Martes 26 de Octubre de 2021       •      Dólar= $815,78      •      UF=$30.322,13       •      UTM=$52.631

Patricio Jaca, CISO de Transbank:
“Los CISOs debemos acompañar la operación, no limitarla”

Como la empresa adquirente encargada de gestionar los medios de pago del país, la seguridad para Transbank es un pilar absolutamente esencial de su servicio. Liderando esta área, Patricio Jaca como CISO tiene claro que lograr el equilibrio entre flexibilidad y control es un reto esencial y así lo están haciendo para acompañar la transformación digital.

¿Cuáles son sus funciones como CISO en Transbank?
Como CISO, mi función principal es velar porque el servicio que entrega Transbank sea en forma segura, tal cual lo define nuestra Misión y Visión como empresa. Me encuentro a cargo de la Subgerencia de Seguridad de la Información, dependiente de la Gerencia de Riesgos, unidad que aborda, entre sus responsabilidades, la Gestión Normativa y Compliance de Seguridad, donde se define el marco normativo de seguridad para toda la compañía, y se realiza la gestión de riesgo de seguridad, compliance y la certificación PCI fundamental para nuestro funcionamiento como adquirente en Chile; y la Gestión de Seguridad de la información, donde definimos la arquitectura, estándares y estrategias para los diferentes dominios de seguridad y llevamos adelante el plan de proyectos e iniciativas en este ámbito.

También realizamos la Gestión de Accesos e Identidades, controlando los flujos de alta, baja y modificación de usuarios, además de los controles relacionados con los accesos de usuarios a las plataformas. Finalmente, contamos con un área de Seguridad Operativa, que realiza principalmente el monitoreo y control de seguridad a través de un SOC, que monitorea 7x24. Esta área es la que lidera nuestro CSIRT en respuesta a los incidentes de seguridad.

¿Cómo es la relación CISO v/s CIO?
Debemos trabajar en conjunto y orientados a brindar el mejor servicio en pos de la operación. El CIO y sus áreas, aparte de encargarse de todos los temas de TI, son nuestra contraparte ejecutando los controles de seguridad de primera línea. Lograr una mayor cohesión entre estas dos áreas es uno de los puntos más importantes para tener un servicio “performante” y a la vez seguro.

Prevención de incidentes, reacción a estos y solución de daños, ¿cuál es más importante?
Lo más importante hoy es detectar el incidente, brecha o problema de seguridad que exista en el menor tiempo posible. Para eso, no solo debemos contar con las herramientas adecuadas, sino también con un equipo especializado que permita hacerlo. Los métodos preventivos logran dificultar al atacante acceder a la información o a una denegación de servicio, pero hay que asumir que tarde o temprano puede que esa protección sea vulnerada. Por eso, desde mi punto de vista, el mayor trabajo en seguridad se debe enfocar en la detección temprana y la respuesta rápida a ese incidente. Nosotros tenemos constituido un CSIRT (equipo de respuesta ante incidentes de seguridad) que nos permite saber cuáles son los pasos a seguir y resolver un incidente lo antes posible.

Cuanto más tiempo tenemos incidentes abiertos, más grande es el daño, por eso es clave acortar ese plazo; allí es donde hay que enfocarse. Si bien durante muchos años se vino trabajando en los métodos preventivos, que son necesarios, hoy tenemos que madurar más en lo que es la detección y respuesta.

¿Cuál es el eslabón más débil en la ciberseguridad?
Siempre se habla, y coincidimos todos, que el eslabón más débil es el factor humano, y por muchas razones, la principal es la falta de conocimiento. La capacitación y concientización de los usuarios es fundamental para que sepan cuáles son las consecuencias de alguna acción que ellos puedan ejecutar. Por ejemplo, podemos tener muchos controles de seguridad en el escritorio, políticas de DLP, antivirus, antimalware, etc., pero las personas llevan el computador a su casa o el pendrive en que le pasan un archivo a un compañero es el mismo que usó su hijo para bajar un programa de Internet en la casa; esa es una realidad común y natural, pero que representa un riesgo.

Además de temas de concientización, en Transbank hemos realizado ejercicios de ingeniería social. Por ejemplo, simulamos que una empresa externa promocionaba un sorteo de un viaje de turismo y regalaba pendrives en forma de avión para ver cuántas personas de Transbank lo aceptaban y usaban acá; la unidad tenía un malware que nos avisaría en caso de que se conectara en un equipo de la oficina. La primera barrera fue física, pues no se les permitió ingresar a la oficina, pero regalaron los pendrives afuera y la respuesta de nuestros colaboradores fue muy buena; tuvimos muy pocos casos.

Este tipo de actividades es realmente recomendable para conocer el grado de madurez que tienen los usuarios de nuestra compañía.

¿La movilidad y fuerza de trabajo móvil es un dolor de cabeza para los CISOs?
No es un dolor de cabeza, es lo que viene, es parte de la transformación y nosotros como ejecutivos de seguridad tenemos que empezar a trabajar en eso. Por ejemplo, en relación al cloud, al principio se decía que no a los archivos en la nube o no al correo electrónico en la nube, “porque no es seguro”. Hoy desafío a cualquiera a tratar de robar información que esté en un servicio serio en la nube v/s robar información que está en la compañía.

Con las medidas y controles de seguridad que corresponden, hay que seguir en la transformación digital, hay que trabajar en procesos automatizados, servicios en la nube, movilidad, etc. Hoy los ejecutivos ya no llevan consigo un laptop, un tablet y un smartphone, buscan tener todo en un solo dispositivo y como CISOs debemos tratar de facilitar todo eso; proteger la información teniendo en cuenta el avance tecnológico, entonces más que un dolor de cabeza es un reto que tenemos que afrontar y acompañar.

¿Se puede llegar a ese equilibrio entre flexibilidad y control?
Por supuesto, es el reto que tenemos. “La cultura de seguridad del no”, como los ejemplos que mencionaba, quedó atrás. Cuando empecé a trabajar en esta área, me encontraba con dos tipos de líderes de seguridad, los que decían que “no” a todo o los que intentaban buscar una solución a la necesidad de los usuarios. En definitiva, los CISOs debemos acompañar la operación, no limitarla. Se veía a la seguridad como un problema o traba a la operación, porque al líder de seguridad le era más fácil decir que no, pero el “no” ya no es una respuesta válida.

Debemos tratar de poner todas las herramientas y controles en pos de acompañar esta transformación y reforzar la detección y respuesta, asumir que vamos a disponibilizar eso, que puede haber un incidente y que, de haberlo, se tiene que detectar rápido y resolver.

En ese sentido, ¿cómo ve a Chile en términos de RRHH especializados en ciberseguridad?
Es un tema complejo. La verdad es que encontrar recursos especializados no es una tarea sencilla: en 9 años que llevo en el país puedo decir que ya terminé conociendo a la mayoría de los recursos disponibles. Si bien últimamente se ha ido desarrollando este tema, hay que seguir haciéndolo.

¿Cómo observa a los proveedores de productos o soluciones de ciberseguridad?
Lo principal a nivel de los proveedores de seguridad es entender el negocio del cliente y comenzar a pensar soluciones granulares por cliente, no opciones estándares. El mismo producto que sirve a Transbank no necesariamente le es útil a un banco o un retail, y viceversa. Por eso, los proveedores deben ver qué se necesita proteger, qué control se requiere implementar y cuál es la mejor solución para eso, allí es donde más se tiene que trabajar. En el caso de un servicio, si enfrentamos un incidente y el proveedor que nos acompaña tiene varios servicios más en paralelo, la persona que estará atendiendo no sabe el impacto real de lo que nos está pasando. No es lo mismo sufrir una denegación de servicio en Transbank que una empresa que no tiene servicios web.

Por lo tanto, para los proveedores lo más importante es que las personas que trabajan allí tengan claro cuál es el impacto que tiene un incidente en su cliente. Lo mismo sucede con las herramientas; los fabricantes venden sus productos, pero los partners tienen que acompañar a sus clientes en su estrategia y tratar de colaborar con las mejores soluciones, no insistir en vender una herramienta de denegación de servicios, por ejemplo, a una empresa que no tiene servicios en Internet. Es un ejemplo básico, pero que explica la situación.

¿Cuáles son las recomendaciones en la implementación de estrategias de ciberseguridad?
Lo primero es definir una estrategia. Para ello, lo más importante es tener claridad de qué debemos proteger, cómo lo haremos y a partir de allí definir la estrategia y luego transformarla en un plan, ojalá separado por distintas áreas de protección, como accesos de usuarios, redes, “end-point”, etc.

Es fundamental implementar seguridad a partir de necesidades concretas definidas en el plan y con el tiempo adecuado, por ejemplo, durante mucho tiempo un oficial de seguridad identifica que requiere una herramienta y, finalmente, termina implementando esta luego de un incidente, porque los gerentes ven que hubo un problema y que verdaderamente necesitaban esa herramienta, pero tratar de adquirir esta en forma apresurada genera problemas en su implementación, integración y fallas en la selección de la opción adecuada.

Por eso, tener una estrategia clara, alineada con la estrategia de negocio, con su respectivo plan director de implementación, es fundamental para lograr los objetivos de protección adecuados para la compañía.


Recientemente, la empresa Ingram Micro realizó una nueva versión de su evento “En la Mente del CIO”, oportunidad en la que Patricio Jaca, CISO - Chief Information Security Officer enTransbank, dictó una charla sobre Ciberseguridad.
Mayo 2018
.......
Comentarios acerca de este artículo
No hay comentarios publicados
Comenta este artículo
Nombre:
Empresa:
Email:
Comentario:
Notificarme de actividad en este artículo
Ingrese los caracteres de la imagen:
Entelgy, nuestras nuevas oficinas en Chile
Entelgy, dentro de su proceso de crecimiento en Chile, estrena nuevas oficinas ubicadas en Alonso de Cordova 5670.
Desayunos Tecnológicos
SERVICIOS GESTIONADOS DE IMPRESIÓN: Cubriendo las necesidades del cliente esté donde esté
INDUSTRIA TI: ¿Cuáles serán las tendencias y retos 2021?
LA TRANSFORMACIÓN DE LOS PROVEEDORES DE TI: El nuevo perfil de los integradores
Contáctenos
Dirección: José Manuel Infante 919, Of. 203
Providencia, Chile
Teléfono: (562) 2433 5500
Email: info@emb.cl
Visite también:
© Copyright 2019 Editora Microbyte Ltda.