Certidumbre en la estrategia de ciberseguridad y equipos bien preparados: Los deseos del CISO en 2021

El año pasado el mundo se puso de cabeza. Para muchos, el trabajo remoto se convirtió en la norma y la oficina en excepción. Esto trajo nuevos desafíos para los responsables de seguridad de la información en múltiples compañías. Juan Carlos Aldana, CISO de Conservas La Costeña, y Gabriel Zambrano, CISO de Femsa Servicios compartieron con IT Masters Mag parte de su lista de deseos para 2021.

Los ejecutivos citaron elementos como tener la capacidad de reacción, la velocidad de atención, el conocimiento y la posibilidad de re-educarse, así como tener la capacidad de proteger al negocio ante un entorno en el que se incrementan los ataques, con un ambiente cada vez más hostil donde hay que moverse rápido.

De qué quisiera disponer el CISO

De acuerdo con Gartner, tres de los proyectos de ciberseguridad más mencionados por los CISO para este año están relacionados con el aseguramiento de la fuerza remota de trabajo, el manejo de las vulnerabilidades basadas en riesgos y con tener disponibles plataformas de respuesta y detección extendidas de incidentes.

Juan Carlos Aldana, CISO de La Costeña

En el caso de Juan Carlos Aldana, de Conservas La Costeña, los principales retos que identifica para 2021 son cambiar el paradigma organizacional y mental de cómo se operaba antes de la pandemia frente a los desafíos actuales; atender adecuadamente la tecnología operativa de la compañía; contar con aplicaciones móviles para que los usuarios tengan acceso de forma remota y segura; así como recibir atención ágil por parte de los proveedores.

El ejecutivo desearía que los gobiernos y el entorno global tuvieran una visión más clara de hacia dónde ir en los próximos seis meses: “Así podríamos identificar los retos a los que nos enfrentaremos y las modificaciones que tienen las amenazas. Por otra parte, la interacción en el trabajo remoto trajo nuevos desafíos que debemos atacar correctamente”.

Para hacer más productiva su labor, Aldana desearía tener al alcance cuatro elementos:

  • Que hubiera foros establecidos sobre temas de seguridad orientados al trabajo diario de acuerdo a lo que se vive en América Latina.
  • Participar periódicamente en grupos de profesionales que compartan los retos a los que se enfrentan y cómo los resuelven.
  • Disponer de soluciones orientadas a la empresa y al nicho, que se amolden a las organizaciones, más allá del software y hardware que se tiene.
  • Contar con plataformas de seguridad donde se puedan consultar los riesgos o eventos que se presentan día a día con información actualizada útil para la toma de decisiones.

Por su parte, Gabriel Zambrano considera que el sueño de todo CISO es contar con personal suficiente y calificado para atender los temas de seguridad de la información a lo largo y ancho de toda la empresa; tener inventarios completos actualizados; infraestructura sin obsolescencia y subraya una pieza clave necesaria en las organizaciones: que todo el personal tenga una cultura de seguridad de información.

Gabriel Zambrano, CISO de FEMSA Servicios

Algo que haría más productiva su labor es que todos los procesos de negocio ya utilizaran la misma metodología de gestión de riesgos de seguridad de la información. Esto ayudaría a una mejor toma de decisiones en función de los riesgos de negocio. Si bien el directivo reconoce que hay un avance muy importante al respecto en Femsa Servicios, sabe que aún falta camino por recorrer.

“La ‘nueva normalidad’ y el perímetro extendido han incrementado los desafíos para el CISO: muchas soluciones existentes en el mercado no toman en cuenta los temas de seguridad de la información, así como que es necesario cuidar los datos que ahora se consultan a través de medios móviles con poca seguridad o a través de nubes sin protección”, afirmó el ejecutivo.

Entre los retos que tiene presentes para este año, Zambrano señaló que las regulaciones son cada vez más complejas, se requiere un esfuerzo adicional para implementar controles de seguridad necesarios para su cumplimiento. El directivo también se refirió a las adquisiciones de otras empresas y a la adopción de un modelo de seguridad de la información acorde a las prácticas actuales.

Desafíos del CISO

Hace unos meses, Daniel Hooper —CISO de una entidad financiera digital en Estados Unidos— lanzó una pregunta abierta a sus colegas a través de su cuenta de LinkedIn: ¿Qué haría más sencilla su vida laboral? Algunas de las respuestas que recibió se refirieron a contar con mejores habilidades analíticas y maneras de conectar el análisis psicológico y la tecnología; tener más personal de seguridad que entienda el negocio, cómo funciona y mayor personal de negocio que entienda cómo usar la tecnología para alcanzar sus objetivos, así como que todos los integrantes de su equipo tengan capacidades de soporte y se reten unos a otros para mejorar día a día.

En el terreno práctico, algunos de los señalamientos giraron en torno a que en la compañía todo el personal utilice por lo menos doble factor de autenticación para proteger la información y a incrementar el nivel de educación en ciberseguridad, ya que no solamente se trata de entender cuestiones de cumplimiento, sino conocer el programa de manejo de riesgos de seguridad para estar prevenidos.

Otros de los desafíos que los CISO expresaron a Hooper fueron contar con herramientas efectivas para proteger los datos y los activos de la compañía, además de lograr que la seguridad IT también tenga un enfoque data-driven para tomar decisiones que alineen los riesgos con actividades claras.

Un tema que forma parte de la lista de deseos del CISO desde hace tiempo es tener la habilidad para transmitir al equipo directivo el mensaje de que la ciberseguridad no es un costo, sino un habilitador del negocio. Es mucho más que una cuestión de cumplimiento o de pasar auditorías.

Desarrollar habilidades para reacción adecuada

En el más reciente IT Masters CON, Ramiro de la Rosa, CISO de Cemex, señaló que en materia de ciberseguridad hoy es necesario definir una visión a corto, mediano y largo plazo, a partir de una visibilidad clara de las necesidades del negocio.

A mediano plazo, el directivo se plantea buscar mecanismos modernos para actualizaciones, adoptar nuevos playbooks para identificar y tratar amenazas, además de formar equipos de reacción con base en ellas. También quiere identificar áreas de oportunidad y hacer continuas iteraciones.

Desde otra perspectiva, Jonathan S. Weissman, profesor titular del Departamento de Seguridad Informática del Instituto de Tecnología de Rochester, se refirió a la capacitación continua de los equipos. El académico considera que hoy más que nunca hay una gran demanda de profesionales calificados en seguridad IT.

Weissman advirtió que “los ciberdelincuentes están apuntando a las vulnerabilidades en las herramientas de trabajo desde casa para explotarlas. Peor aún, puede haber problemas de cumplimientos de normas relacionados con la información que se ve y se almacena en los dispositivos personales de los empleados”.

Parte de las preocupaciones del CISO involucran el contar con más presupuesto. Sin embargo, el factor económico no es lo más preponderante. En el nuevo entorno y como siempre, el CISO dependerá de sus conocimientos, de la fortaleza de su equipo de trabajo y la dedicación diaria.

Maricela Ochoa

Reportera de tecnología. Suele buscar temas de innovación, nuevas aplicaciones IT y seguridad de la información. Periodista por la UNAM; estudió Marketing en el ITAM y Branding en la Universidad de Bogotá Jorge Tadeo Lozano. Storyteller apasionada por la astronomía.

Related posts

Deja un comentario