Red Seguridad 87

18 red seguridad cuarto trimestre 2019 seguridad finanzas sobre la mesa que el departamento de Seguridad participe en el proceso de elección de los proveedores. "Exigimos a nuestros proveedores el mismo grado de cum- plimiento de seguridad que nuestros clientes nos piden a nosotros. Aparte de eso, intentamos alinear contratos con requisitos mínimos de seguridad, sobre todo en auditoría y respuesta ante incidentes", manifestó. Enestepunto, Daniely, deGuardicore, recalcó la necesidad de llevar una ges- tión adecuada de quién tiene el acceso y el control de determinados activos por parte de los proveedores. "Esto requiere tener una completa visibili- dad entre herramientas tecnológicas, donde se pueda ver cómo se comu- nican entre sí; y este aspecto resulta aún más importante cuando trabajas en cloud ", afirmó. Claro que, a juicio de López, de Sareb, para llegar a ese grado de madurez, hay que conocer bien al proveedor, y también a uno mismo. "Debería haber un mayor grado de concienciación en toda la organiza- ción para poder llegar a ese grado de madurez", aseguró el invitado. Afortunadamente, apuntó Ballesteros, de WiZink, "esto poco a poco va cam- biando, y la alta dirección cada vez está más concienciada en temas de ciberseguridad". Y no solo eso, según matizó Tobal, de Fintonic, "la alta direc- ción también debe ser consciente de las políticas de seguridad implemen- tadas en su empresa y no delegarlo exclusivamente en el departamento". Y es que, como señaló Ballesteros, "en el gobierno de la seguridad las políticas tienen que emanar de la alta dirección para que nadie las cuestio- ne", puntualizó. Los datos críticos Asimismo, la necesidad de contar con una visibilidad completa de la infraestructura corporativa permite a las organizaciones tener un mayor control de sus activos para proteger- los, y especialmente cuando se tratan de datos críticos. En este sentido, todos los responsables de Seguridad presentes coincidieron en señalar que utilizan la nube para almacenar infor- mación corporativa importante. En el caso de Fintonic, tienen en cuenta la criticidad del dato a la hora de prote- gerlo. "Intentamos separar los datos por criticidades y aplicar políticas de acceso en función de ello", explicó Tobal. Igualmente opinó Ballesteros, de WiZink, quien aseguró que "la nube ha llegado para quedarse", y "hay que aprovecharla". Ahora bien, eso sin dejar de lado unas medidas de seguridad que han de ser las mismas que si esa información no estuviera en la nube. "Dependiendo del dato que estés manejando, se pueden aplicar medidas de protección mayores o menores. En cada caso hay que ver las soluciones que se ponen en mar- cha", afirmó. Ahora bien, el problema aquí se pre- senta a la hora de determinar lo que es crítico. "En las empresas debe haber una conciencia inicial de lo que es y lo que no es crítico. No en vano, al des- aparecer el perímetro, el usuario tiene que tener cuidado", matizó López, de Sareb. Por eso, se mostró partidario de proteger el activo y hacer un análi- sis de todos los canales por donde se puede mover. En este punto, Ballesteros, de WiZink, también coincidió en esa afir- mación. "Al no existir el perímetro, la seguridad hay que ponerla en el propio dato; sabiendo qué se gestiona y cómo se clasifica. Esto, sin duda, supone todo un reto para las empre- sas y todavía queda mucho camino por recorrer en este sentido", recono- ció. Y no solo eso, añadió Torbal, de Fintonic. Para ser más eficaces aún, hay que poner el punto de mira en el ciclo del dato. Según este CISO, "hay ocasiones, como cuando haces un backup y se replica el dato, que la copia deja de tener las protecciones de las que gozaba en el original". Al respecto también se pronunció Daniely, de Guardicore, quien hizo hin- capié en la necesidad de proteger el entorno cloud utilizando herramientas de seguridad que se encuentren dise- ñadas para él. "Necesitamos pensar en seguridad de una forma nueva y diferente", comentó. Además, añadió: "las soluciones de seguridad se tie- nen que integrar con los procesos de Luis Ballesteros CISO de WiZink "No es suficiente con proteger las infraestructuras, también hay que responder para evitar ataques" Todos los asistentes coincidieron en la necesidad de dotar de una mayor visibilidad a la infraestructura tecnológica de las organizaciones para mejorar su protección. Patrocinado por: