Confianza Digital: Servicios de Nube y reto de las empresas
Share
En el conversatorio sobre Confianza Digital: Servicios de Nube y reto de las empresas en el manejo e implementación de la Ley de Protección de Datos Personales, tuvimos la oportunidad de compartir con ejecutivos de seguridad de la información de distintas industrias con quienes conversamos sobre Servicios de Nube y retos de consolidación seguridad y los desafíos de seguridad para el acceso remoto, teletrabajo y prevención de pérdida de datos.
Nos acompañaron Lissette Yánez, jefe de Seguridad de la Información, Tecnología y Procesos de GPF; Javier Garzón, Gerente de IT de Coheco; Santiago Pulgar, jefe de Seguridad de la Información de Seguros Equinoccial; Carlos Andrés López, Gerente de Tecnología de James Brown Pharma; Mary Vargas, Oficial de Seguridad de la Información de CELEC-EP; Denny Gallo, Gerente de Tecnología de Toyota del Ecuador; Juan Carlos Marca, Jefe de Seguridad Digital de Salud.SA.; Gabriela Salazar, Gerente de Ciberseguridad de Pronaca; Jymmy Mestanza, Gerente de Tecnología de Comohogar; Juan Cabrera, CIO de General Motors.
Además, Carlos Silva, director de Ventas y Joe Pérez, Gerentes de Canales para Latinoamérica de Cloudfare; José Conde, Especialista comercial IT de Lynx.
La adopción de servicios en la nube ha revolucionado la forma en que las organizaciones almacenan, gestionan y acceden a sus datos y aplicaciones. Su aceptación y uso está supeditada a diversos aspectos. Lissette Yánez, jefa de Seguridad de la Información, Tecnología y Procesos de GPF, identifica que uno de los principales desafíos radica en los aspectos legales y el cumplimiento normativo asociados con la nube. Esto incluye consideraciones relacionadas con la jurisdicción y ubicación de los datos, ya que, al optar por la nube, existe la posibilidad de que los datos se almacenen en servidores ubicados en otros países.
En el contexto actual, y considerando el cumplimiento de la Ley de Protección de Datos Personales, señala que es fundamental garantizar que los clientes estén informados sobre cómo se gestionarán sus datos y establecer conexiones seguras con las nubes utilizadas para proteger su privacidad y cumplir con las regulaciones aplicables.
Mary Vargas, Oficial de Seguridad de la Información de CELEC-EP, destaca que las restricciones al considerar la adopción de servicios en la nube son más significativas para las entidades públicas, especialmente aquellas consideradas estratégicas y que brindan servicios esenciales. Estas entidades prohíben la transferencia de datos a ubicaciones fuera de Ecuador. En el proceso de justificar proyectos, es necesario asegurarse de que la información no sea calificada como reservada de seguridad nacional. Sin embargo, debido a la falta de una clasificación específica en la metodología de gestión de riesgos, es necesario realizar un análisis exhaustivo, especialmente en lo que respecta a la clasificación de datos personales. Indica que la elaboración y gestión del levantamiento de riesgos se vuelve más compleja cuando se consideran datos personales. Aunque se ha evaluado la seguridad desde esta perspectiva, todavía hay trabajo por hacer para abordar adecuadamente estos riesgos.
Gabriela Salazar, por otro lado, señala que en la industria de alimentos no existe una norma específica que prohíba el uso de la nube para el almacenamiento de datos. En su caso, la decisión de migrar a la nube se basa en consideraciones como la obsolescencia de las infraestructuras existentes y otros factores relevantes. No obstante, identifica que el desafío principal al realizar esta migración es garantizar la seguridad y ciberseguridad de los datos, así como establecer claramente las responsabilidades entre los proveedores de servicios en la nube y la compañía.
Además, Gabriela mencionó la importancia de ajustar los contratos legales con cláusulas específicas en relación con la Ley de Protección de Datos Personales. También destaca la necesidad de verificar que los servicios en la nube cuenten con las certificaciones adecuadas. En su opinión, es difícil determinar hasta qué punto los proveedores brindan las garantías de seguridad necesarias, lo que plantea el desafío de comprender si se cuenta con una protección real y hasta qué punto se extiende.
En este punto, Jymmy Mestanza, Gerente de Tecnología de Comohogar, comentó que para cubrirse al solicitar servicios con los proveedores se puede aplicar la acción que los abogados denominan por encargo, es decir que cuando se entrega información a un proveedor, se establece una relación de encargo en la cual el proveedor asume la responsabilidad de manejar y proteger adecuadamente los datos proporcionados por el cliente e implica la obligación de cumplir con estándares de seguridad y confidencialidad para garantizar la protección de los datos confiados a ellos. Señaló que para la Ley de Protección de Datos Personales se puede aplicar la norma ISO 27000 y 29100 de Gestión de la Información, acompañada de la parte legal y técnica.
Al hablar sobre seguridades para el acceso, Santiago Pulgar, jefe de Seguridad de la Información, destacó la importancia del perfilamiento en la gestión de riesgos dentro de las organizaciones. Señaló que lamentablemente, muchos fracasan al no contar con un adecuado perfilamiento que permita trasladar de manera efectiva las políticas y medidas de seguridad al resto de la infraestructura tecnológica de la organización.
Un ejemplo evidente del perfilamiento se presenta cuando alguien sale de la organización. En situaciones sencillas, si el perfilamiento está correctamente integrado, el proceso de baja se realiza automáticamente en todas las aplicaciones correspondientes. No obstante, en algunos casos, puede haber situaciones en las que el perfilamiento no esté completamente integrado, en este caso se planteó la pregunta ¿quién asume la responsabilidad?
Juan Carlos Marca, Jefe de Seguridad Digital de Salud S.A., enfatizó la importancia de la gestión de identidades y la sincronización de sistemas para lograr una asociación inmediata en la asignación o revocación de acceso de los colaboradores. Destacó que cuentan con un sistema de recursos humanos integrado llamado Success Factor, que está conectado a un sistema de gestión de identidades donde se definen roles e identidades, así como los sistemas a los que cada colaborador debe tener acceso. Esto facilita el proceso de incorporación de nuevos empleados, ya que cuando alguien sale de la organización, sus cuentas de red de Windows y Azure se desactivan automáticamente para garantizar la seguridad de los datos. En cuanto a los terceros, Marca mencionó que también se podrían gestionar los procesos.
Sobre el control de los usuarios privilegiados se señaló a la ética como un componente primordial entre las personas que tienen la administración y acceso a sistemas, además de herramientas como MDM para administrar y controlar dispositivos móviles, como teléfonos inteligentes, tabletas y otros dispositivos portátiles, dentro de una organización.
Carlos Andrés López, Gerente de Tecnología de James Brown Pharma, mencionó la implementación de una cultura de revisión o de «cuatro ojos» como política organizacional, que permita garantizar que todas las acciones realizadas sean sometidas a revisión por al menos otra persona antes de ser autorizadas. Por ejemplo, si una persona tiene acceso al administrador de MDM, por ejemplo, alguien más debe autorizarlo
Carlos Silva, director de Ventas de Cloudfare para Latinoamérica, habló sobre Cloufare posicionado como una capa de protección para aplicaciones expuestas a internet, sin tener recursos de cómputo, memoria o almacenamiento. Su enfoque se basa en la protección de DNS, WAF (Firewall de Aplicaciones Web) y APIs, asegurando que el tráfico limpio se dirija hacia la nube. Señala que, como proveedor de servicios de nube, Cloudfare actúa como un punto de control centralizado que mitiga riesgos y ataques falsos de manera distribuida, permitiendo la consolidación de controles de seguridad desde todas las aplicaciones expuestas. Esta estrategia se integra con la ley de protección de datos personales para garantizar la seguridad de los datos. También utiliza el enfoque Zero Trust, aprovechando las identidades para establecer autorizaciones en las solicitudes de terceros. Cada petición pasa por un firewall de aplicaciones antes de llegar a las aplicaciones expuestas, donde se verifica que la sesión sea válida.
Juan Cabrera, CIO de General Motors, dijo que es importante destacar que existen diferencias entre las diferentes nubes pues no es lo mismo tener información en una nube privada que en otras opciones. Comentó que la organización tiene las aplicaciones de negocio principales están en Estados Unidos, mientras que localmente, gestionan la información de producción en una red más pequeña con las seguridad y uso de determinadas restricciones, endpoints e IA para para reforzar la seguridad.
Afirmó en general que el reto principal de las organizaciones radica en las personas, aunque tras la pandemia y gracias a la tecnología las organizaciones y usuarios han adquirido más madurez en su forma de trabajar.
Sin embargo, Javier Garzón, Gerente de Tecnología de Coheco, indicó que aún falta madurar en la educación de los usuarios. Podemos tener las mejores herramientas, pero si los usuarios no están educados, no se aprovecharán al máximo. Creo que es importante trabajar desde tecnología y seguridad en la búsqueda de estrategias que permitan capacitar a los usuarios y colaboradores, especialmente ahora con el teletrabajo, cuándo éstos pueden estar en cualquier parte del mundo.
José Conde, especialista comercial de Lynks, mencionó algunas cifras en relación a las empresas y cloud, indicó que al momento existe una transición y el 75% de empresas en el mundo irán a la nube con seguridad y con appliance en la nube que simplifica la implementación y el despliegue de aplicaciones o servicios específicos, es decir, “las cajas están migrando a la nube”. El especialista indicó que Cloudfare cubre con servicios en capa 7, 3 y 4 de aplicaciones, red y transporte. Con soluciones a nivel de aplicaciones web y servicios, soluciones como enrutamiento inteligente, balanceo de carga, protección DDoS y optimización de redes para mejorar la entrega de servicios en línea.
Denny Gallo, Gerente de Tecnología de Toyota Ecuador, destacó la importancia de construir la confianza a través de los resultados y la transparencia. Además, mencionó que manejan lineamientos desde la fábrica en Japón y se extiende hacia los concesionarios para que voluntariamente se adhieran a esta metodología de buenas prácticas tecnológicas, seguridad, procesos negocios, etc.
La confianza digital a nivel interno dijo, se va generando con los resultados alcanzados en cada actividad que se realiza. Es importante transparentar las incidencias, mostrar las acciones y resultados.
Joe Pérez, gerente de Canales para Latinoamérica de Cloudfare, enfatizó que con el teletrabajo, las conexiones a VPN tienen una vulnerabilidad significativa, porque existe la posibilidad de compartir credenciales, lo que podría comprometer la seguridad del sistema. Además, la latencia es otra vulnerabilidad a considerar, especialmente cuando los empleados se encuentran en ubicaciones geográficas diferentes y desean establecer una conexión. Esta puede resultar en una experiencia del usuario con cuellos de botella y dificultades. Sin embargo, al utilizar Cloudfare como una alternativa a las VPN, es posible mitigar estos problemas.