MNEMO México

Édgar Chillón: "No hay seguridad infalible"

Edgar Chillón, director de Cyber Security Room de MNEMO México, ha concedido una entrevista al blog mexicano “Byte”. Una charla en la que ha hablado sobre el Cyber Security Room y el trabajo de MNEMO en México.

¿Cómo funciona su Cyber Security Room?
El Cyber Security Room es un área a la que también se le puede denominar “área de hacking ético”. Es un área que ofrece servicios para medir el estado de seguridad tanto de un dispositivo móvil como de una laptop del tipo que tienen principalmente las organizaciones y donde están nuestros datos. Buscamos vulnerabilidades o debilidades que pueden ser tomados o aprovechados en ventaja, y permitir acceso a información que tal vez es confidencial, y que no se debería estar observando, por su carácter privado.

En México ya se empieza a simular actores peligrosos como los crackers, aquellos que tienen esa habilidad, como los hackers, pero que hacen daño; los ciberdelincuentes, ciberactivistas, los hacktivistas, los que hacen amenazas persistentes y avanzadas, digamos, esas diferentes categorías de actores que pretenden hacer algún tipo de mal, sea por un interés personal o por ciertos grupos, son los que simulamos en las empresas, en los ambientes organizacionales, con el fin de detectar qué pasaría entonces si por ejemplo un grupo como Anonymous, tuviera acceso a tu información y le quisiera dar un mal uso con fines políticos.

¿Qué o quién los certifica a ustedes para hacer este trabajo?
Nuestro quehacer tiene al menos un marco conceptual ya establecido, metodológicamente hablando, bien diseñado, prescrito y bien aplicado. Nuestra institución a nivel global cuenta con certificaciones de carácter internacional al interior: de seguridad, de continuidad, de calidad en la entrega de servicios, y también su personal cuenta con diferentes certificaciones, dependiendo de las habilidades de cada uno. Esas acreditaciones son otorgadas por diferentes institutos, algunos a nivel nacional, otros de carácter internacional que también vigilan nuestra práctica, y a partir de esos certificados puedes tener certificaciones del modelo conceptual más el modelo del marco metodológico. 

¿Tienen ustedes alianzas con alguna empresa de ciberseguridad o lo trabajan de manera interna?
Tenemos múltiples alianzas, tanto de carácter nacional como internacional. Es muy difícil hacer seguridad solos: si hacemos la analogía con la Secretaría de Seguridad Ciudadana, eso es una colaboración que ellos hacen a nivel intra institucional, me refiero hacia adentro, e interinstitucional por todas las policías que puedan estar alrededor y no necesariamente incorporadas a la misma Secretaría. 

En el mundo de la ciberseguridad es muy similar. Nos apoyamos con diferentes colaboradores para potencializar tanto nuestros servicios como los de nuestros socios con el fin de abarcar y cubrir las necesidades de nuestros clientes. Hay proyectos para los que tenemos toda la capacidad por quiénes somos, por el número de personal que tenemos, las diferentes áreas que colaboramos entre nosotros para atender la mayoría de los proyectos, pero para otros necesitamos colaboración de diferentes fabricantes, de diferentes especialistas también en materia de seguridad para atender a ciertos rubros en lo particular.

Cuando una empresa está considerando contratar a una empresa de ciberseguridad, ¿por qué deberían ir con ustedes, cuáles son sus puntos fuertes para convencerles de ir con ustedes?
Estamos convencidos que una buena entrega de valor en términos de soluciones hace la diferencia. A nosotros nos gusta no sólo jugar bajo las necesidades que tiene el cliente, sino nos gusta aportar nuevas ideas, con tecnología state of the art, es decir, tecnología nueva que juega un rol muy importante en términos de ciberseguridad para poder ofrecer no sólo lo que ya está en el mercado sino una visión nueva y algo que también ofrezca a nuestros clientes un servicio de valor agregado no solo lo que el cliente está requisitando. 

¿Es necesario ser clientes previos, o formar parte de su infraestructura para que les otorguen estos servicios de ciberseguridad?

Todo aquel o aquella persona que tenga alguna necesidad de seguridad merece nuestra atención. Obviamente no es lo mismo atender a una persona física que quiere medir su dispositivo móvil porque siente que está siendo víctima de estafas o porque su celular ha sido hackeado, que a empresas del sector financiero con volúmenes de información mucho mayor y diferentes tipos de tecnologías y procesos, y que por lo mismo enfrentan diferentes tipos de incidentes y problemas en este ciberespacio, por ejemplo una institución financiera que sabemos que almacenan dinero y que simplemente por ese tipo de actividad ya hay muchos actores que quieren llegar a ese tipo de recurso.

¿Y sí atienden a personas, a particulares?
Sí, a personas. Al final del día el daño que puede ser provocado cuando alguien interviene tu dispositivo móvil termina siendo una afectación económica a un recurso moral, si yo caí en la trampa por no estar muy bien entrenado o no puse atención y di clic en algo que no debía ya sea en mi correo personal u organizacional el daño va a ser a mi cartera. Es importante brindar este servicio de defensa, de atención, de consultoría, incluso preventiva para que no vuelva a suceder desde una persona que pudo haber sido víctima de un pequeño fraude, hasta toda una organización en esta perspectiva que puede llevar incluso un proceso legal.

¿Cuál es el enlace más débil en una empresa y por dónde empieza comúnmente un ataque a una empresa, sigue siendo el elemento humano?
Sabiendo que el recurso humano es quien sigue gestionando la tecnología donde se alberga la información, la forma y los protocolos para poder transmitirla de manera segura, nos sigue preocupando cómo se está llevando a cabo, más si soy institución que tiene que rendir cuentas, por ejemplo, una empresa que cotiza en la Bolsa Mexicana de Valores. 

Observamos a las personas como el punto central que gestiona y que hace realidad el servicio de las empresas, por lo que es importante destacar que cuando hay cambios a nivel organizacional y cuando no han sido entrenadas correctamente, es probable que vayamos a ser víctimas de una u otra forma de diferentes tipos de fraudes. 

No hay seguridad infalible, no hay seguridad perfecta, es perfectible. Bajo ese paradigma, siempre tenemos que estar atentos en el proceso, estar atentos y vigilantes para resguardar la información.

En ese contexto, si tuvieras algún consejo para el director de TI, ¿Cuál sería el primer paso para asegurarnos que todo funcione correctamente en cuanto a la seguridad?
Cada vez que alguien quiere saber cómo mejorar lo primero es saber en qué momento del tiempo está. Tanto en materia defensiva, es decir, qué he invertido para que todos estos factores no me hagan daño, como en materia ofensiva, qué ejercicios de assessment y análisis de mi infraestructura o de mis procesos para saber “qué me duele”. Y en esa perspectiva, podemos entonces marcar esa ruta crítica, ese ABC que es muy claro en situaciones conocidas, como un incendio o un sismo.

Ese ABC inicia con un análisis, como cuando quieres mejorar tu salud y vas con el doctor, tal vez hasta te vas con diferentes doctores para obtener varias opiniones y entonces entras a diferentes tratamientos. En el mundo de la ciberseguridad es similar, necesitas hacerte estudios, tal vez no con un solo proveedor puedes jugar con múltiples para tener una diferentes vistas profesionales y a partir de tus necesidades y estrategias armar esa rutas críticas que permitan proteger. La seguridad habla de un estado de protección que garantice al menos la confidencialidad, la integridad y la disponibilidad de los datos, de manera activa.  

Estamos en una época en que la Transformación Digital es prácticamente obligada . ¿Cuál dirías tú que es la prioridad de la ciberseguridad en este contexto de digitalización acelerada?
Creo que debemos de observar la ciberseguridad como un concepto medular en el quehacer de esta actividad digital. Aquellos que quieran estar inmersos en este mundo y están fabricando las soluciones para entrar en este mundo ya deben de tener esa mindset, ese chip en la cabeza de seguridad en el diseño. Por ejemplo, el modelo de nube ya tiene ciertos elementos y es un ejemplo claro de que está construida también pensando en seguridad desde su diseño porque en la nube que tú te montas seguramente vas encontrar elementos de control de seguridad para prevenir que intrusos lo estén vigilando y que cuando la almacenes y si alguien llegase a obtener esa información que no sepa qué es y que no la pueda interpretar porque está cifrada.

Leer entrevista completa