D铆a: 21 mayo, 2018

Reportaje: Factores que impulsan la adopci贸n de soluciones y estrategias de seguridad TI

De nueva cuenta, este a帽o la seguridad TI se posiciona como la iniciativa tecnol贸gica que atraer谩 el mayor porcentaje de inversiones a nivel mundial. As铆 lo revelan estimaciones de firmas de consultor铆a como IDC, las cuales destacan que la seguridad TI tambi茅n ser谩 la que tendr谩 un mayor crecimiento en 2018 (53%) en comparaci贸n con el 33% obtenido el a帽o anterior, superando las intenciones de inversi贸n que habr谩 en otros rubros, como la consolidaci贸n de los ERP (37%) o para las configuraciones de nube (33%).

En M茅xico, las tendencias de inversi贸n en el 谩mbito de seguridad de la informaci贸n tambi茅n vislumbran cifras prometedoras este a帽o: de acuerdo con IDC, las soluciones de seguridad tendr谩n un crecimiento de 7% con respecto al 2017, una cifra superior al del resto de la industria TI.

reporte-especial-seguridad-edificiosEspec铆ficamente en lo que respecta a las soluciones para seguridad de nube, los recursos que destinen las organizaciones pasar谩n del 11% del mercado total obtenido en 2017 a un 13% en 2018, mientras que para los servicios de seguridad TI se vislumbra un incremento del 16.8%, que es pr谩cticamente el doble de lo que crece el segmento de servicios en nuestro pa铆s.

Estas cifras son acordes a lo observado en los 煤ltimos tres a帽os, periodo en el que el valor de los servicios TIC en M茅xico ha crecido a doble d铆gito, propiciado por factores tales como aspectos socioecon贸micos, el entorno competitivo de las organizaciones, las tendencias de gasto e inversi贸n, y la innovaci贸n tecnol贸gica asociada con la tercera plataforma (nube, movilidad, anal铆tica y redes sociales), de acuerdo con Hugo Guevara, Analista de Servicios para IDC M茅xico.

鈥淓stos factores han ocasionado una reconfiguraci贸n del mercado TIC nacional en t茅rminos de competidores l铆deres y modelos de entrega, as铆 como en la forma de adquisici贸n tecnol贸gica por parte de las organizaciones, lo que no ha sido ajeno para el segmento de servicios relacionados con ciberseguridad鈥, afirm贸 Guevara en un art铆culo publicado en聽CIO M茅xico.

 

驴C贸mo armar una estrategia de seguridad TI efectiva?

De acuerdo con una encuesta aplicada por IDC a CISOs, los principales motivadores que definen una estrategia de seguridad TI son: el cumplimiento regulatorio, las vulnerabilidades descubiertas, las noticias sobre ataques difundidos por medios de informaci贸n, el cumplimiento de las m茅tricas de indicadores de riesgo, y el prop贸sito de coordinar la estrategia de seguridad con la estrategia de negocio.

Foto-1-Reporte-Especial-Israel-Quiroz-IQsec
Israel Quiroz, Director General de IQsec.

En esto 煤ltimo coincidi贸 Israel Quiroz, Director General de IQsec, al resaltar que, para ser efectiva, una estrategia de seguridad debe involucrar a la Alta Direcci贸n de la empresa, para que respalde las iniciativas que se propongan realizar. Tambi茅n es importante que los recursos que se destinen para asegurar la informaci贸n no se consideren como un gasto sino como inversi贸n. 鈥淓sta labor debe involucrar tanto a la estrategia, la operaci贸n y la t谩ctica para de esta manera asegurar los tres ejes de la seguridad de la informaci贸n: tecnolog铆as, personas y procesos requeridos鈥

Quiroz agreg贸 que lo importante es definir cu谩les son los riesgos que se aceptan, se mitigan y se administran en una organizaci贸n. 鈥淓sto lo permite saber el an谩lisis de riesgo鈥.

En efecto, una estrategia de seguridad basada en eventos no es eficaz; en cambio la que se fundamenta en el comportamiento humano, marca la diferencia, como se帽al贸 Ram贸n Salas, Director Regional para M茅xico y Centroam茅rica de Forcepoint. M谩s a煤n, dijo que 鈥溍﹕ta debe ser una estrategia adaptativa, ya que los ataques son muy novedosos y la seguridad debe adaptarse a estos cambios para ser eficiente鈥.

Seg煤n datos de la Organizaci贸n de Estados Americanos (OEA), el costo promedio de un incidente de seguridad en M茅xico es de un mill贸n 581 mil 641 d贸lares.

Foto-2-Reporte-Especial-Ramon-Salas-Forcepoint
Ram贸n Salas, Director Regional para M茅xico y Centroam茅rica de Forcepoint.

Tomando en cuenta esta realidad, una visi贸n de 360 grados debe ser el fundamento de una estrategia de aseguramiento digital como propone la empresa MTP International en M茅xico. 鈥淓n esta estrategia integral contemplamos un principio amplio, enfocado desde la perspectiva del negocio y que est谩 interrelacionado con aspectos de calidad interna (aplicativos) o experiencias de usuario鈥, explic贸 Javier D铆az, CEO de esta compa帽铆a. 鈥淯n enfoque que no sea hol铆stico, presentar谩 vulnerabilidades y 谩reas de oportunidad para las amenazas exteriores. La experiencia de usuario, la calidad y la seguridad entrelazadas deben ser consideradas de manera resiliente e integral鈥.

M谩s a煤n, lo importante ser铆a considerar no s贸lo las tecnolog铆as que est谩n disponibles para quienes tengan el presupuesto suficiente para invertir en seguridad, sino tambi茅n las habilidades y conocimientos t茅cnicos que tenga el proveedor de seguridad, afirm贸 Julio Carvalho, Director de Preventa para Seguridad de CA Technologies.

 

驴Es suficiente la inversi贸n que se hace en seguridad TI?

Las estimaciones de IDC se帽alan que el 5% del presupuesto destinado a las TI por parte de las organizaciones a nivel mundial se invierte en seguridad.

Foto-3-Reporte-Especial-Javier-Diaz-MTP
Javier D铆az, CEO de MTP International.

Por su parte, los 煤ltimos datos disponibles proporcionados por Gartner refieren que el gasto mundial en productos y servicios de seguridad de la informaci贸n crecieron un 7% en 2017 con respecto al a帽o anterior, para alcanzar unos 86,400 millones de d贸lares.

De acuerdo con esta firma, el incremento se situar谩 en el 7.5% en 2018, lo cual se traducir谩 en 93,000 millones de d贸lares

Por 谩reas, las que est谩n trayendo m谩s inversiones son el testeo de seguridad, y sobre todo el Interactive Application Security Testing (IAST), debido al creciente n煤mero de brechas de seguridad que se est谩n produciendo.

Asimismo, seg煤n Gartner, las organizaciones a nivel mundial han destinado las partidas presupuestales para ciberseguridad hacia la adaptaci贸n de sistemas tradicionales de protecci贸n (como la protecci贸n del endpoint, firewall, correo seguro, etc.), aunque cada vez emergen con m谩s fuerza las tecnolog铆as de monitoreo, detecci贸n y respuesta, ya sean propias o gestionadas.

 

La situaci贸n en M茅xico

Pero, 驴qu茅 sucede en nuestro pa铆s? 驴La inversi贸n que se est谩 realizando es suficiente para enfrentar los riesgos y aminorar las vulnerabilidades?

Foto-4-Reporte-Especial-Julio-Carvalho-CA
Julio Carvalho, Director de Preventa para Seguridad de CA Technologies.

鈥淭oda inversi贸n realizada en aminorar riesgos y vulnerabilidades es buena, pero dado que hemos comenzado a considerarlas despu茅s de los problemas, siempre los costos son m谩s elevados y su impacto puede percibirse como insuficiente鈥, asever贸 Eduardo Rico, Director de Ventas de Symantec en M茅xico.

Agreg贸 que tambi茅n se deben incorporar a los procesos de seguridad las acciones requeridas para la remediaci贸n de los incidentes que puedan ocurrir. 鈥淪e necesita revisar y reevaluar el rubro de la inversi贸n de este segmento para asegurar que su efectividad sea mucho mejor y por ende la suficiencia de la misma鈥, se帽al贸 Rico.

 

驴Hacia d贸nde se destinar谩 la inversi贸n?

La protecci贸n de los datos personales, as铆 como la protecci贸n de c贸digo, las credenciales privilegiadas y la b煤squeda desarrollos seguros ser谩n algunos de los principales focos de la inversi贸n por parte las organizaciones en M茅xico respecto a la seguridad TI. As铆 lo consider贸 Julio Carvalho, de CA Technologies. 鈥淎hora vemos que un hacker o un defraudador tiene m谩s herramientas disponibles para evaluar si hay vulnerabilidades en el c贸digo de una aplicaci贸n, por ejemplo. Por eso creo que las empresas comienzan cada vez m谩s a invertir en protecci贸n de c贸digo, en el desarrollo de 茅ste o en credenciales privilegiadas mediante las cuales se puede tener acceso a sus entornos, tanto internos como externos鈥.

 

Obst谩culos para adoptar soluciones y estrategias

Foto-5-Reporte-Especial-Eduardo-Rico-Symantec
Eduardo Rico, Director de Ventas de Symantec en M茅xico.

En referencia a los aspectos comerciales, organizacionales o tecnol贸gicos que pueden dificultar la adopci贸n de estrategias y soluciones integrales de seguridad TI en las organizaciones mexicanas, Julio Carvalho, de CA Technologies, dijo que el principal obt谩culo no es el presupuesto asignado a este rubro, sino el conocimiento de las nuevas tecnolog铆as que ya est谩n disponibles.

Y es que en realidad, 鈥渘ada hay que sea completamente invulnerable鈥, como refiri贸 Sabas Casas del R铆o, Vicepresidente para Am茅rica Latina de S21sec. Por ello, propuso que una organizaci贸n debe contratar servicios, no productos.

鈥淎lgunas empresas proveedoras ofrecen ciertos productos para solucionar aspectos muy espec铆ficos. El problema es que 茅stos son muy sesgados, caros y requieren un tiempo de implementaci贸n largo. En cambio, si se adquieren servicios, la cadena de montaje ya est谩 funcionando, porque existen otros clientes que lo utilizan y s贸lo basta configurar los procesos internos para que en cuesti贸n de semanas se puedan obtener resultados relevantes para el negocio鈥, manifest贸 Casas del R铆o.

Asimismo, Israel Quiroz, de IQsec, destac贸 que no hay proveedor que pueda dar una soluci贸n de 360 grados y necesariamente se tiene que integrar con terceros, pues ninguno puede abarcar todas las 谩reas para proteger a una organizaci贸n. 鈥淯na labor consultiva permite conocer c贸mo se puede brindar protecci贸n a la empresa de manera 煤nica e individual鈥. Esto, dijo, es semejante al DNA de una persona: 鈥渄ependiendo del rubro y giro de una organizaci贸n, requerir谩 una estrategia de seguridad espec铆fica鈥.

 

El mayor reto para los CIO en materia de seguridad

Foto-6-Reporte-Especial-Sabas-S21sec
Sabas Casas del R铆o, Vicepresidente para Am茅rica Latina de S21sec.

Para finalizar, los entrevistados opinaron sobre cu谩l es el mayor desaf铆o que tiene un CIO en M茅xico para alcanzar el nivel de seguridad 贸ptimo en sus organizaciones.

Para Carvalho, de CA Technologies, uno de los desaf铆os 颅鈥搎uiz谩 el mayor鈥 consiste en el cambio de mentalidad, ya que la mayor铆a de los CIO y CSO activos fueron formados en su momento para enfrentar riegos de tecnolog铆a en vez de riesgos para el negocio, como se requiere hoy. 鈥淎ntes los CIO invert铆an en soluciones de seguridad para proteger los datos de empresa desde una perspectiva exclusivamente tecnol贸gica; en la actualidad, una brecha de seguridad puede sacar a una empresa del mercado por el da帽o que ocasionar铆a a su reputaci贸n, por eso insisto en que el enfoque debe dirigirse hacia el impacto que producir铆an este tipo de fallas en el negocio鈥.

Ram贸n Salas, de Forcepoint, hizo referencia al concepto Shadow IT, que engloba todo aquello que un 谩rea de TI no tiene ya bajo su control, como las aplicaciones que est谩n en la nube. Ante tal escenario, la seguridad debe dar un vuelco completo para crear una manera diferente que proteja el entorno que el CIO tiene bajo su cargo鈥.

Foto-7-Reporte-Especial-Renato-Ohno-Furukawa
Renato Ohno, Country Manager de Furukawa Electric M茅xico.

Desde la perspectiva de Renato Ohno, Country Manager de聽Furukawa聽Electric M茅xico, los directivos de TI se distinguen por su visi贸n estrat茅gica hacia los pr贸ximos dos a帽os o m谩s, porque deben vislumbrar el crecimiento de su organizaci贸n. 鈥淪u desaf铆o consiste en c贸mo colaborar y qu茅 hacer para que la empresa o instituci贸n sea m谩s rentable, brinde mejores servicios y capacidades, disminuya costos y sobre todo, entienda el聽core聽de su negocio鈥.

Otro de los retos es que el CIO trabaje en una especie de 鈥溍硈mosis clara y progresiva鈥 entre lo que es el 谩rea de Seguridad y las 谩reas de Desarrollo, asever贸 Javier D铆az, de MTP International. 鈥淪u mayor tarea consiste en vincular a su equipo y en general a toda la organizaci贸n en el desaf铆o que implica la seguridad misma鈥.

Por su parte, Eduardo Rico, de Symantec, afirm贸 que el principal reto que enfrentan los directivos de TI hoy en d铆a es el que se deje de considerar la infraestructura inform谩tica como un agregado del negocio y no como algo cr铆tico y sustantivo para el desarrollo del mismo.

El segundo reto es que el CIO o CISO tenga la capacidad de poder conversar con los dem谩s ejecutivos del negocio sobre la incorporaci贸n de sistemas y seguridad, y su afectaci贸n concreta en el usuario final, el cual debe ser reconocido como el actor clave y para quien se deben adecuar los procesos correspondientes. 鈥淢ientras no lo hagamos de esta forma, seguir谩 consider谩ndose al 谩rea de TI y al CIO como un mal necesario y un centro muy elevado de costos鈥, asever贸 el directivo.

 

Gu铆a esencial para un CISO

La firma de an谩lisis y consultor铆a IDC, distingue cuatro conceptos que debe tener en cuenta un CSO o CISO para el desempe帽o de sus funciones:

  1. El rol del CISO: Su papel consiste en alinear las inversiones de seguridad de TI con el 鈥渁petito de riesgo鈥 que tiene la organizaci贸n.
  2. 鈥溌縀stamos seguros?鈥: Es necesario que el CSO explique tanto al CEO y a los dem谩s CxO de su organizaci贸n que se trata de administrar riesgos y no de garantizar la seguridad, pues nadie est谩 totalmente seguro.
  3. Tercerizar: La seguridad TI es una labor compleja y s贸lo las organizaciones m谩s grandes pueden administrar internamente la totalidad de la misma. Otras deber铆an optar por la tecerizaci贸n.
  4. Cooperaci贸n: Es importante que el CISO no olvide compartir informaci贸n y pr谩cticas con proveedores, agencias reguladoras e incluso clientes para contar con una estrategia de seguridad robusta.

 

-Por Jos茅 Luis Becerra Pozas, CIO M茅xico