Revista trendTIC Edición N°12
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ESPECIAL<br />
ESPECIAL<br />
Mario Fernández<br />
CCU<br />
Santiago Fernández<br />
SEIDOR<br />
Consideraciones para una estrategía de<br />
CIBERSEGURIDAD<br />
Es un martes 20 de junio, una fría<br />
mañana en que distintos actores de<br />
ciberseguridad tienen una cita con la<br />
revista <strong>trendTIC</strong> en las dependencias<br />
de la cámara de comercio de Santiago.<br />
Son las nueve de la mañana y<br />
ya el frío se disipa frente a una gran<br />
mesa en la cual nos comenzamos a<br />
instalar. Entre los convocados, están<br />
CISOs (de su sigla en inglés: Chief<br />
Information Security Officer), responsables<br />
de la ciberseguridad que se<br />
desenvuelven o en el ámbito de las<br />
TI, o por el lado del riesgo del negocio<br />
de distintas industrias: finanzas,<br />
transporte, telecomunicaciones, como<br />
también integradores y fabricantes.<br />
Diversos ámbitos de la ciberseguridad<br />
estuvieron presentes y muy bien representados,<br />
por lo que tenemos la<br />
convicción de que el resultado de esta<br />
conversación y las respuestas a las<br />
preguntas que se fueron desarrollando,<br />
nos ha dado como resultado un<br />
valioso aporte para contribuir en las<br />
estrategias de ciberseguridad de las<br />
empresas.<br />
Luego de una introducción y saludo<br />
general, entramos en tierra derecha<br />
cuando les planteo una frase que se<br />
le atribuye a Bruce Schneier, un famoso<br />
criptógrafo norteamericano y<br />
autor de varios libros; la frase dice<br />
lo siguiente: “si crees que puedes<br />
resolver los problemas de seguridad<br />
con la tecnología, no sabes de tecnología”.<br />
Frente a un grupo de experimentados<br />
especialistas, la obtención de información<br />
de calidad no se deja esperar<br />
y pregunto:<br />
¿Son las personas, realmente el<br />
eslabón más débil para la ciberseguridad<br />
en una empresa?<br />
De alguna manera todos asienten y<br />
el primero en responder es, Alejandro<br />
Figueroa - Gerente de Engineering<br />
Risk & Corporate Assurance BBVA: “Yo<br />
creo que definitivamente si, los grandes<br />
eventos que han venido ocurriendo<br />
en los últimos años, demuestran<br />
que se han abierto grandes brechas<br />
por el factor humano.<br />
Lo de wannacry es sólo un ejemplo, y<br />
lo que ha pasado también con otros<br />
casos de conocimiento público y que<br />
han afectado a empresas de renombre<br />
como Target y Sony, es un poco de<br />
lo mismo. Sin una adecuada concientización<br />
de las personas orientada a<br />
que estén al tanto de lo que está ocurriendo<br />
hoy en día y que tomen conocimiento<br />
de las principales amenazas,<br />
el papel que cada uno de ellos debe<br />
jugar en la organización y los cuidados<br />
que deben tener presentes en el<br />
uso de sus sesiones, entre otras cosas;<br />
será muy difícil poder enfrentar<br />
estas materias, más si consideramos<br />
que las amenazas van a velocidades<br />
que son mucho más rápidas que la<br />
evolución de las tecnologías que nos<br />
permite protegernos de ellas.<br />
“si crees<br />
que puedes<br />
resolver los<br />
problemas de<br />
seguridad con la<br />
tecnología, no<br />
sabes de<br />
tecnología”<br />
De ahí la importancia del rol de las<br />
personas dentro de las organizaciones<br />
para poder contrarrestar este tema”.<br />
Luego, la respuesta es complementada<br />
por Wilson España - Subgerente<br />
Seguridad – Redbanc y presidente del<br />
capítulo chileno de ISC2: “Coincido<br />
con Alejandro en que los incidentes<br />
siempre se manifiestan por los usuarios,<br />
pero yo creo que hay que ponerle<br />
un matiz a eso que es algo que debemos<br />
entender las personas que traba-<br />
jamos en seguridad: que eso es circunstancial,<br />
es como un objetivo.<br />
El eslabón más débil siempre lo asociamos<br />
a los usuarios, porque es el<br />
área más difícil de abordar desde el<br />
punto de vista de creación de conciencia.<br />
También podría ser el eslabón<br />
más débil un aspecto tecnológico. Es<br />
circunstancial, al ser difícil de abordar<br />
siempre caemos en el mismo tema.<br />
Los profesionales de seguridad debemos<br />
entender que es circunstancial y<br />
debemos trabajar en ese eslabón más<br />
débil para hacerlo el más fuerte.<br />
Las organizaciones que tienen alto<br />
grado de madurez con sus empleados,<br />
este eslabón se transforma en algo<br />
gravitante en la política interna, en<br />
el ambiente de seguridad que se vive.<br />
No hay que quedarse tan sólo con que<br />
es algo derrotista y que no podemos<br />
hacer nada con este eslabón más débil”.<br />
A lo que Andrés Muñoz - CISO-GRC<br />
Chile/Perú/Uruguay DirecTV, agrega:<br />
“Puedes tener la mejor tecnología del<br />
mundo, pero si no tienes gente que<br />
sepa usarla, aplicarla y tener usuarios<br />
que sepan seguir las normativas,<br />
las cosas van a estar mal. Todo<br />
esto es un conjunto, van alienados.<br />
Si no capacitamos a nuestros usuarios<br />
en un buen uso de las herramientas<br />
corporativas, en el uso de<br />
internet, el uso del correo, estamos<br />
mal. Por ejemplo, un usuario puede<br />
traer un pendrive y al conectarlo infecta<br />
toda la red. Entonces tiene que<br />
haber una relación activa en capacitación<br />
constante a los usuarios”.<br />
Y sobre la capacitación, una participación<br />
que muchas veces no se considera,<br />
pero que se puede transformar<br />
en un factor importante para la transmisión<br />
del mensaje. Aquí es clave el<br />
involucramiento del área de recursos<br />
humanos de las empresas, pues son<br />
ellos quienes pueden facilitar las herramientas,<br />
habilidades o la forma de<br />
entregar el contenido con la mejor recepción<br />
posible.<br />
10 www.<strong>trendTIC</strong>.cl<br />
Julio - Agosto 2017 Julio - Agosto 2017 11<br />
www.<strong>trendTIC</strong>.cl