La gestión del cambio en la seguridad de la información

Los tiempos cambian. El crecimiento del comercio online y la compras en servicios web están suponiendo una revolución en el mundo del transporte exprés. Queremos que nuestro pedido esté en nuestra casa casi según terminamos de pulsar el botón comprar. En ese mismo momento, decenas de procesos se ponen en marcha para entregar el paquete en casa del destinatario, y varios de ellos son procesos en los que la seguridad de la información está presente.

Así lo ha afirmado el responsable de Sistemas y Seguridad de la Información de Correos Express, Jesús García Bautista, durante la ponencia ‘El paradigma insostenible del CISO’, ofrecida durante la celebración de la quinta edición del evento e-Crime y Ciberseguridad España, que se ha celebrado hoy en Madrid.

Según ha explicado, en el pasado, todo se reducía a recoger ese paquete en un punto y entregarlo en otro, y solo mediaba el papel. Ahora, multitud de datos circulan por la red asociados a ese envío: geoposicionamiento, datos del destinatario y/o remitente (nombre, apellidos, dirección, teléfono, etc.) y todo ello debe de ser salvaguardado. “No nos podemos permitir el lujo de no proteger la información de nuestros clientes y destinatarios y, a su vez, de nuestras infraestructuras”, ha añadido.

La cuestión ya no es si debo proteger o no mis datos o mi infraestructura, si no que existen nuevas normativas de seguridad que nos obligan a ello, por lo que las empresas se ven forzadas a tomar decisiones que antes eran, posiblemente, opcionales. El Reglamento Europeo de Protección de Datos o la normativa NIS regulan estas políticas y, a su vez, nos ayudan a ponerlo en práctica.

No obstante, García Bautista ha indicado que los negocios no se paralizan por ello, sino que la irrupción de las nuevas tecnologías nos encaminan hacia un movimiento aún más rápido: los servicios en nube y su cada vez mayor catálogo de posibilidades, pone en manos del negocio soluciones que hasta ayer eran impensables.

En este sentido, ha apuntado, “si nos fijamos, podemos ver una cosa muy curiosa: nuestros propios clientes son nuestros proveedores de tecnología, lo que supone que, a la vez, nos exigen, nos están dando esas herramientas ágiles”.

“Nosotros partimos de que sin tecnología no hay entregas a tiempo y con calidad”, ha aseverado.

Para él, eso nos lleva a que la responsabilidad del CISO se ha visto incrementada en estos últimos años sustancialmente, adquiriendo una figura más definida y viendo cómo sus recomendaciones son tomadas en cuenta, aunque es cierto que todavía queda cierto recorrido. Todavía, muchas veces, nos encontramos fuera de la estrategia de negocio o no tan cerca como deberíamos de estar. Es cierto, que hemos dejado de ser vistos como un impedimento para pasar a aportar valor en la cadena de negocio. El cliente se ha vuelto más sensible y aprecia la seguridad más que antes, ya no quiere que sus datos acaben en malas manos y, mucho menos, quiere que los datos de todos sus clientes acaben en organizaciones criminales. Por tanto, entender al negocio, hablar con él en los mismos términos y abandonar nuestra jerga es básico para llegar a un entendimiento.

Por tanto, el responsable de Sistemas y Seguridad de la Información de Correos Express ha reflexionado acerca de qué ha supuesto esa irrupción de las nuevas tecnologías. Y, en este sentido, ha afirmado que ahora el negocio se fija en ellas y la concepción de la seguridad varía. “Ahora, nuestros datos están dispersos en Centros de Procesamiento de Datos (CPD), fuera del nuestro, existiendo una comunicación constante entre ellos y entre nuestros asociados. Así, la toma de decisiones ha pasado a ser inmediata. Ya no debemos fiarnos de nadie ni de nada. Todo debe de ser examinado con lupa, si bien esta toma de decisiones no puede detener el negocio”, ha destacado.

¿A qué nos lleva todo esto? Para García Bautista, los clientes, una regulación más estricta (RGPD, NIS, PCI), las organizaciones criminales, una ciberguerra, etc. nos cargan de trabajo y, muchas veces, debido a una falta de conciencia en las empresas, a disponer de muy pocos recursos, o en el caso en que podamos disponer de ellos, a una falta de estos en el mercado laboral. De ahí que, tengamos que trabajar con proveedores externos que nos ayuden, asesoren y acompañen en este momento de cambio para que nada nos coja por sorpresa. A fin de cuentas, las personas son el eslabón más débil de la cadena. La concienciación, la formación y las políticas deben ser la base correcta para establecer la estrategia de seguridad.

Y todo ello sabiendo que la tecnología no se detiene. La infraestructura en la nube, los contenedores o la desaparición de los roles del personal de sistemas y desarrollo, nos lleva a pensar y diseñar nuevas formas para protegernos, por lo que necesitamos aún más asesoramiento por parte de expertos que estén ya trabajando en esta transición. Nuestro día a día no nos permite tener todo el conocimiento necesario (y seamos realistas, es ya inabarcable) y esta es la fuerza que pueden darnos nuestros proveedores: la gestión del cambio en la Seguridad de la Información.

El evento ‘e-Crime y Ciberseguridad España’ tiene como objetivo analizar los problemas clave de ciberseguridad que surgen de una estrategia de transformación digital, en el contexto de las tendencias actuales de ciberseguridad global y la evolución de las amenazas más recientes.

 


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s