Reportaje Exclusivo a Bruno Alejandre González, Consultor Técnico de Archer eGRC para Latinoamérica y el Caribe, dentro de RSA, la división de seguridad de EMC

 

Idealmente, un experto en seguridad ¿debería tener un pensamiento estructurado o desestructurado?¿Por qué?

Un experto en seguridad debe tener ambos ingredientes: un pensamiento estructurado es necesario para desarrollar la arquitectura de soluciones, implementar metodologías, procedimientos y tecnologías, dar seguimiento a los resultados de las estrategias de seguridad y habilitar la mejora continua; el pensamiento desestructurado es necesario como premisa para la creatividad, como comúnmente se dice “pensar fuera de la caja”, esto debido a que los atacantes se encuentran en una innovación constante para vulnerar las medidas que el experto de seguridad define, para comprender los ataques y las amenazas, el experto en seguridad debe tener la capacidad de pensar fuera de los límites marcados por las metodologías y los procedimientos típicas.

Cuando se conforma un equipo de seguridad informática para una gran empresa ¿Es necesario contar con personas con habilidades en antropología?

Indudablemente las habilidades de conocimiento humano, con énfasis en las perspectivas social y lingüística, aporta elementos de gran valor para el equipo de seguridad de la información (no sólo informática). Recordemos que la ingeniería social se basa en la manipulación de las personas para obtener de ellas datos que permitan concretar un ataque. Mediante un conocimiento sólido en estas disciplinas se pueden explicar y predecir patrones de conducta, para ser efectivos en la anticipación de posibles ataques e incrementar la fortaleza del negocio para soportar estos embates. La conciencia en el personal, sobre todo en el personal con acceso a información clave, es crítico para el negocio.

¿Qué factores debe contemplar un CSO para seleccionar una metodología de trabajo efectiva?

En primer lugar debe estar consciente de la realidad de su negocio, y no me refiero sólo a la industria en la que se clasifica al negocio, sino a su marco normativo, su posición competitiva, sus niveles de exposición al riesgo, los niveles de conciencia del personal, el tipo de personal que integra la empresa (operativo, táctico y estratégico).

Con base en el contexto de su negocio, es necesario identificar la tecnología, los especialistas y el presupuesto disponible, así como las mejores prácticas de la industria.

Con toda esta información, el CSO tiene bases suficientes para seleccionar la metodología o combinación de metodologías que mejor ajusten a sus necesidades, así como las tecnologías subyacentes que le permitan automatizar la gestión, a través de niveles de madurez ordenados y planeados.

¿Qué impacto tiene la movilidad en la seguridad de sistemas corporativos? ¿Qué políticas hay que tomar para minimizar el impacto y preservar la continuidad del negocio?

Me gustaría citar a Marcos Nehme, Director de la División Técnica de Pre-Sales, PS y CS de RSA para Latinoamérica y el Caribe: “La evolución de la seguridad, ante la aparición de las tecnologías móviles, se enfrenta al siguiente reto: Ya no existe un perímetro definido, las fronteras corporativas han sido rebasadas”.

El primer aspecto a considerar es la conciencia de seguridad basada en la educación del personal. Ninguna política será efectiva si los encargados de aplicarlas no se auto-gestionan. Cuando hablamos de movilidad podemos apoyarnos de factores de autenticación fuerte (software tokens, datos sensibles encriptados, reglas de prevención de pérdida de datos, autenticación adaptativa, por ejemplo), pero la mejor defensa siempre será la conciencia del individuo.

Ahora bien, para lograr mayor efectividad en la mitigación de impactos y garantizar la continuidad del negocio, es necesario estructurar planes de continuidad y recuperación basados en análisis de impacto que incluyan la tecnología y servicios móviles, garantizando su funcionamiento mediante la aplicación de pruebas y simulaciones que nos permitan identificar y ajustar puntos de falla.

¿Sería posible trazar un patrón evolutivo en el campo del ciber crimen?

Desde una perspectiva forense o arqueológica, es posible hacer ese trazado. El ciber crimen responde y se adapta a los avances de la interacción humana basada en medios electrónicos: cada vez que se implementan nuevas formas de comunicación, maneras innovadoras de hacer negocios, también aparecen nuevas herramientas y mecanismos para obtener y usar la información de manera ilegal.

Por lo anterior, no resultaría difícil reconstruir una línea temporal de avances tecnológicos y de comunicaciones, con la línea paralela de los tipos de ciber crimen que caracterizan cada tipo de tecnología.

Hablando de una línea predictiva, también es posible trazar el posible patrón evolutivo, tomando como referencia las tendencias tecnológicas existentes y realizando un buen análisis de riesgos basado en las características esperadas de las nuevas tecnologías, así como en los patrones conocidos del ciber crimen; sin embargo, esta línea sólo podría considerar un subconjunto de todos los posibles ataques ya que, como he mencionado antes, la creatividad de los ciber criminales es un reto para los responsables de seguridad de la información.

¿Cuáles son las principales amenazas que visualiza para el mundo corporativo a nivel de seguridad?

Aunque existen puntos de vista diversos entre las distintas compañías de tecnología, la mayoría de ellas coinciden en señalar que los ciber ataques se han incrementado dramáticamente en el último año

El origen de estos ataques está representado por adversarios como Estados-Nación, grupos de crimen organizado, criminales internos y hacktivisas, los cuales tienen mayor acceso a recursos para implementar ataques sofisticados como inyecciones de malware, alteraciones de logs para mantener los ataques enmascarados y evitar su detección, ataques enfocados en activos de alto valor para romper las cadenas de negocio causando el mayor impacto, tácticas de distracción con ataques menores que desvíen la atención de ataques realmente importantes e, incluso, ingeniería reversa sobre aplicaciones de negocio para alterar la lógica de los flujos de trabajo y obtener acceso a información privilegiada.

No hay que descartar, además, las alianzas entre los distintos tipos de atacantes para realizar ataques de mayor complejidad que dificulten la defensa y exploten vulnerabilidades desde distintos flancos.

¿Qué desafíos plantea el cloud computing a nivel de seguridad?

Cómputo en la nube implica el acceso a recursos de manera remota, lo cual abre una amplia gama de posibilidades para el ciber crimen. Derivado de ello, se enfrentan retos para la protección de la información respecto al almacenamiento de la información y su transmisión, bajo una infraestructura controlada por terceros y fuera de las instalaciones físicas de la compañía. Esto requiere prevenir pérdida de información, accesos no autorizados, alteración de los datos, falta de disponibilidad de las aplicaciones o la información, prevención de fraudes, así como eficientizar la detección de ataques, bajo la perspectiva de reducir la ventana entre el inicio del ataque y su remediación… ¿suena familiar? Tal vez sea porque el cómputo en la nube tiene desafíos paralelos al cómputo tradicional.

Sin embargo, el mayor reto es la confianza entre las partes, sobre todo la confianza que el dueño de la información debe tener para depositar uno de sus activos más valiosos en manos de un tercero, si a este hecho le agregamos que este tercero puede hospedar información de sus competidores en el mismo centro de datos, las suspicacias se vuelven más agudas… a pesar de los acuerdos legales o de confidencialidad.

La evolución del BIG DATA ¿Aporta nuevas herramientas para ser aplicadas a la seguridad?

El Big Data nos permite acceder a nuevas herramientas para la obtención, procesamiento, análisis y presentación de la información. Desde la perspectiva de la seguridad de la información esto es muy útil porque nos permite nuevas maneras de identificación de patrones de conducta que puedan caracterizar los distintos tipos ataques, desde los ataques más básicos hasta fraudes o fuga de información estratégica para el negocio.

Ahora bien, el Big Data también genera conocimiento relacionado con el negocio, que le permite tomar ventajas competitivas sobre otras empresas y ofertas similares, esto es, Indicadores Clave de Desempeño con capacidades de análisis avanzado. No es muy difícil imaginar que la información que se genera mediante Big Data contiene datos vitales de la empresa, lo cuales deben ser protegidos contra accesos no autorizados y se debe asegurar que son íntegros para tomar decisiones acertadas, además de estar disponibles en el momento en que se requiere hacer análisis sobre ellos. De esta manera, Big Data representa un reto importante para la Seguridad de la Información, porque es un botín muy atractivo para los ciber criminales.

¿Considera seguros los protocolos de cifrado de discos que hoy se ofrecen en el mercado?

Aunque toda tecnología es perfectible y existe una investigación constante en mejoras a los protocolos y sus implementaciones, actualmente contamos con implementaciones comerciales que permiten asegurar la información sensible de la empresa.

Respecto al cifrado de información se deben considerar algunos factores:

• Balance entre nivel de seguridad y desempeño.
• Volumen de información por transacción.
• Estrategias alternativas de tokenización de información.
• Requerimientos de hardware para lograr un buen nivel de desempeño.
• Requerimientos de ancho de banda y localidades remotas que intercambian información.

Tener en cuenta estos factores ayudará al negocio a tomar mejores decisiones respecto al tipo de protocolo

Según su experiencia ¿Cuáles son los 5 errores más comunes que cometen los CSO?

Existen diversos errores en la gestión de la seguridad  que pueden impactar al negocio, los que más comúnmente me he encontrado son:

1. Falta de alineación de las estrategias de seguridad con los requerimientos y estrategias de negocio.
2. Mantener una visión de silos, en vez de generar una estrategia transversal de seguridad.
3. Subestimar el poder que juega la generación de conciencia y cultura de seguridad en creación de una defensa eficiente contra el ciber crimen.
4. Subestimar el valor de su información, o bien, las capacidades de los grupos interesados en vulnerar su negocio.
5. Tratar de atender los requerimientos de seguridad en pequeño y con recursos no especializados.

Los CSO deben tener confianza en acercarse a especialistas de seguridad que tengan referentes de mejores prácticas y su implementación en distintas empresas, buscar asesores más que proveedores, especialistas que puedan presentar soluciones basados en un proceso consultivo: la época de vendedores de cajas (hardware, software OOTB y appliances) ya no agrega valor al negocio.

Acerca de Bruno Alejandre González

Es Consultor Técnico de Archer eGRC para Latinoamérica y el Caribe, dentro de RSA, la división de seguridad de EMC. Tiene experiencia de más de 5 años en el campo de consultoría GRC y sus disciplinas. Ha desarrollado proyectos de Inteligencia de Negocios, Seguridad de la Información, Comercio Electrónico e Implementación de Estándares y Mejores Prácticas, tanto en empresas públicas como privadas, durante los últimos 14 años.

Es Licenciado en Informática por la Universidad Nacional Autónoma de México, institución donde cursó la Maestría en Finanzas y de la cual es académico para la Licenciatura en Informática, así como para Diplomados de Tecnologías de la Información, Administración de Proyectos, Administración de Bases de Datos y diversos cursos de Tecnologías de la Información.