La seguridad de la información es un problema muy difícil de resolver, especialmente en América Latina. En 2020 se duplicaron los ataques informáticos y México recibe 17% de ellos, el tercer lugar en la región. Lo peor es que no existe un marco regulatorio suficiente, en las organizaciones no hay programas 100% efectivos en ciberseguridad y la conciencia sobre su importancia es débil entre el personal. Este escenario es ideal para que el cibercrimen festine y las empresas vean afectados sus negocios cuando menos se lo esperan. ¿A qué tácticas y estrategias están recurriendo los líderes IT y de Seguridad? IT Masters Mag reunió a 20 de los más destacados en el país en la 19ᵃ edición de las mesas redondas vTalks.
Las empresas que amablemente participaron, gracias al patrocinio de S21Sec, fueron: Arca Continental, Banco del Bajío, Cerrey, Escuela Bancaria y Comercial, Grupo Ado y Empresas Coordinadas, Grupo Financiero Banorte, Grupo PROMAX, Ica Fluor, Instituto de la Función Registral del Estado de México, Instituto Federal de Telecomunicaciones, Instituto Tecnológico y de Estudios Superior de Mty Campus CDMX, Kiekert de México, La Latinoamericana Seguros, Monex Grupo Financiero, Nacional Monte de Piedad, Ofix, PPG Industrias, Quimica Apollo, Secretaría de Relaciones Exteriores, Sociedad Hipotecaria Federal.
La actual es una época de violencia digital sin precedentes. Todas las semanas los sectores privado y público padecen nuevos ataques cada vez más sofisticados, mejor planificados y con botines más abultados para los cibercriminales. De acuerdo con el Foro Económico Mundial, las juntas directivas y los equipos de alta gerencia ya están viendo al riesgo cibernético entre los tres problemas más difíciles de evadir y el más potencialmente dañino para las fuentes de ingresos.
Para 2025, de acuerdo con Gartner, 40% de las juntas directivas tendrá un comité de ciberseguridad dedicado, en lugar de menos del 10% actual. En 2024, el 60% de los CISO necesitarán establecer asociaciones críticas con ejecutivos clave en Ventas, Finanza y Marketing para mantener la operación andando sin demasiados problemas.
Una encuesta rápida realizada a los asistentes de la mesa redonda reveló que más del 65% siente una preparación deficiente o regular respecto a su capacidad para administrar el riesgo de forma integral. La habilidad de detectar y responder a amenazas también se mantuvo en niveles preocupantes. En cuanto al manejo de identidades y accesos los líderes IT tienen más confianza: más de la mitad considera buenas sus políticas, pero aún un porcentaje importante se siente desprotegido. Uno de los aspecto que más atormenta a los CIO y CISO actualmente es la prevención del fraude omnicanal: El 44% se siente muy lejos de la preparación ideal.
Para Rubén Quintero, subdirector de Seguridad de la Información de Sociedad Hipotecaria Federal, una de las fuentes de esta tortuosa situación es que la seguridad y el nivel de servicio a los usuarios siempre se enfrentan. “Remediar las vulnerabilidades implica tiempo y poner en pausa algunos sistemas. Eso tiene un impacto fuerte en los usuarios y potencialmente en el negocio, por lo que no puede hacerse con ligereza. Hemos ido avanzando en este camino, pero a la dirección y a los mismos usuarios le cuesta entender que este es un tema estratégico, no técnico”, indicó.
El sector financiero es justamente uno de los que más dificultades tiene. El director de IT de La Latinoamericana seguros, Miguel Camacho, expresó que se siente con las manos atadas. “Entre las regulaciones y las necesidades del negocio hay poco márgen para moverse. Si detectas actividad sospechosa y detienes un servicio te comienzan a llegar quejas. Nadie quiere arriesgar la operación por un riesgo potencial, aún cuando la evidencia indica que ya no es ‘potencial’. Todos vamos a ser atacados, y no solo una o dos veces. Es una circunstancia para la que no se ve un final claro”, agregó.
Un elemento clave ahí es la resistencia no solo por parte de los empleados, sino de la alta dirección. Los asistentes coincidieron en que concientizar a los directores sigue siendo un camino cuesta arriba. Muchas veces se niegan a que les restrinjan accesos, se sienten por sobre las normativas de seguridad y las consecuencias pueden ser catastróficas.
Pero como bien señaló Elías Castellanos, director de Tecnologías de Información de Ofix, el board entiende con base en números. “Hay que asustarlos, ese es el primer paso. Los datos están, por lo que podemos calcular sin problemas cuánto cuesta tener la operación detenida dos días por culpa de un ransomware. El rol de ciberseguridad es conseguir un equilibrio entre la operación y la seguridad. No podemos lograrlo sin concientizar a la gente, aunque a veces nos sintamos como Sísifo empujando la piedra. Es un tema de nunca acabar, pero debe ser el centro de la estrategia de ciberseguridad”, dijo Castellanos.
La máxima al respecto parece ser que la seguridad de la información es un tema de la alta dirección, no tecnológico. A menos que el liderazgo empuje la conciencia de ciberseguridad, será muy difícil instalarla entre los empleados o justificar las inversiones necesarias. Aunque a este último punto es posible aproximarse con buenas estrategias que abaraten costos. “Hay solo 251 organizaciones que tienen la certificación ISO 27001, de seguridad de la información, en México. Eso me parece alarmante. Es un problema muy grande”, expresó José Antonio Hernández Flores, director de Informática del Instituto de la Funcion Registral del Estado de México. “Mi opinión es que hay que aproximarse a estos referentes, ya sea ISO u otros, para tener controles que en efecto aumenten la ciberseguridad sin necesariamente gastar dinero. Hay caminos baratos y seguros que pueden convencer con mayor facilidad a los directores”, agregó Hernández.
Otra preocupación para los expertos en ciberseguridad es el trato con los proveedores. La mayoría siente que la relación no es honesta. La oferta de servicios de seguridad es muy grande y diversificada, lo que resulta en que muchas empresas terminan comprando 15 productos distintos, aumentando de paso la complejidad, la dificultad de administrarlos y el dinero invertido. La organizaciones exigen un compromiso mayor y más a la medida por parte de los proveedores.
Laura Requena, Gerente de Ciberinteligencia de LATAM de S21Sec, entregó el punto de vista del proveedor, que muchas veces debe apoyar a los líderes IT para convencer a la alta dirección de invertir en soluciones de ciberseguridad. “Parece que se toman más en serio los riesgos si llega alguien externo a plantearlos. Lo que hemos detectado es que el discurso no debe fundarse en las restricciones, sino en desarrollar un ojo crítico con respecto a la ciberseguridad. Los directivos deben primer comprender los riesgos, no solo sufrir las limitaciones. Desde ahí también se desprende el problema de contratar muchos servicios de seguridad y utilizar pocos. Es nuestro rol ayudarles a entender qué deben priorizar”, abundó Requena.
El eslabón más débil puede fortalecerse
¿Cuáles son las prioridades actualmente para los encargados de seguridad? Los asistentes consideraron que el ransomware, la amenaza de la ingeniería social y la seguridad de los datos en la nube son las preocupaciones más urgentes. Para enfrentarlas, como ya se mencionó, muchos consideran que más allá de las herramientas la clave está en que los usuarios no cometan errores, pero existe desacuerdo en este punto: “El eslabón más débil es el usuario, pero los encargados de seguridad podemos transformarlos en una barrera muy fuerte. No se trata de asustarlos. Deben participar, estar presentes en el proceso. Nadie puede darse el lujo de despreocuparse”, destacó Claudia Galindo.
El CIO de Monex, Luis Enrique de La Vega, coincide con este punto: “Por más que capacites a las personas la curiosidad va a terminar venciendo. Tarde o temprano alguien abrirá un correo con código malicioso o va a caer en un phishing. No podemos responsabilizar solo a las personas, debemos intentar mitigar los riesgos y segmentar nuestros sistemas. Ya sabemos que nos van a pegar, nuestro rol es asegurarnos de que no nos van a pegar tan fuerte como podrían”.
Requena, de S21Sec planteó un buen ejemplo para ilustrar el último punto: “Nos paramos de incógnito en la entrada de las oficinas de un cliente y regalamos cápsulas de café, junto con un USB que contenía un malware. Fueron decenas de personas las que usaron el USB sin utilizar ningún análisis de seguridad. Así de fácil es vencer las barreras en algunas ocasiones”.
Muchos de los IT Masters que participaron de la mesa estuvieron de acuerdo en que el rol del encargado de seguridad es caminar por una delgada cuerda floja. Deben tenerse claro dos escenarios de ciberseguridad: el mínimo indispensable y el nice to have, pero la mayoría se verá en la obligación de transitar más bien por el centro. Mantener el equilibrio es lo que definirá el éxito en la mayoría de las organizaciones. Quizás lo más importantes es que nadie se siente invulnerable. La certerza es que los ataques llegarán: ningún esfuerzo que contribuya a reducir los impactos para el negocio va a ser exagerado.
Los líderes IT que nos honraron con su presencia en este vTalk fueron: Alfredo Aranguren Tarazona, Francisco Rafael Flores De La Paz, Norberto Galindo Rámirez, Oscar Mario García Tirado, César Iván Ochoa García, Manuel Anglés Hernández, Mario Antonio García Olvera, Enrique Alejandro Susarrey Sánchez Hidalgo, José Antonio Hernández Flores, Guillermo Fernández Martínez, Claudia Julieta Galindo Reza, Armando Méndez Hernández, Miguel Porfirio Camacho Valerdi, Luis Enrique de La Vega Madrigal, Luis Felipe Rubalcava Moreno, Elias Castellanos González, Gabriel Olguín, Juan Carlos Ortiz de Montellano, Juan Víctor Reyna Villanueva, y Rubén Quintero Ubando
