Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

“El primer paso de una estrategia de seguridad es entender las directrices de la empresa”

Martín Hoz, de Fortinet, analiza en este podcast la transformación de la seguridad informática y de los profesionales de TI en América Latina.

La transformación del negocio a través de la tecnología también implica la evolución de los perfiles de los ejecutivos, tanto de negocios como de informática, dentro de una empresa. A raíz de eventos lamentables como el de Target, los directores generales (CEO) están cada vez más conscientes de la importancia que tiene la seguridad informática como parte estratégica dentro de la compañía y no solo como una cuestión de fierros y programas. Pero el cambio también aplica a los propios directores de tecnologías de la información (CIO) y los directores de seguridad de la información (CISO), que no solo deben alinearse con los objetivos de negocios, sino que además deben aprender a comunicarse efectivamente en estos términos.

Martín Hoz, vicepresidente de ingeniería para América Latina y el Caribe de Fortinet, habló con SearchDataCenter en Español sobre esta transformación del papel de la seguridad informática y los ejecutivos de TI y seguridad dentro de las organizaciones en la región.

SearchDataCenter en Español: ¿Cuál debería ser el primer paso de los CIO y CTO en América Latina para establecer estrategias de seguridad que funcionen con la complejidad de hoy?

Martín Hoz

M. Hoz: Creo que tenemos que regresar a las bases y no podemos empezar a implantar tecnologías si antes no tenemos claro cuáles son los objetivos de negocio. Muchas veces, los CIO están muy influenciados por lo que vienen a decir los fabricantes, y dicen: “sabes qué, es que ya tenemos next generation firewalls, ya tenemos anti advanced persistent threat y es lo último de la moda, y eso es lo que tenemos que poner”. Ahora, ¿tiene sentido que yo coloque un next generation firewall para mi organización, sí o no? Claro que quien los vende va a decir que sí, pero [hay que analizar] mi contexto de negocio. Está mi empresa en una situación donde queremos capturar market share y vamos a lanzar promociones, ¿cuáles son las vías que voy a utilizar para mis promociones, cuáles de esas vías son digitales y cómo puedo –desde mi perspectiva– utilizar la tecnología para lanzar mejores promociones digitales? En ese contexto, no necesito ni un next generation firewall ni un anti advanced persistent threat necesariamente. Tal vez es más prioritario para el negocio tener herramientas que nos ayuden a acelerar la seguridad que va hacia el sitio web, para que los clientes puedan tener una mejor percepción del negocio.

Entonces, paso número uno: entender cuáles son las directrices de la empresa, y con base en eso entonces decir sí, para poder tener esto requiero de tales servicios que si no tienen seguridad informática vamos a tener un problema porque vamos a dar una mala imagen, o no vamos a poder cumplir con los compromisos de entregar un tiempo de respuesta adecuado a los clientes, etc. Ese tipo de cosas son las que primero se tienen que ver, antes de pensar en tecnología. Una vez que hemos identificado las necesidades de la empresa, entonces veamos cómo esas necesidades requieren ajustes de nuestra estrategia de personal, de nuestras operaciones y procesos y también en la parte tecnológica. Ahora sí, ya podemos hablar de qué productos y servicios requerimos para poder atender a esa necesidad, pero paso número uno es entender para dónde va nuestra empresa.

SDCE: Lo que mencionas involucra un cambio en el perfil de los ejecutivos, tanto del CIO como del CISO, de enfocarse en la tecnología a enfocarse en el negocio. En un entorno como el de América Latina, ¿cómo realizar este cambio de mentalidad?

M. Hoz: Con mucha paciencia. Realmente creemos, con base en las conversaciones que tenemos con altos ejecutivos en América Latina, que lo que nos estaba haciendo falta es una mejor comunicación, porque yo creo que el CIO y el CISO sí entienden la importancia que la seguridad tiene para el negocio. El problema es que la comunicación no necesariamente era la más fluida y la más efectiva porque, al ser una disciplina nueva, hubo poca gente que lo supo hacer de forma nativa, espontánea. Hubo que aprender y hubo que cometer muchos errores. Hubo que ir a pedir presupuesto muchas veces y que nos dijeran que no, hasta que finalmente encontramos el cómo nos decían que sí a lo que estábamos solicitando.

Así, aprendimos que si vamos con el director general o con el de finanzas y le decimos que lo que compramos no es seguridad para proteger los activos, sino son elementos que nos ayudan a atender mejor a los clientes y a mejorar la tasa de satisfacción de los clientes en un X porcentaje, o atender un nuevo mercado que implica tantos miles o millones de dólares para la empresa en ventas en los próximos cuatro o cinco años, las cosas se ponían más fáciles. Entonces, los ejecutivos de informática y de seguridad informática en particular, paulatinamente fuimos aprendiendo que teníamos que hablar en términos de negocios si queríamos estar allí, no necesariamente en términos tecnológicos. A veces pensábamos que, por la exposición que tienen los CEO –que son los primeros que se compran los gadgets y la tecnología por una cuestión de estatus inclusive– por ser usuarios de tecnología, entendían las implicaciones tecnológicas [y esto no era necesariamente así]. Hoy hemos mejorado en ambos sentidos: los CEO entienden cada vez la importancia de la tecnología en función de su impacto al negocio, y también tenemos CIO y CISO que están mejor equipados con lenguaje de negocios que les permiten explicar de mejor manera a los tomadores de decisiones la importancia de la seguridad informática para sus empresas. Yo creo que el cambio viene por ahí.

Creo que los CIO y los CISO de América Latina no están en desventaja en relación a otros en términos de conocimiento, creo que tampoco están en desventaja en términos de capacidades; inclusive puedo decir que en algunas situaciones, debido a las crisis recurrentes que hemos tenido en América Latina, que [hicieron que tengamos] que lidiar todo el tiempo con presupuestos bajos, con situaciones en las que no hay dinero, no hay personal y [TI] tiene poca relevancia. Hemos tenido mucha creatividad que, a veces, en otras regiones como Estados Unidos o Europa no han tenido porque allá siempre hubo un poquito más de recursos asignados a la tecnología.

SDCE: Gartner dice que la ventaja de los CIO en América Latina es la creatividad, y la desventaja es la falta de procedimientos…

M. Hoz: Yo coincido con Gartner en ese sentido. La gente de tecnología en América Latina ha tenido que lidiar con tantas crisis y con tantos bloqueos en el camino que hemos sido más creativos, tal vez que en ninguna otra región en el mundo, en cómo darle la vuelta a esos obstáculos que se nos presentan en el camino. Es cierto, la falta de procedimientos es algo que todavía es patente en muchas organizaciones, a veces de tamaño gigante, pero también creo que eso poco a poco va a empezar a cambiar, en la medida en que el CEO sea más consciente de los riesgos que tiene y de la responsabilidad implícita que tiene por hacer caso –o no– a las recomendaciones de su gente de seguridad informática, las cosas van a ir cambiando.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close