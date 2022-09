Algunas organizaciones todavía utilizan métodos antiguos y que ya no funcionan para proteger los datos críticos de una organización. En cambio, el uso de sistemas de ciberseguridad basados en la nube y de un marco de confianza más integrado (como las arquitecturas Zero Trust) son muy importantes en la actualidad.

Durante la mesa redonda virtual “Nuevo enfoque de la ciberseguridad en México”, organizada por CIO México, se revisaron los retos y lecciones aprendidas en la adopción del trabajo remoto derivado de la pandemia COVID-19.

En este encuentro en línea, Jorge Cisneros, Consulting Sales Engineer para Latinoamérica de Forcepoint, habló acerca de la detección temprana de comportamiento de alto riesgo. Y sobre los planes de integración de Software as a Service (SaaS) personalizado con un enfoque en la adquisición de valor. Después de esta ponencia introductoria, los asistentes procedieron a un panel de discusión.

El nuevo reto para los especialistas en ciberseguridad

De acuerdo con Cisneros, actualmente las ciberamenazas no provienen sólo de aquellos cuya intención es atacar. Hoy en día el riesgo de seguridad puede provenir de quienes no tienen una intención maliciosa, de allí la importancia de brindar educación del usuario para trabajar este tipo de entornos de una mejor manera. Ante este panorama, se complica la tarea de hacer más fácil la seguridad para los clientes, especialmente cuando las organizaciones manejan una infraestructura cada vez más diversa.

Jorge Cisneros, Consulting Sales Engineer para Latinoamérica de Forcepoint.

Ante esta situación, el experto señaló que hay nuevos recursos con mayor sinergia y plataformas más fuertes para aprovechar los beneficios de la nube, con las cuales, dijo, será posible redistribuir los servicios y realizarlos en un tiempo y a costos menores. Además, aportará políticas más eficientes, convergencia de servicios; todo ello en un entorno híbrido.

“Debemos estar preparados para este tipo de entornos. El concepto de híbrido no sólo se da en aplicaciones y servicios, sino también en aplicativos que ni siquiera imaginamos”.

Nuevas herramientas para un mundo híbrido

Para afrontar esta nueva convergencia, existen herramientas como la tecnología Zero Trust, que actualmente ha evolucionado a Zero Trust Extended y se enfoca a una ideología de contexto para el control de accesos. Esta mejoría no sólo atiende temas de usuario, de passwords o de control de autenticación; Zero Trust Extended plantea que el contexto se ha vuelto más importante, donde se pueda validar también un entorno de sistema operativo para tener un ecosistema más controlado.

El concepto de Zero Trust es un concepto que está creciendo dramáticamente. Esta tecnología ya rebasó el entorno de la red local, muchos más escenarios y a términos nuevos que se están planteando en el mercado.

“Esto nos obliga a ver a la organización como un escenario que fluye y que no puede ser detenido. Ante ello tenemos que hacer análisis de valor y ver que los usuarios, datos y herramientas como parte de la estructura. Y esto nos da una mayor visión mucho más dinámica de cómo estamos relacionando el riesgo que nuestros usuarios representan. Tenemos que plantearnos esa posibilidad como profesionales de la seguridad para minimizar un impacto de ese tipo.”, comentó Jorge Cisneros.

El especialista añadió que las organizaciones deben acercarse al proveedor de seguridad correcto que aporte la guía adecuada. Y que identifique las necesidades reales para entender el entorno, uso y práctica, para así sustentar la estrategia que se quiere implementar.

El punto de vista de los expertos

Para conocer los principales retos de los especialistas en ciberseguridad se abrió una mesa de discusión entre los asistentes y uno de los temas fue la gestión de identidad digital de los usuarios.

Enrique Sánchez, Director de Cómputo y Telecomunicaciones para la Universidad Popular Autónoma del Estado de Puebla (UPAEP), opinó que se debe tomar una postura en la que se debe trabajar con los mismos usuarios y brindarles un entrenamiento específico.

Por su parte, José Roque, Information Security Officer de Sesajal, agregó que también se puede optar por un modelo de defensa en capas para minimizar el impacto de alguna posible intrusión, así como una estrategia que agregue una verificación continua para aumentar su eficacia.

Oscar Mario García, CIO de la Escuela Bancaria y Comercial, remarcó la importancia de la gestión de identidades, ya que las conexiones móviles han rebasado las conexiones fijas dentro de entornos empresariales.

En el caso de Ubaldo Aleriano, CIO de Laboratorios Sophia, dijo que para complementar la estrategia es recomendable identificar los activos de información más importantes, con lo cual se logrará una visión más completo del entorno de seguridad de la información.

Respecto al tema de los retos de ciberseguridad que enfrentan los responsables de esta área, y que fue otro de los temas abordados en la mesa redonda virtual, Isaac Mendoza, Jefe de Seguridad de la Información, Riesgos y Cumplimiento para Sukarne, señaló que el encargado de la ciberseguridad debe saber comunicar a los altos mandos la importancia que tiene este aspecto para ser apoyado en la implementación de proyectos.

A propósito de los marcos metodológicos que se están adoptando para evitar que la ciberdelincuencia aproveche alguna vulnerabilidad, Arturo López, Director de Sistemas y TI de la Universidad Metropolitana de Monterrey, comentó que es importante identificar el tipo de negocio para integrar una tecnología correcta y que se adecue a las necesidades del mismo.

En opinión, de José Antonio Rangel, Global Head of IT Governance para TelevisaUnivision, añadió que es importante también hacer un análisis de aplicabilidad. Esto ayudará a saber la eficacia de aplicar las metodologías y será posible conocer si éstas deben ser complementadas o mejoradas.

Oscar Mario Chombo, Internal Control Policies & Regulations Director de CitiBanamex, coincidió en que los marcos de referencia no son infalibles, por lo que se deben identificar las necesidades del negocio para aplicar lo mejor de cada uno de ellos y alinearlos a la estrategia.

En eso coincidió Marco Antonio Rodríguez, CISO para Megacable, y resaltó que la ciberseguridad no es asunto de una sola persona sino de toda la organización. Y en referencia al tema de presupuestos que se destinan a las tareas de ciberseguridad, dijo que se deben de justificar las inversiones y mostrar no sólo los resultados, ya que las implementaciones que se hagan al respecto aportan datos de valor para la empresa.

-César Villaseñor, CIO México