Revista trendTIC Edición N°15
Nuevos desafíos en la Gestión de la Infraestructura TI
Nuevos desafíos en la Gestión de la Infraestructura TI
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ESPECIAL<br />
ESPECIAL<br />
Negarse hoy a las<br />
herramientas<br />
N<br />
de<br />
Seguridad en la ube,<br />
es negarse al futuro<br />
Por Patricio Jaca<br />
Subgerente de Seguridad de la Información en Transbank<br />
En los últimos meses Chile ha sido escenario<br />
de una ajustada agenda en<br />
Transformación Digital, la que específicamente<br />
en el sector financiero y<br />
banca, se centra en automatizar procesos<br />
que disminuyan la probabilidad de<br />
errores en las operaciones. También se<br />
ha puesto especial énfasis en la utilización<br />
de tecnologías que permitan la<br />
ágil disponibilidad de recursos y que, a<br />
su vez, sea escalable, aumentando así<br />
su efectividad y acortando los plazos de<br />
innovación.<br />
Pese a esta oleada de innovación aplicada,<br />
el sector financiero sigue siendo uno<br />
de los objetivos predilectos del cibercrimen.<br />
En este sentido, la seguridad de la<br />
información ha pasado a ser parte estructural<br />
de muchas compañías, aunque<br />
en el mercado nacional ha sido difícil la<br />
alineación de la estrategia de negocio y<br />
la nueva cultura de seguridad, la cual<br />
es vista erróneamente como adversaria<br />
al negocio.<br />
Siempre hay regulaciones que empujan<br />
a las empresas a tener que considerar<br />
el tema de seguridad desde lo impositivo,<br />
convirtiéndose en proyectos críticos<br />
para la compañía.<br />
En las áreas tecnológicas y de riesgo,<br />
es natural el proceso de cambio de la<br />
cultura de seguridad y el impacto es<br />
menos duro; sin embargo, en áreas<br />
más funcionales, cuesta transmitir estándares<br />
y buenas prácticas que le den<br />
continuidad.<br />
Justamente, el principal desafío en las<br />
compañías, está en la adquisición de<br />
prácticas de seguridad por parte de las<br />
personas. Se pueden implantar controles<br />
y mitigantes, infraestructura y<br />
herramientas de control; pero si no se<br />
fortalece la cultura de seguridad en las<br />
personas, que son el eslabón más débil<br />
de la cadena, todo esfuerzo puede ser<br />
en vano.<br />
La cultura promovida por el área de<br />
riesgo de las compañías financieras, ha<br />
logrado permear a las áreas de gerencia<br />
y negocios, respecto de la relevancia de<br />
la seguridad en los procesos de trabajo<br />
y la estrategia del negocio. Pese a ello,<br />
algunas empresas todavía ven la inversión<br />
en seguridad como un costo hundido.<br />
Lamentablemente, solo se dimensiona<br />
su importancia tras experimentar<br />
ataques o vulneraciones, que pueden<br />
impactar negativamente en el negocio.<br />
En algunos casos, las áreas de seguridad<br />
tienden a minimizar el riesgo; o<br />
bien, hay desconocimiento, ya que ciertos<br />
eventos son atribuidos a causas técnicas<br />
distintas a las características de<br />
un ataque informático. ¿Qué podemos<br />
esperar de las áreas funcionales y de<br />
negocios, si los encargados de seguridad<br />
no están conscientes del problema?;<br />
es decir, experimentamos la carencia<br />
de estándares y una cultura de<br />
seguridad en todos los niveles de la organización.<br />
A lo anterior, se suma una comunidad<br />
empresarial que aún evita compartir y<br />
socializar experiencias de incidentes relacionados<br />
a Seguridad de la Información,<br />
lo cual está comprobado es una<br />
forma de fortalecer a la industria. Por<br />
eso, debemos comprender que transparentar<br />
este tipo de eventos, fomenta<br />
una cultura de seguridad solidaria y<br />
colectiva, permite mejorar protocolos y<br />
aprender de los éxitos y los errores sin<br />
esperar a vivirlos en carne propia.<br />
En 2015 sufrimos uno de los ataques<br />
de denegación de servicio distribuido<br />
(DDoS) más grande de la historia de<br />
Chile. La experiencia nos ayudó a tomar<br />
conciencia y dimensionar los riesgos,<br />
para hoy tener mejores procesos definidos,<br />
roles y monitoreos exhaustivos,<br />
sobre todo en eventos críticos como<br />
Cyber Monday, Cyber Day y Navidad.<br />
Desde entonces, hemos promovido una<br />
cultura de seguridad, compartiendo los<br />
aprendizajes en diversas charlas dirigidas<br />
a industrias financiera, retail y la<br />
banca.<br />
Esta experiencia nos enseñó, desde el<br />
punto de vista de la estrategia de selección<br />
de las herramientas de protección,<br />
que lo mejor es llevar la defensa y el<br />
control lo más lejos del perímetro web<br />
de nuestro negocio. De esta manera, si<br />
se intenta contener un ataque en nuestro<br />
propio espacio, dependerá mucho de<br />
los recursos y las herramientas instaladas,<br />
y se asume el costo de que el<br />
atacante ya llegó a la puerta de nuestra<br />
casa, y si logra vulnerar nuestro límite,<br />
¡Ya está adentro!<br />
En cambio, si aplicamos una estrategia<br />
de seguridad más proactiva, trasladamos<br />
la amenaza lo más lejos posible,<br />
al carrier o a la nube; lo cual quiere decir<br />
que nuestra barrera estará lejos de<br />
nuestros datos y perímetro; y de suce-<br />
der el ataque, el impacto será sin duda<br />
menor en el servicio y la continuidad del<br />
negocio. Una estrategia se seguridad<br />
debe combinar y contemplar todas las<br />
alternativas, ya sea ante un ataque de<br />
menor volumen, o bien uno más agresivo<br />
o estratégico.<br />
Por mucho tiempo las empresas vieron<br />
como una prohibición usar herramientas<br />
de seguridad basadas en la nube,<br />
y el tema cloud fue un tabú por largo<br />
tiempo. Sin embargo, actualmente la<br />
comunidad empresarial, que cada vez<br />
observa con mejores ojos la cultura de<br />
seguridad en sus compañías, comenzó a<br />
evaluar y utilizar estas tecnologías, los<br />
entes reguladores que antes la cuestionaban<br />
hoy habilitan su uso e incluso la<br />
recomienda, por lo tanto, negarse hoy<br />
a las herramientas en cloud, es negarse<br />
a la transformación digital y al futuro.<br />
Algunas ventajas de asumir esta nueva<br />
realidad en temas de seguridad, es<br />
flexibilizar el acceso a la información<br />
y hacer más ágiles los negocios. Esto<br />
además, permite aprovechar las experiencias<br />
de amenazas a nivel mundial,<br />
mejorando el conocimiento de nuestras<br />
herramientas, lo cual significará una<br />
detección temprana de eventos de seguridad,<br />
en el marco de un mundo globalizado<br />
que opera en red. Por lo tanto,<br />
estar conectado a la nube es una opción<br />
indispensable en la actualidad.<br />
Más aún, la pertinencia de una cultura<br />
de seguridad informática, la podemos<br />
ver reflejada en la Política General de<br />
Seguridad de la Información, liderada<br />
por los Ministerios del Interior y de Defensa,<br />
la cual busca crear un repositorio<br />
de conocimiento común sobre experiencias<br />
de ciberseguridad. Además, se ha<br />
actualizado nuestro procedimiento de<br />
respuesta ante incidentes de seguridad<br />
y uno de los focos es construir alianzas<br />
con el Gobierno y otras empresas, para<br />
generar conocimiento compartido, de<br />
forma voluntaria y anónima.<br />
En consecuencia, es importante recalcar<br />
que Chile es un escenario donde la<br />
seguridad es un proceso dinámico, en el<br />
que cada día surgen nuevos riesgos y<br />
posibilidades de enfrentarlos, siendo lo<br />
más adecuado hacerlo a través de adquisición<br />
y promoción de una cultura de<br />
seguridad acorde al siglo XXI.<br />
16 www.<strong>trendTIC</strong>.cl<br />
Marzo - Abril 2018 Marzo - Abril 2018 17<br />
www.<strong>trendTIC</strong>.cl