Panel de expertos: buenas prácticas de Cibserseguridad y Seguridad de la Información
Para complementar los hallazgos encontrados del sondeo, realizamos un segundo evento virtual. En el panel de expertos participaron líderes en ciberseguridad y Seguridad de la Información de Ecuador, Colombia y Perú. Laura Ureta, gerente de Seguridad de la Información en Banco Bolivariano; Santiago Noriega, Oficial de Seguridad de la Información de la Empresa Eléctrica Quito; Andrés Almanza Chief Growth Cisos Club de Colombia; Patricia Tapia, gerente de Riesgos y Seguridad de la Información en Reybanpac, Xavier Naranjo, Jefe de Infraestructura, Operación y Seguridad de la Información de Yanbal y María Isabel Vásquez, Líder de Gestión innovadora y eficiente de los Recursos Tecnológicos de Perú, compartieron su conocimiento y experiencia y resolvieron algunas inquietudes sobre aspectos coyunturales sobre Seguridad de la Información y Ciberseguridad.
Andrés Almanza, Chief Growth Cisos Club de Colombia, señaló que las empresas requieren profesionales de Seguridad de la Información con una formación integral que alcancen un balance entre las habilidades técnicas y las denominadas habilidades. Los profesionales de Seguridad de la Información estamos en un momento crucial y hay que demostrar que además de buenos técnicos sabemos comunicar, liderar y entender el negocio.
Además, hizo referencia a las nuevas tecnologías disruptivas para proteger datos personales. Claramente, la tecnología va a ayudar a resolver los temas de datos personales, sin embargo nos trae grandes desafíos, dijo. Mencionó algunas tecnologías que permitirán adaptarse a la necesidad de protección de datos. La criptografía avanzada, Localización del procesamiento, avances en Inteligencia Artificial y Machine Learning generarán nuevas posibilidades para anonimización, control y protección de datos. En un entorno en que se mezcla seguridad y privacidad, se hablará con mayor fuerza de “privacy security by design” y la necesidad de considerar la seguridad desde el momento en que se da inicio a una idea de negocio.
Santiago Noriega, Oficial de Seguridad de la Información de la Empresa Eléctrica Quito, señaló que hace poco muy pocas empresas evaluaban los riesgos cibernéticos, ahora buscan minimizar la incertidumbre y empiezan a considera al riesgo no solo como una amenaza sino como una oportunidad y una ventaja competitiva. En la alta gerencia deben considerar la Gestión de Riesgos como una oportunidad para proteger los activos generales, tecnológicos y generar valor en las organizaciones. “La alta gerencia debe considerar una gestión estratégica donde los riesgos cibernéticos sean parte de los riesgos operacionales de una organización”.
Sostuvo que debido a los niveles de conectividad a Internet y digitalización se adoptan tendencias disruptivas como IoT y OT que obligan a definir e implementar estrategias de prevención y protección. No basta con manejar herramientas, es importante desarrollar estrategias que permitan identificar los riesgos, agreguen valor de la marca en aspectos ligados a la privacidad y seguridad.
Laura Ureta, gerente de Seguridad de la Información en Banco Bolivariano, señala que los mecanismos tradicionales adaptados a un entorno controlado de un centro de cómputo no son suficientes en un entorno en la nube. “En una implementación basada en la nube, se debe garantizar los niveles de confidencialidad, integridad y disponibilidad de los datos, pero además, ampliarlo a entornos y personas a las que se debe asegurar la privacidad y confiabilidad”. Sobre la ejecución y justificación de proyectos de ciberseguridad señaló la importancia de contar con aliados a nivel de negocio que apoyen los proyectos, generar equilibrio y resiliencia con esos actores estratégicos, agregar valor desde el momento en que se activa un proyecto e implementar los controles de seguridad desde la concepción de la idea del diseño del producto
La pandemia es un evento de baja probabilidad pero de alto impacto que no estuvo considerada en el Plan de Continuidad del Negocios de las organizaciones. Patricia Tapia, gerente de Riesgos y Seguridad de la Información en Reybanpac, señala que las empresas no estaban preparadas para un escenario de restricción de movilidad y ausencia masiva de personal. Sin embargo, frente a esta realidad, ahora, definen su estrategia con los nuevos riesgos, fomentan sus planes de continuidad y de contingencia donde se incorpora los desastres naturales, pandemias, crisis del agua, cambios climáticos, ciberataques.
Para la ejecutiva, un factor crítico en los procesos de gestión de riesgo es que un plan no solo hay que describirlo sino probarlo, ponerlo en marcha y ejecutarlo.
“Hay que prepararse para lo peor y esperar lo mejor, aceptar lo que viene y estar preparados para atender de forma rápida cualquier inconveniente”
Para Xavier Naranjo, Jefe de Infraestructura, Operación y Seguridad de la Información de Yanbal, los aspectos determinantes para adoptar tecnologías disruptivas, en las estrategias de ciberseguridad de las empresas se relacionan con la estrategia desde el gobierno de la seguridad de la información; agilidad y respuesta inmediata para minimizar el impacto y el acompañamiento al negocio. Señala que las tecnologías que se van a incluir dentro del plan de ciberseguridad deben alinearse a la estrategia del negocio y quienes lideran la seguridad de la información tienen que transmitir los benéficos de las tecnologías disruptivas en los planes de seguridad de la información.
Aunque el estudio reveló que el 23% de los participantes de la encuesta indican que a corto plazo requerirán de pólizas de ciberseguridad, en Perú aún no hay una oferta de servicio local. Para María Isabel Vásquez, Líder de Gestión innovadora y eficiente de los Recursos Tecnológicos de Perú, para que el negocio de ciberasurance sea atractivo en el mercado debe evaluar la cuantificación en términos financieros de un ciberataque, además de cuantificar y gestionar el tipo de riesgo que ofrecerán a las empresas.