 Outsourcing
de Seguridad, una realidad en el Perú
“
La reciente aprobación de la norma ISO 177799, dictada por
la presidencia del Consejo de Ministros, ubica al Perú en
uno de los primeros países de la Latinoamérica en promover
el uso de la seguridad informática en las empresas”,
refiere Alberto Guerrero, director general de Etek Internacional,
quien junto al presidente ejecutivo de la integradora peruana J Evans
y Asociados, Johnny Evans del Campo, acaban de firmar una importante
alianza estratégica para asesorar a las empresas en la implementación
de tecnologías de seguridad para redes.
Johnny. ¿En qué consiste
la alianza entre J Evans y ETEK?
En nuestro país se está adquiriendo conciencia de lo
importante que es mantener la seguridad de la información.
Así como sabemos que es primordial proteger la seguridad física,
también se está volviendo un tema de interés
la protección de la información de las organizaciones,
así como de sus clientes, proveedores, procesos, prácticas
de negocios y listas de precios.
Frente a esta realidad, la empresa inició la búsqueda
de un socio de negocios que no sólo ofreciera la consultoría
de la información y la consultoría para implantar prácticas
en la gestión de la seguridad, sino que además brinde
el servicio de tercerización para manejar la seguridad., ¿El
concepto de outsourcing en seguridad es nuevo en el mercado?
Es un concepto nuevo, pero sin embargo yo creo que hay una demanda
creciente por este servicio. ETEK, por ejemplo, que también
está involucrada en la seguridad vio la importancia y necesidad
de poder ofrecer la consultoría en seguridad al mercado
para poder ayudar a las organizaciones a proteger y salvaguardar
sus activos. Este es el motivo principal por el que nos contactamos
con ellos.
ETEK es una corporación multinacional, líder en soluciones
integrales de seguridad en informática, que ofrece una completa
gama de servicios y soluciones que permiten resolver las necesidades
de consultoría, administración de seguridad, tecnologías,
instalación, mantenimiento y capacitación. Ha
sido importante entonces haber definido los parámetros
para ofrecer este tipo de soluciones. ¿Qué empresas
han detectado este problema como el robo de información?
Principalmente hay una necesidad en el sector financiero de implementar
el servicio, debido a una regulación de la Superintendencia
de Banca y Seguros. Otro nicho es el sector Gobierno, quien también
tiene una norma que a pesar de no obligarlos, sugiere se implementen
productos de seguridad en el lapso de dieciocho meses. Después,
se encuentra el grupo empresarial peruano y fabricantes nacionales
que sienten la necesidad de tener a buen recaudo su información.
Se podría afirmar que a raíz de la publicación
de las normas mencionadas es que ustedes toman la decisión
de ofrecer la solución de seguridad.
Así es.
¿Fue muy difícil discernir entre las empresas que
podían ofrecer este tipo de solución al mercado peruano?
No. Yo ya conocía el trabajo de Etek hace unos años
atrás cuando tuve la experiencia de laborar junto a una
empresa Argentina en dicho país. Personalmente me llamó mucho
la atención el lenguaje que utilizaban los consultores y
de que existieran empresas privadas dedicadas a dar estos servicios.
Alberto, ¿Cuál es la diferencia entre dar una solución
de software de seguridad y una solución que se va a implementar
en una empresa para la seguridad de la información?
El hardware y el software son una parte de todo el proceso. La
seguridad no es un producto. Desafortunadamente la primera aproximación
que tienes es tratar de tener algo como tangible y decir yo voy
a tomar y a poner un producto y, por eso me siento más tranquilo.
Las estadísticas muestran que por lo menos el año
pasado en Estados Unidos, el 70% de los firewall instalados no
eran actualizados ni estaban parchados. Eso es gravísimo
porque las compañías invierten fuertes sumas de dinero
colocando software y hardware para tener la seguridad, pero luego
no tienen tiempo ni los mecanismos para poder actualizarlos y crecer
al mismo ritmo que crece la demanda de su seguridad.
¿Qué hacer
frente a este panorama?
Para no dilapidar el dinero, las empresas deben contar con un plan,
que les permita decidir qué es lo que necesitan para protegerse,
cuáles son sus activos más importantes, así como
otros que producen. Después de eso, se tendría
que hacer una matriz de riesgo donde se indique que es lo más
importante para la empresa, a fin de salvaguardarla. Una vez
realizado estos pasos, se debe proceder a realizar políticas
de seguridad.
Cada usuario es una realidad diferente. Ahí radica la belleza
de esta industria. Incluso para un mismo sector, los problemas
que tiene una entidad no son exactamente iguales a las del otro.
La diferencia está en cómo yo cuido mis activos informáticos.
ETEK
es una empresa que ya tiene 30 años en el mercado. ¿Siempre
se dedicó a dar soluciones de seguridad o tiene otros productos?
Nosotros inicialmente abarcamos las partes de componentes y maquinaria
para hacer equipos de electrónica en la región. Después
nos abocamos al área de Networking. Ahora estamos involucrados
en el campo de la seguridad.
¿Qué los impulsó a
hacer estas soluciones de seguridad?.jpg)
Corresponde a la visión que tiene la compañía
de estar siempre a la vanguardia de las cosas que puedan ser útiles
para la región. Siempre nos hemos movido dentro del área
de tecnología y hace unos siete años tener un antivirus
era una cosa completamente inusual y hablar de detectores de intrusos
y criptografía era develar misterios cibernéticos.
Ahora nosotros empezamos a formar nuestros profesionales y a desarrollar
buenas prácticas, así como una metodología
para poder implantar estas herramientas basadas en estándares
internacionales.
¿Cuál es el nombre que recibe la solución
que están ofreciendo ahora en el mercado peruano?
Tenemos varias iniciativas. Una es el Secure Training Program,
que tiene como objetivo entrenar a personas de diferentes disciplinas
en seguridad informática. Abarca temas básicos o
especializados que permitan a las corporaciones desde sensibilizar
a toda la organización hasta formar sus oficiales de seguridad.
Otro servicio que ofrecemos es el Outsoursing en seguridad. Este
va desde la política hasta el monitoreo, incluyendo los
productos de hardware y software que se necesitarán para
solucionar los problemas de seguridad. También puede ser
solamente el servicio de monitoreo para lo que ya tenga la compañía,
o simplemente ponerle el personal especializado dentro de las instalaciones
de la empresa.
Hay
una absolución de tercerización de que Uds.
podrían poner a una persona las 24 horas a disposición
de la empresa para crear un tipo de plan de contingencia si es
que ocurre un accidente. ¿Es esto cierto?
El plan de contingencia se hace desde la etapa de planeación.
Este servicio que se ofrece para poner personal en el sitio, es
para la operación del sitio de esas herramientas y la ejecución
de las políticas que se hayan dado. Normalmente, las compañías
y las experiencias que tenemos van por regiones y por tipo de empresa.
Donde más ha tenido aceptación esta idea es en Brasil,
pero en otros países, se tiene un consultor por demanda,
que son personas que asisten al comité de seguridad por
el lapso de unas 48 horas al mes y realizan actualizaciones. Entonces,
las empresas se benefician de tener una persona que normalmente
es muy costosa y hay que actualizarla constantemente. Realmente
es una buena mezcla que se puede obtener para la gestión
de las soluciones de la información.
¿Cómo
analizan el nivel de seguridad de una empresa?
En realidad se hace un análisis preliminar de lo que está pasando.
Seguido se identifica cuál es el problema, su límite
y donde está. Información que nos permitirá trazar
objetivos a donde uno quiere llegar a partir del estado actual.
Finalmente, la inversión y los recursos humanos nos permitirán
trazar un plazo más o menos accesible.
Coméntanos un caso de éxito
que han tenido durante esta experiencia.
Tenemos muchos casos de éxito, pero como trabajamos en el
tema de seguridad tenemos cláusulas de no poder revelar
sin autorización escrita de nuestros clientes, los nombre
de ellos.
Hemos tenido un gran éxito en el sector financiero, minero,
telecomunicaciones y sector público. Si uno mira la base
de clientes que tenemos, prácticamente el 65% del sector
financiero es usuario de nuestra tecnología. Los grandes
bancos no toman riesgos de irse con una compañía
que no les pueda garantizar un proceso idóneo. Ahora es
un peligro darle a cualquier compañía los secretos
de seguridad de una organización, por lo que esto hace que
la seguridad sea sinónimo de confianza, respeto y protección.
Finalmente, para concluir la entrevista quiero expresar la
satisfacción
de la empresa por la firma de la alianza. Estamos listos para brindarle
al mercado peruano los servicios y soluciones expuestas y, para
ayudarlos con el cumplimiento de las recientes normas de la seguridad
informática, que son obligatorias y que ponen al Perú en
avanzada con respecto a todo el concepto de Latinoamérica.
|
