Comunidades: La seguridad de la información en las empresas ecuatorianas

Share

Madurez sobre las capacidades de seguridad de la información implementadas, estructuras, cultura organizacional, avance en la implementación de Sistemas de Gestión de Seguridad, normativas y formación de talento en las empresas.

Para Juan Carlos López Molina, presidente de Isaca capítulo Quito,  “cada organización debe medir su madurez de una manera objetiva estableciendo los componentes que ha implementado y sobre todo si estos son gestionados efectivamente para proteger y defender a la organización y a la vez cumplir con normas, leyes y regulaciones”.

Además, nos da algunos puntos de vista en relación a la capacitación, implementación de Sistemas de Gestión de Seguridad, normativas etc. y el aporte de ISACA con iniciativas relacionadas a seguridad para que las organizaciones ecuatorianas gestionen sus procesos de transformación digital.

¿Cuál es el estado de madurez de seguridad de la información de las empresas ecuatorianas? 

Es difícil definir una madurez general. Para establecerla deberíamos hacer un estudio exhaustivo de las capacidades de seguridad de la información implementadas en las organizaciones. Estás son, entre las más importantes; procesos, políticas, procedimientos, estructuras organizacionales, cultura, habilidades y competencias, servicios, infraestructura y aplicaciones. Y no solamente evaluar si las tienen implementadas sino también, su efectividad. Por ejemplo, no solo determinar si se ha implementado un SOC (servicios e infraestructura) sino evaluar que se gestione adecuadamente y que sus resultados se alineen a la estrategia de seguridad de la información y a la evaluación de riesgos (amenazas y vulnerabilidades) de los activos de información críticos y sensibles.

Otro ejemplo, en cuanto a estructuras organizacionales, no se trata solamente de tener un Comité de Seguridad de la Información sino evaluar si cumple sus roles y responsabilidades adecuadamente, y si sus miembros tienen las habilidades y competencias necesarias.

Sin duda hay un avance importante principalmente en el componente de servicios e infraestructura de seguridad, SOCS, SIEMs, DLPs, etc. Sin embargo, desde mi punto de vista, falta mucho por trabajar en temas relacionados con cultura organizacional promovida desde la Alta Dirección, habilidades y competencias (por ejemplo; en temas gobierno, gestión de riesgos y de programas) procesos y prácticas (gobierno, gestión de riesgos, por ejemplo) estructuras organizacionales (por ejemplo, el funcionamiento del Comité y el trabajo en conjunto y armonizado entre las 3 líneas de defensa). Si capacidades como las mencionadas no son adecuadamente gestionadas, las tecnologías de seguridad no son aprovechadas y no apoyan de manera efectiva los objetivos del sistema de gestión. Es común que se priorice el enfoque técnico de la seguridad y se pone en segundo plano el gobierno y la gestión.

Cada organización debe medir su madurez de una manera objetiva estableciendo los componentes que ha implementado y sobre todo si estos son gestionados efectivamente para proteger y defender a la organización y a la vez cumplir con normas, leyes y regulaciones.

¿Cuánto han avanzado con relación a la implementación de Sistemas de Gestión de Seguridad, normativas etc. y cuánto falta aún por hacer?

En el sector financiero y sus proveedores de servicio, sobre todo, hay un avance importante justamente porque es un sector normado desde hace muchos años con normas de riesgo operacional, y más recientemente de seguridad y ciberseguridad desde las Superintendencia de Bancos y de Economía Popular y Solidaria. Adicionalmente, este sector debe cumplir con estándares internacionales como PCI. En el sector gubernamental se han emitido normativas; sin embargo, este sector tiene otros problemas de fondo que impiden definir estrategias e implementar prácticas que perduren en el tiempo; como, por ejemplo, la alta rotación de los responsables de Seguridad de la Información en algunas instituciones del Estado.

Más allá de la normativa y aunque algunas establecen que lo proveedores de servicios deben certificar sus Sistemas de Gestión de Seguridad de la Información aún hace falta fortalecer las capacidades mencionadas anteriormente. Esto con el fin que las implementaciones de Sistemas de Gestión de Seguridad de la Información se basen en una visión estratégica integral y transversal a la organización basada en un gobierno y una evaluación de riesgos adecuada.

¿Las empresas ecuatorianas han priorizado la seguridad en sus organizaciones, están empujando la formación de talento y realizan acciones y de qué tipo para robustecer la seguridad?

En línea con lo mencionado anteriormente el trabajo en las habilidades y competencia y la cultura es un tema en el que aún hay trabajo por hacer y de forma integral en toda la organización. Por ejemplo; Los miembros del Comité de Seguridad de la Información deben conocer y manejar conceptos de gobierno, riesgos, los CISOs deben tener una visión gerencial y estratégica de la seguridad de la información y deben trabajar en esas competencias. Desde el punto de vista de acreditación profesional todavía hay temas pendientes. En el país aún hay muy pocos CISOs que posean una certificación que acredite experiencia en Gerencia de Seguridad de la Información como CISM (Certified Information Security Manager- Gerente de Seguridad de la Información Certificado en español https://www.isaca.org/credentialing/cism), que es la más importante del mundo.

Se han hecho algunos avances importantes. Por ejemplo, en el caso de las Cooperativas la normativa de Seguridad y Ciberseguridad ha definido que el Oficial de Seguridad debe reportar anualmente un número de horas de entrenamiento. Sin embargo, el entrenamiento responde principalmente a la oferta del mercado que a un análisis de brechas de habilidades y competencias en todos los niveles de la organización desde los miembros del Comité hasta usuarios, clientes y actores de procesos. Hay marcos de referencia que son utilizados para determinar habilidades y competencias de la era de la información que son gratuitos como SFIA (https://sfia-online.org) e e-competence que no son conocidos o aplicados.

¿Cómo ISACA, aporta con iniciativas relacionadas a seguridad para que las organizaciones ecuatorianas gestionen sus procesos de transformación digital?

Como la asociación más importante de Gobierno de Información y Tecnología, Auditoría, Riesgos, Privacidad, Seguridad y Ciberseguridad del mundo, su aporte es muy amplio y desde diferentes frentes y prácticas. Algunos ejemplos son:

  • Certificaciones que son reconocidas como las más importantes a nivel mundial que aseguran a las organizaciones que los profesionales poseen competencias y experiencia en diferentes ámbitos; como la ya mencionada CISM, CISA (Auditor de Sistemas de Información Certificado) CRISC (Certificado en Gestión de Riesgos y Controles en Sistemas de Información), CDPSE (Ingeniero Certificado en Soluciones de Privacidad), CSX Cybersecurity Practitioner, entre muchas otras.
  • Una base de conocimiento muy grande que es actualizada constantemente con el aporte de renombrados profesionales con marcos de referencia, modelos y estándares como COBIT (Gobierno Empresarial de Información y Tecnología. Se han desarrollado publicaciones específicas para DevOps, Seguridad de la Información, Ciberseguridad, Riesgos, etc.), ITAF (Marco de Referencia de Autoría TI), Risk IT, CMMI (Un sitio con modelos de madurez y capacidad para diferentes temas como Gestión de Datos, proveedores, ciberseguridad, desarrollo, etc), artículos, programas de auditoría y mucho más.
  • Entrenamiento en diferentes formatos; cursos presenciales y en línea, conferencias, conversatorios, foros, conferencias nacionales e internacionales
  • Networking profesional a través de diferentes iniciativas, eventos, investigaciones y proyectos de desarrollo de buenas prácticas que se llevan a cabo a nivel nacional e internacional. Siendo miembro es posible de manera voluntaria participar.

Recomiendo explorar el sitio de ISACA www.isaca.org para que conozcan a la asociación y todas sus iniciativas.

¿Por qué más ejecutivos del área de IT están ampliando sus conocimientos en temas relacionados con seguridad de la información?

Tiene que ver con el reconocimiento de que las amenazas de Seguridad y Ciberseguridad son una constante desde hace muchos años y siguen creciendo y evolucionando en función de la evolución de la tecnología y de los nuevos modelos de negocio y que como profesionales debemos estar preparados para proteger y defender a las organizaciones. Algo importante que todas las organizaciones deben tomar en cuenta es que las habilidades, competencias y experiencia en temas relacionados a Información y Tecnología deben ser fortalecidos de forma integral en toda la organización y no solo en determinadas áreas.