<
 
 
 

La seguridad no es un problema tecnológico

Bajo el título de “Seguridad en Redes 2007” se llevó a cabo otro de los exitosos seminarios de Alta Dirección en TI de Infoworld México, el cual contó con la asistencia y participación de más de 110 directivos especialistas en seguridad, redes y telecomunicaciones de las más destacadas empresas de nuestro país.
            En dicho seminario participaron la Asociación Latinoamericana de Seguridad (Alapsi), Attachmate e IDC y contó con dos historias de éxito en implementación de seguridad: AT&T y Grupo Ece.
            “La seguridad no es un problema tecnológico”, expresó Israel Cortés, Director de Consultoría de Integridata, y miembro de la Alapsi,  al hablar sobre la seguridad: verdades, mentiras, “es un problema de negocio, de gente y organizacional”, pues “confiar en que los empleados, clientes, competidores y externos actuarán de forma ética y preventiva no dará resultado”.
            Destacó la característica de la seguridad de hoy en día es que “es relativa y dinámica, con esto podemos concluir que lo que hoy puede ser seguro, mañana seguramente no lo será.  Por lo anterior, podemos concluir que la seguridad es un proceso continuo”.
un marco normativo que describe los lineamientos a seguir en seguridad”, y que deberá abarcar 8 aspectos como Análisis de vulnerabilidades; Corrección de vulnerabilidades, Desarrollo de normatividad; Análisis de riesgos de seguridad; Adquisición e instalación de herramientas; Area de seguridad Informática; Estrategia de seguridad; programa de Conscientización de Seguridad.
            Israel Cortés enumeró cuáles son los beneficios de contar con una arquitectura de seguridad, “Incrementar la Integridad, Confidencialidad y Disponibilidad de su información y sus procesos, a través de la reducción de los riesgos tecnológicos y de seguridad; Contará con estándares y lineamientos medibles que le permitirán modificar las formas de operación y la administración tecnología de manera segura; •Reducirá considerablemente los riesgos inherentes al negocio y al uso de la tecnología; •Contar con esquemas operativos alineados a estándares internacionales y basados en herramientas de clase mundial, lo que le permitirá hacer negocio con sus socios comerciales de manera segura y confiable; •Estará preparado para recibir y atender de manera satisfactoria cualquier tipo de auditoria en materia de seguridad”.
            Y enfatizó: “finalmente, y por ende lo más importante es proporcionar a la Alta Dirección y socios la tranquilidad de que su empresa se encuentra operando tecnológicamente a un nivel de riesgo aceptable por el negocio”.

desarrollador de Negocios para AL de Attachmate, quien al hablar sobre el tema“Más allá del cifrado y la verificación”, estuvo de acuerdo con que la seguridad no es un problema tecnológico, “los procesos, las personas, y la TI deben formar un todo coherente, y ser tratados cada uno en un contexto y con una visión unificada”.
            Agregó que actualmente las organizaciones cuentan con un entorno de seguridad complejo, con estructuras diversas y requerimientos crecientes (como las certificaciones), ·lo anterior se traduce en ambientes complejos que impiden una visibilidad real de qué es lo que realmente está pasando, y cuando se presenta un ataque, los directivos no saben si un ataque está afectando a los servicios, la voz o a los datos,  “no pueden determinar las causas, pues en muchos casos no cuentan con vistas consolidadas de todos los recursos, y que da como resultado un tiempo de  respuesta lento”.
            Lo más importante, prosiguió Ovalle, es considerar a la seguridad desde tres diferentes layers: personas, regulaciones e infraestructura. En cuanto a las personas, “éstas deben
mantener un nivel eficiente de ubicación de la responsabilidad sobre las políticas de seguridad; y sobre todo deben seguir un esquema Personas, Roles, entendimiento, cumplimiento”.
            Por lo que respecta a las regulaciones,  “estas proporcionan un marco de referencia probado sobre los aspectos de seguridad que es conveniente reforzar”. Por último, la Infraestructura, debe ser reforzada en tres aspectos fundamentales: “Cobertura (plataformas, nueva tecnología), Correlación (tiempo real y forense), y Separación de funciones”.
            Para concluir su presentación, Juan Ovalle hizo un resumen de lo más importante en seguridad: “La seguridad no es un problema tecnológico; Los procesos + las personas + la tecnología deben formar un todo coherente y ser tratados cada uno en su contexto, pero con una visión unificadora; Los protocolos de cifrado, autenticación, hashing, etc., se da por sentado que deben proceder de fuentes certificadas; Se debe atender prioritaria y simultáneamente los procesos, la cultura y la infraestructura tecnológica”.

La seguridad, principal preocupación

En cuanto a Alejandro Valdés, Telecom Research Manager para México en IDC América Latina, dio algunas cifras de cómo se encuentra el mercado de seguridad en nuestro país, “de acuerdo a una encuesta realizada por IDC, la seguridad es sin duda una de las principales preocupaciones que aquejan a los CIOs hoy en día”.
            Precisó que las amenazas más importantes para las empresas siguen siendo en primer lugar los virus, seguido de corrupción por replicación indebida de datos, hackeo externo, sabotaje realizado por empleados, entre otros

           Y concluyó con seis importantes reflexiones: 1) Las soluciones de la seguridad están llegando a ser obligatorias para proporcionar la ayuda en servicios de telecomunicaciones.. 2) la seguridad está en la mente de todo tipo de compañías sobre todo en las financieras.3)  Los servicios de seguridad manejados especializados para este segmento vertical son dominantes y seguirán su trayectoria de adopción. 4) Se espera que los servicios de seguridad manejados conduzcan ganancias en 2010. 5) Los proveedores de seguridad están aumentando su ofrecimiento incluyendo algunas posibilidades de servicios administrados de seguridad. 6) Las empresas que migran de conectividad administrada a soluciones de valor agregado más altas (redes administradas y redes convergentes) en los años próximos.

Diálogos sobre seguridad

Durante el seminario de redes organizado por InfoWorld se conformó un panel con los expertos en el tema de seguridad en redes, cuyos ponentes fueron: Ernesto Ramírez, gerente de TI de Grupo ECE; Ricardo Morales, Presidente de ALAPSI, capítulo Noreste; Juan Ovalle, desarrollador de Negocios para AL, Attachmate; y Alejandro Valdés, Telecom Research Manager para México en IDC América Latina.
            Uno de los primeros temas abordados en la discusión fueron las vulnerabilidades de las empresas frente a la seguridad informática, en cuya primera participación, Juan Ovalle, de Attachmate, expuso a la falta de reforzamiento a las políticas de seguridad como la primera amenaza de seguridad en una organización “antes de pensar en los ataques como virus hay que reforzar políticas internas”.
Por su parte, Ernesto Ramírez, de Grupo ECE, respaldó dicho comentario y añadió que para reforzar las políticas es necesaria una “constante capacitación al personal”.
            Alejandro Valdés, de IDC, fue más allá y mencionó que para que las empresas empiecen a pensar en una seguridad integral, es necesaria “una interrelación entre las personas, procesos y hardware, que en conjunto pueden ser la mayor fortaleza de seguridad, no obstante mal utilizadas pueden significar una amenaza para la organización”.
En su turno, Ricardo Morales, de Alapsi, aseguró que existen vulnerabilidades tanto en la parte del personal, tecnológica y procesos, y resumió diciendo que la aplicación de mejores prácticas es como se detectan y disminuyen las amenazas de una organización, “no obstante no hay que olvidar al personal”.
            Pero ¿cuándo se termina una estrategia en seguridad? Ernesto Ramírez fue el primero en contestar a esta pregunta y aseguró que “cada vez que se implementan nuevas tecnologías también se adquieren nuevos riesgos, por lo que es necesario estar mejorando cada día las prácticas y reforzar el valor que tiene la seguridad de TI en toda la organización”.
            No obstante, al implementar nuevas tecnologías debe existir una sinergia entre el proveedor y las organizaciones, en este contexto ¿qué papel juegan los proveedores para ayudar a las empresas a reforzar su seguridad y no poner en peligro sus activos más importantes? Esta pregunta sin duda fue contestada por Juan Ovalle, de Attachmate, y mencionó como paso fundamental que debe existir un buen entendimiento de los procesos del negocio y como segundo paso se encuentra el estar bien informado sobre lo que está pasando en el mercado “si contamos con estos conocimientos, podemos ofrecer a los clientes soluciones rentables”.
            Y aunque la mejora de las prácticas de negocio han sido mayores gracias a la colaboración de proveedores y las áreas de TI, se abre una nueva interrogante para el CIO del mañana ¿cómo adelantarse a los riesgos que se presentan en las organizaciones?
            Ernesto Ramírez, de grupo ECE, opinó que los proveedores pueden convertirse en aliados que ayudan a mantener informada al área de sistemas, asimismo, “nosotros tenemos que estar bien informados a través de foros como éste, de qué es lo que está pasando en la industria”.
Sin embargo, Ramírez calificó esta tarea como “complicada, pero que se puede alcanzar por un verdadero líder en la industria”.
            Alejandro Valdés, de IDC, agregó que la oportuna y continua actualización como una ventaja competitiva a alcanzar por parte del CIO, es una característica fundamental hoy en día, esto le permitirá estar preparado para cualquier contingencia de seguridad, “siempre hay que esperar lo inesperado para cualquier contingencia”, e hizo énfasis en “la documentación constante para no descartar las posibilidades de riesgo por pequeños que parezcan”.
Por supuesto, Ricardo Morales no pudo dejar de mencionar el punto 12 de la certificación ISO 27001 más concretamente en “el manejo de incidentes”, pues aseveró que la creación de un plan para manejo de incidentes es “clave en la seguridad de una organización”.
            Otra pregunta se puso sobre el panel y es que aunque la seguridad sigue siendo considerada como un intangible, ¿cómo alinear la seguridad al negocio si no se puede esperar retorno de inversión en ella?
            Para Ernesto Ramírez, de Grupo ECE, esta pregunta fue contestada durante una contingencia en un punto de negocio en Cancún, pues explicó que después de estos eventos “fue necesario tener medidas preventivas para disminuir el daño, aunque si bien un fenómeno natural no puede ser controlado por el hombre, sí se pueden disminuir riesgos implementando planes de seguridad tanto física como informática”.
Aseguró además que si bien no se puede implementar tecnología nueva constantemente “sí se necesita prevenir un desgaste en la ya implementada y es necesario prever un tiempo de obsolescencia que se necesita calcular”.
            Con lo anterior podemos explicar que la alineación del negocio en cuestión de seguridad no únicamente conlleva la implementación de la tecnología correcta, además el conocimiento y prevención de la tecnología ya existente son claves en el aprovechamiento máximo de los recursos de TI respecto a seguridad y por supuesto la alineación con el negocio.
            A este respecto no es posible dejar de hablar de la figura del CSO (Chief Security Officer) y su cada vez más constante presencia en las organizaciones de nuestro país, pero ¿es ya una realidad en las empresas? A decir de Ricardo Morales existe un “proceso evolutivo” aunque obedece a una lógica de seguridad, es decir mientras las decisiones que afecten en seguridad tengan incidencia directa en el negocio, la presencia del CSO será aún más constante en las empresas.
Ricardo Morales además añadió que hoy sus procesos de negocio “están basados en tecnología y mientras esos procesos estén en riesgo va a ser necesario adquirir mayor compromiso con la seguridad una tarea que le corresponde al CSO”.
            Pero ¿qué costo tiene la seguridad en TI? Alejandro Valdés, de IDC, pone en la balanza la relación de una contingencia y el costo de haber implantado una medida de seguridad adecuadas para evitarlo, y nuevamente mencionó la importancia de las personas en la seguridad de las organizaciones aunque enfatizó que el costo de la seguridad tiene que ser valorado contra el costo de no tener seguros los sistemas, “si las empresas pueden ver con antelación cuáles serían las consecuencias de no contar con un esquema de seguridad, seguramente será más fácil para ellas establecer su valor”.
            Ricardo Morales nuevamente hizo énfasis en modelo de riesgos para la toma de decisiones, “el riesgo bien manejado es el mejor negocio” y habló incluso de un modelo de riesgos alineado al negocio.
            Para finalizar el panel, Ernesto Ramírez, de grupo ECE, recomendó a los asistentes “contar con un departamento de seguridad en sistemas multidisciplinario que les permita llevar un mejor control de los procesos”.
            Por lo que respecta a Ricardo Morales, dijo que “las empresas deben invertir entre el 11 y 13% de su presupuesto de TI en seguridad”.
Por su parte, Alejandro Valdés, de IDC, aclaró: “la seguridad no son solo antivirus, firewalls, y detección de intrusos, son procesos empresariales, las empresas deben medir cuál es el costo de no contar con la seguridad, pues el mal manejo de la información sensible puede poner el riesgo su operación”, concluyó.
NOTAS RELACIONADAS

>> Seguridad en banca virtual

>> Proteja y administre su información

>> Seguridad con administración

>> Comunicación y seguridad sin fronteras

 



ABOUT US | CONTACT US |  SUSCRIPTIONS |  SPECIAL REPORT