Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

En una empresa, estar operando bien no es igual a estar bien en seguridad

El director de innovación tecnológica de Trend Micro para América Latina explicó que hay varios paradigmas que cambiar en torno a la seguridad de TI.

A nadie le gusta invertir en seguridad, como a nadie le gusta comprar un seguro. Por ello, la seguridad de TI sigue siendo, para muchos, ese gasto incómodo que hacen únicamente para decir que tenemos alguna protección o para cumplir con alguna regulación. Pero, en vista de lo que ha venido sucediendo con las más recientes brechas de seguridad, esto ya no es suficiente.

En entrevista con SearchDataCenter en Español, Juan Pablo Castro, director de innovación tecnológica de Trend Micro para México y América Latina, explicó como la seguridad debe convertirse en un tema más relevante durante 2015, no solo en las empresas –que deben considerar mejorar sus presupuestos de seguridad– sino también a nivel del gobierno, que puede fungir como modelo de presión para establecer un modelo de operaciones seguras dentro del ecosistema de negocios.

SearchDataCenter en Español: ¿Cuál consideras que es un modelo exitoso de seguridad que debe tener una empresa, teniendo en cuenta tendencias como virtualización, nube, BYOD?

Juan Pablo Castro

J.P. Castro: El punto crucial en las empresas hoy en día es pensar en cómo va a evolucionar su estrategia de infraestructura y elegir una estrategia de seguridad que acompañe a esa estrategia de infraestructura. Si yo estoy pensando en virtualizar y en la nube, tengo que acompañarla con una estrategia de seguridad que me va a proteger en esos dos ambientes, por más que ahora no los tenga. Lo mismo pasa a nivel del usuario. Si yo pienso en una estrategia en que mañana mis usuarios van a irse al ambiente móvil, o al ambiente de la nube, o necesitan cifrado o necesitan DLP, tengo que pensar en algo que me lleve a todo eso. Y, adicionalmente, una estrategia que pueda hacer que todo eso se intercomunique, y que sea a un costo aceptable para poder traer la seguridad. Esa es una de las partes que tiene que ver con la estrategia de seguridad [exitosa].

SDCE: Se ha hablado mucho del cambio de paradigma de pensar que una empresa está segura o que no le va a pasar nada, a saber que las brechas de seguridad le van a suceder y que tiene que estar preparada para cuando le suceda y que pueda reaccionar. ¿Cómo ves que está cambiando este paradigma en América Latina?

J.P. Castro: En América Latina lo que nosotros estamos viendo es que ese paradigma es muy difícil de aceptar todavía, porque estamos atados a un concepto de que si la infraestructura está funcionando, si la aplicación funciona y la red no está lenta, yo estoy bien en las medidas de seguridad. Eso los cibercriminales ya lo saben, y entonces tratan de hacer que sus ataques pasen desapercibidos a esos cambios en la infraestructura o en la lentitud. Eso no quiere decir que no estén pasando. Por eso, lo primero que hay que pensar es “si estoy operando bien, no quiere decir que estoy bien en seguridad”; ése es el primer paradigma que hay que matar. El segundo es “si soy compliance o si estoy cumpliendo con alguna regulación, tampoco quiere decir que estoy completamente seguro”. En el caso de Target, en el caso de Home Depot, ambos eran “PCI compliant” al momento de la brecha de seguridad, por lo cual ese es un punto crucial que también hay que cambiar.

Por último, el cambiar de decir “tengo seguridad, compré todo esto, estoy bloqueando todo esto” hacia considerar que siempre debo tener otra herramienta que sea mis ojos en la red y me diga qué tan bien está funcionando la seguridad de bloqueo y qué cosas se le pasaron a esa seguridad para que yo pueda mejorar y hacer más eficientes mis políticas y mis controles de seguridad.

SDCE: ¿Cuáles consideras que son los principales retos en seguridad que tienen las empresas en América Latina para el 2015?

J.P. Castro: El primero es capacidad de detección. Capacidad de detección que es realmente cuál es su postura de seguridad, y una postura que no quiere decir “sí, mi seguridad está funcionando o no”, sino realmente cuál es mi nivel de riesgo, y poder evaluar y actuar en base a ese nivel de riesgo. Creo que esa es una de las principales cosas de las cuales hoy en día carecemos. El otro gran problema que tenemos en las políticas de seguridad en América Latina es el tema del presupuesto de TI. Seguridad es un presupuesto muy pequeño dentro de TI, cuando debería ser parte del presupuesto de infraestructura. No hay un porcentaje correcto; el porcentaje es: tengo infraestructura, tengo que protegerla, no importa cuánto me cueste. No puedo salir sin protección.  Creo que esa es una de las partes importantes que hoy en día tenemos que cambiar, y es uno de los grandes retos que encontramos. 

Adicionalmente, el que ya comentábamos de cambiar nuestra perspectiva de solo protección a tener detección y respuesta; ése es un cambio muy importante que también debemos considerar y poder ver que todo lo que hay dentro de la red necesita ser visualizado con materia de seguridad, no importa que sea un tercero, no importa que sea un celular de uso personal. Si está dentro del edificio donde está la seguridad, debería estar siendo monitoreado de alguna manera; no siempre con un agente, al menos conectado a la red y saber si está comprometido o no, o si está hackeado o no.

SDCE: ¿Crees que ese cambio en cuanto a la perspectiva de seguridad a nivel de América Latina se dará desde los grandes corporativos hacia abajo, en cuanto estos empiecen a exigir a sus proveedores que tengan determinadas características de seguridad?

J.P. Castro: Sí, esto definitivamente debe ser así. Un gran proveedor, un gran cliente debe exigirle a sus proveedores ciertas medidas de seguridad. El problema es que hoy en día no se exigen. Hasta que no haya una exigencia real [no habrá un cambio en esta situación]. Incluso empezar por los proveedores de gobierno, porque son las legislaciones o las regulaciones más fáciles de hacer. Entonces, poder decirles [a proveedores externos y empresas más pequeñas] si tú no estás de tal manera y de tal manera no vas a poder trabajar conmigo. Esas regulaciones van a hacer que el mercado tome más conciencia. 

A nadie le gusta invertir en seguridad. A nadie le gusta comprar un seguro para el carro o comprar un seguro médico, porque dices, ¿para qué tengo esto si no lo voy a usar? El problema es cuando lo tienes que usar, dices ¿por qué no lo tenía? Incluso muchas pequeñas empresas no van a poder subsistir sin seguridad, porque van a ser tan vulnerables que no van a poder ganar contratos. Ese es el punto a tener en cuenta en este ecosistema. Es una responsabilidad que empieza principalmente en el gobierno, como todas las legislaciones y regulaciones, y después va permeando al sector privado.

Este artículo se actualizó por última vez en diciembre 2014

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close