reconoció que “es muy muy difícil saber por dónde puede venir un ataque”, sobre todo en una compañía de gran tamaño. “Somos muy conscientes, porque al final somos una institución financiera, entonces lo manejamos con mucha seriedad”.
En la opinión del CISO de Bnp Paribas Cardif, Francisco García, “sería muy pretencioso decir que muy claro”. Apuntó que —en su caso, que respondió “más o menos claro”— hay claridad en cuanto a lo que está dentro del marco de control; sin embargo, “sabemos que hay muchas herramientas que utilizan las áreas de negocio conocidas como Shadow IT, y eso es un dolor de cabeza, que no las descubres hasta que no tienes algún problema”.
El director de Sistemas e IT de ICEE de México, Marco Antonio Gómez, coincidió al señalar que hablar de visibilidad real “es un poco aventurado”. En su intervención, compartió que si bien no han sido impactados a un punto de parar la operación, la concientización de la alta dirección ha sido clave para cambiar su enfoque de ciberseguridad.
“Aceptablemente protegidos”
El CISO Latam de PPG Industries, José Luis Benítez, también consideró que la visibilidad depende del tamaño de la organización.“La realidad es que diario nos encontramos con algo nuevo, exposición por todos lados. Cuando creemos que avanzamos en un tema al día siguiente surge otro”.
Al argumentar su voto por la misma respuesta, la CIO de Grupo Marti, Rosalinda Montemayor, aseguró que “estamos aceptablemente bien protegidos, no cuidados, porque siempre estamos expuestos” y habló del triángulo al que se enfrentan: tecnología-procesos-usuarios. “Normalmente, la parte más débil son los queridos usuarios, donde se rompe la cadena, por más que tengas cursos”, dijo.
El director de Seguridad de la información de Banco Nacional de Obras y Servicios Públicos Humberto Rosales, señaló que “como no tenemos al 100% la visibilidad, “lo que estamos haciendo es un estudio paralelo para descubrir la exposición y lo estamos complementando con que el impacto lo estamos manejando desde el área de negocio”.
Compartió que actualmente trabajan en “una visión integral, en donde sí podamos tener, de forma razonable, el conocimiento del nivel de exposición, transmitirlo a la alta dirección”.
La desconectada relación con otras áreas
Para la mayoría de los asistentes (75%) reconoció que el principal obstáculo que les impide mejorar esa visibilidad es la poca integración entre áreas.
El CISO de Coppel David Jiménez detalló que “no solo son las herramientas, a veces también son los procesos o los trabajos en silos de las áreas. Puedes tener las herramientas integradas, pero si los procesos no te llevan a explotarlas”.
Tras reconocer que las áreas de tecnología históricamente “sí son las malas de la historia, que dicen ‘no’ a todo”, el director de IT y Datos, propietario sénior de Producto de Danone de México, César Sanabria, afirmó que “estamos tratando de cambiar eso, que IT se siente a la mesa con negocio y colidera el negocio”.
Para el gerente de Seguridad estratégica de Conservas La Costeña, Juan Carlos Aldana, “si no tienes un área completamente desarrollada, con capacidad de atender a las diferentes áreas, estas empiezan a caminar por sí solas para obtener el resultado relacionado con sus indicadores, su desempeño y objetivos”.
Se alistan para cambiar a gestión de la exposición
Casi ocho de cada 10 asistentes aseguraron que están en camino para evolucionar hacia la gestión de la exposición.
El CIO de Operaciones y Continuidad de negocio de Banco Azteca, Reyes Nava, comentó: “Sabemos que hay un riesgo, que estamos expuestos y obviamente nos estamos preparando. No tenemos el 100% de todos los gaps superados, pero estamos buscando, si hay un riesgo, tener un plan B”.
En la opinión de la CISO de BanCoppel Erika Mata, “es al revés, casi todo el mundo habla primero de exposición y después de riesgo”.
Mata añadió que “si ya tienes un equipo que entiende perfecto el tema de exposición, incluso con la gente y procesos, es más fácil moverte a un tema de riesgos”.
Varias organizaciones han comenzado a implementar consejos tecnológicos y mecanismos de revisión para asegurar que cualquier proyecto digital incorpore medidas de seguridad desde su diseño.
También se discutió la importancia de crear espacios controlados para que las áreas de innovación experimenten sin comprometer la operación.
Este enfoque busca equilibrar la adopción ágil de nuevas herramientas con una supervisión que limite la superficie de ataque, evitando que el crecimiento de las empresas ocurra sin una arquitectura de seguridad definida.
Asistentes
Juan Carlos Aldana Ayala, gerente de Seguridad estratégica de Conservas La Costeña; José Luis Benítez Santana, CISO Latam de PPG Industries; Francisco Salvador García Dayo, CISO de Bnp Paribas Cardif; Marco Antonio Gómez Moreno, director de Sistemas e IT de ICEE de México; David Jiménez Domínguez, CISO de Coppel; Erika Mata Sánchez, CISO de BanCoppel; Milton Carlos Mejía Galván, subdirector de Infraestructura y Seguridad IT de Fármacos Especializados; Rosalinda Montemayor Romero, CIO de Grupo Marti; Reyes Nava Solano, CIO de Operaciones y Continuidad de negocio de Banco Azteca; Ewelina Rodríguez Leal, directora de Innovación de Grupo Salinas; Humberto David Rosales Herrera, director de Seguridad de la información de Banco Nacional de Obras y Servicios Públicos; Óscar Octavio Salgado Álvarez, CIO de Grupo Mexicano de Seguros; César Ulises Sanabria, director de IT y Datos, propietario sénior de Producto de Danone de México.
