Entrevista: Level 3 y su campaña de seguridad para empresas

Etrevistamos al Ing. Miguel Cisterna, Security & Data Center Product Manager de Level 3, para que nos cuente cuál es la situación de las organizaciones en relación con las amenazas a las que se enfrentan, en el marco de una campaña de Level 3 sobre seguridad empresarial.

miguel-cisterna1. ¿Cuáles son las amenazas más importantes a las que se puede enfrentar la red de una compañía?

– Miguel Cisterna: Las amenazas en sí no son importantes. Lo importante es la vulnerabilidad asociada a dicha amenaza, y el escenario en que la amenaza pueda afectar de forma significativa a los recursos de una compañía.

Por ejemplo, hablar de las amenazas de tornados en Perú no es algo que pueda afectar significativamente a una organización, pero quizás la amenaza de terremoto pueda tener otro tipo de impacto mayor.

Lo fundamental es que las organizaciones evalúen y realicen un adecuado análisis de gestión de riesgo, no sólo de la seguridad informática, sino de la seguridad de la información.

2. ¿Cuáles son las consecuencias que podrían dejar estas amenazas?

– MC: En metodologías de Análisis de riesgos cualitativas, pueden variar desde impactos insignificantes a impactos catastróficos.

En metodologías de Análisis de riesgos cuantitativas, podemos hablar de rangos de dinero con impactos entre 10.000 y 1 millón de dólares por ejemplo.

Finalmente, el impacto dependerá de las medidas de control que la organización pueda implementar al respecto.

3. ¿Qué es lo que propone Level 3 en el tema de la seguridad en la redes de comunicación?

– MC: La Organización debe, en primer término, determinar los factores de riesgo (cruce de amenazas con vulnerabilidades) que pudiesen afectar los principios de la seguridad de la información: disponibilidad, confidencialidad e integridad. Una vez definidas las amenazas que pudieran, en un momento dado, violentar alguno de estos principios, se procede a hacer una gestión de riesgo, que no es más que definir una estrategia que logre eliminar las vulnerabilidades o disminuir la probabilidad de riesgo.

Cabe destacar que una amenaza no puede ser eliminada, sólo se puede trabajar en cubrir las vulnerabilidades.

4. Sabemos que las amenazas están, en constante evolución, ¿cómo es posible frenar su atropello en las compañías?

– MC: Esto es un ciclo virtuoso o vicioso depende del punto de vista, por un lado están los atacantes que siempre están buscando nuevas vulnerabilidades para materializar sus ataques y por otro lado están las organizaciones que se preocupan constantemente analizando y cubriendo nuevas vulnerabilidades que pudieran existir. Finalmente es un juego de ajedrez en que cada movimiento importa.

5. Desde Level 3, ¿cuál consideran que es la tendencia en el tema de las amenazas?

– MC: La tendencia en tipos de amenazas no varía. Siempre van a existir las amenazas de tipo:

  • Tecnológicas: Fallas de equipos y hardware en general.
  • Humanas: Errores humanos involuntarios, Hackers, etc.
  • Sociales: Manifestaciones, protestas, terrorismo, etc.
  • Naturales: Climáticas, Terremotos, tornados, Inundaciones, etc.
  • Operacionales: Variación de monedas, tipos de cambio, contratos, etc.

Finalmente, lo que importa es que las organizaciones evalúen y realicen un adecuado análisis de gestión de riesgo, no solo de la seguridad informática, sino de la seguridad de la información.

Idealmente deben ser ciclos de gestión “vivos” donde el autoaprendizaje y mejora continua son claves para el éxito.

6. ¿Level 3 ya cuenta con un plan para anticiparse a las amenazas futuras?

– MC: Recordemos que las organizaciones deben determinar la mejor alternativa de gestión para un riesgo en particular. Es decir, se puede aceptar el riesgo y no implementar ninguna acción sobre él, ya que éste tiene un componente de bajo impacto para la organización; o se puede mitigar el riesgo que tenga un alto impacto y una gran posibilidad de ocurrencia, cubriéndolo proactivamente por medidas de control.

Sin embargo, es importante saber que estas medidas de control no siempre están al alcance de las organizaciones. Por lo tanto, es conveniente buscar un proveedor especializado, como Level 3, que ofrezca un servicio dedicado, debido a su estructura, experticia, certificaciones y metodología de trabajo basadas en estándares de mejora continua.

7. ¿Cuál considera que es el nivel de importancia que le dan las compañías peruanas al tema de la seguridad?

– MC: Existen tres grupos de organizaciones:

  • Regulados: Son aquellas empresas que deben implementar medidas de seguridad si o si, debido que existen regulaciones que exigen niveles de seguridad altos para poder realizar sus actividades, por ejemplo empresas que tranzan en bolsas de valores, contratos con entidades internaciones que obligan a ciertos estándares de cumplimiento, las entidades que regulan a algunos segmentos como los bancos en Perú, etc.
  • Conscientes: Son aquellas empresas que implementan medidas de seguridad no por obligación, sino por un tema de consciencia debido a que han experimentado ataques o se han utilizado mecanismos de gestión de riesgos de forma reactiva. Podemos agregar que estas empresas, generalmente son las denominadas organizaciones que han aprendido de los errores.
  • Ni conscientes ni regulados: Son aquellas compañías que no realizan mediciones de seguridad, que no implementan medidas de control, que generalmente argumentan, ‘nunca me ha pasado, ¿por qué me va a afectar ahora?’.

Dado lo que hemos escrito en las respuestas anteriores, lo más probable es que el último grupo de organizaciones pase en el corto plazo a ser una organización regulada o consciente.

Infografía: Level 3 – ¿Dónde ocurren las amenazas cibernéticas?

infografia-level-3

Compartir noticia

Imprimir - Enviar a Email

Autor: Jorge Verastegui - Fecha: 26/07/2013

Lo último en tecnología

Noticias relacionadas Noticias recientes Noticias nacionales

:

: