Crear nuevos canales para relacionarse con sus clientes es la estrategia que utiliza la mayoría de las empresas para hacer más negocios y crecer. Y es que no hay otra manera de responder a la demanda de los clientes, que exigen respuestas inmediatas de su proveedor y acceso online a la información de sus procesos. Tanta comunicación, eso sí, trae como consecuencia muchas puertas y ventanas abiertas, rutas de escape para datos críticos e información confidencial de los negocios de las compañías. Un contrasentido que, advierten los especialistas, sólo puede controlarse a través de sistemas de seguridad para las nuevas unidades de negocios de las empresas. Acerca de los nacientes riesgos que amenazan la seguridad de los datos del mundo corporativo, conversamos con destacados proveedores de soluciones en el área, en el desayuno organizado por Revista Gerencia.
Las amenazas vienen desde todas partes. Son, a juicio de Miguel Pérez, Gerente General de Novared, externas e internas. “La tecnología nos ha llevado hacia el tema móvil, entonces la manera de robar información y sacar lucro económico de ella es más fácil que hasta hace algunos años. La tecnología hace que seamos más vulnerables como sociedad, porque todos estamos más conectados. Los costos para hacer fraude y los beneficios han ido cambiando, lo que lo hace mucho más atractivo”, asegura.
Pero aún en este escenario, las empresas están pensando en cómo crecer sin correr riesgos. Como señala Fernando Salinas, Gerente General de Netsecure, “lo importante es implementar políticas de seguridad a la velocidad de los nuevos negocios, no más atrás que eso, y ahí es fundamental el rol que puede desempeñar una compañía de seguridad. Ahora bien, no es posible asegurar un 100% de protección, pero sí un nivel prácticamente infranqueable”.
¿Por qué las empresas ya no le temen principalmente a los hackers?
Una de las razones es que se ha demostrado que el mayor daño lo genera el ataque interno a los datos de las compañías. En opinión de Cristóbal Urenda, Country Sales Manager de CA, “las amenazas externas están más o menos controladas, aunque siempre aparecen virus, pero no es nunca comparable al gran peligro de las amenazas internas. Empleados enojados o consultores con acceso a las bases de datos pueden alterar cifras y trasladar información confidencial, sin dejar rastro alguno”.
Y a pesar de que las amenazas han cambiado, otra gran transformación registrada durante los últimos años es la que motiva el robo de información. Según Fernando Fuentes, Gerente de Marketing y Desarrollo de NeoSecure, “antes estaba radicado en gente que quería validarse dentro de un grupo, pero ahora la motivación es económica. Eso es lo que gatilla el surgimiento de nuevas y más amenazas”.
Es por eso que, tal como expresa Oliver Hartley, Gerente de Marketing Estratégico de Orión 2000, “a nivel de tecnologías se está avanzando mucho más en el control de datos internos que externos. Ya están consolidadas herramientas como cortafuegos y sistemas IDS, que forman parte de la base de las empresas, pero hay una gran inquietud respecto a cómo resguardar la información crítica, de manera que sólo sea accesada por quien corresponde. Existe, por ejemplo, mucha preocupación sobre cómo proteger los notebooks, para no perder el control sobre la información confidencial que contienen”.
Paralelamente con la implementación de barreras tecnológicas para proteger la información de las compañías es necesario, a juicio de Javier Pizarro, Country Sales Manager de Symantec, “orientar y formar a las personas que trabajan en una organización en función de la ética, aunque los resultados de eso se obtengan a largo plazo. Es un tema sobre el cual hay que educar, así como se ha hecho con otros. Todo el mundo sabe que acosar sexualmente a una persona es un delito y causal del despido, pero ¿pasa lo mismo con el ‘traslado’ de información desde el interior de las empresas? No existe tal conciencia y sobre eso hay que trabajar”.
Cultura y seguridad
Administrar el riesgo de la seguridad informática tiene varias aristas. Primero, en opinión de Loreto Serrano, Directora Regional – Conosur de McAfee, “es necesario entender cuáles son las áreas débiles de las empresas, desde el punto de las amenazas internas o externas, o de las debilidades de los sistemas, donde intervienen una serie de normas relacionadas con el cumplimiento de certificaciones nacionales e internacionales. Luego, corresponde la definición respecto de cuáles son las tecnologías que las compañías necesitan para protegerse de ataques externos y para asegurar que la información sea utilizada como es debido”.
Además, indica la ejecutiva, la seguridad debe ser impulsada por la gerencia, de manera de transmitirla al resto de los empleados. Es necesario difundir una cultura o una política de seguridad al interior de las empresas, lo que en opinión de Roberto Opazo, Gerente General y Socio Fundador de Acepta.com, no se logra propagando el ‘discurso del terror’ sino que, por el contrario, masificando el de las oportunidades. “La seguridad hoy en día está mucho más ligada a las oportunidades que hace 10 años. La misma tecnología comenzó a ser una herramienta habilitadora más que inhibidora, para entrar en nuevos tipos de negocios y que, al contrario de restringir, significa abrirse aún más”, asegura.
La relación entre cultura y seguridad no se da de la misma manera en todas las industrias y se distinguen, según el ejecutivo de CA, sectores bastante más maduros que otros. “Hace dos años, esta industria estaba muy preocupada del control de acceso, lo que hoy ya está resuelto. Actualmente, en cambio, está surgiendo con mucha fuerza la tendencia a priorizar el riesgo de los eventos relacionados a temas de seguridad, que no son 10, sino cientos cada día. Hoy, la oferta de algunas empresas es decirle a sus clientes: ‘te ayudamos a administrar estos eventos, los clasificamos y gatillamos alarmas dependiendo de su nivel de riesgo’, lo que deja claro que existen industrias que ya están madurando a un segundo nivel. Ya implementaron la base y ahora piensan en qué hacer con toda la información que reciben y generan”, indica Urenda.
En las grandes empresas, existe una clara conciencia sobre la seguridad. A juicio de Leopoldo Richter, Ingeniero Consultor de Magenta, las empresas han ido tomado conciencia de que la seguridad no se puede resolver sólo en base a un producto, sino que tiene que ser abarcada con una política de seguridad robusta. Según Juan Francisco Roco, Ingeniero de Sistemas de Cisco Systems, las compañías hoy hablan de políticas o estrategias para la administración del riesgo. “El objetivo es claro: que la infraestructura de red sea autodefensiva, es decir, que no recaiga toda la responsabilidad en el personal, sino que la misma red reaccione y se defienda de los ataques”, asevera.
El futuro y las oportunidades
Aunque los avances no son pocos en el mercado de la seguridad informática a nivel país, las tareas pendientes suman aún una extensa lista. Por una parte, se sigue actuando reactivamente ante desastres, el tema ético está recién abordándose en los procesos de inducción de las firmas y muchas empresas, como asegura Cristian Figueroa, Gerente de Desarrollo y Tecnología de SOLINT, sienten que aunque han comprado muchos dispositivos, siguen siendo altamente vulnerables.
El cómo proteger a las organizaciones pasa, para el ejecutivo de Novared, por solucionar el problema siendo eficientes, bajando los costos de la tecnología y sus aplicaciones y, principalmente, siendo habilitadores de ella. A juicio de Hugo Saavedra, Jefe de Investigación y Desarrollo de Widefense, “como empresas de externalización de seguridad debemos partir por hacer un mapa de riesgo, que nos permita descartar los eventos de seguridad que tengan menos importancia y concentrarnos en el control de los más críticos. La tecnología nos apoya, pero es necesario implementar una metodología que permita elevar el nivel de seguridad de las organizaciones”.
Los clientes, como afirma Armando Sáez, Account Manager de Telefónica Empresas, “le están pidiendo a las compañías mayor acceso para transparentar sus procesos y agilizar su comunicación, por lo tanto, no se trata de querer impulsar proyectos de seguridad por un tema de mejores prácticas, sino porque el mercado lo exige”.
Esto coincide, en opinión de Juan Francisco Roco, con el concepto que Cisco define como “Human Networks”, la red humana y gran impulsora del desarrollo tecnológico de los próximos años, y que se basa en que los protagonistas no son las grandes empresas, sino las personas.
Los buenos indicios de esta industria son, entre otros, que hoy existe más conciencia de la urgencia de implementar políticas de seguridad en la alta gerencia; un tema que, según Lukas Alarcón, Product Manager de E-Money, hasta ahora había sido abordado mayoritariamente desde la parte baja de la pirámide de las empresas hacia arriba.
Para Giovanni Anfossy, Subgerente Segmento Minería y Recursos Naturales de Entel, hoy, más que antes, existe una tremenda oportunidad para la masificación de la seguridad. “En adelante lo que primará será el establecimiento de modelos de políticas de seguridad, más allá de productos o equipos”, señala. Definitivamente, en opinión de Max Ruiz, Director General de Afina, el concepto de consultoría es cada vez más fuerte en cuanto a seguridad informática. La evolución natural de este mercado, a juicio de Roberto Opazo, es la de las oportunidades. “Dado que los clientes se expanden a formas más abiertas de hacer negocios, necesitan más seguridad, por lo tanto, hay que vincularla a su operación”, explica. El desafío no es menor. Como señala el ejecutivo de NeoSecure, la solución no es prohibir las conexiones, porque las empresas necesitan conectarse con otras organizaciones y sistemas, por lo tanto, la gran tarea es considerar estos nuevos elementos y construir mecanismos de manera de habilitar a las empresas para seguir comunicándose y operar a la velocidad que requieren.
Miguel Pérez,
NOVAREDFernando Salinas,
NETSECURECristóbal Urenda,
CAFernando Fuentes,
NEOSECUREOliver Hartley,
ORION 2000Javier Pizarro,
SYMANTECLoreto Serrano,
MCAFEERoberto Opazo,
ACEPTA.COMLeopoldo Richter,
MAGENTAJuan Francisco Roco,
CISCO SYSTEMSCristian Figueroa,
SOLINTHugo Saavedra,
WIDEFENSEArmando Sáez,
TELEFONICA EMPRESASLukas Alarcón,
E-MONEYGiovanni Anfossy,
ENTELMax Ruiz,AFINA
