informe especial
El nuevo
escenariO de 1a
seguridad
Madurez creciente del rea y afianzamiento
del rol del CISO conviven con una deficiente
proteccin de la privacidad y cierta falta de
recursos humanos y presupuestarios, segn
un informe sobre seguridad de la
informacin en empresas de Amrica latina.
Por Laura Siri
Ms informacin en iNFoTECHNOI.OGY.COM
1111111
gia y los presupuestos. En muchas organizaciones, en cambio, el tema de la seguridad se presenta de modo muy tcnico solamente, no desde el punto de vista del negocio, y por
eso cuesta conseguir recursos".
El vil metal
gurar la continuidad del negocio, proteger la marca y minimizar el riesgo de fraudes y/o prdida de informacin relativos
a datos de la empresa o privacidad de clientes y empleados.
Todas son acciones crticas de la organizacin que no deberan quedar en un rea anexa a IT". Pedro Fehlauer, director
de Proyectos Estratgicos de IT en Novartis, coincide: "El manejo del riesgo no debe concernir a IT solamente, sino a la empresa completa. La informacin se ha tomado uno de los activos ms valiosos, y la tendencia ser creciente: tenemos que
tener una estrategia basada en administrar el riesgo para poder
asegurar la continuidad". Claudio Colace, gerente de Seguridad Informtica y Proteccin de Activos de Informacin del
Banco Patagonia, reflexiona por su parte que "la tendencia
de los ltimos aos en materia de seguridad de la informacin
es un creciente acompaamiento de las nuevas tecnologas y
metodologas de ataque. Podra decirse que nuestra tarea se
hace ms inteligente en funcin de los riesgos".
A pesar de la creciente relevancia del CISO, slo una cuarta
parte de las organizaciones dijo en la encuesta que encara
sus iniciativas de seguridad en forma totalmente alineada con
el negocio. lD cual convendra revenir porque, como observa Walter Mondino, gerente corporativo de Seguridad de la
Informacin de An.:or, "eso hay que hacerlo y nosotros lo enea-
21%
normatiVo -
14%
1 3%
67
lnformationTechnology
informe especial
ANDRS GIL,
responsable de Ciber
Riesgos de Deloitte
1-5----
Ninguno 50%
26%
6-20.4%
Msde20 O%
No sabe 20%
Un mundo hostil
Segn Deloitte, slo un 40 por ciento de las organizaciones
mantiene una relacin de trabajo coordinada con los encargados de riesgos no informticos. En particular, la responsabilidad sobre la seguridad fsica suele ser desempeada por
otras personas, con las que el CISO interacta poco. Por
otra parte, an en lo que si hace a la proteccin de la informacin, habria que considerar tambin procesos y controles
procedurales. Porque por ejemplo, como dice Fehlauer, "de
poco sirve tener el mejor aplicativo contra acceso a nuestros
sistemas si luego aparece un impreso con informacin confidencial en la calle en la bolsa de basura".
Ms informacin en INFOTECHNOLOGY.COM
5,7%
~69~
La infonnacin personal
CLAUDIO COLACE,
CISO de Banco Patagonia
Si - - - - - 68%
No - - - 32o/o
explica Gil. En algunos casos, como en Telefnica, se han creado CiberSOCs que, adems de brindar seguridad interna,
ofrecen servidos a clientes corporativos. Sin embargo, casi el
40 por dento de las organizaciones an no tiene un SOC.
Cuando se realizan auditoras internas y/o externas, los principales hallazgos reportados se relacionan con la falta de segregacin de funciones, poca implementacin de las polticas
de seguridad definidas, debilidades de los programas de
continuidad de negocio y recuperacin ante desastres, e inade-
Ms informacin en !NFOTECHNOLOGY.COM
CARLOS ALVAREZ,
Technology Manager de
Despegar
obstculo es el crecimiento de las redes sociales, los dispositivos personales y los servicios en la nube en el entorno corporativo. El cambio de paradigma y la bsqueda de medidas
de control adecuadas y eficientes son grandes desafos". En
particular, en su opinin el usuario es el eslabn ms dbil,
ya que crecientemente se desdibuja la divisin entre la tecnologa personal y la corporativa. Esto es especialmente notable con las tecnolog!as mviles porque, segn Gil, "el mundo celular es hoy la pata ms dbil en la proteccin de la informacin sensible". Y como expresa Vilalta, "pareciera que en
muchos casos la proteccin y cuidado de la informacin queda a criterio del usuario, en vez de ser parte de una poltica
con herramientas definidas y gestionadas por la organizacin".
Ni siquiera en empresas con alta madurez en seguridad, como
Arcor, donde ya hay agentes corriendo en los equipos mviles de los empleados, que permiten al equipo de Walter Mondino saber qu tienen instalado e impiden contrariar las
polticas, an no han implementado encripcin aunque, como
en otras firmas, est agenciado para el futuro inmediato.
Deloitte concluye en su informe que la gestin de seguridad y ciber riesgos es muy dependiente del sector donde
opere la compaa. Pero Valeria lina disiente: "Hoy hay una
base slida en comn de cmo manejar la seguridad y no
es tan dependiente del sector. Ser ms rtgida, con ms o
menos c0ntroles, pero todos tendemos a gestionar en base
a las mejores prcticas".
A pesar de los altibajos, ms de la mitad de los encuestados
estima que su nivel de madurez es de alto nivel. Esto es por-
que tienen procesos definidos y documentados, ven que mejoran con el tiempo, hacen mtricas y control de gestin. El
mayor nivel se registra en la banca y telecomunicaciones.
Como le toca ver a diario a Vilalta en Telefnica, como proveedor de servicios de seguridad, en muchas organizaciones
de manufactura, servicios o retail se retrasan inversiones
hasta que ocurre un incidente critico.
Tambin hay, por ejemplo, una tendencia a no eliminar
metadatos en documentos, no asegurar lo suficiente las credenciales de la empresa en Internet o monitorear insuficientemente la marca en redes sociales. En cambio, los proveedores de telecomunicaciones tienen especialistas para proteger
sus redes de voz y datos desde hace muchos aos y ltimamente sumaron nuevas herramientas para lidiar con ataques
que ya no son perimetrales.
71