vTalk: Los riesgos invisibles en la transformación digital

La aceleración de proyectos digitales bajo presión, como sucedió en el último año, no estuvo exenta de riesgos.  Gestionar de forma correcta las identidades, educar a la organización y alinearse con la alta dirección son algunos de los desafíos de seguridad que 23 líderes IT mexicanos compartieron en la 15.ª edición de la serie vTalks.

Con el apoyo de RSA Security, acudieron al debate los CIO de las siguientes organizaciones: Afirme Grupo Financiero, Astrazeneca, Cerrey, Christus Muguerza, S.A.P.I., Consorcio Ara, El Universal, Femsa Servicios, General Electric Internal de México, Grupo Cydsa, Grupo Financiero Banorte, Grupo Gentera, Grupo la Comer, Hutchison Port Holdings, Instituto de la Funcion Registral del Estado de México, Instituto Tecnológico y de Estudios Superior de Monterrey, Kiekert de México, Monex Grupo Financiero, Nacional Monte de Piedad, Productos Medix, Viakem y Walmart de México.

La crisis sanitaria puso de manifiesto la urgencia de adoptar aplicaciones as-a-service, migrar a la nube, habilitar el trabajo remoto, profundizar eCommerce, automatizar procesos y utilizar analítica para superar los retos del momento. Más de un año después —y ya en las postrimerías de la pandemia—, con un poco más de serenidad es momento de consolidar una estrategia de ciberseguridad que reduzca las vulnerabilidades y disminuya los riesgos que tuvieron que correrse. La paradoja, en opinión de los expertos invitados, es que innovación y seguridad informática suelen ser caminos opuestos. Cada nueva aplicación y actualización a la infraestructura tiene el potencial de apalancar el crecimiento del negocio, pero también abre puertas al cibercrimen.

Son esas las que más preocupan a los líderes IT de México. En un sondeo instantáneo realizado entre los participantes de la mesa redonda, el manejo de identidades obtuvo el primer lugar en importancia a nivel de riesgos, seguido de los ataques de phishing y todo lo relacionado con el trabajo remoto. Para Fernando Velázquez, director de Tecnología, Transformación e Innovación de Walmart, si quiere alcanzarse un grado saludable de seguridad hay que poner el foco sobre la gestión de los elementos IT. “La pandemia nos enseñó a gobernar mejor la tecnología: dónde pongo los datos, dónde viven, e incluso dónde mueren. Corresponde al momento de convergencia de plataformgeas tecnológicas que vivimos, en la que es obligado integrar, a pesar de que se elevan los riesgos. Por más herramientas de seguridad, compartir información va a ser peligroso, especialmente cuando se trata de terceros, como los proveedores. Uno tiene que confiar un poco a ciegas”.

Los líderes IT reconocieron que la situación rebasó el alcance de sus municiones, barreras, diques, muros y trincheras, máxime cuando siguió extendiéndose. “Pensamos que todo iba bien. Teníamos trabajo remoto para un cierto porcentaje de la plantilla laboral, contábamos con plataformas seguras de acceso y con VPN, pero de pronto tuvimos que mover multitudes hacia esta dinámica y no dimos abasto. No teníamos suficientes cuentas ni suficientes equipos de cómputo”, comentó Hernando Guerra, CIO de Viakem, empresa de agroquímicos que no detuvo sus operaciones. Guerra tuvo que comprar equipos, habilitar nuevas licencias, sumar software de seguridad en las computadoras personales del personal y reforzar la educación en ciberseguridad. “Son muchos pasos, muchos cambios simultáneos y en ese contexto una vulnerabilidad puede pasar desapercibida”, añadió.

Quienes no tuvieron que implementar cambios demasiado dramáticos tampoco pudieron bajar la guardia. Es el caso de Femsa Servicios, la compañía de comercio minorista, embotelladora de Coca-Cola y operadora de estaciones de combustible, que sumó trabajadores a la modalidad remota sin muchas complicaciones. Sin embargo, su CISO, Gabriel Zambrano, sabía que no podían quedarse operando bajo un arreglo temporal. Era clave definir un plan de continuidad para la contingencia que mitigara los riesgos informáticos. “Nos dimos cuenta de que era urgente establecer un esquema de monitoreo basado en accesos, con privilegios muy regulados. Había que asegurar que todas las herramientas de seguridad estuvieran disponibles para el trabajo. Un acceso privilegiado desde fuera de la red es el peor contrincante que puedes encontrarte”, indicó el ejecutivo.

Es en la gestión de identidades donde comienza el riesgo, aseguró Juan Enrique Latorre, director regional de Ventas de RSA. “Si no tienes bien identificados tus activos y tus usuarios, estás exponiéndote. No se trata solamente de controlar el acceso y asegurarlo, sino de generar un gobierno de la identidad”, agregó.

Sin cultura no hay seguridad

Las crisis suelen ser detonantes de resiliencia y creatividad en las personas. No hay organización que no haya salido fortalecida de la dramática situación del último año. Los cambios a nivel estructural y el compromiso renovado de los trabajadores con las áreas digitales y de seguridad podrían tener consecuencias positivas durante muchos años. El Tec de Monterrey, por ejemplo, tuvo que romper su estructura organizacional, modificar el gobierno de la información y generar nuevos equipos de trabajo para hacer frente a la pandemia. “El departamento IT estuvo presente en el proceso. Eso nos ayudó a entender muy bien las necesidades de cada área y detectar mejor los riesgos. Aprendimos que, como no podemos evitarlos, nuestra responsabilidad es gestionarlos y enfrentarlos, no solo dentro de IT sino la organización en su conjunto”, comentó Claudia Galindo, directora IT del Tecnológico de Monterrey, campus CDMX.

Doble factor de identificación, bóvedas de contraseñas, VPN y planes de contingencia fueron algunas de las armas con la que los CIO y CISO enfrentaron los riesgos ocultos de la transformación digital, pero quizás la revolución más profunda se dio a nivel cultural. Todo el mundo se vio en la necesidad de reforzar la ciberseguridad en todas las áreas de la empresa, con la esperanza de que los aprendizajes perduren en el tiempo.

Un aliado indispensable en esta misión es el CEO. “La gente se negaba a utilizar el doble factor de autenticación. Eso cambió gracias a nuestro director general. Bastó que mencionara su importancia en una junta para que se detuvieran las quejas”, comentó Alejandro Plascencia, director IT de Hutchison Port Holdings.

Otra variable que ayudó a los IT Masters fue, paradójicamente, sufrir vulneraciones en su seguridad.

Guillermo Garrido, CIO del Tec de Monterrey, relata que descubrieron casos de suplantación de identidad tanto entre alumnos como entre profesores. “Eso generó mucho ruido, a pesar de que lo detectamos a tiempo. Pero fue positivo: las personas de todas las áreas empezaron a tomarse en serio la ciberseguridad. Sabían que podían ser objeto de un fraude y nadie quiere encontrarse en esa situación”.

Los IT Masters estuvieron de acuerdo en tres puntos fundamentales para enfrentarse a los riesgos informáticos que detonó la transformación digital acelerada:

  1. Ampliar la conciencia del riesgo digital a todos niveles.
  2. Contar con el apoyo de la dirección.
  3. Gestionar adecuadamente los riesgos inevitables.

Con respecto al último punto, Carlos Bravo, CISO de la compañía financiera Grupo Gentera, dijo: “Si detecto un riesgo no significa que mi trabajo esté mal hecho. No es el rol de nadie eliminar al 100% los riesgos, sino gestionarlos, saber a qué le apuestas y estar preparados para responder a tiempo”.

A pesar de ser uno de los aspectos para el que los CIO y CISO se sienten mejor preparados, pocos se sienten del todo preparados. (Uno es igual a nada preparado y cinco es igual a muy preparado.)

Galindo, del Tec de Monterrey, complementó: “Si hay riesgos permanentes deben existir estrategias de protección permanentes, no solo cuando llega un ataque. Parte de nuestra responsabilidad como líderes IT es adoctrinar con respecto a los riesgos de ciberseguridad. Todos deben ser conscientes de su rol, pero si no elevamos el grado de importancia no habrá cooperación.”

Conseguir un equilibrio entre innovación y seguridad es, ha sido y seguirá siendo la clave. Con el crecimiento rápido y constante de las amenazas y la necesidad de ir cada vez más rápido, los IT Masters y expertos en seguridad no podrán bajar la guardia. 

Los IT Masters que participaron de esta edición de vTalks, fueron: Jacobo Escamilla, Mario Antonio Coria Huerta, Norberto Galindo Ramírez, Jesús David Díaz Garaygordóbil, Ericka Leija, Antonio Valle López, Gabriel Zambrano Elizondo, Hugo Vicente Amezcua Melo, Sergio Alanis, Martha Angélica Arana Cruz, Guillermo Güémez Sarre, Carlos Andrés Bravo Flores, Flor Esthela Argumedo Moreno, Alejandro Alfredo Plascencia Vela, José Antonio Hernández Flores, Claudia Julieta Galindo Reza, José Guillermo Garrido García, Armando Méndez Hernández, Luis Enrique de La Vega Madrigal, Luis Felipe Rubalcava Moreno, Juan Edgar Martínez Requenes, Hernán Elionay Guerra Martínez y Fernando Velázquez.

http://salalacalleymuere.tumblr.com

Director editorial de IT Masters Mag. Experto en gatos, libros y en los intrincados procesos tecnológicos que atraviesan el funcionamiento de las sociedades en todas sus expresiones.

Related posts

Deja un comentario