Conversatorio parte 2: Fortalecimiento de la ciberseguridad de los canales digitales

Share

En la segunda parte del conversatorio sobre el Fortalecimiento de la ciberseguridad de los canales digitales contamos con la presencia de Fidel Andino, CIO de Asertia; Jymmy Mestanza, CIO de Comohogar; Miguel Fuentes, CIO de la ESPOL;  Carlos Montes,CIO de Empacreci;  Germán Cueva, Jefe de IT de Sinohydro; Santiago Saavedra, CIO de LIFE; Tania Palacios, CISO de Banco del Austro y Ricardo Pulgarín, Regional Security Solutions Architect North Latam Cluster de Lumen, quienes coinciden que la pandemia aceleró y priorizó las actividades previamente planificadas en las hojas de ruta de las empresas. El teletrabajo impulsó cambios y acciones ágiles para equipar, proveer nuevos enlaces de datos, y tomar mayores precauciones en aspectos de seguridad y ciberseguridad de la información. 

Trabajo colaborativo 

Para Tania Palacios, CISO de Banco del Austro, la pandemia fue una oportunidad para revisar los controles de seguridad y los planes de continuidad del negocio. Debido a que la mayoría de las empresas adoptaron el teletrabajo, una vez que el perímetro está fuera de las organizaciones, el área de seguridad de la información cada empresa tuvo que realizar un análisis de riesgos, asegurar las conexiones de los empleados y usuarios a los servidores internos. Señaló que para definir e implementar una estrategia fue importante el trabajo colaborativo entre las áreas de control de riesgos, seguridad de la información y tecnología.

Afianzar la confianza

Fidel Andino, CIO de Asertia, se refirió a la experiencia en la compañía. Señala que previamente a la pandemia, venían ejecutando la implementación de soluciones de seguridad definido por el crecimiento de la organización, sin embargo, aceleraron una de sus fases al activar 70 enlaces de datos nuevos para teletrabajo. “Adelantamos fases de implementación y no tuvimos problemas”, dijo.

Para Andino, las acciones y el trabajo desarrollado durante la pandemia permitieron afianzar la confianza de la alta dirección en el departamento de IT y un buen momento para focalizar e intensificar la inversión en seguridad.

Priorizar los gastos

Para Jymmy Mestanza, CIO de Comohogar, alrededor de la pandemia surgieron nuevas necesidades para la seguridad perimetral. A nivel general, los ataques que generalmente se concentraban en usuarios internos y servidores de las compañías, con el perímetro extendido por el teletrabajo, los ataques se trasladaron a los usuarios. De allí, la importancia de realizar campañas de concientización a los colaboradores sobre todos sobre los riesgos de phishing.

Un aspecto que resaltó es que la pandemia generó nuevos gastos que no estaban considerados en los presupuestos de IT, pero se cubrieron re- priorizándolos. Sin embargo, dijo si es necesario una inversión adicional, las empresas consideran hacerlo buscando la continuidad del negocio.

Cambio de políticas

Con la pandemia, las empresas cambiaron las políticas de acceso remoto. Carlos Montes, CIO de Empacreci, señaló que reconfiguraron los equipos para conexiones VPN para varios usuarios y continuaron con normativas de seguridad pre-establecidas en la compañía. Desde 2015 no tenemos problemas de correos malintencionados y el personal está entrenado para evitar ataques y no abrir mails sospechosos. Además, han definido otras medidas como restricción a instalación de software que no sea el necesario para las actividades empresariales, conexión a la red de las tablets y equipos de planta solamente a las aplicaciones.

Para Carlos Montes, la inversión que hace la compañía está acorde a un plan anual según requerimientos y necesidades del negocio, considera una renovación periódica de equipos y tecnología.

Seguridad bajo servicio

Para Santiago Saavedra, CIO de LIFE, la pandemia no cambió sus planes de tecnología ni de seguridad de la información. Desde 2017, dijo, trabajamos en un plan y presupuesto con miras al 2022, con un modelo de madurez y objetivos definidos.  “Planteamos un esquema de seguridad bajo servicio de manera que contratamos el servicio y la cantidad de herramientas para cubrir la demanda de seguridad es un asunto del proveedor”.

Señala que la asignación presupuestaria con un incremento para seguridad de la información la tenían antes de la pandemia, de modo que continuaron con lo planificado. “nos permitió actuar tranquilos y continuar con la ejecución de lo previsto”.

Aunque la designación del presupuesto para IT siempre es compleja, señala que la clave es alcanzar niveles de confianza según los resultados de cada proyecto, y en el caso de la asignación de recursos para ciberseguridad es necesario contar con la capacidad para transmitir la conciencia que debe tener la organización sobre los posibles riesgos y amenazas. 

Para Germán Cueva, Jefe de IT de Sinohydro, señala que durante la ejecución de la construcción del proyecto hidroeléctrico Coca Codo, donde participaron alrededor de 7 mil trabajadores, contaban con tres puntos base o campamentos desde donde era necesario conexiones y acceso a internet.  Recuerda que, en esa etapa, se adquiría equipos y renegociaban licencias anualmente, sin embargo, al momento, debido a la finalización del proyecto, no existe inversión para estos temas. 

Decisiones previsivas

Para Miguel Fuentes, CIO de la ESPOL, la pandemia agilizó su plan de academia virtual. La planificación prevista para 5 años finalmente, la hicieron en dos meses. Aunque utilizaban Zoom y Teams y el e-learning estaba en la web, la pandemia aceleró su uso. 

No tuvimos problemas en parte tecnológica. Debido a que el 90% son aplicaciones web, anticipadamente, tomamos la precauciones y recursos como balanceadores, firewall de aplicaciones WAF, firewall internos y externos. Para los usuarios administrativos implementaron VPN, y realizaron un monitoreo constante frente a posibles ataques.

Al contar con alrededor de 50 mil los usuarios de correo somos una institución “apetecida” para ataques phishing, dice. Sin embargo, los bloqueos automáticos con Microsoft minimizaron los ataques. Además, hicieron frente al phishing con un protocolo de comunicación e información divulgado en redes, correos electrónicos para concientizar a los alumnos.

Gestionar la seguridad

Ricardo Pulgarín, Regional Security Solutions Architect North Latam Cluster de Lumen, señaló que los niveles de seguridad son distintos en cada empresa según su actividad, objetivo y tamaño, sin embargo, en la pandemia, la agilidad de transformación permitió el cambio de políticas de seguridad, por ejemplo, para entregar accesos remotos. El teletrabajo significó entregar accesos y asegurarlos activando los planes de contingencia. Además, exigió niveles de creatividad para transformar y acelerar los planes previstos 

Frente a la tendencia de continuar en teletrabajo, existen estudios que prevén, dependiendo de las empresas y su actividad, que la mitad de sus colaboradores mantendrán sus trabajos remotamente, de modo que es necesario gestionar la seguridad desde la casa a través de la concientización del eslabón más débil de la cadena de seguridad que es el usuario y destinar un presupuesto e inversión para seguridad y ciberseguridad.

Los más importantes según Ricardo Pulgarín, de cara a los usuarios es educar a los usuarios sobre phishing e ingeniería social, asegurar las VPN e implementar niveles de seguridad como doble factor de autenticación y considerar que la seguridad no es a la red perimetral sino al dispositivo.  Además, considerar análisis de vulnerabilidades, balanceo de data center, soluciones de resiliencia, continuidad del negocio que toma auge cada vez más.

Aspectos a tomar en cuenta en seguridad:

  • Determinar riesgo para mitigarlos y prever acciones
  • Asignar un presupuesto para seguridad y ciberseguridad
  • Invertir en actualización de equipos y actualizaciones
  • Monitoreo constante 
  • Prepararse y concientizar a usuarios y alta gerencia sobre los daños y pérdidas para las empresas de un ataque a la seguridad de la información.
  • Definir una política de seguridad de la información acorde a los cambios.