«Considero que muchas empresas invierten solo lo mínimo o indispensable para sobrevivir en temas de seguridad»

Hablamos con Luis Daniel Zamudio, CISO en Minu, sobre ciberseguridad y su situación después de la pandemia

CyberSecurity News (CSN): Para empezar, brevemente, ¿Podrías contarnos cuál ha sido tu trayectoria profesional hasta llegar al puesto que ocupas actualmente?Luis Daniel (LD): Me inicié en el mundo de la seguridad en el último año de la ingeniería. De ahí decidí estudiar una maestría en ingeniería en seguridad a la par que inicié mi carrera profesional. Primero trabajé como consultor de Seguridad y Privacidad en una Big4. Este fue mi primer acercamiento real al mundo de la seguridad en distintos sectores de la industria.

Posteriormente salté al sector financiero. Me inicié trabajando en la Banca, donde estuve 6 años como auditor de seguridad y ciberseguridad. En la banca obtuve un perfil integral, aprendí mucho sobre normatividad, cumplimiento y gestión de seguridad a la par que aprendía sobre la parte operativa y de ciberseguridad. Esto me permitió dar mi primer salto como Manager para la división financiera de GE en México. Y actualmente me encuentro colaborando en el ecosistema FinTech y startup, en minu en donde actualmente soy CISO.

CSN¿La situación actual, debida a la Covid-19, ha provocado un cambio en los proyectos de seguridad? 
LD: Sí, definitivamente hubo un cambio. Muchas empresas comenzaron a tomar la seguridad como algo serio, como un habilitador y no un stopper. Las empresas comenzaron a asignar presupuesto, recursos humanos y tiempos para proyectos de seguridad, que aunque sigue siendo un poco limitado, es mucho más visible como la seguridad pasó a formar parte de los objetivos de negocio. Me gustaría dejar abierta una reflexión en este punto. En muchos foros, entrevistas y webinars he escuchado a mis colegas hablar sobre este cambio y culpar a las empresas por no haber tomado esta postura de seguridad desde antes. Recriminan mucho el que haya sido necesario entrar en la pandemia para que las empresas por fin hayan realizado un cambio más por fuerza que por convicción.
Sin embargo, se supone que ese es nuestro trabajo como responsables de seguridad, hacer que la seguridad sea una convicción, parte del negocio, deberíamos empezar por cuestionarnos en donde hemos fallado nosotros. ¿Hemos comunicado de manera efectiva el objetivo de la seguridad al negocio? ¿Hacemos nuestra gestión de riesgos entendible y con impacto al negocio? ¿Que hemos dejado de hacer o que nos ha faltado para que la seguridad forme parte del negocio? Creo que debemos tomar la pandemia también como una oportunidad para identificar nuestras áreas de mejora y oportunidad para que seamos parte del negocio. 

CSN: ¿Crees que las empresas invierten, tanto el tiempo como los recursos necesarios, para obtener buena ciberseguridad para proteger a todos sus empleados y usuarios?

LD: Considero que muchas empresas invierten solo lo mínimo o indispensable para sobrevivir en temas de seguridad, hasta que surge algún incidente o evento extraordinario, justo como la pandemia. Además existe una tendencia en invertir en tecnología de última generación sin tener bases sólidas en nuestros procesos y personas, nos olvidamos que la seguridad no es solo un tema de tecnología, también de procesos y personas. Y justo en este último eslabón es en donde menos se invierte. Nunca nos tomamos la molestia de conocer a nuestros empleados, a nuestros clientes y saber que es lo que necesitan para operar y cómo podemos asegurarlos, solo asumimos su necesidad de herramientas y controles con base en nuestro conocimiento y experiencia técnica, pero de eso no se trata la seguridad.

CSN: Si tuvieras todas las facilidades y beneficios de la empresa a tu disposición, ¿Qué te gustaría implementar?

LD: Una estrategia realmente basada en las necesidades del negocio, de las personas. Antes de solicitar presupuesto para tecnología o para proyectos gigantes, pediría mucho tiempo, disponibilidad y paciencia de todos los roles dentro la empresa, desde la alta dirección hasta roles líderes y operativos para conocer de manera completa todo el negocio. En 1975 Saltzer y Schroeder definieron 7 principios para diseñar sistemas seguros, dentro de estos principios existen dos que muchos de nosotros como responsables de seguridad hemos olvidado.

Aceptabilidad Psicológica y Economía del mecanismo. El primero se refiere a diseñar un control que sea de fácil adopción para los usuarios, que no les cueste trabajo utilizarlo o que les cause aburrimiento y por ende su adopción sea complicada. El segundo trata sobre un diseño simple que a su vez facilite su implementación y verificación. Estoy seguro que si aplicamos estos principios como base de la seguridad, el negocio nos apoyaría totalmente.

CSNLa concienciación en ciberseguridad es claramente vital para combatir el cibercrimen. ¿Cómo se consigue?

LD: Un buen programa de concienciación debe incluir actividades que nos permitan comunicar, transferir conocimiento, evaluar la adopción y lograr el compromiso de los colaboradores y terceros con los que tenemos relación. Además, es importante que este programa no sea únicamente responsabilidad del experto en seguridad. Es importante apoyarnos de diseñadores gráficos y de expertos en pedagogía que nos ayuden a identificar la mejor manera de lograr que el conocimiento se quede en las personas.

CSN: Al igual que la concienciación, la comunicación entre directivos y trabajadores de la compañía también es necesario. ¿Cómo se lleva a cabo una buena comunicación para proteger la seguridad?

LD: Retomemos el principio de Aplicabilidad Psicológica. Escuchar a los directivos, comprender sus preocupaciones, sus objetivos de negocio y escuchar a los niveles operativos. Saber que necesitan, cómo operan, nos da un enfoque holístico e integral de que debemos cubrir como seguridad en toda la organización. Existen diferentes formas de realizar esto, como focus groups, entrevistas, reuniones semanales, dinámicas por área, ejercicios de simulación. Cada estrategia debe ser adecuadamente elegida dependiendo del tipo y cultura organizacional de la empresa. Pero otra vez, esto no lo tendremos claro hasta que no conozcamos de manera integral todo el negocio.

CSN: Los ciberseguros están en pleno auge, ¿qué beneficios aporta la contratación del seguro cibernético?

LD: Sin duda es una magnífica opción, de libro de escuela, transferir el riesgo a un tercero. Una forma de tratamiento totalmente válida y mucho más si lo analizamos de la siguiente forma. Actualmente existe mucha regulación obligatoria aplicable a las empresas, las multas por incumplimiento o algún incidente suelen ser altísimas,pudiendo llegar a los 20.000 millones de Euros. Por lo que optar por un seguro que cubra alguna brecha o incidente de seguridad, suele ser mucho más costeable que pagar una multa. Simple análisis de costo/beneficio.

Pero las aseguradoras también están protegidas, uno de los muchos requisitos para poder contratar un seguro, es por ejemplo que cumplas con alguna regulación vigente como la LOPD, o GDPR. O que cuentes con alguna certificación de la industria como ISO.  Al igual que con otro tipo de aseguradoras es importante contar con la ayuda del área de legal para poder leer y comprender cada una de las cláusulas y coberturas aplicables. Para así evitar alguna sorpresa no deseada.

CSN: Eliminar el riesgo de los usuarios al 100% es imposible. ¿Pero qué es necesario para llegar al máximo de la eliminación de estos ciberriesgos?

LD: Evolucionar y adaptarse de manera rápida y óptima. La pandemia es un claro ejemplo de esto. Muchas empresas tuvieron que realizar en cuestión de meses o incluso semanas. La transformación digital que tenían planeada para años. Esto incluye definitivamente la reingeniería de sus procesos, la capacitación y concientización de los colaboradores. Y la implementación de tecnologías que aseguran la movilidad, en tiempo record. Contar con un enfoque de mejora continua basado en riesgos y permanecer alineados con los objetivos de negocio es el pilar fundamental para poder llegar a ese nivel de madurez y de riesgo tolerable en una empresa.

CSN: Por último, ¿podrías darnos algunos tips básicos para mantener la ciberseguridad de manera óptima, tanto para empresas como para usuarios?

Me gustaría dar tres tips. El primero sin duda es Invertir en la gente y el talento humano. Desde la concientización de niveles operativos hasta directivos, así como entrenar y capacitar a los responsable de la seguridad. El segundo tip es quitarnos la mentalidad que la seguridad es solo un tema de tecnología e inversión. Hoy más allá de esto, la seguridad y protección de datos debe verse como un tema de negocio con un enfoque holístico para su continuidad y crecimiento. Finalmente, hagamos introspección a nuestra función de seguridad y evaluemos si realmente estamos comunicando nuestros objetivos de manera clara a los altos directivos. Si realmente nuestra estrategia está alineada con los objetivos de negocio. Cuando nosotros tengamos todo esto claro, estoy seguro que no será necesario tener una situación de pandemia para que las empresas comiencen a tomar la seguridad como algo serio.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio