Alinear la seguridad IT con la estrategia y objetivos de la empresa es uno de los retos principales que enfrenta un director de seguridad de la información. Para lograrlo, Erika Mata, CISO de BBVA Bancomer, considera que además de involucrarse con procesos y estrategias, es necesario conocer y evaluar los riesgos que enfrenta el sector, así como contar con un equipo confiable y bien preparado.
Adicionalmente, en su opinión, la alta dirección tendría que entender que el problema de seguridad de la información no solo compete al área de IT, sino que es importante para todos los niveles de la organización.
Erika Mata tiene una trayectoria profesional de más de 17 años en el sector financiero y bancario, en la que ha acumulado experiencia en IT, seguridad de información, riesgos y auditoría. Antes de llegar a BBVA Bancomer en 2017, la ejecutiva se desempeñó como directora de seguridad de información y CISO en GNP y posteriormente cumplió la misma función en Scotiabank México.
La ejecutiva cuenta también con una trayectoria académica de peso: es maestra en Ciencias de la computación por el Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM), y posee un doctorado en Seguridad de la información y sistemas, por la École Pratique des Hautes Études de París, además de un diplomado en Seguridad informática por el ITESM.
Hoy, Erika Mata trabaja en un ambiente donde todos traen “en las venas” el tema de la transformación digital y trabajan para crear una cultura más ágil, más enfocada en proceso y en resultados. “Esto es algo que permea desde la alta dirección hasta abajo. Por ello, si logramos incluir la seguridad desde el inicio de los proyectos IT, desde el diseño de nuevos modelos de negocio, entonces yo creo que logramos superar los principales retos”.
Para Mata resulta clave estar “en los círculos donde se hacen las definiciones de estrategias para ir hacia nuevos mercados, modelos de negocio y operaciones, esto permite que el CISO haga su parte creando programas y estrategia de seguridad para dar certeza sobre activos, sobre tecnologías y otros temas alrededor del manejo de información”.
No está de más recordar que contar con un CISO dentro de las empresas es considerado, según el reporte “Ciberseguridad y privacidad: De la percepción a la realidad” , como una de las cuatro mejores soluciones en el campo de la seguridad informática, a la par de utilizar biometría, autenticación avanzada, y crear líneas de base y normas de seguridad para empleados, clientes, proveedores y/o vendedores externos.
La Global State of Information Security Survey (GSISS) 2018 indica que hoy el sector financiero es el más avanzado en ciberseguridad. 65% de las entidades financieras del país planea invertir más en la protección de datos de sus clientes y cerca de 70% aumentará su inversión en la adopción de tecnologías de encriptación, tanto dentro como fuera de la organización.
Regulación y la importancia de un buen equipo
Uno de los retos que identifica Mata desde su posición es que al formar parte de los sectores más regulados en el mundo –adelante de las instituciones de salud– se corre el riesgo de desarrollar estrategias basadas en lo que la regulación les pide, de manera acotada, no necesariamente teniendo a la seguridad IT como prioridad.
Para la entrevistada es un riesgo que el primer pensamiento en seguridad sea cumplir con las regulaciones, para no tener sanciones o para simplemente poder operar: “Hay que tener un enfoque organizacional y pensar en términos de cumplimiento, marcos regulatorios, estándares, pero también en el alcance de IT en beneficio del negocio”.
Mata indica que el sector financiero desde hace unos años habla de tres líneas de defensa:
- 3ª. Auditoría, donde un ente independiente de la operación del negocio y de la toma de decisiones evalúa la efectividad de controles en todos los sentidos.
- 2ª. Control interno, en el que se vigila la efectividad de los protocolos internos para reducir riesgos de la operación. Aquí entra la parte normativa de seguridad, porque es donde se observan las políticas, los estándares, las normas, las guías, los procesos de seguridad.
- 1ª. Controles operativos, que se concentra en la administración de usuarios y seguridad en la red. Esta primera línea de defensa es una de las más fundamentales para la seguridad de la organización.
Para alcanzar sus objetivos Mata reconoce que formar un buen equipo es otro importante reto del CISO. “Siempre decimos ‘el eslabón más débil es la gente’, pero ¿qué estamos haciendo para educarla, entrenarla, para enseñarle?”
“Hoy es muy demandada la gente de seguridad IT. Sobre todo luego de los ataques que se dieron a conocer en mayo o el que se hizo en Bangladesh al sistema de transacciones bancarias SWIFT, ocurrido a inicios del año pasado”. En este marco, estadísticas citadas por Mata indican que 80% de los ataques de una organización proviene de fallas humanas o de errores humanos, “y, aunque, por definición, este tipo de errores no son intencionales, sí hay fallas al desarrollar mal, no hacer pruebas o configurar equivocadamente”.
De ahí que la conformación de los equipos de trabajo sea un tema importante para la entrevistada. “Porque hay un déficit a nivel mundial de gente especializada en seguridad IT. En México hay pocas opciones de formación estructurada y formal en la materia”.
Mata considera que no basta con haber tomado un curso de Hackeo ético para saber de seguridad. “Seguridad tiene una gama muy amplia de especialidades, unas son muy técnicas y otras más enfocadas en proceso y en temas de negocio. Si hay alguien bien formado, una de sus tareas es enseñarle al equipo, detonar su potencial de crecimiento. Aquí, la clave es la pasión, porque si no te gusta, si nada más estás porque te pusieron, no funcionará”.
La ejecutiva afirma que la gente que está en seguridad IT necesita ser cien por ciento confiable, pues aunque no vaya a manejar directamente la información se hará cargo de procesos que incluyen controles y debe tener visión de cómo hacer que el negocio funcione correctamente.
“La posibilidad de que pirateen a jugadores clave es un riesgo que hay que correr por el bien de la organización. Si la gente está apasionada por lo que hace, la organización puede buscar maneras de retenerlos. Ahí vemos que la educación continua es básica al momento de ponerse las pilas para saber qué quiero hacer del negocio sin exponerlo”.
Seguridad IT: tema de la organización, no solo del CISO
Entre los retos del CISO, Mata afirma que está hacer un diagnóstico de seguridad para definir una estrategia basada en la administración de los riesgos inherentes al negocio.
“El riesgo no se elimina, las organizaciones son vivas, pasan transformaciones, los entornos socioeconómicos, políticos, geográficos y regulatorios definen el rumbo que van tomando. Hacer seguridad IT significa que necesitamos un modelo de gobierno, desarrollar políticas estables y compartirlas con todo mundo. Educarnos todos y hacer ejercicios de concientización en comités es clave”, afirma la directiva.
Mata citó una encuesta de Deloitte, donde se indica que el phishing es responsable de 35% de los ataques a usuarios IT y por otra parte hay la expectativa de que en 2018, los ataques internos lleguen a 40%. La entrevistada considera que esas vulneraciones se debieron a fallas, errores y deficiencias de un modelo de gobierno de seguridad que no estaba bien definido. “Ahí está la prueba de que las políticas no están permeando a toda la organización. El modelo de seguridad no es solo para el área responsable de seguridad, es para toda la institución, internos, externos, todos”.
Finalmente, para Mata, el nivel de riesgo “depende de cada organización, cada una tiene un apetito de riesgo, sus propios procesos, su propio idioma, es en ese sentido en que tenemos que trabajar con ‘mejores prácticas’, nuestras mejores prácticas siempre, las que se adapten y funcionen correctamente en la organización”.
