Si la mayoría de las organizaciones en México ya viven en la multinube —más del 80%,según varios informes—, el análisis se centra ahora en los desafíos que representa.
En la mesa redonda de IT Masters Club, con el respaldo de Tenable, quedó claro que aunque hay coincidencias con respecto a la visibilidad y el control como los desafíos más populares, las configuraciones incorrectas pueden ser un grave problema.
Definir cuál es el principal cobra relevancia no por un tema de competencia, sino por saber cuál atender primero, pues los 20 líderes IT de grandes organizaciones en México que acudieron a la convocatoria de Netmedia en junio pasado reconocieron que hay más de un desafío en un entorno de este tipo.
Mónica Mistretta, directora general de Netmedia, dio la bienvenida a la que confió sería una “plática fluida y entre colegas” para contribuir al crecimiento de la comunidad IT.
En su oportunidad, el director de Ingresos (CRO, por sus siglas en inglés) de Tenable, David Feringa, señaló: “La seguridad en la nube sigue siendo algo nuevo en muchos sentidos. Si hablo con 10 clientes diferentes, escucho probablemente 10 ideas distintas de cómo implementarla”.
Por ello, indicó que la mesa redonda era una gran oportunidad para discutir colectivamente los retos y las oportunidades que están viviendo los ejecutivos IT, además de compartir mejores prácticas.
“Dicen que es mejor tener más de una nube. Acá discutiremos qué tan cierto es. Pero implica un gran reto, porque es como contratar a tres virtuosos violinistas y pretender que se van a poner de acuerdo para tocar como uno quiere. Orquestar eso no debe ser nada fácil”, comentó Mistretta a manera de introducción.
El factor humano, detrás de configuraciones incorrectas
El debate inició con una encuesta instantánea entre los participantes: la mayoría (47%) respondió que la falta de visibilidad y control es el problema más desafiante en un entorno multinube, por encima de configuraciones incorrectas (37%) y amenazas internas (11%).
Sin embargo, la discusión se centró en la segunda respuesta más popular. El oficial de Seguridad global de BNP Paribas Cardif, Francisco García Dayo, dijo que “en cualquier entorno de nube tienes las herramientas de visibilidad y control. El problema es que no se usen”. En cambio, agregó, eligió configuraciones incorrectas puesto que “podemos tener unas que no están alineadas a lo que tenemos”.
El líder de Entrega en las Américas y Simplificación digital de Grupo Financiero HSBC, Carlos Arana Trejo, compartió la idea expuesta y profundizó: “Cuando son ambientes muy grandes, las configuraciones se vuelven más complejas”.
En su oportunidad, la CIO para América Latina de Stanley Black & Decker, Guadalupe Azuara, comentó que la configuración incorrecta “puede tener un impacto muy fuerte”, sobre todo en procesos que afectan a la compañía. Señaló que el control y la falta de visibilidad es importante, pero “cuando te vas a la nube lo pierdes en parte”.
El director ejecutivo de Infraestructura y Ciberseguridad de sistemas de transferencias y pagos (STP), Romeo Sánchez López, indicó que se inclinó por configuraciones incorrectas porque “puede echarte a perder todo”. En especial, dijo, porque depende de una persona. “Mientras haya un factor humano en juego, podemos tener temas importantes”, abundó.
Al tomar la palabra, el director de Seguridad de la información y Continuidad de Círculo de Crédito, Pedro Lascurain, reflexionó: “Unas respuestas pueden ser consecuencia de otras. Están encadenadas”. Por eso, explicó, eligió configuraciones incorrectas, pues “podemos evitar otros riesgos”.
El CISO de Prosa Promoción y Operación, Valther Galván, confesó que su mayor preocupación es el error humano y las malas configuraciones. “En la nube que nosotros estamos trabajando hay más de 6,500 perfiles que debemos configurar”, compartió.
Según el ejecutivo, ni los propios proveedores de nube conocen lo que tienen. “Hay mucha incertidumbre entre qué y cómo configurar”.
Exposición de datos, el mayor riesgo
El consenso llegó a la mesa del IT Masters Club al hablar sobre el mayor riesgo asociado con las configuraciones incorrectas en un entorno multinube. La exposición de datos críticos fue elegida por todos los asistentes como primera opción.
Sobre las otras dos respuestas más populares (accesos no autorizados o interrupciones del servicio), el CIO de Holiday Club Management Company de México, Jorge Carrillo, puntualizó su impacto.
“Si tenemos un acceso no autorizado, en términos de riesgo, caemos en una exposición de datos, y la interrupción de servicios es un daño, no un riesgo. Lo más importante es el tema de datos sensibles. En mi caso, tenemos clientes con 30 años de historia, tiempo en el que hay que resguardar su información”.
El CISO de la Federación Mexicana de Futbol (Femexfut), Héctor Javier González, señaló que va más allá del cumplimiento, pues en su caso, aunque no manejan datos críticos de los usuarios, tienen un gran engagement. “El número de datos es tan grande que la exposición podría ser una causal muy grave para la empresa por el volumen”.
Para el director de Sistemas e IT de ICEE de México, Marco Antonio Gómez, el tema es importante puesto que su empresa cotiza en Nasdaq. “Si tenemos un ataque, se tendría que reportar y eso es grave”.
Gómez compartió que manejan una tecnología híbrida; es decir, una parte sí está en un entorno multinube, pero otra on premise. “Las máquinas son nuestras, las recetas también y eso no se sube”.
El gerente de Ciberseguridad de IEnova México, Humberto Barreda, amplió la discusión al señalar que se piensa más en la exposición de datos bajo un modelo SaaS, pero hace falta preverlo en uno IaaS, donde existen movimientos laterales o de escalación de permisos.
“Quizás en arquitecturas híbridas el mayor riesgo sea la falta de permisos y autorizaciones que tienen algunos usuarios, y sin visibilidad”, dijo.
Visibilidad, una responsabilidad compartida
Sobre la visibilidad, el gerente de Sistemas de Techint E&C, Claudio Auciello, apuntó que “en general, nos la da el propio proveedor. La administración también la tiene [el proveedor], entonces se complica”.
El CIO regional para Américas de Eutelsat, Arturo Hernández, discrepó: “El reto es no olvidar el modelo de responsabilidad compartida de la nube: el proveedor es responsable de la seguridad de la nube y nosotros de la seguridad de los datos en la nube”.
Abundó que más allá de que la nube tiene herramientas de visibilidad, “nosotros también debemos tenerlas”. En un entorno multinube, “sincronizar la visibilidad de ambas herramientas es todo un reto, pues el equipo que se encarga de eso es uno solo”, afirmó.
El gerente de Seguridad de la información para América Latina de PPG Industries, José Luis Benitez, compartió un caso propio para destacar su importancia: “En una aplicación donde nosotros nos validamos con doble [factor de] autenticación todo estaba perfecto. Sin embargo, no teníamos visibilidad del proveedor para sus propios servicios y se le metieron, los hackearon y tuvieron acceso a nuestros sistemas”.
En su opinión, “con que revises y tengas procedimientos, se resuelven las configuraciones incorrectas. Aun cuando tengas la configuración correcta, cuando no hay visibilidad puedes tener problemas”.
El desafío depende del tipo de nube
Sobre las demás respuestas del sondeo, Auciello, de Techint E&C, aclaró: “Depende de la tecnología de cada uno”. Agregó que todas son importantes y, si bien escogió la más desafiante, “nadie puede dejar de ponerle atención a alguna”.
Hernández, de Eutelsat, coincidió y profundizó: “Cada organización puede tener un reto diferente, dependiendo de los ciclos de negocio”.
Lascurain, de Círculo de Crédito, destacó que el desafío también depende del tipo de nube que se maneje. “Para PaaS o IaaS, obviamente la configuración incorrecta es un problema. En cambio, en SaaS probablemente no me tenga que preocupar por eso”.
Añadió que “tener visibilidad y control no significa que vas a resolver los demás [problemas]. Tengo un buen dashboard, pero si no sé qué hacer con ello, no sirve de nada”.
Sánchez López, de STP, opinó en el mismo sentido: “[Los distintos tipos de nube] no se cocinan igual”.
La relevancia de la formación de personal
Al preguntarles a los asistentes, mediante el sondeo instantáneo, qué medidas han implementado para mejorar la visibilidad y control en su entorno multinube, destacó como primera respuesta (80%) “Herramientas de monitoreo y gestión centralizada”, seguida de “Formación continua del personal” y “Políticas estrictas de acceso y permisos”.
Para el director de Gestión de seguridad y Calidad de la información de la Secretaría de Economía, Gustavo García, se trata de “subirse a un ciclo de mejora continua”. En su visión hay que definir el control, implementarlo y mejorarlo hasta automatizar procesos.
“Se puede automatizar la parte de la visibilidad, no solo en cuanto a recibir una alerta, sino que se tomen acciones”, agregó.
Auciello, de Techint E&C, argumentó que eligió la segunda opción porque la gente sigue siendo el elemento más vulnerable. “Puedes tener todos los controles posibles, pero una persona puede ser la entrada”.
El director de IT de Vertiche, Fernando Domínguez, coincidió: “El personal es el punto crítico”. Para entornos multinube, ahondó, dijo que la visibilidad es importante para tomar acciones.
El líder de Transformación digital del Centro Hospitalario MAC, David Infante, votó igual y dijo que “es un punto importante que debe atenderse”. Incluso, detalló que puede resolverse desde la planeación de un proyecto.
Para Azuara, de Stanley Black & Decker, las herramientas de monitoreo “van muy de la mano de la gente” ya que “no sirve de nada la tecnología si no va acompañada del factor humano”.
La directora de IT de Grupo Omega, Sandra Maciel, trajo a la mesa el problema de la formación continua que enfrenta en esa organización con 40 años de historia: “El personal que lleva toda la vida en la empresa no se quiere actualizar”.
Sin embargo, afirmó que “hemos detectado que si no los capacitamos no sirven de nada las herramientas que implementamos”.
El gerente de Seguridad estratégica de Conservas La Costeña, Juan Carlos Aldana, compartió que en su empresa han trabajado la formación continua, pero no solo en el ámbito tecnológico o de seguridad. “Cuando hablamos de formación continua, no solo nos referimos a la cultura de la organización, sino en general”, señaló.
Entre políticas de acceso y auditorías
Aunque el consultor sénior de IT y Seguridad de la información de CIBanco, Charles Eaton, eligió las opciones de herramientas y formación de personal, también resaltó la importancia de las políticas de acceso y permisos. “Hay que aferrarse a ellas. Si son fuertes, va a entrar únicamente la gente que debe entrar”.
En contraste, Carrillo, de Holiday Club Management Company de México, insistió en el punto de la formación. “Muchos de nuestros colaboradores cumplen con la política, pero no los hace menos vulnerables. Un usuario que no violenta la política ni el acceso, también se puede corromper y la única manera de evitarlo es a través de un proceso de educación”.
En el mismo sentido, la líder de Transformación Digital y TISL para América Latina de un conglomerado de las industrias de la confitería, alimentación y bebidas, Yami Hagg, consideró que en su caso, con tanto personal, “las políticas se quedan cortas”. Para la ejecutiva, el monitoreo continuo de actividades es muy importante.
El CISO de Tiendas Tres B, Mario Díaz, compartió su práctica, que va un paso más allá. “Hay que monitorear al personal de IT. Mucha gente, de manera ingenua —entre comillas—, se da permisos. Toca revisarlos. Hacemos auditorías internas, implementamos herramientas de detección y pruebas de polígrafo al azar”.
Al referirse a la mejora en el control, el director para México de Tenable, Juan Carlos Carrillo, defendió la cuarta respuesta en el sondeo: auditorías regulares de seguridad.
“Si no tienes una regulación que mida hasta dónde tienes que llegar, solo tienes el piso, pero no tienes el techo”, advirtió.
El CISO de Bitso, Jorge Pacheco, reflexionó acerca de que las auditorías hayan quedado en el último lugar: “Nos llama más la parte de automatizar un proceso que de verificar si funciona el proceso”.
Indicó que “la auditoría, la revisión del proceso, del cumplimiento y control, toman preponderancia incluso antes que la automatización”.
Probar, probar y probar
En los entornos multinube, el respaldo y la recuperación son importantes y los asistentes al IT Masters Club lo expresaron.
Al preguntarles sobre las prácticas que han adoptado para mejorar estos rubros, destacó el uso de herramientas automatizadas de respaldo, aunque la implementación de planes de recuperación, pruebas regulares y el almacenamiento de copias de seguridad en ubicaciones separadas también fueron respuestas populares.
En el caso del Banco Nacional de Obras y Servicios Públicos, según su director de Seguridad de la información, Humberto Rosales, se implementa una combinación de todas, aunque advirtió que “no pueden aplicarse de forma aislada”.
El subdirector de Sistemas de Transportistas Unidos Mexicanos (TUM), División Norte, Luis Francisco Ruiz, consideró que el plan de recuperación “es importante para no entrar en pánico” y saber cómo actuar, pero defendió también la importancia de las ubicaciones separadas.
Sánchez López, de STP, apuntó que cuando se habla de recuperación, se piensa en datos, pero “también hay infraestructura, cantidad de dispositivos, máquinas virtuales que tienen que ser respaldadas y que su disponibilidad tiene que estar garantizada”.
En su opinión, y tras relatar la falla de un hiperescalador en cuanto a las copias de seguridad en ubicaciones separadas, “hay que poner en duda hasta al proveedor de nube”.
Para el subdirector de Ciberseguridad de Prosa Promoción y Operación, César Sánchez, “las herramientas no sirven de nada si no tienes pruebas regulares de recuperación de desastres”. En su experiencia, estas deben de ser trimestrales.
Quien coincidió sobre el plan de recuperación fue Lascurain, de Círculo de Crédito: “Lo tengo que probar dos o tres veces al año y normalmente vamos a encontrar fallas y corregirlas. No siempre son las mismas. Hay que probar, probar y probar”.
El “gravísimo” error en nube
Para cerrar la mesa redonda de IT Masters Club, el vicepresidente sénior para América Latina de Tenable, Francisco Ramírez, agradeció a los participantes su “transparencia para compartir sus desafíos y prioridades en el tema de seguridad en la nube”.
Al redondear la idea planteada por Feringa al inicio de la sesión, sobre la rápida evolución del tema, Ramírez les dijo “no están solos”. En muchas instancias, agregó, los clientes “no saben lo que no saben e incluso nosotros, como fabricantes, hemos aprendido mucho en los últimos años porque aceptamos lo que no sabíamos”. Añadió que a través de desarrollos internos y adquisiciones “hemos construido una solución muy robusta”.
Carrillo, de Tenable, concluyó con un mensaje: “Hay tres cosas que en nube nunca van a ser la responsabilidad del proveedor: los datos, la identidad y el dispositivo desde donde se consumen los datos de nube. Siempre será responsabilidad del usuario y no pensarlo así es un gravísimo error”.
Participantes
Juan Carlos Aldana Ayala, gerente de Seguridad estratégica de Conservas La Costeña; Carlos Arana Trejo, líder de Entrega en las Américas y Simplificación digital de Grupo Financiero HSBC; Claudio Auciello, gerente de Sistemas de Techint E&C; Guadalupe Azuara León, CIO para América Latina de Stanley Black & Decker; Humberto Barreda, gerente de Ciberseguridad de IEnova México; José Luis Benitez Santana, gerente de Seguridad de la información para América Latina de PPG Industries; Jorge Carrillo Alarcón, CIO de Holiday Club Management Company de México; Charles Eaton Correa, consultor sénior de IT y Seguridad de la información de CIBanco; Mario Fernando Díaz Gómez, CISO de Tiendas Tres B; Fernando Alberto Domínguez Reyes, director de IT de Vertiche; Francisco García Dayo, oficial de Seguridad Global de BNP Paribas Cardif; Gustavo García Sánchez, director de Gestión de seguridad y Calidad de la información de la Secretaría de Economía; Yami Hagg y Hagge, líder de Transformación Digital y TISL para América Latina de un conglomerado de las industrias de la confitería, alimentación y bebidas; Marco Antonio Gómez Moreno, director de Sistemas y IT de ICEE de México; Héctor Javier González Ramírez, CISO de la Federación Mexicana de Futbol; Arturo Hernández Ortega, CIO regional para Americas de Eutelsat; David Infante, líder de Transformación digital del Centro Hospitalario MAC; Pedro Alberto Lascurain López, director de Seguridad de la información y Continuidad de Círculo de Crédito; Sandra Maciel Charnichart, directora de IT de Grupo Omega; Jorge Pacheco, CISO de Bitso; Valther Galván Ponce de León, CISO de Prosa Promoción y Operación; Humberto David Rosales Herrera, director de Seguridad de la información del Banco Nacional de Obras y Servicios Públicos; Luis Francisco Ruiz Hernández, subdirector de Sistemas de TUM Transportistas Unidos Mexicanos, División Norte; Romeo Sánchez López, director ejecutivo de Infraestructura y Ciberseguridad de Sistemas de Transferencias y Pagos (STP), y César Sánchez Muñoz, subdirector de Ciberseguridad de Prosa Promoción y Operación.
