¿Qué papel juegan hoy desde la gerencia hasta las áreas jurídicas en relación con la seguridad de los datos?
La responsabilidad sobre la ciberseguridad en las organizaciones no recae sobre TI sino sobre los dueños del proceso, en cabeza de la gerencia y pasando del CIO a todos quienes sientan que la información que hace parte de su quehacer diario tiene algún valor.
Esa es la conclusión a la que llega Daniel Molina, Director General para los Mercados Estratégicos de América Latina en Kaspersky Lab, con quien Colombia Digital conversó para comprender el panorama de la protección de datos en la región.
¿Quién toma las decisiones sobre ciberseguridad en las organizaciones?
«Hoy la pregunta es por cómo protegemos los datos y cómo protegemos los procesos. El desafío que tenemos está en acercarnos al dueño del proceso, de modo que ofrecemos tecnología directamente a las áreas de TI pero también a los líderes de las organizaciones».
Y es que según dicta la transformación digital del mundo, lo que antes era tarea del ingeniero a cargo de la compañía, ahora es responsabilidad del gerente y su mesa directiva; porque de él depende directamente el modelo de negocio y en consecuencia está bajo su consideración el entender las nuevas formas de integrar la tecnología para ser más competitivo.
«El mundo se está convirtiendo en un espacio digitalizado y el escritorio virtual cada vez tiene más espacio en las organizaciones. En relación con la protección de nube debemos considerar dos ámbitos: ciertas amenazas atacan lo virtual y no lo físico y, segundo, la estrategia de protección virtualizada ha de ser diferente a la estrategia de protección física (…) Las tecnologías de la nube requieren proteger la forma en que nos conectamos con ella y el servidor que tiene los datos dentro de ella».
Ciertamente, el cloud computing o computación en la nube, es una de las grandes tendencias que desde hace varios años ha cambiado la forma en que las organizaciones administran no solo sus datos, sino también sus procesos; tal vez por ello es fundamental que se piense en protegerla ante posibles atacantes.
«Hay ataques que van directamente a ambientes virtualizados, por ello cuando se desarrolla un ambiente virtual suele pasar que se generan backups durante el proceso, los cuales se ‘congelan’ y se cargan nuevamente algunos meses después; sin embargo, esa copia suele estar desactualizada y sin la protección derivada de parches, por ello es fundamental que las soluciones de seguridad entiendan esta lógica de gestión de la información y respondan en consecuencia para resolver posibles fallos antes de que ocurran».
Gracias a los nuevos modelos de software como servicio (SaaS) y a la tercerización de actividades, los tomadores de decisiones en las organizaciones pueden acceder en la medida de sus necesidades y sus recursos a las mejores soluciones, incluyendo las de seguridad, permitiéndoles tener acceso a los hallazgos de equipos especializados, todo a través de una suscripción y sin que ello les suponga sobrecostos de planta o personal.
«El CIO debe cambiar su papel, ya no es traductor, ahora debe alinear tareas tercerizadas a los modelos de negocio; mientras antes tenía un equipo interno, ahora debe gestionar proveedores y debería ser él quien oriente el tipo de soluciones tecnológicas a integrar para resolver las necesidades y proteger los datos (…) Con la tercerización de ciertas actividades, particularmente de TI, es posible incrementar la rentabilidad del negocio, pero eso no significa que se pueda tercerizar la responsabilidad sobre la seguridad de la información».
Pero además resulta que hoy las decisiones de tecnología no solo están en cabeza del CIO. El ejecutivo de Kaspersky Lab hace énfasis en el rol decisivo de los equipos jurídicos de las compañías, porque resultan ser ellos quienes deben asegurarse de cuál será el tratamiento de la información de la compañía y comprender procesos, a la vez técnicos pero sobre todo lógicos, relacionados con el tránsito, el registro y la eliminación de datos según los requerimientos de cada organización:
«Las áreas TI suelen ver la seguridad como un asunto de transacciones entre software; pero si el dueño del proceso la incluye como parte integral del mismo, esto supone que habrá una preparación».
Desde esta lógica, hoy ya no es posible pensar en tecnología sin avanzar también en protección de información, porque «la nube es la computadora de alguien más, por eso debemos proteger nuestra información».