En un entorno multinube, la falta de visibilidad y control se convierten en el desafío más relevante para los líderes IT, que reconocen que no se trata del único reto, pero quizás sí el prioritario.
A esta conclusión llegaron los participantes de la primera sesión del año en Monterrey del IT Masters Club, que contó con el apoyo de Tenable.
Al foro producido por Netmedia, casa editorial de esta publicación, asistieron 15 líderes IT del norte de México, representantes de grandes organizaciones, como Arca Continental, Banregio, Banorte, Cuprum, General Electric, Grupo Promax, Industrias Alen, Promotora Ambiental, Seguros Afirme, Senda, Trayecto, Tec de Monterrey, Value, Vector y Villacero.
El director de ingresos (CRO, por sus siglas en inglés) de Tenable, David Feringa, destacó que todas las industrias enfrentan los mismos retos en términos de seguridad en la multinube. “Todavía es algo nuevo, algo fresco. [Esta mesa redonda] es una gran oportunidad para conocer qué está funcionando y qué no, para aprender uno del otro”.
Moderada por Francisco Iglesias, director editorial de IT Masters Mag, la mesa redonda permitió a los participantes compartir mejores prácticas y ponerse al día sobre las tendencias en ciberseguridad en el complejo entorno de las tecnologías de nube, privada, pública y multicloud.
Desafíos de la multinube
Entre los principales desafíos de la multinube, coincidieron los participantes, se encuentra una “configuración incorrecta”.
El director de Transformación tecnológica de Vector Casa de Bolsa, Juan Carlos Balboa, afirmó que es importante que no se deje ningún “hueco” en la configuración, para evitar futuros problemas.
“Se generan muchos servicios y mantener la conectividad, la visibilidad y los puertos, es el reto más grande”, comentó.
En tanto, el director sénior de Datos y Analítica de General Electric Internacional de México, Óscar Viñas, destacó los costos que implica la multinube. “Tienes que brincar de un Amazon a un Azure a un Google y mi jefe me pregunta: ‘¿Cómo estamos en nuestro ambiente?’ Y él quiere saber todo. Hay que ir empatando nuestros controles y la visibilidad de costos”, aseveró Viñas.
Por su parte, el gerente de Soporte y Gobierno de IT de Promotora Ambiental, Régulo Jiménez, nombró a la visibilidad y el control como principales desafíos, ya que —dijo— sin ellas no es posible tener configuraciones, ni aplicación de estándares correctos.
El impacto financiero fue para el director de IT de Trayecto, Hernán Guerra, lo más relevante en este punto. “Nos ha pasado [que nos comentan]: ‘La aplicación está muy lenta, súbele la memoria, la vemos muy atorada. Los usuarios se están quejando los días de cierre, ponle dos procesadores más’. Sí, nada más que cuando me llega la factura el siguiente mes se me va al doble y no estaba en el presupuesto”.
En tanto, el CISO de Arca Continental, Alfredo Aranguren, indicó que tanto la visibilidad, como el control y la auditoría son primordiales. “Hay que definir claramente lo que puedes o debes de hacer y cuáles son tus responsabilidades como un elemento esencial de control”.
Sobre la auditoría, comentó que “es muy importante para validar que estamos haciendo lo que decimos que se hace”.
El director sénior de Ventas de Tenable, Arturo Barquín, señaló que es importante la identidad de los usuarios de la nube, para que así solo determinadas personas puedan hacer cambios que tengan impactos en los costos.
Visibilidad y control de la multinube
Los ejecutivos intercambiaron opciones al respecto de la visibilidad y control de la multinube.
El director de Seguridad de tarjetas (CSO, por sus siglas en inglés) de Grupo Financiero Banorte, Alfonso Flores, subrayó que es importante tener el personal adecuado y suficiente para administrar la multinube, además de mantenerlo capacitado.
Viñas, de General Electric Internacional de México, coincidió en que el talento es un punto importante, sobre todo al estar relacionado con los costos, ya que varía dependiendo del nivel de especialización del personal.
Algunos directivos como Jiménez, de Promotora Ambiental, recalcaron que la auditoría es sumamente importante. “Hay gente que no sabe qué hace, ni cómo lo hace, hasta que nos topamos con algún problema”.
En el mismo sentido se expresó el CIO de Value Grupo Financiero, Gerardo Martínez: “Las auditorías son el día a día. Nos apoyamos mucho en ellas. En lugar de pelearnos, son mejores prácticas”.
Riesgos asociados con las configuraciones
En cuanto al riesgo en la configuración, los asistentes a la sesión del IT Masters Club Monterrey subrayaron que la fuga de datos es un problema que se debe evitar a toda costa, ya que esto puede hacer que una organización pueda, incluso, desaparecer. El líder de arquitectura empresarial de Cuprum, Alejandro González, señaló que en el traspaso de datos sensibles es importante la encriptación para evitar filtraciones.
Para la directora de IT de Seguros Afirme, Sandra López, la exposición de datos sensibles es imperdonable. “El riesgo reputacional de que expongas datos sensibles no te lo va a perdonar tu cliente. Te puede hundir como empresa y traer consecuencias súper graves”, afirmó.
Flores, de Banorte, destacó que es importante identificar la información y luego poner controles de acceso con base en su clasificación.
Otros participantes, en cambio, hicieron énfasis en los costos. Tal fue el caso del director de IT de Grupo Promax, Adalberto Bazaldúa, quien destacó que es importante tener herramientas de monitoreo para evitar sobre costos y “sorpresas” en la facturación.
Herramientas de monitoreo y gestión
En cuanto a las herramientas de monitoreo y gestión, los participantes coincidieron en su relevancia, pero sobre todo en el dominio al usarlas.
“Las herramientas sirven para eficientar; no hacen magia. Si no tienes un modelo de gestión, si no sabes qué elementos administrar en la nube, la herramienta de monitoreo te va a dar muchas cosas pero solo para presumir que la tienes”, indicó Balboa, de Vector Casa de Bolsa.
Algunos, como Jiménez de Promotora Ambiental, recomendaron realizar auditorías internas, para prevenir incidentes. “Tenemos una revisión continua, semana a semana, mes a mes, para asegurar el cumplimiento”, enfatizó.
Medidas para mitigar las amenazas internas
Con la finalidad de mitigar las amenazas internas, prácticamente todos recomendaron implementar políticas estrictas como el Zero Trust y ser proactivos.
El director de Medios de Pago y Datos de Regional, Alfredo Pequeño, mencionó que como son una institución financiera, tienen la cultura de “no confíes ni en tu misma sombra”. Además, sugirió no tener información sensible en la nube.
En el caso del director de Datos (CDO, por sus siglas en inglés) del Instituto Tecnológico y de Estudios Superiores de Monterrey, Guillermo Garrido, dijo ser proactivo. “Es muy fácil dañar nuestra reputación. Los actores maliciosos sabemos que tienen la capacidad de extorsionar. Tratamos de monitorear qué está pasando y detectar comportamientos anómalos constantemente”, compartió.
En la mesa también se subrayó la relevancia de explicarle a los colaboradores del negocio o cualquier otra área ajena a IT, la importancia de la seguridad.
“Concientizar a las personas que cada quién debe poner de su parte, un sentimiento de responsabilidad compartida”, sostuvo Flores de Banorte.
Otra solución es la de implementar una área de normatividad en las corporaciones.
“Es un área que asume ese rol, designa quién debe tener permiso a qué, quién debe de ver qué tipo de información y debe tener muy claro quiénes tienen conflicto de intereses”, puntualizó el CIO y director de Proceso de negocios de Villacero, Héctor Cantú.
El CISO de Industrias Alen, Jorge Antonio Landa, destacó la amenaza interna: “Muchos ataques en el mundo suceden porque detrás hubo un incentivo económico.”
Para Guerra, de Trayecto, la amenaza interna se disminuye al requerir varias autorizaciones. “Ninguna alteración a los servidores se puede hacer con el permiso de una sola persona, tiene que pasar al menos por tres autorizaciones”, recomendó Guerra.
En tanto, Pequeño, de Regional, declaró que para evitar una mala acción es importante informar de las políticas y consecuencias, para que los usuarios se sientan vigilados.
“Todo empieza cerrando la puerta, Zero Trust. Yo te voy cerrar todo y te voy a abrir con base en tu necesidad y en el momento que lo requieras”, afirmó.
Autenticación y autorización
Pese a que muchas veces los empleados se oponen a tomar medidas de ciberseguridad (como cambiar contraseñas), para el CIO de Grupo Senda, Adrián Soto, es importante hacer conciencia en la organización de su envergadura. Y enfatizó: “La seguridad va en contra de la comodidad, pero es necesaria y hay mucho en riesgo”. Agregó que mensualmente mandan un reporte informativo sobre estos temas a toda la organización.
Bazaldúa, de Grupo Promax, propuso la doble autenticación para mitigar los riesgos, además de cambiar las contraseñas con periodicidad.
Respaldo y recuperación
Iglesias, en su papel de moderador, cuestionó a los asistentes sobre las prácticas que han adoptado para mejorar el respaldo y la recuperación en su entorno multinube.
Garrido, del Tec de Monterrey, dijo que es importante tener un plan ante una contingencia.
“Puedes tener tecnología, lo que tú quieras, pero si no estás concienciado a quién llamar, de quién debes tener el teléfono, mejor no compres nada, porque no sirve”, advirtió.
En el caso de López, de Seguros Afirme, su mayor preocupación es el almacenamiento de copias en lugares separados. “Si bien las empresas siguen siendo atractivas para los malosos, imagínate una nube [pública] que tiene 1,000 empresas. ¿De qué manera responden ante desastres naturales y todo tipo de ataques al sistema, para que nos permitan mantener una operación constante?”.
Para concluir, Barquín, de Tenable, agradeció a los participantes su confianza y el intercambio generoso de experiencias y desafíos. Afirmó que Tenable está bien posicionado para apoyar en superarlos. Por su parte, Juan Carlos Carrillo, director general de Tenable México, los invitó a revisar cuáles aplicaciones, datos y cargas de trabajo tercerizar y cuáles no migrar a la multinube. Recordó que en caso de un incidente, como el de filtración de datos, la autoridad va contra la empresa, esté o no tercerizando sus servicios IT.
Participantes
Alfredo Aranguren, CISO de Arca Continental; Juan Carlos Balboa, director de Transformación tecnológica de Vector Casa de Bolsa; Adalberto Bazaldúa, director de IT de Grupo Promax; Héctor Cantú, CIO y director de Proceso de negocios de Villacero; Alfonso Flores, CSO de Grupo Financiero Banorte; Guillermo Garrido, CDO del Instituto Tecnológico y de Estudios Superiores de Monterrey; Alejandro González, líder de arquitectura empresarial de Cuprum; Hernán Guerra, director de IT de Trayecto; Régulo Jiménez, gerente de Soporte y Gobierno de IT de Promotora Ambiental; Jorge Antonio Landa, CISO de Industrias Alen; Sandra López, directora de IT de Seguros Afirme; Gerardo Martínez, CIO de Value Grupo Financiero; Alfredo Pequeño, director de Medios de Pago y Datos de Banregio; Adrián Soto, CIO de Grupo Senda, y Óscar Viñas, director sénior de Datos y Analítica de General Electric Internacional de México.
