“La seguridad ya no es un stopper”

Miguel Sanz, responsable de TI de Focke Meler Gluing Solution.

Publicado el 17 Feb 2022

41398_33

El responsable de TI de Focke Meler Gluing Solutions, empresa especialista en adhesivos hot melt, explica en esta entrevista su visión sobre la ciberseguridad y de la oportunidad para las empresas de aplicar planes de gestión de riesgos e integrar la seguridad TI en los nuevos proyectos.

¿En qué momento se encuentran las organizaciones en relación con la ciberseguridad? ¿Se ha avanzado en paralelo con las nuevas formas de ciberataque?

M. S.: En general, creo que los CEO de las organizaciones están totalmente sensibilizados, ya que, al estar inmersos en un proceso tecnológico en constante cambio y adaptación, la ciberseguridad se convierte en un pilar y prioridad importante transversal a toda compañía.

Por un lado, las normativas de obligado cumplimiento (LOPD, LSSI, LPI, GDPR…), y en algunos casos, complejas de implementar… están haciendo que se incorporen a las organizaciones (o que se subcontraten a terceros en muchos casos) nuevos perfiles laborales específicos que ayuden a adecuar los requerimientos en los procesos y cumplimiento normativo.

¿Se ha avanzado? En cierta manera, sí. Creo que existe una mayor conciencia de la importancia de tener recursos orientados a la ciberseguridad. En las organizaciones se están implementando medidas preventivas organizativas y legales, planes de recuperación y contingencia y una mejora en la respuesta ante incidentes. Prácticamente en cualquier plan IT presentado al comité de dirección, una buena partida presupuestaria, está reservada a propuestas, soluciones y proyectos de mejora de la ciberseguridad.

¿Cómo se están adaptando los equipos de seguridad a la implantación de nuevas tecnologías?

M. S.: Cada vez en las organizaciones, hay más proyectos y propuestas disruptivas y con metodologías ágiles que obligan a los responsables de seguridad o partners específicos, ser parte activa de los mismos. Esto hace unos cuantos años atrás, era impensable. Ahora, para la puesta en marcha de cualquier proyecto tecnológico, siempre queda vinculado al mismo, un recurso que proporcione la seguridad mínima exigible (medidas, políticas y sistemas necesarios).

Cada vez hay más proyectos disruptivos y con metodologías ágiles que obligan a los responsables de seguridad ser parte activa de los mismos

¿Prevén un crecimiento de los intentos de extorsión?

M. S.: Las estadísticas nos lo están diciendo… no para de crecer. En 2020, la pandemia mundial suscita temas relacionados con la covid-19 y se producen múltiples ataques al sector sanitario. Así mismo, la implementación y estandarización del teletrabajo en las organizaciones genera otro vector crítico para securizar (plataformas como Microsoft 365, gestores documentales en cloud, sistemas de gestión en cloud, etc.). La dinámica del mercado es muy fluida. Cada vez se identifican nuevas vías de ataque. Bajo mi punto de vista, los intentos de extorsión van a seguir creciendo.

¿Seguirá viéndose la seguridad como un ‘stopper’ para la creación de nuevos servicios en el futuro?

M. S.: Hace unos años atrás, cuando el responsable de Informática identificaba una serie de requerimientos o necesidades en la implementación de cualquier proyecto, muchas veces se acordaba pasarlos por alto, o implementarlos una vez arrancado. El objetivo era el paso a producción y las tareas relacionadas con la seguridad; quizás no se les daba la importancia que merecieran.

Actualmente, y sobre todo debido a la ‘democratización’ de los sistemas de información, el gran volumen de noticias relacionadas con ataques, extorsión, robo de información… bajo mi punto de vista, ya no se está planteado la ‘seguridad’ como un stopper. Es cierto que es un aspecto que puede llegar a ‘ralentizar’ la ejecución de un proyecto, pero es un ‘peaje’ que se debe de tomar. de lo contrario, las consecuencias pueden ser fatales para las organizaciones. (y creo que ahí sí que hay conciencia por parte de los comités de dirección).

¿Cómo gestionan la seguridad de recursos de terceros, que habitualmente pueden reutilizarse en entornos de cloud, pública u on premise?

M. S.: Lo recomendable es realizar un programa de gestión de riesgos de terceros (proveedores, fabricantes, socios, afiliados, distribuidores, revendedores, agentes…), donde identifiquemos, midamos y gestionemos los riesgos que rodean a las organizaciones que tienen acceso a nuestros sistemas e infraestructura (independientemente si están en cloud o en on premise). ¿Se está documentando en las empresas? Si se toman las medidas de las diferentes regulaciones aplicables, sí.

¿Creen que los diferentes estándares o regulaciones, como ISO27001, GDPR, PCI, etc. pueden cubrir todas las necesidades de vigilancia de la postura de seguridad, o hace falta hacer algo a medida?

M. S.: Conseguir la integración de estos estándares, supone una cierta garantía de calidad global de los servicios y probablemente cubren sobradamente lo que una pyme pueda requerir, pero considero que es necesario realizar una reflexión interna trasversal a toda la organización. Es importante definir una estrategia de ciberseguridad alineada con la del negocio, identificando los requerimientos necesarios para una gestión de la ciberseguridad. La realización del plan director seguridad, adaptado al ámbito de cada organización, nos va a permitir identificar los procesos, personas y tecnología específicos en la misma. Cada empresa es un mundo, por lo que tenemos que determinar nuestro particular nivel de seguridad objetivo, siempre alineado con las estrategias de negocio.

¿El trabajo híbrido ha hecho cambiar el paso en materia de seguridad? ¿Ha sido el trabajo en remoto el principal objetivo de los ataques?

M. S.: El trabajo híbrido, el teletrabajo, proyectos de transformación digital, diversificación del negocio… todo. Las empresas han tenido que reinventarse para sobrevivir y cuadrar su cuenta de explotación, y en muchos casos, esos nuevos procesos han sido los que han marcado un cambio de tendencia en materia de seguridad. En muchos casos ‘esa’ rápida adopción y cambios, han supuesto un problema o vector explotable a nivel de seguridad, ya que los departamentos de Informática han tenido que poner en marcha iniciativas y proyectos en muy poco tiempo, donde el objetivo principal, quizás era lo funcional versus lo seguro.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Artículos relacionados

Artículo 1 de 3