Participaron del diálogo: La ciberseguridad empresarial: tercerizar o no tercerizar, en la ciudad de Guayaquil, Javier Ramírez, Jefe de Tecnología de Olam; John Calderón, Gerente Corporativo de Tecnología de Difare, Ricardo Pulgarín Gómez, Regional Security Solutions Architect de Cirion y Marcela Arbeláez, Gerente Comercial de Cirion..
La adopción de mecanismos de protección en materia de seguridad y ciberseguridad es una decisión de la alta gerencia que entiende la dimensión de la ciberseguridad. Para John Calderón, Gerente Corporativo de Tecnología de Difare, no hay ningún gerente que sea ingenuo frente a los potenciales ataques a los sistemas de información de una compañía. Sin embargo, una explicación clara basada en simulaciones donde se monetice los riesgos le permitirá tener una visión de los niveles adecuados de inversión para que la compañía sea menos vulnerable. También sostuvo que quienes lideren las áreas de IT y Seguridad de la Información deben ser directos, y sinceros sobre la posibilidad de que suceda una amenaza y contar con un plan de recuperación que comunique paso a paso a través de una voz oficial.
“La asignación de un presupuesto para seguridad está asociada a la alta dirección bajo una propuesta de tecnología que prioriza según el tipo de negocio y actividad de cada compañía”.
Para Ricardo Pulgarín, Regional Security Solutions Architect de Cirion, la asignación de los presupuestos de seguridad depende del tipo de empresa y negocio, pero en ellos, se debe considerar aspectos importantes como la reputación, visibilidad de aplicaciones e información confidencial. “Hay que valorar la información y cuantificarlo considerando cuánto nos costaría no tenerla”.
Javier Ramírez, Jefe de Tecnología de Olam, comentó además que la inversión en seguridad es distinta en pequeñas y grandes empresas y la decisión de invertir está sujeta al cumplimiento de normas y exigencias de clientes externos para alinearse a sus políticas de seguridad. La pandemia dio paso a la virtualidad y a un mayor acceso a servicios en la nube, demandando recursos adicionales para seguridad. Algunas compañías tienen la posibilidad de asumir ese costo, sin embargo, otras luego de un análisis han decidido tercerizar.
Para el ejecutivo, no hay que esperar a ser atacado si se puede hacer algo previamente. La tercerización es una alternativa, sin embargo, se debe recordar que se delega un servicio a un tercero, pero no la responsabilidad.
Con el aumento de ciber ataques sofisticados cada vez es necesario el acceso a servicios de proveedores externos de monitoreo y control de seguridad. Ricardo Pulgarín Gómez, sostiene que los servicios gestionados de un SOC son accesibles a través de paquetes y con ello, una compañía no solo adquiere experiencia, personal certificado, entregables, ahorrando tiempo, aprendizaje, infraestructura y servicio de calidad.
Marcela Arbeláez, Gerente Comercial de Cirion indicó que los proveedores cumplen un papel importante en la concientización sobre el impacto de la seguridad de la información y su tarea es ayudar a los líderes y alta dirección.
Conclusiones
- Es importante determinar cuál es la inversión adecuada en ciberseguridad para cada organización
- Un análisis de riesgos de IT permite identificación activos, riesgos y amenazas
- Aparecen nuevos generadores de problemas de seguridad de amenazas sistematizadas con las problemáticas mundiales.
- Al tercerizar, la responsabilidad de la seguridad sigue siendo de la compañía que contrata servicios.
- La inversión en un SOC propio es alta y la opción viable es la contratación de servicios gestionados.
- La tendencia de ciber ataques sofisticados abre la posibilidad de que las empresas tercericen servicios de un SOC