lnformationTechnology

informe especial

El nuevo

escenariO de 1a
seguridad
Madurez creciente del rea y afianzamiento
del rol del CISO conviven con una deficiente
proteccin de la privacidad y cierta falta de
recursos humanos y presupuestarios, segn
un informe sobre seguridad de la
informacin en empresas de Amrica latina.
Por Laura Siri

Por primera vez en cuatro a.os, Deloitte realiz su estudio

de gestin de Ciber Riesgos y Seguridad de la Informacin
en'grandes organizaciones de Lltinoamrica con la inclusin
de diez sectores de la industria. Antes slo se enfocaba en banca pero, en esta ltima encuesta llevada a cabo entre enero y
marzo de este ao, tambin se consultaron organizaciones
de negocios inmobiliarios, consumo masivo, manufactura,
seguros, sector pblico, salud, telecomunicaciones, me'dios
y tecnologfa. lNFORMATION TEGINOLOGY accedi en exclusiva
a este informe en el que participaron l 06 entidades de la Argentina, Brasil, Chile, Colombia, Costa Rica, Ecuador, El Salvador, Guatemala, Honduras, Mxico, Per y Venezuela. Se les
pregunt acerca de las tendencias en el rol del CISO (Chief
Information Security Officer), su visibilidad, a quin reporta,
cules son los riesgos y amenazas con las que lidia, qu hace
al respecto, con qu recursos dispone, cmo protege la
informacin sensible de la organizacin y de las personas y
tambin cmo enfrenta los desafos del avance de la movilidad, la nube y las redes sociales.
"Fue grato ver que el rol del CISO ha cobrado importancia a
lo largo de los aos", coment acerca del informe de Deloitte
Valeria Una, jefa del departamento de seguridad lnfonntica
de la gerencia corporativa de Sistemas de Ledesma. En efec-

to, uno de los resultados ms notorios de la encuesta es que

la existencia del CISO est consohdada en la regin, ya que 90
por ciento de las organizaciones participantes cuenta con un
responsable de seguridad de la informacin.
S hay variedad en cuanto a quin reporta este ejecutivo,
porque 40 por ciento lo hace a alguien de IT, como el CIO o
CTO, mientras que un 53 por ciento reporta a un ejecutivo
del negocio, incluso al nmero uno de la compaa, lo que le
da mayor visibilidad y jerarqua al rol. En el segmento debanca, por regulacin, el CISO no puede reportar a IT, aunque s
puede depender de un comit directivo de Riesgos y Seguridad. Como resalta Andrs Gil, responsable del rea de Servicios de Ciber Riesgos Empresariales de Deloitte y compilador del estudio, "cinco aos atrs la mayora de los responsables de Seguridad s reportaba a los de Sistemas".
Leonardo Vilalta, director de Atencin Tcnica y Comercial
Segmento Empresas y Negocios de Telefnica de Argentina,
aprueba esta tendencia: "Lis politicas de seguridad deben ase-

Las cinco principales tendencias

1. La funcin del CISO {Chief lnfoonation Security Officer)
se consolida en Latinoamrica: 90 por ciento de las organizaciones participantes han designado a su aso.
2. El CISO cuenta con mayor visibilidad dentro de la organizacin, con ms del 50 por ciento reportando a ejecutivos
fuera del rea de Tecnologa de la Informacin.
3. La principal barrera que enfrentan los CISOs para nevar
adelante su gestin es la falta de presupuesto y de recursos suficientes.
4. Casi el40 por ciento de las organiza::iones sufrieron i~
dentes de seguridad en los ltimos 12 meses.
5. La gestin de seguridad y ciber riesgOS es muy dependiente del sector o industria donde opere a ayanizacin.

Ms informacin en iNFoTECHNOI.OGY.COM

1111111

ramos siempre de esa forma. As es

ms fcil conseguir que les aprueben la estrate-

gia y los presupuestos. En muchas organizaciones, en cambio, el tema de la seguridad se presenta de modo muy tcnico solamente, no desde el punto de vista del negocio, y por
eso cuesta conseguir recursos".

El vil metal
gurar la continuidad del negocio, proteger la marca y minimizar el riesgo de fraudes y/o prdida de informacin relativos
a datos de la empresa o privacidad de clientes y empleados.
Todas son acciones crticas de la organizacin que no deberan quedar en un rea anexa a IT". Pedro Fehlauer, director
de Proyectos Estratgicos de IT en Novartis, coincide: "El manejo del riesgo no debe concernir a IT solamente, sino a la empresa completa. La informacin se ha tomado uno de los activos ms valiosos, y la tendencia ser creciente: tenemos que
tener una estrategia basada en administrar el riesgo para poder
asegurar la continuidad". Claudio Colace, gerente de Seguridad Informtica y Proteccin de Activos de Informacin del
Banco Patagonia, reflexiona por su parte que "la tendencia
de los ltimos aos en materia de seguridad de la informacin
es un creciente acompaamiento de las nuevas tecnologas y
metodologas de ataque. Podra decirse que nuestra tarea se
hace ms inteligente en funcin de los riesgos".
A pesar de la creciente relevancia del CISO, slo una cuarta
parte de las organizaciones dijo en la encuesta que encara
sus iniciativas de seguridad en forma totalmente alineada con
el negocio. lD cual convendra revenir porque, como observa Walter Mondino, gerente corporativo de Seguridad de la
Informacin de An.:or, "eso hay que hacerlo y nosotros lo enea-

justamente , la falta de recursos result ser el mayor

obstculo mencionado por los CISOs en el estudio de
Deloitte. "Lamentablemente, eso no me sorprendi del
todo. En algunas organizaciones el manejo de seguridad
informtica no tiene la prioridad necesaria y eso se ve en
el componente del presupuesto", reflexiona Fehlauer. Segn
la encuesta, slo el63 por ciento de las organizaciones dice
tener una partida especfica asignada. "Hay un porcentaje
Obstculos y barreras a la gestin de seguridad
Falta de apoyo ejecutivo o del negocio
24%
Falta de claridad sobre el mandato, - - - 27%
las funciones y responsabilidades
Falta de visibilidad e influencia
31%
dentro de la organizacin
#1 Falta de suficiente presupuesto y/o recursos
Falta de recursos competentes

21%

B complejo panorama internacional legal y

normatiVo -

14%

El aumento de complejidad de las amenazas

33%
La gestin de los riesgos asociada
16%
con nuevas tecnologas
Falta de una estrategia de seguridad de la
19%
infonnacin
Otros 1 3%
Sin barreras 1 3%
No aplicable 1No Sabe

1 3%

Fuetll8: Deloitte 2015.

67

lnformationTechnology

informe especial

"Cinco aos atrs la

mayora de los CISO
reportaba a Sistemas"

ANDRS GIL,
responsable de Ciber
Riesgos de Deloitte

importante de compaas cuyo presupuesto de seguridad

est embebido en otra funcin, entonces el CISO no tiene
capacidad autnoma de determinar en qu invierte. Igual,
antes eran an menos las empresas que si tenian un
presupuesto especifico del rea", analiza Gil.
El28 por ciento de las entidades gasta en seguridad entre uno
y tres pesos por cada cien que invierten en sistemas. En banca esta cifra se eleva hasta diez pesos. En cuanto al crecimiento, la gran mayora tuvo un incremento de presupuestoen el rubro, salvo un 20 por ciento que lo redujo en los doce
meses previos a la encuesta. En general, las mayores inversiones, dice Gil, se dan en la banca. Aunque Walter Mondino,
de Arcor, destaca que en su caso "estamos invirtiendo en eso
desde hace trece aos y tenemos un rea muy madura al respecto, con procesos tambin muy maduros y sin problemas
de presupuesto. Notamos que alrededor de la mitad de los
encuestados tiene muy poco personal dedicado a esta cuestin, entre una y tres personas. Pero en nuestro caso tenemos hasta 25 personas para esto, de los cuales 18 son personal propio".
Incidentes vinculados con la privacidad

1-5----

Ninguno 50%
26%
6-20.4%
Msde20 O%

No sabe 20%

Fuente: Deloitre 2015.

Las cinco principales iniciativas de Ciber

Riesgos y Seguridad de la Informacin
1. CapacitE.dn y concientizaci6n en Seguridad de la
Informacin.
2. Implementacin de medidas para cumplimiento mgulatorio (por ejemplo: SOX, Datos Personales, PCI).
3. Definicin y aprobadn de una estrategia de Cyber Riesgos y Seguridajde lalnformac:;iOO y su correspond1911te pan
de implementacin.
4. Definicin de mtrica<:; e inc:Jicadores de lagesti)n de Cyber
Riesgos y Seguridad de la Informacin.
5. Proteccin de datos sensibles.

Un mundo hostil
Segn Deloitte, slo un 40 por ciento de las organizaciones
mantiene una relacin de trabajo coordinada con los encargados de riesgos no informticos. En particular, la responsabilidad sobre la seguridad fsica suele ser desempeada por
otras personas, con las que el CISO interacta poco. Por
otra parte, an en lo que si hace a la proteccin de la informacin, habria que considerar tambin procesos y controles
procedurales. Porque por ejemplo, como dice Fehlauer, "de
poco sirve tener el mejor aplicativo contra acceso a nuestros
sistemas si luego aparece un impreso con informacin confidencial en la calle en la bolsa de basura".

Ms informacin en INFOTECHNOLOGY.COM

Cmo evala el cumplimiento de las regulaciones

vinculadas con Proteccin de Datos

Lleva a cabo auditoras internas

para evaluar el cumplimiento
35,8%
Lleva a cabo auditoras externas
para evaluar el cumplimiento
32,1 %
Realiza revisiones internas
(ej: por el GISO)
33%
Noevalaelcumplimiento 29,5%
No sabe

5,7%

fueriiJJ: DeloitJB 2015.

De los que participaron, 40 por ciento confes haber sufrido

incidentes efectivos de seguridad, internos y externos, en los
doce meses previos a la encuesta. Por otra parte, quienes no
son conscientes de haber sido atacados reconocen que eso no
implica no haberlo sido.
Al respecto, Claudia Colace, de Banco Patagonia, aclara: "Se
considera que hubo un incidente cuando realmente se vio
comprometida la confidencialidad, integridad o disporbilidad de un activo de informacin. Una empresa puede sufrir
muchos ataques o eventos de seguridad, pero ataques exitosos que se transformen en incidentes concretos muy pocos o
rnguno". Adems, muchas amenazas son combatidas eficazmente en forma automtica, as que r siquiera su tratamiento ocupa tiempo del personal de seguridad. Por ejemplo, todos
tienen antivirus, antispam y firewall, entre otras tecnologas
ya clsicas. Como ilustra Andrs Gil, uhoy la mayora de las
organizaciones no est esperando que haya un incendio destructivo para salir a comprar matafuegos".
El tema de los ataques de origen interno es ms delicado
porque, como observa Walter Mondino, de Arcar, hoyes muy
difcil establecer los lmites de las empresas. Por eso en esta firma el equipo de seguridad dedica un 70 por ciento de su tiempo a prevenir este tipo de incidentes. Porque, explica el ejecutivo, "quienes trabajan todo el da con cierta informacin saben
perfectamente si puede ser valiosa o no para terceros. En cambio, un atacante externo que no conozca nuestro negocio puede ver informacin valiosa y no darse cuenta, o bien creer que
algo es interesante y en realidad no lo sea tanto".
En cuanto al impacto de los incidentes, curiosamente no
muchos parecen poderlo estimar. Un 27 por ciento afirm
que los ataques sufridos no haban terdo repercusin alguna. Solamente entre l y 2 por ciento del lO por ciento que s
report prdidas concretas afirm que stas fueron de entre

Cuando prima la tecnologa

En cuanto a las amenazas espedficas del sector de ecommerce, CarlosAlvarez, Senior Technology Manager
de Despegar.com, resalta dos que le preocupan especialmente: los ataques de denegacin de servicio y el
fraude con los medios de pago. core de nuestro negocio sucede a travs de interacciones con Internet: un
lugar salvaje donde podemos encontrar cualquier cosa.
La necesidad de mantener todo conectado, la interaccin entre componentes y la presin del negocio por la
velocidad de dellvery son particularidades de las pl:lntocom que agregan complejidad a la gestin de la seguridad", seala el ejecutivo.
Para enfrentar las amenazas, en Despegar tienen una
politica de trabajo conjunto entre las reas de desarrollo, tecnologa y seguridad para detectar, por ejemplo,
patrones de conducta sospechosos y establecer estrategias compensatorias o de bloqueo.

US$ l y US$ S millones. En tanto, el8 por ciento de ese lO

por ciento estim a lo sumo daos de hasta US$ 250.000. El
impacto reputacional, en caso de haberlo, se sospecha y se
teme pero es muy difcil de medir con certeza. Otras veces
los efectos se miden en cadas de productividad. EnArcar, por
ejemplo, "un incidente de seguridad podra impedir que salgan los camiones con mercadera", seala Mondino.
Muchos participantes de la encuesta rnarfestaron en particular su preocupacin por la complejidad de los riesgos que hoy
enfrentan. "Incluso, en los ltimos dos o tres aos, llegaron a
la regin las amenazas dirigidas especficamente a una empresa, cosa que antes no se vea. Y no siempre esos ataques ocurren por motivaciones econmicas, sino por cuestiones polfticas, como en el caso del hacktivismo", destaca Gil. Tambin se ve mucha criticidad en la posibilidad de fraude
financiero, ataques en las aplicaciones web y amenazas
avanzadas persistentes. Esto ltimo consiste en la posibilidad
de sufrir una vulnerabilidad que permanezca inadvertida
durante das, semanas, meses y hasta aos. No ven tan riesgoso, sin embargo, el uso de redes sociales.
Para estar mejor preparadas ante eventualidades, ya varias
empresas montaron un centro de operaciones de seguridad
(SOC, Security Operations Center). Esto es "porque antes la
seguridad era simplemente una tarea para hacer y ahora se
transform en un proceso que debe funcionar 7x24x365",

~69~

cuados privilegios de acceso de los usuarios. Lo bueno es

que cada vez ms la estrategia de seguridad se documenta,
cosa que antes no pasaba.

La infonnacin personal

"Nuestra tarea se hace

ms inteligente en
funcin de los riesgos"

CLAUDIO COLACE,
CISO de Banco Patagonia

Foto: Gustavo Fernndez

Controles para manejar los riesgos

8 contratodel servti::>induye clusulas respecto a laseguridad, disponbilidad y rendimiento.
Exiir el cumplimiento de la poltica y controles de seguridad al proveedor.
EspeciOCar en el contrato con el proveedor la clusula de
"derecho a auditar" los sistemas e infraestructlra.
Utiliza servicios en la Nube

Si - - - - - 68%

No - - - 32o/o

explica Gil. En algunos casos, como en Telefnica, se han creado CiberSOCs que, adems de brindar seguridad interna,
ofrecen servidos a clientes corporativos. Sin embargo, casi el
40 por dento de las organizaciones an no tiene un SOC.
Cuando se realizan auditoras internas y/o externas, los principales hallazgos reportados se relacionan con la falta de segregacin de funciones, poca implementacin de las polticas
de seguridad definidas, debilidades de los programas de
continuidad de negocio y recuperacin ante desastres, e inade-

Carloslvarez, Senior Teclmology Manager de Despegar.com

(ver recuadro), dice: "Me llama la atencin la mportancia relativa de las iniciativas de proteccin de datos sensibles en el
informe. Si bien estas iniciativas en algn punto se solapan
con el cumplimiento del marco legal y PCl, creo que merecen
un lugar ms importante por su propia importancia, ms
all de cumplir con un marco regulatorio". En efecto, 30 por
ciento de las organizaciones dijo haber experimentado incidentes de seguridad que afectaron la privacidad de datos. Lo
cual no puede sorprender, ya que slo 40 por ciento cuenta
con una o dos personas full-time dedicadas al tema, mientras que el30 por dento no tiene ninguna. Si bien hay normativas de proteccin de datos, se ve que an no es un asunto
que haya avanzado lo suficiente. Y aunque algunos tengan
polticas establecidas al respecto, pocos evalan su cumplimiento. Apenas un 32 por dento lo hace mediante una revisin independiente externa. Tampoco suelen constatar cmo
cumplen los requerimientos de privacidad los proveedores
en quienes tercerizan funciones de negocio. Slo el 33 por
ciento de las organizaciones encuestadas realiz una clasificacin de la informacin para identificar la presencia de datos
de mdole privada.

Los nuevos desafos

"Sorprende en el repone ver la baja gestin de dispositivos
mviles y la escasa poltica de seguridad para manejar informadn en nubes de uso personal con documentacin corporativa", expresa Leonardo VJlalta, de Telefnica. En efecto, aunque la mayora de las organizaciones encuestadas ha explorado los servicios en la nube, cerca de la mitad no los adopt
debido a los riesgos de seguridad, entre otras razones. Por eso,
como dice Walter Mondino, "debemos establecer procesos
que permitan garantizar los mismos estndares de segurdad para los datos en la nube que para los de adentro de la
organizacin. Lo mismo podemos decir de las redes sociales. Por ejemplo, nosotros nunca delegamos en el proveedor
el gobierno de los datos. l nos da la infraestructura, pero la
seguridad la manejamos nosotros. El proveedor no puede
entrar y ver datos ni autenticar a nuestros usuarios".
Como reflexiona Valeria Lina, de Ledesma, "hoy el principal

Ms informacin en !NFOTECHNOLOGY.COM

"El core de nuestro

negocio sucede a travs
de interacciones con
Internet un lugar
salvaje"

CARLOS ALVAREZ,
Technology Manager de
Despegar

obstculo es el crecimiento de las redes sociales, los dispositivos personales y los servicios en la nube en el entorno corporativo. El cambio de paradigma y la bsqueda de medidas
de control adecuadas y eficientes son grandes desafos". En
particular, en su opinin el usuario es el eslabn ms dbil,
ya que crecientemente se desdibuja la divisin entre la tecnologa personal y la corporativa. Esto es especialmente notable con las tecnolog!as mviles porque, segn Gil, "el mundo celular es hoy la pata ms dbil en la proteccin de la informacin sensible". Y como expresa Vilalta, "pareciera que en
muchos casos la proteccin y cuidado de la informacin queda a criterio del usuario, en vez de ser parte de una poltica
con herramientas definidas y gestionadas por la organizacin".
Ni siquiera en empresas con alta madurez en seguridad, como
Arcor, donde ya hay agentes corriendo en los equipos mviles de los empleados, que permiten al equipo de Walter Mondino saber qu tienen instalado e impiden contrariar las
polticas, an no han implementado encripcin aunque, como
en otras firmas, est agenciado para el futuro inmediato.
Deloitte concluye en su informe que la gestin de seguridad y ciber riesgos es muy dependiente del sector donde
opere la compaa. Pero Valeria lina disiente: "Hoy hay una
base slida en comn de cmo manejar la seguridad y no
es tan dependiente del sector. Ser ms rtgida, con ms o
menos c0ntroles, pero todos tendemos a gestionar en base
a las mejores prcticas".
A pesar de los altibajos, ms de la mitad de los encuestados
estima que su nivel de madurez es de alto nivel. Esto es por-

Las cinco estrategias para gestionar

riesgos asociados a dispositivos mviles
1 -Formular una polticas de dientes o uso aceptable de dispositivos
2- Implementar contraseas complejas
3- Implementar un sistema de gestin de dispositivos
mviles (MDM)
4- Integrar la seguridad y uso del dispositivo en campaa<>
de concientizacin
S-Instalar software para proteccin contra mafware

que tienen procesos definidos y documentados, ven que mejoran con el tiempo, hacen mtricas y control de gestin. El
mayor nivel se registra en la banca y telecomunicaciones.
Como le toca ver a diario a Vilalta en Telefnica, como proveedor de servicios de seguridad, en muchas organizaciones
de manufactura, servicios o retail se retrasan inversiones
hasta que ocurre un incidente critico.
Tambin hay, por ejemplo, una tendencia a no eliminar
metadatos en documentos, no asegurar lo suficiente las credenciales de la empresa en Internet o monitorear insuficientemente la marca en redes sociales. En cambio, los proveedores de telecomunicaciones tienen especialistas para proteger
sus redes de voz y datos desde hace muchos aos y ltimamente sumaron nuevas herramientas para lidiar con ataques
que ya no son perimetrales.

71