igor - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

El reto del CIO: Construir una seguridad integral

La estrategia de seguridad de TI en las empresas está evolucionando para adaptarse a las necesidades del mercado y las organizaciones. ¿Qué debe hacer el CIO en este escenario?

Con todo lo avanzado hasta este momento del año en tendencias de seguridad de TI: ¿Cuál debería ser el foco de atención del CIO moderno? ¿Cuál es la agenda de aprendizaje en la que debe enfocarse el CIO para los próximos meses? Estas interrogantes están cada vez más presentes, sobre todo cuando hay cada vez más incidencias en seguridad informática y el sector empresarial busca mayor estabilidad para planificar sus proyectos y modelos de negocio. 

Prevenir las amenazas internas

De acuerdo con Jorge Gómez, director de soluciones empresariales para IDC México, en el mercado de seguridad existe un gran reto, en términos de la ausencia de proveedores que puedan ofrecer una solución integral de seguridad de TI. Para el ejecutivo, existen especialistas en seguridad perimetral, con nulos o poco robustos ofrecimientos para prevención de pérdida de datos, por ejemplo. Esto se traduce en que las soluciones que cubren un espectro mayor de las necesidades de seguridad de TI estén mostrando crecimientos por arriba del mercado (3%); por ejemplo, la gestión unificada de amenazas (Unified Threat Management) está creciendo a tasas cercanas al 10%.

“La velocidad con la que las vulnerabilidades crecen exponencialmente, producto del fenómeno de transformación digital, hace que se use tecnologías de última generación como User Behavioral Analytics. Eso ya no es algo deseable, sino una necesidad. Por ello, vemos crecimientos de 20% en este mercado en particular, considerando, sobre todo, que en América Latina el 63% de los incidentes de seguridad de TI son provocados internamente. Por eso, debe consolidarse los proveedores y soluciones de seguridad de TI que busquen cubrir el mayor espectro de necesidades, y [sic] que el uso de herramientas esté enfocada a prevenir las amenazas internas”, manifiesta Gómez.

Panorama sofisticado

Así como ocurre en las grandes corporaciones, las pequeñas y medianas empresas (PyMEs) cumplen un rol especialmente importante en la economía de los países latinoamericanos, pero es frecuente que sus responsables encuentren dificultades para implementar medidas de seguridad. Ya sea por cuestiones de presupuesto, personal o infraestructura, a veces las PyMEs no pueden llevar a cabo planes completos de ciberseguridad, lo que deviene en potenciales incidentes. 

En ese sentido, Lucas Paus, especialista en seguridad informática de ESET Latinoamérica, explica que, debido a la masividad de dispositivos conectados a internet y utilizados desde una empresa, cada día aumenta el grado de exposición.

Desde una mirada global, y analizando los datos obtenidos en el ESET Security Report, podríamos intuir que las preocupaciones o focos donde deberían poner más atención en las empresas están disminuyendo, por lo cual no sería sorprendente que quizá esto se traduzca en el aumento de incidentes en el futuro. Por supuesto que también existen algunas variaciones que dependen del core del negocio, pero, al analizar las preocupaciones, vemos que la infección por códigos maliciosos está en el primer lugar, con un 56% de las respuestas. Podemos decir que las preocupaciones se corresponden con la realidad, específicamente con el grado de sofisticación que tiene el malware, y el retorno económico que genera, y que sigue en aumento”, precisa Paus.

Estrategias claras y contundentes

Ante este escenario, Gómez de IDC aconseja que el CIO debe acercarse cada vez más a la línea de negocio y transformarse en un habilitador, ya que tradicionalmente es visto como un obstáculo. “En términos de tecnología, definitivamente [tiene que] entender las capacidades de la analítica y del potencial que tiene para la prevención, en términos de seguridad de TI. Los entornos son cada vez más complejos, y se requiere tecnología adecuada –como la analítica del comportamiento del usuario– para detectar situaciones anómalas”, comenta el especialista, subrayando que las amenazas, tanto externas como internas, requieren tener una estrategia clara de prevención de pérdida de datos.

Además, Gómez añade que el tema de seguridad de TI se encuentra cada vez más en la agenda no solo del CIO, si no del resto de los ejecutivos, lo cual es causado ya sea por lo que transmiten los medios respecto a las vulnerabilidades y sus consecuencias, como por una mayor regulación que preocupa a las áreas de negocios.

“Estamos, como región, comenzando apenas a definir lo que es una cultura de seguridad que debería estar presente en todas las iniciativas de negocio sostenidas en tecnología. Así se disipa la idea del especialista de seguridad como un obstáculo, [y se transforma en] un facilitador”, señala Gómez.

Mayor educación en TI

Por su parte, Paus de ESET recomienda que las organizaciones cumplan periódicamente con la instalación de actualizaciones, tanto de sistemas operativos, como de aplicaciones, de manera sistemática. Igualmente, recomienta mantener las copias de respaldo al día, asegurando así la información almacenada. En esa línea, indica que es importante el uso de soluciones de seguridad para el cifrado de información, antivirus, autenticación de dos factores y firewall, con sus correctas políticas de implementación y actualización, que deberán mantenerse, de manera sólida, los 365 días del año.

La educación es una herramienta muy útil a la hora de mantener la seguridad de la información en las empresas. Por ello, las capacitaciones y concientizaciones darán mayor robustez a la seguridad integral de las entidades. Normalmente, la negligencia o desconocimiento sobre seguridad informática son los primeros vectores atacados en un incidente informático. Es recomendable realizar dos seminarios al año que ayuden a los colaboradores de las empresas a tomar conciencia y reconocer un incidente, antes de que el mismo tenga un impacto en la empresa”, enfatiza Paus.

El tiempo transcurre rápidamente, y las organizaciones que se encuentran en etapa de planificación y aprobación de sus presupuestos para el siguiente año deberían considerar estas pautas para ir consolidando una conciencia concreta de ciberseguridad general, para prever ataques cibernéticos y evitar que estos impacten en sus resultados económicos y de reputación.

Próximos pasos

Quizás le interese conocer:

Estado de la gestión de seguridad informática en las empresas chilenas

Entrevista ejecutiva: Brian Kelly, jefe de seguridad, Rackspace

Arquitectura de seguridad adaptativa, respuesta a las amenazas cambiantes

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close