Entrevista. “El que deja de enseñar, deja de aprender”

Escrito por  Jueves, 20 Junio 2013 17:34

Es una de las máximas que aplica Diego Andrés Zuluaga Urrea en su vida personal y laboral. Perfecta para el entrenamiento que debe proporcionar a todos los miembros de su organización, en la búsqueda de una cultura de seguridad de la información.

Consciente de los cambios y del nuevo entorno que vive el ser humano en este siglo XXI, Diego Andrés Zuluaga Urrea asume las mismas posturas en su trajinar laboral y familiar. Por esa razón, una de las máximas que rige su vida es “el que deja de enseñar, deja de aprender”.

Escrito por Sara Gallardo.

La pone en práctica en su casa, en Isagen S.A. -empresa en la que responde por la seguridad de la información- y, por supuesto, en la docencia. “Siempre estoy involucrado con la academia, buscando desarrollar nuevos talentos que fortalezcan la seguridad de la información de nuestro país. En ese rol continúo aprendiendo del tema con sus preguntas y aportes”, expresa sin titubeos.

 

A su gusto por las buenas películas de ciencia ficción, se suma una extensa hoja de vida, cargada de estudio y reconocimientos nacionales e internacionales y más de 15 años de experiencia.  El premio “Americas Information Security Leadership Awards, 2011” figura entre los galardones recibidos.

 

Los títulos que acompañan su ejercicio profesional nos motivaron a entrevistarlo y sustentan sus respuestas.

 

Revista Sistemas: De acuerdo con su experiencia ¿es necesario hacer la distinción entre seguridad de la información y seguridad informática?

Diego Andrés Zuluaga:Es fundamental realizar esta distinción, debido a que la seguridad informática sólo contempla la dimensión de la información electrónica y casi siempre vemos que está disponible en múltiples fuentes, como las impresas o incluso las que están sólo en la mente de algunas personas. En este sentido, limitar la seguridad a la informática es ignorar fuentes de información fundamentales que también se originan en el riesgo y  deben ser protegidas para evitar fugas y distorsiones, además de mantener la disponibilidad de la información.

 

 

RS: ¿Qué lugar ocupa la seguridad de la información en el marco actual de la sociedad y el ambiente de negocios?

DAZ: Hoy en día somos ciudadanos tanto del mundo real como del virtual, donde las barreras de espacio y tiempo cada vez son menores, permitiendo un gran avance en la sociedad moderna. 

 

La seguridad de la información está tomando más relevancia en el mundo y en nuestro entorno general. Un ambiente de negocios debe desarrollarse con la tranquilidad adecuada para que efectivamente se logren los objetivos del mismo. De igual manera, la sociedad debe desarrollar sus operaciones sin que agentes extraños a los servicios puedan generar disturbios que afecten la información y generen inconvenientes.


RS: ¿Qué cambios fundamentales se registran? ¿Qué los ha producido?

DAZ: Hemos visto un cambio de la inseguridad informática que ha evolucionado desde los años 90, cuando el tema era de unos atacantes que pretendían cambiar páginas web de instituciones, buscando únicamente ser reconocidos. Hacia la década del 2000 se consolidaron las bandas criminales que emplean las TIC como medio para obtener beneficios económicos, a través de robos o estafas. Y, en la presente década, se dan  las primeras ciberarmas concebidas para el espionaje y la ciberguerra, desarrolladas en algunos casos por Estados y ciberterroristas.  Ya no son solamente hechas por atacantes independientes o grupos criminales. Tal es el caso del virus  Stuxnet, el cual afectó el programa nuclear de Irán u otros más recientes como Duqu y Flame, además de los ataques registrados en sectores de infraestructura crítica,  especialmente recibidos por los Estados Unidos, provenientes presumiblemente del ejército chino.

 

RS: ¿Cuál es el papel que desempeña la tecnología en ese contexto?

DAZ: La tecnología en general es un aliado fundamental en el desarrollo de esquemas efectivos de protección, toda vez que permite establecer medidas de control y detección automáticas, las cuales pueden ser usadas en todo momento para prevenir, identificar, detener y actuar ante posibles incidentes de seguridad.

 

Para el entorno del hogar se pueden encontrar buenas herramientas tecnológicas  como un antimalware, que además contemplan un buen firewall y un sistema de detección de intrusiones.

 

Para el entorno empresarial una buena arquitectura tecnológica permite establecer esquemas de defensa en profundidad, a través de toda la red de la institución y segmentar el acceso a la información a los públicos de interés, disminuyendo los riesgos internos y externos.

 

RS: ¿Cómo es el entorno colombiano frente a los nuevos conceptos que rigen la seguridad de la información y las tecnologías emergentes en seguridad informática?

DAZ: Colombia es un país líder en la región en el desarrollo de ciberseguridad   desde junio de 2011, con la aprobación del documento Conpes 3701 “lineamientos de política para ciberseguridad y ciberdefensa”, en el cual se establecen mecanismos que proveen organización al país, mediante la creación del centro de respuesta a incidentes de seguridad cibernética de Colombia ColCERT; y, más adelante, con la creación del Comando Conjunto Cibernético, así como la integración del centro cibernético policial que existía desde hace muchos años desarrollando operaciones importantes para la seguridad de los ciudadanos en el ciberespacio. Además de las iniciativas del sector privado y organismos como el CNO (Consejo Nacional de Operación),  donde se están desarrollando las guías de ciberseguridad para proteger la infraestructura crítica del país.

 

RS: ¿Están preparadas las organizaciones colombianas para enfrentar el reto de una seguridad de la información, en ambientes abiertamente más agresivos y menos controlados?

DAZ: Algunas organizaciones del país están adecuadamente desarrolladas, pero todavía falta lograr que la mayoría se de cuenta de la importancia de estar preparados y no esperar a que los incidentes comiencen a ocurrir. Por lo tanto, es necesario que establezcan planes de acción adecuados para desarrollar oportunamente las capacidades en las personas, los procedimientos y las tecnologías necesarias para enfrentar el reto de la seguridad de la información.

 

Las capacidades deben contemplar desde el reconocimiento de la necesidad de una organización para la seguridad, del rol del CISO (chief information security officer) como fundamental en la empresa, quien debe trabajar en conjunto con el CIO (chief information officer) para facilitar el desarrollo de estrategias empresariales que brinden la información oportuna y veraz, para el negocio, salvaguardándolo de agentes que puedan afectarlo, hasta el desarrollo de capacidades internas de respuesta a incidentes, que limiten el daño de los mismos cuando lleguen a presentarse, pasando por los diferentes elementos de control considerados por normas como las ISO 27000.

 

Para lo anterior, es indispensable el desarrollo de una cultura empresarial en seguridad de la información, para generar conciencia en todos los niveles y producir tranquilidad en las operaciones de la organización.


RS: ¿Cómo lo hacen las grandes empresas?

DAZ: En general, las grandes empresas han logrado desarrollar capacidades de defensa en profundidad, donde la tecnología se combina con los procedimientos de operación y una conciencia de seguridad de la información en las personas, desarrollando  una arquitectura de múltiples niveles, que pasa por todas las capas de la tecnología y continúa con las personas, logrando controles redundantes que facilitan la protección.

 

RS: En la actualidad, ¿cómo asumen las pequeñas y medianas empresas colombianas la seguridad de la información?

DAZ: El panorama en las pequeñas y medianas empresas –pymes- es más complejo toda vez que, aunque hay un buen interés en proteger la información, la falta de recursos y conocimientos requeridos hace que no siempre sea posible, por lo que en ocasiones no enfrentan el problema más allá de unos controles básicos de protección, los cuales no son suficientes con el nivel de inseguridad actual, en el que las bandas criminales buscan usar los medios electrónicos para su beneficio.

 

Para las pymes existen también muy buenas guías a seguir como la NIST 7621,  que establece las 10 acciones mínimas y las 10 recomendadas para este segmento. Así mismo, algunos otros como COBIT quickstart, que establece los 59 controles básicos para la gestión de tecnologías informáticas.

 

Siempre se debe recordar que la seguridad de la información va más allá de la seguridad informática y que, a pesar de acogerse a estas guías, hay que desarrollar otras acciones.

 

RS:En la práctica, ¿qué papel desempeña hoy el recurso humano dentro de los procesos de seguridad de la información?

DAZ: En mi concepto, el recurso humano hoy en día es el principal factor de seguridad para la información. Toda estrategia en tal dirección debe contemplar el recurso humano como pilar fundamental, porque sin este esfuerzo,  las otras dimensiones son insuficientes; por más que se proteja la información, ésta sólo se vuelve conocimiento en las personas, quienes pueden tomar decisiones para asegurarla o ponerla en riesgo.

 

Por lo tanto, el recurso humano es el responsable de la protección de la información en nuestras organizaciones y debe ser un  actor indiscutible.

 

RS: Dicen los expertos que la seguridad contempla una nueva cultura, ¿cuál?, ¿en qué consiste? ¿Por dónde se debe empezar para generarla y llevarla a la práctica?

DAZ: Desde pequeños nos enseñan prácticas seguras en el mundo real que ya tenemos interiorizadas y podemos expresar naturalmente y sin resistencia, como mirar a los dos lados antes de cruzar una calle; nadie dejaría salir solo a su hijo,  si no considera que conoce y ejecuta adecuadamente esta práctica.

 

Al tener ahora una vida y una responsabilidad en el mundo virtual, debemos integrar comportamientos seguros a ese ambiente, entender los riesgos a los que nos enfrentamos, compartirlos y prepararnos para los momentos donde debamos ejecutarlos.

 

Me atrevería a decir entonces que la cultura de seguridad de la información debe comenzar en casa, con nuestros hijos a quienes debemos hacer conscientes de los riesgos del ciberespacio, para prevenirlos sobre el  ciberbulling, el robo electrónico, el fraude por internet y los delincuentes que usan la red como medio. Acciones que deben ser consolidadas en los entornos educativos y empresariales, para fomentar hábitos reales integrados a la vida, que nos permitan desempeñarnos sabiendo el valor de la tecnología, pero conociendo y administrando los riesgos que conlleva.


RS: ¿Cómo se consolida una cultura de seguridad de la información sostenible?

DAZ: Se debe buscar el desarrollo de hábitos de seguridad de la información, con el propósito de integrarlos a la vida que llevamos en el mundo físico, de la misma manera como miramos a ambos lados de la calle antes de cruzar o no recibimos comida de manos desconocidas.

 

Los hábitos de seguridad se logran al desarrollar en las personas la conjunción entre el conocimiento (qué debo saber), la habilidad (cómo lo hago) y el deseo (que me nazca), lo que requiere un enfoque no basado en la norma de seguridad como el principio, sino como la consecuencia de la cultura;  basándose más en el trabajo con los formadores de cultura, en torno  principalmente a prácticas de los líderes, a las medidas de desempeño y las prácticas de las demás personas de la organización. Así mismo, a través del manejo de la curva emocional del ser humano y un trabajo comunicacional diferente, basado en técnicas entretenidas de recordación y generación de cultura. Luego, pasar por el  acompañamiento y dejar para el final y sólo como último recurso el control coercitivo.

 

Esto requiere un trabajo continuo, sabiendo que su consolidación puede tomar años y requiere mantenimiento constante como trabajo de todos los días, organizado por cada tipo de público con necesidades e intereses particulares en la compañía.

 

RS: En su opinión ¿cuáles son los pilares en que se sustenta la seguridad de la información en el mercado actual?

DAZ: Los pilares de la seguridad siguen siendo los mismos: la confidencialidad integridad y disponibilidad de la información y se desarrollan a través del trabajo con  las personas, los procedimientos y la tecnología. Pero, el pilar fundamental para la construcción de la seguridad en el mercado actual son las personas; de nada sirve una estrategia tecnológica completa y unos procedimientos documentados, si no son seguidos o si las personas caen en técnicas de engaño, como la ingeniería social o los ataques que inducen a seguir vínculos y entregar información importante a terceros; además de los virus que facilitan al atacante tomar el control de la máquina y hasta realizar espionaje del entorno, a través de la cámara o el micrófono de una estación de trabajo.

 

RS: Teniendo en cuenta los desarrollos de la tecnología informática y de las comunicaciones, aspectos que han eliminado las fronteras, ¿existe una mancomunada legislación entre los países, orientada a la seguridad de la información? o ¿cada uno aplica la propia? ¿Existen carencias en tal sentido? ¿Cuáles?

DAZ: El tema de la regulación internacional en la materia apenas comienza a consolidarse en la región. Por ahora vemos legislaciones independientes en cada país, algunas más desarrolladas que otras. A futuro, la  idea es que se produzca la adhesión de los diferentes países a convenios como el de Budapest, que ha logrado establecer un marco común de regulación dentro de un conjunto base de normas en contra de los delitos Informáticos, los cuales por su naturaleza son transnacionales. Eso dependerá de poder contar con normas similares tipificadas en los diferentes países, que permitan llevar a cabo el proceso de judicialización de los agresores.

 

RS: ¿Cómo trabajan de la mano seguridad de la información y las leyes?

DAZ: Es fundamental entender que, a pesar de las campañas preventivas, de  la cultura de la seguridad, así como de los esfuerzos técnicos y procedimentales tan importantes para la protección, los incidentes ocurrirán tal como suceden en el mundo físico. Hay delincuentes y ciberdelincuentes, terrorismo y ciberterrorismo.

 

En tal sentido, es necesario que el hacking ilegal y otras formas de delito informático sean regulados, para que los más débiles sean protegidos en forma adecuada por el Estado, en el momento en que sus derechos o su información sean vulnerados.

 

Por lo tanto, las leyes deben ser el recurso para la seguridad de la información,  diseñadas para judicializar a las personas que atentan contra la sociedad.

 

RS: ¿Cómo se encuentra Colombia en términos de esa legislación? ¿Existe un marco lo suficientemente fuerte para afrontar los riesgos?

DAZ: En Colombia se cuenta con la ley 1273 de delitos informáticos vigente desde 2009, cuyo principal logro tipifica como bien jurídico tutelable la información y establece un conjunto de delitos que van desde el acceso abusivo a un sistema informático, hasta  la violación de datos personales o la suplantación de sitios web, elevando así a la categoría de delito que puede dar penas superiores a los 36 meses de prisión, lo que antes se castigaba únicamente con multas.

 

De todas maneras se encuentran algunos delitos que aún no se han contemplado y se requiere homologar la normatividad con el Convenio de Budapest, para contar con herramientas jurídicas eficaces internacionalmente.

 

RS: En la actualidad, los expertos en seguridad de la información se refieren a compartir y proteger. ¿Qué opina al respecto?

DAZ: Es cierto que en el escenario actual nos vemos enfrentados a una realidad empresarial que exige soluciones de cara a las necesidades de información del personal, en cualquier lugar, en cualquier momento y desde cualquier dispositivo, incluyendo los de su propiedad. Así mismo, frente a una tendencia regida por un mundo interconectado, en el que la vida y el trabajo se desarrollan en el lugar más conveniente para el individuo. Bajo esa premisa, debemos establecer estrategias que permitan el trabajo colaborativo con grandes volúmenes de información, movilidad y seguridad.

 

Es necesario asumir el reto de pasar de grandes mecanismos de protección en las fronteras de las redes, a establecer mecanismos de protección sobre la información misma y los dispositivos finales, así como políticas de uso y protección que faciliten el trabajo.

 

En síntesis, las estrategias de seguridad de la información deben seguir siendo proactivas, pero deberán dar los suficientes grados de libertad para que los negocios se desarrollen en el nuevo entorno, así como la suficiente certeza de que un incidente se podrá identificar para actuar oportunamente.

 

Sara Gallardo M.Periodista comunicadora, universidad Jorge Tadeo Lozano. Ha sido directora de las revistas “Uno y Cero”, “Gestión Gerencial” y “Acuc Noticias”. Editora de Aló Computadores del diario El Tiempo. Redactora en las revistas Cambio 16, Cambio y Clase Empresarial. Ha sido corresponsal de la revista Infochannel de México y de los diarios “La Prensa” de Panamá y “La Prensa Gráfica” de El Salvador. Autora del libro “Lo que cuesta el abuso del poder”. Investigadora en publicaciones culturales. Gerente de Comunicaciones y Servicio al Comensal en Andrés Carne de Res, empresa de 1800 empleados; corresponsal de la revista IN de Lanchile. Es editora de esta publicación.

Califique este elemento
(4 votes)
Leido 19420 veces Modificado por ultima vez Lunes, 24 Junio 2013 14:31

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información