En el conversatorio sobre Confianza Digital: Servicios de Nube y reto de las empresas en el manejo e implementación de la Ley de Protección de Datos Personales, tuvimos la oportunidad de compartir con ejecutivos de seguridad de la información de distintas industrias con quienes conversamos sobre Servicios de Nube y retos de consolidación seguridad y los desafíos de seguridad para el acceso remoto, teletrabajo y prevención de pérdida de datos.
Nos acompañaron Lissette Yánez, jefe de Seguridad de la Información, Tecnología y Procesos de GPF; Javier Garzón, Gerente de IT de Coheco; Santiago Pulgar, jefe de Seguridad de Informática de Seguros Equinoccial; Carlos Andrés López, CIO de B. Braun Medical; Mary Vargas, Oficial de Seguridad de la Información de CELEC-EP; Denny Gallo, Gerente de Tecnología de Toyota del Ecuador; Juan Carlos Marca, Jefe de Seguridad Digital de Salud.SA.; Gabriela Salazar, Gerente de Ciberseguridad de Pronaca; Jymmy Mestanza, Gerente de Tecnología de Comohogar; Juan Cabrera, CIO de General Motors. Además, Carlos Silva, director de Ventas y Joe Pérez, Gerente de Canales para Latinoamérica de Cloudflare; José Conde, Especialista comercial IT de Lynx.
La adopción de servicios en la nube ha revolucionado la forma en que las organizaciones almacenan, gestionan y acceden a sus datos y aplicaciones. Su aceptación y uso está supeditada a diversos aspectos. Lissette Yánez, jefa de Seguridad de la Información, Tecnología y Procesos de GPF, identifica que uno de los principales desafíos radica en los aspectos legales y el cumplimiento normativo asociados con la nube. Esto incluye consideraciones relacionadas con la jurisdicción y ubicación de los datos, ya que, al optar por la nube, existe la posibilidad de que los datos se almacenen en servidores ubicados en otros países.
En el contexto actual, y considerando el cumplimiento de la Ley de Protección de Datos Personales, señala que es fundamental garantizar que los clientes estén informados sobre cómo se gestionarán sus datos y establecer conexiones seguras con las nubes utilizadas para proteger su privacidad y cumplir con las regulaciones aplicables.
Mary Vargas, Oficial de Seguridad de la Información de CELEC-EP, destaca que las restricciones al considerar la adopción de servicios en la nube son más significativas para las entidades públicas, especialmente aquellas consideradas estratégicas y que brindan servicios esenciales. Estas entidades prohíben la transferencia de datos a ubicaciones fuera de Ecuador. En el proceso de justificar proyectos, es necesario asegurarse de que la información no sea calificada como reservada de seguridad nacional. Sin embargo, debido a la falta de una clasificación específica en la metodología de gestión de riesgos, es necesario realizar un análisis exhaustivo, especialmente en lo que respecta a la clasificación de datos personales. Indica que la elaboración y gestión del levantamiento de riesgos se vuelve más compleja cuando se consideran datos personales. Aunque se ha evaluado la seguridad desde esta perspectiva, todavía hay trabajo por hacer para abordar adecuadamente estos riesgos.
Gabriela Salazar, por otro lado, señala que en la industria de alimentos no existe una norma específica que prohíba el uso de la nube para el almacenamiento de datos. En su caso, la decisión de migrar a la nube se basa en consideraciones como la obsolescencia de las infraestructuras existentes y otros factores relevantes. No obstante, identifica que el desafío principal al realizar esta migración es garantizar la seguridad y ciberseguridad de los datos, así como establecer claramente las responsabilidades entre los proveedores de servicios en la nube y la compañía.
Además, Gabriela mencionó la importancia de ajustar los contratos legales con cláusulas específicas en relación con la Ley de Protección de Datos Personales. También destaca la necesidad de verificar que los servicios en la nube cuenten con las certificaciones adecuadas. En su opinión, es difícil determinar hasta qué punto los proveedores brindan las garantías de seguridad necesarias, lo que plantea el desafío de comprender si se cuenta con una protección real y hasta qué punto se extiende.
En este punto, Jymmy Mestanza, Gerente de Tecnología de Comohogar, comentó que de acuerdo con la Ley Orgánica de Protección de Datos Personales, se debe firmar un contrato de encargo con los proveedores, con quienes se comparte datos personales debido al tipo de servicio que brindan. Los proveedores deben garantizar la confidencialidad, integridad y disponibilidad de los datos personales por encargo, para lo cual pueden alinearse a la Norma ISO/IEC 27001, ISO/IEC 27002 y la ISO/IEC 27701 para los controles de seguridad de la información y protección de los datos personales, y para el marco de privacidad la ISO/IEC 29100 acompañada de la parte legal y técnica.
Al hablar sobre seguridades para el acceso, Santiago Pulgar, jefe de Seguridad de Informática de Seguros Equinoccial, destacó la importancia del perfilamiento en la gestión de identidades dentro de las organizaciones. Señaló que lamentablemente, muchos fracasan al no contar con un adecuado perfilamiento que permita trasladar de manera efectiva las políticas y medidas de seguridad al resto de la infraestructura tecnológica de la organización.
Un ejemplo evidente del perfilamiento se presenta cuando alguien sale de la organización. En situaciones sencillas, si el perfilamiento está correctamente integrado, el proceso de baja se realiza automáticamente en todas las aplicaciones correspondientes. No obstante, en algunos casos, puede haber situaciones en las que el perfilamiento no esté completamente integrado, en este caso se planteó la pregunta ¿Quién asume la responsabilidad?.
Juan Carlos Marca, Jefe de Seguridad Digital de Salud S.A., enfatizó la importancia de la gestión de identidades y la sincronización de sistemas para lograr una asociación inmediata en la asignación o revocación de acceso de los colaboradores. Destacó que cuentan con un sistema de recursos humanos integrado llamado Success Factor, que está conectado a un sistema de gestión de identidades donde se definen roles e identidades, así como los sistemas a los que cada colaborador debe tener acceso. Esto facilita el proceso de incorporación de nuevos empleados, ya que cuando alguien sale de la organización, sus cuentas de red de Windows y Azure se desactivan automáticamente para garantizar la seguridad de los datos. En cuanto a los terceros, Marca mencionó que también se podrían gestionar los procesos.
Sobre el control de los usuarios privilegiados se señaló a la ética como un componente primordial entre las personas que tienen la administración y acceso a sistemas, además de herramientas como MDM para administrar y controlar dispositivos móviles, como teléfonos inteligentes, tabletas y otros dispositivos portátiles, dentro de una organización.
Carlos Andrés López, CIO de B. Brown Medical, mencionó una buena práctica de la organización es el principio de doble revisión (cuatro ojos), en donde los accesos son revisados por más de una persona para asegurar que los roles y perfiles están bien definidos y de esta manera asegurar la integridad de la información. Mencionó que utilizan un MDM para el control de acceso a los recursos desde dispositivos móviles y como parte del procedimiento es necesaria la revisión bajo el principio de doble revisión.
Por otra parte, sostuvo que la migración a la nube si es posible, comentó que en un plan de corto plazo los servidores locales serán migrados a la nube al 100%.
Carlos Silva, director de Ventas de Cloudflare para Latinoamérica, habló sobre Clouflare posicionado como una capa de protección para aplicaciones expuestas a internet, sin tener recursos de cómputo, memoria o almacenamiento. Su enfoque se basa en la protección de DNS, WAF (Firewall de Aplicaciones Web) y APIs, asegurando que el tráfico limpio se dirija hacia la nube. Señala que, como proveedor de servicios de nube, Cloudflare actúa como un punto de control centralizado que mitiga riesgos y ataques falsos de manera distribuida, permitiendo la consolidación de controles de seguridad desde todas las aplicaciones expuestas. Esta estrategia se integra con la ley de protección de datos personales para garantizar la seguridad de los datos. También utiliza el enfoque Zero Trust, aprovechando las identidades para establecer autorizaciones en las solicitudes de terceros. Cada petición pasa por un firewall de aplicaciones antes de llegar a las aplicaciones expuestas, donde se verifica que la sesión sea válida.
Juan Cabrera, CIO de General Motors, dijo que es importante destacar que existen diferencias entre las diferentes nubes pues no es lo mismo tener información en una nube privada que en otras opciones. Comentó que la organización tiene las aplicaciones de negocio principales están en Estados Unidos, mientras que localmente, gestionan la información de producción en una red más pequeña con las seguridad y uso de determinadas restricciones, endpoints e IA para para reforzar la seguridad.
Afirmó en general que el reto principal de las organizaciones radica en las personas, aunque tras la pandemia y gracias a la tecnología las organizaciones y usuarios han adquirido más madurez en su forma de trabajar.
Sin embargo, Javier Garzón, Gerente de Tecnología de Coheco, indicó que aún falta madurar en la educación de los usuarios. Podemos tener las mejores herramientas, pero si los usuarios no están educados, no se aprovecharán al máximo. Creo que es importante trabajar desde tecnología y seguridad en la búsqueda de estrategias que permitan capacitar a los usuarios y colaboradores, especialmente ahora con el teletrabajo, cuándo éstos pueden estar en cualquier parte del mundo.
José Conde, especialista comercial de Lynks, mencionó algunas cifras en relación a las empresas y cloud, indicó que al momento existe una transición y el 75% de empresas en el mundo irán a la nube con seguridad y con appliance en la nube que simplifica la implementación y el despliegue de aplicaciones o servicios específicos, es decir, “las cajas están migrando a la nube”. El especialista indicó que Cloudfare cubre con servicios en capa 7, 3 y 4 de aplicaciones, red y transporte. Con soluciones a nivel de aplicaciones web y servicios, soluciones como enrutamiento inteligente, balanceo de carga, protección DDoS y optimización de redes para mejorar la entrega de servicios en línea.
Denny Gallo, Gerente de Tecnología de Toyota Ecuador, destacó la importancia de construir la confianza a través de los resultados y la transparencia. Además, mencionó que manejan lineamientos desde la fábrica en Japón y se extiende hacia los concesionarios para que voluntariamente se adhieran a esta metodología de buenas prácticas tecnológicas, seguridad, procesos negocios, etc.
La confianza digital a nivel interno dijo, se va generando con los resultados alcanzados en cada actividad que se realiza. Es importante transparentar las incidencias, mostrar las acciones y resultados.
Joe Pérez, gerente de Canales para Latinoamérica de Cloudflare, enfatizó que con el teletrabajo, las conexiones a VPN tienen una vulnerabilidad significativa, porque existe la posibilidad de compartir credenciales, lo que podría comprometer la seguridad del sistema. Además, la latencia es otra vulnerabilidad a considerar, especialmente cuando los empleados se encuentran en ubicaciones geográficas diferentes y desean establecer una conexión. Esta puede resultar en una experiencia del usuario con cuellos de botella y dificultades. Sin embargo, al utilizar Cloudfare como una alternativa a las VPN, es posible mitigar estos problemas.
Conclusiones:
- La gestión de la seguridad en la nube implica consideraciones legales y de cumplimiento normativo, como la protección de datos personales y la jurisdicción de almacenamiento de datos.
- Las organizaciones públicas, especialmente las estratégicas y que brindan servicios esenciales, enfrentan restricciones adicionales en la adopción de servicios en la nube, como la prohibición de transferir datos fuera del país
- Es fundamental garantizar que los clientes estén informados sobre el manejo de sus datos y establecer conexiones seguras para proteger su privacidad y cumplir con las regulaciones correspondientes.
- En la migración a la nube deben establecerse las responsabilidades de los proveedores y la organización en aspectos de la seguridad y ciberseguridad de los datos, ajustar los contratos legales y verificar las certificaciones adecuadas para garantizar la protección de los datos confiados.
- La gestión de riesgos efectiva requiere un adecuado perfilamiento y gestión de identidades.
- Las soluciones de seguridad en la nube, como Cloudfare, actúan como capas de protección para aplicaciones expuestas a internet. Utilizan enfoques como la protección DNS, el firewall de aplicaciones web y la verificación de identidades para mitigar riesgos y garantizar la seguridad de los datos.
- La confianza en la gestión digital se construye mostrando resultados tangibles y siendo transparentes en cuanto a incidentes y acciones tomadas.