Francisco Lomas es Chief Innovation Officer, en Kruger Corporation desde hace 16 años. Kruger es una empresa multinacional en 10 países con 26 años en el área de Tecnología. Francisco tiene amplia experiencia en la industria del software en temas relacionados a Arquitectura Empresarial, Arquitectura Tecnológica, Arquitectura de Software, Gestión de Proyectos, I+D, entre otros. Su amplia experiencia en el mundo de tecnología nos ha inquietado a preguntarle sobre su punto de vista de la ciberseguridad en LATAM iniciando con la siguiente pregunta;
¿Cuál es su opinión con respecto a temas de ciberataques en Latinoamérica en general?
Latinoamérica hoy en día es un punto de foco para el crimen cibernético por su información valiosa. Es importante entender que el ciberataque no solo está centrado en molestar, sino que está orientado en buscar información de verdad importante y sacar provecho de ella. Es por eso que en nuestra cultura debemos comenzar a considerar más la seguridad. Comenzando por identificar y clasificar la información más crítica y valiosa para poder darle una correcta protección.
Es importante que nosotros como empresas de tecnología podamos en este caso crear esta cultura y este es realmente el reto grande que tenemos en este sector. Hay países mucho más avanzados que nosotros en este tema y que toman muy en serio la seguridad.
También es cierto que la mayoría de ataques más serios realmente provienen de adentro de nuestras infraestructuras, de nuestros mismos empleados. Entonces aquí es donde afrontamos un reto sumamente alto en la cultura de ciberseguridad en Latinoamérica.
¿Cómo compara a Latinoamérica con otras regiones en distintas partes del mundo que van mucho más avanzadas en ciberseguridad?
Latinoamérica actualmente no se encuentra en un estado precario, pero, tal vez está en un estado en el cual no ha obtenido tanta consciencia, ya que no hay una fuerte cultura inmersa en nuestros procesos de ciberseguridad.
Por ejemplo, en nuestros procesos de desarrollo es muy normal que, en empresas de esta región, no se consideren prácticas de seguridad como prácticas de código seguro u otra similares.
Versus otros países que sí lo realizan y es mayormente por la educación que brindan en las universidades.
Con respecto a otras potencias como por ejemplo lo es Israel, estamos atrasados, es decir, no estamos en el punto donde cualquiera pueda venir y extraernos toda nuestra información. Pero definitivamente podríamos mejorar mucho más. Sin duda lo que se necesita es implementar más cultura y fomentar más investigación.
¿Qué tipo de medidas y proyectos toma Kruger en consideración para fomentar el tema de ciberseguridad tanto internamente como con sus clientes?
Internamente se les concientiza a todos lo que implica la ciberseguridad y lo que se necesita. Es decir, nosotros desde que tenemos un diseño, tomamos en cuenta el grado de seguridad que se necesita. Tenemos también grados mínimos de seguridad. Por ejemplo, nosotros no permitimos que ninguna aplicación funcione a menos de que tenga encriptación SSL o TLS. También las prácticas de autenticación, autorización y auditoría. Mantenemos al personal consciente del tema y estamos incorporando también prácticas de DevSecOps en el caso de que tengamos con los clientes ciclos de DevOps, donde las pruebas y las prácticas de seguridad están incluidas.
Con los clientes, entendemos su entorno, a que están expuestos para recomendarles medidas de seguridad. Esto también va a depender del cliente, ya que, si es un cliente de gobierno, ellos normalmente tienen sus medidas de seguridad ya especificadas, como hay otros que no las tienen y aquí es donde nosotros recomendamos las medidas básicas que deberían implementar. Con ello tratar de que las personas comprendan el grado de peligro que existe si no protegen su empresa. Esto de una manera en la cual no causemos pánico en ellos, sino más bien que se haga conciencia de ello.
¿Qué soluciones o tecnologías están disponibles actualmente y a futuro para que una empresa ya sea pequeña o mediana pueda prevenir estos ataques?
Sin duda es una necesitad de las empresas, ya sean pequeñas, medianas o grandes de empezar a actualizarse y buscar asesoría profesional, debido a que cuando se pretende asegurar ciertas cosas al azar, no es necesariamente las mejores de las prácticas, ya que pueden quedar huecos donde puede haber fugas de información importante. Para ello se recomienda la clasificación de la información.
Otra recomendación es mantener la información en la nube. Hay empresas que brindan estos servicios y pueden apoyar en esto hasta en cualquier parte del mundo.
Y en un futuro no muy lejano con el tema de Inteligencia Artificial, se va a encontrar cada vez más servicios independientes e incluso autónomos que van a ayudar a las empresas a prevenir estos ataques. Y lo hacen evaluando, previniendo, e incluso haciendo defensas de lo que va a pasar. Podemos ver ciertas tendencias en empresas grandes como Microsoft actualmente está incluyendo Inteligencia Artificial en sus antivirus para detectar amenazas que antes no eran tan fáciles de manejar. Además, todo esto con economías de escala y demás, va a ser más accesible para una empresa pequeña y mediana acceder a un SOC, lo cual es caro actualmente en Latinoamérica.
¿Qué tipo de reglas o herramientas puede implementar una empresa sin incurrir en una alta inversión en ciberseguridad?
Es muy normal que muchas empresas no tengan ni siquiera un antivirus y eso no es algo bueno. Les recomendaría que al menos todas las máquinas tengan antivirus o firewalls. Y aunque parezca básico, es totalmente necesario y aún hay organizaciones que no toman esto en cuenta. Otra de las cosas que hay que entender que los hackers de verdad están detrás de la información valiosa, por esto es que hay que resguardarla, ya que es una necesidad porque de no ser así, la empresa podría tener una perdida enorme. También se recomienda la regla del Triple A: Autenticación, Autorización y Auditoría.