La necesidad de reducir el número de proveedores de seguridad IT y la responsabilidad sobre la protección de los datos fueron los temas a debatir en la última edición del año del IT Masters Club, que convoca Netmedia.
Con la participación de 10 líderes IT de grandes empresas en México, se llevó a cabo una mesa redonda para explorar mecanismos en torno a una avanzada protección de datos personales y sensibles ante dos nuevas tendencias que exacerban las vulnerabilidades de las organizaciones frente a actores maliciosos.
La primera es la necesidad de integrarse con proveedores de tecnología externos, en la que se lucha por asegurar un entorno de servicios empresariales y se convierte en un desafío adicional a medida que crece la agilidad de las operaciones comerciales.
Y la segunda, que es la evolución de la nube, donde se utilizan entornos informáticos administrados por terceros y servicios SaaS para acelerar el proceso de migración, lo que pone en riesgo datos sensibles.
Con el patrocinio de la firma de ciberseguridad Imperva, a la cita asistieron representantes de los grupos financieros Actinver e Inbursa, además de Financiera Independencia y CI Banco. También participaron directivos iT de TelevisaUnivision y MVS Capital, así como de El Palacio de Hierro, Grupo PPG Industrias y Farmacéuticos Maypo.
Mónica Mistretta, directora de esta casa editorial, reveló los resultados de una encuesta de Netmedia Research en la que 38.1% de los profesionales IT considera que el principal reto de la protección profunda de los datos es la consolidación de proveedores, seguido del hecho de que los datos viven desintegrados en múltiples fuentes.
Menos proveedores, ¿imposible?
En un sondeo rápido hecho entre los asistentes, el principal beneficio de la consolidación de proveedores, además de la reducción del riesgo, es un control mayor. Otros puntos destacados fueron la agilidad en la toma de decisiones y una integración más rápida.
Al respecto, el director de Tecnología de información de Farmacéuticos Maypo, Fausto Léon, explicó que su organización está en ese proceso de consolidación. “Estoy buscando ver menos proveedores, pero a la vez que el servicio que ofrezcan sea más integral”.
El responsable global de Gobernanza, riesgo y cumplimiento IT de TelevisaUnivisión, José Antonio Rangel, dijo que es un tema recurrente, pero fue claro: “Nunca vamos a encontrar herramientas que nos cubran al 100%”.
El director de Seguridad tecnológica de El Palacio de Hierro, Isaí Elías, comentó que la cantidad de proveedores es uno de los principales problemas. “Quisiéramos tener todo centralizado”.
Uno de los retos, añadió, es “cómo tener las soluciones que sean 100% compatibles con otras y contar con el menor número de consolas de administración”.
Para el director de Infraestructura, Operaciones y Nube de TelevisaUnivisión, Mario Ramírez, no significa quedarse con uno o dos proveedores, sino “elegir inteligentemente” a través de la experiencia que se tiene sobre los que más convengan.
El subdirector de Cómputo en la nube e inteligencia de negocio de Financiera Independencia, Enrique Sangenis, sumó a la conversación otro factor para la elección de proveedores: el tiempo de implementación.
En su visión, el objetivo debería ser reducir periodos y no con todos es viable. “Es buscar las herramientas que se implementen lo más transparentemente posible con base en lo que ya se tiene”, dijo.
En contraste, el consultor senior en Seguridad de la información de CI Banco, Charles Eaton, explicó su estrategia de manejar a los proveedores en cuatro partes, lo que en su opinión “nos ha funcionado bien”.
El ejecutivo añadió que apenas renovó muchos servicios, en pro de la consolidación, pero su administración está dividida en cuatro partes para obtener mayores beneficios.
El responsable de los datos es…
El mayor consenso entre los asistentes es sorprendente, pues la mayor parte (82%) dijo no saber dónde viven sus datos. Y también coincidieron en que la responsabilidad de la seguridad de los datos, para 73% de los participantes, reside en las áreas funcionales. El restante 27% considera que es la tarea del área IT, en especial de la dirección de seguridad de la información.
Para Eaton, de CI Banco, “el CISO está para controlar o regir lo que dictaminen las áreas funcionales. El negocio es el que juega con esos datos, el que los utiliza”.
Ramírez, de TelevisaUnivisión, coincidió en que la responsabilidad es del CISO, ya que el área funcional utiliza los datos, “pero hasta ahí llega”.
“No concuerdo con ninguna [de las dos posturas]”, expresó por su parte Sangenis, de Financiera Independencia, para luego señalar que “debe haber una cultura de protección de datos en toda la organización. Todos debemos preocuparnos de los datos de todos”.
Agregó que las áreas funcionales trabajan la mayor parte del tiempo con datos, no necesariamente personales o confidenciales, pero aún así deben tener cuidado.
Léon, de Farmacéuticos Maypo, coincidió con la idea de la política organizacional. “Si no existe una cultura de protección de datos, en áreas funcionales y de seguridad, se van a tener pérdidas. La empresa debe definirla y hacer que permee a todos los niveles”.
Aunque el gerente de Seguridad de la información para América Latina de PPG Industrias, José Luis Benítez, también se mostró en favor de la cultura de seguridad, retomó la idea de que el primer responsable es el CISO. “Hoy en día es al primero que corren [si hay alguna falla]”, comentó.
Añadió que “el deber ser es que todos seamos responsables, que las áreas funcionales cuiden los datos, pero la realidad es que el CISO es quien debe tener el control ”, insistió.
La responsable de Seguridad e investigación de Grupo Financiero Inbursa, Jazmín Rosas, señaló por último un punto crítico: “Hoy en día no tenemos una cultura financiera y de seguridad que compartan las áreas funcionales”.
Rosas, además apuntó que en la actualidad “son los empleados quines comprometen la información”.
Por último, Francisco Herrera, director de Imperva, comentó que en esta nueva era “muchos caminos digitales han tenido que evolucionar” por lo que el debate es muy importante para “explorar juntos las posibilidades y, en conjunto, lograr un mejor entorno seguro”.