Carlos Vera.
¿Cuáles son sus responsabilidades como CISO Corporativo?
SerCor ofrece servicios corporativos a las distintas empresas del Grupo Angelini, cada una de las cuales tiene su área independiente de ciberseguridad, ya sea propia o a través de servicios de terceros. En ese contexto, mis funciones principales tienen que ver con la gestión y alineamiento de nuestras empresas hacia un modelo estándar común.
Para ello, hace un año y medio creamos el Comité de Gestión Corporativa de Seguridad, lo que refleja la visión de que la seguridad informática es un habilitador de negocios a largo plazo, y la relevancia de esta temática para el grupo. En este sentido, este comité apunta a unificar el modelo implementado, así como a elevar el nivel de seguridad, basándose en estándares mundiales, dado que nuestras empresas se encuentran hace más de cinco años en un fuerte proceso de internacionalización.
¿En qué consisten las directrices que están incorporando a su modelo de seguridad?
Son relativamente sencillas y se refieren, principalmente, a poder anticiparnos lo más posible a los cambios que suceden en el ámbito de las Tecnologías de Información. Para ello, estamos incorporando metodologías, ya que creemos es la forma más natural de impregnar nuestra cultura de trabajo con los modelos y herramientas que nos permitan lograr esta visión.
¿Cómo ha “impactado” la internacionalización del grupo a estos lineamientos?
Más allá de la competitividad misma de sus economías, varios países en los que estamos presentes (como EE.UU. y Europa), tienen leyes de mayor estándar sobre la protección de datos personales o la gestión de activos, entre varias otras, que afectan directamente a los procesos de negocios que podamos tener en dichos países. Entonces, toda esa legislación extranjera nos obliga a elevar nuestro nivel de cumplimiento, independiente de que la regulación chilena sea menos exigente. Sin embargo, creemos que, más allá del cumplimiento con la reglamentación, es más relevante a largo plazo el paradigma de la Industria 4.0.
¿Por qué?
Porque, como grupo industrial, vemos que deberemos adoptar el modelo de la Industria 4.0 y automatizar nuestras líneas de producción y de distribución, por lo que deberemos incorporar modelos de gestión de seguridad a la infraestructura propia de las TIC que están trabajando en dichas líneas. Entonces, las TIC ya no estarán solo en las áreas administrativas, en el back-end operativo, sino también en el área de operaciones, y eso implica que el negocio estará basado en tecnología.
De esta manera, el modelo de seguridad que estamos aplicando para las áreas de TI ya estará inserto dentro del modelo de gestión global y permeabilizará de forma natural (o al menos, debería, pues ese es el objetivo) hacia las áreas de operaciones.
Por lo tanto, hemos adelantado un poco este proceso en algunas empresas, cambiando la gestión operacional de TI desde las áreas financieras hacia las gerencias generales.
Parece bastante complejo administrar la seguridad informática de varias empresas y en cinco continentes…
La verdad es que estamos tratando de impulsar un estándar corporativo común y un modelo de gestión por adhesión. Para esto, estamos definiendo 26 tópicos comunes a todas las compañías y en todos los continentes. Es decir, estamos tomando ciertas definiciones corporativas, como por ejemplo la continuidad del negocio, la confidencialidad de la información, el uso de e-mail y de dispositivos móviles, etc., que son comunes, pero hay otros que solo se relacionan con el negocio particular de una empresa.
Para ello, separamos los tópicos “corporativos” y los “individuales”. Cada compañía trabaja estos últimos de forma independiente (siempre reportando sus avances e iniciativas), pero en los corporativos tiene que haber una base común. En este sentido, no requieren una certificación, con la excepción de una compañía cuya línea de producción está completamente tecnologizada, y el mercado donde participa exige la certificación de dichos procesos asociados a seguridad de información. No deseamos implementar modelos tradicionales (como los propuestos por ISO), porque no podemos instaurar todos los controles en todos lados, ya que no siempre aplican o incluso se contraponen con otros.
A su juicio, ¿ha cambiado la ciberseguridad en los últimos años?
Para el grupo, los riesgos se han mantenido más o menos similares, pues muchas de nuestras empresas (con la excepción de algunas de ellas) no tienen un modelo de negocio B2C. Las amenazas están más relacionadas a la parte operacional, a la disponibilidad de servicios y a la confidencialidad de la información.
En este sentido, creo que nuestro país tiene una debilidad: la falta de una definición de la infraestructura crítica. Es clarísimo que, al menos, una de las compañías del grupo deberá formar parte de esa infraestructura crítica, porque tiene que ver con la distribución de combustible. De hecho, una de nuestras empresas en Colombia es parte de la infraestructura crítica y debe cumplir con ciertas normativas relacionadas, por ejemplo, con los incidentes de seguridad o el Centro de Respuesta ante Incidentes (CSIRT o Computer Security Incident Response Team) del que es participante activa.
En esa línea, ¿cómo enfrentan un eventual incidente?
Una de las medidas que estamos implementando es un CSIRT interno para tener una respuesta eficiente frente a incidentes, y migrar del modelo típico de seguridad basado en la prevención, en herramientas y modelos de monitoreo, hacia uno fundado en la detección y la respuesta.
Si bien nuestro grado de acercamiento a la protección está basado en los tradicionales elementos de seguridad y muy enfocado en la protección del perímetro, este está cada día más “etéreo”, por la llegada del cloud computing, entre otras razones. Entonces, estamos apostando a un modelo de detección y respuesta, porque lo que necesitamos es monitorear otros planos, más allá del perímetro mismo, como por ejemplo, la red en sí, para entender qué está sucediendo entre el perímetro y los usuarios internos, o entre los usuarios y los servidores, y así tener una respuesta frente a un suceso anormal que se produzca dentro de la red.
¿Cómo involucran a los empleados en la cultura de la seguridad informática?
Para nuestro grupo, el hecho de ser empresas industriales es una gran ventaja, porque está instaurada “per se” la gestión de riesgo físico. Todas tienen plantas productivas, donde los trabajadores deben cumplir ciertos protocolos de seguridad y ya hay procesos establecidos y de concientización asociados a la prevención de riesgos. Por esta razón, estamos aprovechando ese mismo camino, esos mismos procesos, para incorporar temas de seguridad de la información, tanto a nivel personal como a nivel organizacional, a través de una campaña de concientización y “concienciación”. Esto último es lo que más cuesta, porque responde a que cada persona internalice las prácticas de cuidado y protección dentro de su quehacer diario.
En este contexto, hemos desarrollado un plan de difusión de temas de ciberseguridad a través de los mecanismos que ya están implementados en cada empresa, ya sea un canal de TV interno, una Intranet o los paneles visuales, entre otros. Además, estamos aprovechando para generar las sinergias con las que ya tienen instaurados estos medios, para implementarlos en las que no los tienen.
¿Han tenido problemas para encontrar profesionales especializados?
Sí. Más que especialistas en ciertas tecnologías, no hay muchos profesionales que tengan una visión de gestión de seguridad de la información. Muchas de las actividades que haremos como grupo, no tienen que ver con ser especialistas en firewalls, pero sí con cómo hacer gestión de seguridad para administrar las tecnologías, los vendors o los prestadores de servicios.
Uno de los temas que más nos preocupan en el mediano a largo plazo, es la falta de profesionales orientados a la ciberseguridad industrial, considerando el auge que creemos tendrá el paradigma de la Industria 4.0. Vemos que en el país tampoco existe una alianza con las universidades, por lo que hay muy poca investigación e integración empresa-universidades. Esto reduce el número de profesionales especialistas en esta área, no solo por el hecho de tener las habilidades requeridas, sino también por tener experiencia en este tema. En este aspecto, buscamos que tengan pasión y que adquieran los conocimientos necesarios y la experiencia en el camino.
