Antonio Andrews.
¿Se está abordando la seguridad de la información de la forma correcta?
Respecto a la tecnología detrás de la seguridad de la información, hay un avance en términos de adopción, pero con respecto a la capacitación humana, está dejando mucho que desear. Recientemente, Mark Zuckerberg, fundador de Facebook, fue llamado a declarar al Senado de Estados Unidos, y esa fue una historia de pánico. La calidad de preguntas que le hacían los senadores, aquellos que hacen las leyes en un país como Estados Unidos, dejaban algo en claro: no tienen idea de lo que preguntaban. Y así podemos ver también muchas organizaciones que se empiezan a llenar de tecnología pero que les falta utilizar esta de verdad para proveer de seguridad a la información. Hay un desbalance, donde cada vez hay mayores hackeos, más robos de información y mayores gastos por parte de las industrias, y, al mismo tiempo, cada vez hay más frameworks regulatorios, más leyes, pero la seguridad de la información como todo va a la baja.
¿Acompañan las leyes el desarrollo tecnológico en materia de seguridad informática?
Sí, el problema es que están ahí, pero aún no se cumplen en su totalidad. Por ejemplo, en México, tenemos la Ley Federal de Protección de Datos Personales en Posesión de Particulares, pero las personas que están obligadas a cumplirla no la conocen. Lo que más están haciendo las organizaciones es, cuando un usuario entra a su página o recibe un correo, hay una leyenda que dice “si usted está interesado en conocer cómo tratamos su información entre a nuestra página”. Y ahí se lee una serie de cosas, como que están en cumplimiento con cierta ley. Sin embargo, en la realidad, cuando nos acercamos a las organizaciones, podemos ver cuáles son sus frameworks de seguridad, cuáles son los sistemas que les ayudan a administrar la seguridad de la información, y cómo está la capacitación de sus colaboradores, no de quienes manejan las tecnologías, sino que de la gente que tiene información sensible y confidencial en sus manos en todo momento. A ellos, ¿qué capacitación se les ha dado? La respuesta alrededor del mundo es: ninguna. Es decir, la capacitación a las personas que manejan información confidencial es nula. Entonces, lo que tiene que suceder es que estas leyes se empiecen de verdad a aplicar, que comiencen a tener “dientes”.
¿Está aumentando la conciencia sobre la seguridad de la información?
Yo creo que sí, pero la conciencia apenas empieza. Es decir, si hackers, hacktivistas y grupos de criminales con presupuestos de estado van a “100 por hora”, nosotros ya por lo menos somos la “tortuga” que empieza a avanzar. Esto no es tan malo, porque si empezamos a participar en este tipo de eventos, como Segurinfo, esa “tortuga” no siempre avanzará a paso lento. Por ahora es necesario que se genere una masa crítica, con la suficiente cantidad de gente que vuelve a sus organizaciones a compartir lo que aquí aprendió.
También es esencial de nuestra parte, como tecnólogos, proveedores de seguridad y proveedores de tecnología, participar y hacer que la seguridad sea parte de todos. De nada le sirve a una empresa tener eruditos con muchas certificaciones de seguridad si no hay un beneficio para el cliente, para el que consume y para el que produce esa información, aquél que tiene necesidad de confidencialidad, integridad y disponibilidad. Ninguno de esos tres elementos es sacrificable, pero muchos sí están siendo sacrificados en la realidad. A pesar de todo este gasto que se está haciendo en tecnología, todavía vemos que falta para llegar al punto donde podamos decir que la información de verdad tiene seguridad.
¿Cómo se evita que las empresas compren tecnología por tecnología?
Hay que comprender que la pura tecnología no es la seguridad. La tecnología para la seguridad de la información es indispensable, pero no es la seguridad de la información. Hay muchas capacidades ociosas que las empresas tienen y que no se están usando hoy en día porque no se conocen o porque no se tiene la capacidad técnica, o porque estamos en cosas más importantes que la seguridad o porque no hay recursos.
Entonces, la seguridad de la información no se aborda bajo un concepto de acercamiento a través del análisis de riesgo, de controles que mitiguen ese riesgo, de evidencias de que esos controles se siguieron. Tampoco vemos comúnmente en las organizaciones el concepto de auditoría interna para ver cuáles son las fallas y debilidades, ni de una auditoría externa, donde se presenta toda la evidencia de cumplimiento.
Al contrario, hay mucha tecnología sobre tecnología, aplicación sobre aplicación, y eso representa una carga de trabajo que el pequeño equipo de seguridad ya no puede abarcar.
¿Cuál sería la recomendación para las empresas?
Se puede empezar con una pregunta muy sencilla: ¿Cómo está la seguridad de nuestra información en este momento? Al hacer esa pregunta podemos ver la madurez de la organización. Nos podrían responder “No sé, le voy a preguntar a los encargados de la red”, o “bien, porque estamos gastando mucho dinero”. Pero para poder describir algo, primero se debe medir, lo que detona en la siguiente pregunta: ¿Cómo se mide la seguridad de la información? Si la respuesta fuera: “Hemos tomado algunos de los frameworks, algunas de las mejores prácticas que existen en el mercado y sobre esa base podemos decir que tenemos una seguridad de 20%”, eso ya nos dice algo. Nos dice que, si tenemos una casa con 10 ventanas, de las cuales dos están cerradas y 8 están abiertas, hay mucho por hacer, hay mucho para capacitar. Entonces, la primera recomendación es hacerse estas preguntas y todavía no encuentro una empresa que las pueda responder a total satisfacción. Luego, ya al saber que hay mucho por hacer, hay que llevarlo a la práctica, no llenarse de tecnología, sino saber qué riesgo son los que se mitigarán, qué controles se utilizarán para mitigar ese riesgo y, al final, qué tecnología se utilizará para dar cumplimiento a esos controles.
¿Cuál fue su principal mensaje en Segurinfo 2019?
Mi charla se enfocó en ciberseguridad, que me gusta más llamar “la casi inexistente seguridad de la información”. Son muchos los mensajes, el tema es gigantesco y siempre falta tiempo, pero el mensaje más importante es que no tenemos que llenarnos de tecnología; primero debemos tener una forma de administrar la seguridad.
Como segundo mensaje, la tecnología es una entidad insustituible, no debemos permitir que existan capacidades ociosas, que no estemos obteniendo algún beneficio de capacidades tecnológicas que ya tenemos. Y el tercer mensaje es no olvidar que hoy todo está conectado y eso genera un riesgo de seguridad. Una impresora que surgió como una caja olvidada, en el momento que tuvo dirección IP y estuvo conectada a la red, su locación física se volvió irrelevante y tenemos que ver a una impresora como lo que es: un computador.
Una impresora de hoy puede tener entre 1.000 y 2.000 veces más poder de cómputo que un supercomputador Cray de los años 80. Esa es la capacidad que puede tener una impresora el día de hoy, y esa es una de las puertas de entrada a los ataques de seguridad de la información que más comúnmente se dan.
