CISObeat Magazine Nro. 12 - Feliz Bicentenario Perú by CISObeat

página

04 página

La decepción de Colonial Pipeline, y por qué simular Ransomware

página

Protección de datos personales y acceso a la información.

página

La importancia de la ciberseguridad en las infraestructuras.

N°11 - JULIO 2021

Liderando la CIBERSEGURIDAD en medio de una crisis mediática: Entrevista a Jason lee, CISO de ZOOM

Feliz

BICENTENARIO del Perú

página

03 EDITORIAL página

04 página

08 página

Liderando la CIBERSEGURIDAD en medio de una crisis mediática: Entrevista a Jason lee, CISO de ZOOM El efecto perverso de la desinformación. La decepción de Colonial Pipeline, y por qué simular Ransomware

página

¿Volver a la oﬁcina?

página

Protección de datos personales y acceso a la información. Pilar: Sistema de información para la Gestión del CIBERRIESGO La importancia de la ciberseguridad en las infraestructuras.

página

EDITORIAL Alfredo Alva Lizárraga

Head of Cyber Security en Niubiz | Vicepresidente Cloud Security Alliance Chapter Perú, CCSK, LA27001, ISO 31000, ISO 27032, LPDP, LCSPC

Los cambios estructurales de una organización enden a replantear siempre, nuevos rumbos y metas. En el caso de un país, estos son aún mucho mas complejos. Estos traen consigo retos, y uno de ellos es la seguridad ya que una de las principales necesidades que tenemos los seres humanos es ella por lo que desde que nacemos necesitamos “seguridad” en los dis ntos aspectos de nuestra vida, y ello es algo que siempre nos acompaña y forma parte de nuestra naturaleza. Los primeros embozos de la seguridad informá ca vino con la tecnología de la información, hace más de 40 años, y que buscaba proteger los sistemas tecnológicos que u lizamos. Hace unos 15 años, este concepto se fue transformando en la seguridad de la información con el obje vo de proteger la información que se encuentra almacenada en los sistemas tecnológicos que u lizamos. Y más recientemente, comenzamos a hablar de ciberseguridad, ya que actualmente el obje vo se extendió no solo a proteger nuestra información, sino también a proteger la infraestructura tecnológica que la soporta y nos hace funcionar como sociedad.

apoyar en velar porque esto no suceda. Compar r información que sea relevante es necesaria para poder lograr un frente más sólido, y que pueda proteger a los que menos lo en enden. Desde Cisobeat y especialmente los que par cipamos para que esta revisar sea una realidad, queremos hacer extensivo nuestras disculpas por el atraso de este número, el incremento de las responsabilidades de nuestras funciones debido a la coyuntura que vive el país no hizo posible tener todo a empo, pero estamos de vuelta y por eso los invitamos a leer este nuevo número y compar r con nosotros el conocimiento.

Es por eso por lo que estar actualizados en los técnicos y en conocimiento estratégico es indispensable para poder lograr esas metas que necesitamos cumplir, por lo que tratamos de abarcar en estas publicaciones, varios horizontes, que se basan en la inves gación, el equilibrio, la respuesta y el conocimiento. Es importante, entender, que debemos ser precavidos con nuestra información, en estas épocas, sobre todo, ya que, con nuevas realidades, aparecerán nuevos elementos que quieran generar inestabilidad en nuestra sociedad, y bajo el rol que tengamos, debemos

Es una publicación de CISObeat, organización que integra a más de mil profesionales de la seguridad de la información, de los sectores público y privado.

VISÍTANOS

Director: Ernesto Landa Romero. Diseño gráﬁco: Marco Antonio Zeballos. Coordinadores: Alfredo Alva, Rafael Bocanegra, Gianncarlo Gómez, Heber Maza. Colaboradores: Shirley Villacorta, Elaine Ford, Juan Dávila, Nicanor Sachahuamán.

pg.04 - JULIO 2021

Liderando la CIBERSEGURIDAD en medio de una crisis mediática: Entrevista a Jason lee, CISO de ZOOM. Ernesto Landa

Fundador de CISObeat

oom es quizá la plataforma de video conferencia más u lizada a nivel mundial. A par r de la tercera semana de febrero de 2020 las acciones de la compañía se dispararon posi vamente gracias a la enorme

demanda sin precedente que se generó a raíz del conﬁnamiento obligatorio decretado en varios países alrededor del mundo para evitar la propagación del COVID-19.

Recuperación del valor de las acciones de Zoom gracias a las medidas de ciberseguridad tomadas. Fuente: Yahoo Finance.

pg.05 - JULIO 2021 Sin embargo, semanas después, exactamente el 23 de marzo 2020 sus acciones se desplomaron debido a fallas de seguridad en la plataforma que expusieron información personal de sus clientes y atentaron contra la integridad y pudor de sus usuarios: por ejemplo, salieron a la luz diversos fallos y vulnerabilidades que permi eron que personas no autorizadas ingresaran a reuniones virtuales privadas fomentando miedo y mostrando, en algunos casos, contenido para adultos en clases virtuales escolares. Debido a la gran can dad de casos reportados en diversas agencias de seguridad en todo el mundo, varios países prohibieron el uso de Zoom.

Eric Yuan, CEO de Zoom En medio de esta crisis Zoom inicia un plan de acción de 90 días para corregir los fallos de privacidad y seguridad. Uno de los puntos más importantes del plan fue incorporar un director de seguridad de la información (CISO) experimentado que vele por la seguridad y privacidad de la plataforma, teniendo en cuenta que los casos reportados por los usuarios tenían un fuerte impacto mediá co que atentó contra el pres gio de la compañía ocasionando una fuerte represión en las ventas de las suscripciones. En junio de 2020, en las úl mas semanas del plan de acción, Jason Lee se unió a Zoom para conver rse en el CISO de la compañía. Previamente Lee había sido vicepresidente sénior de operaciones de seguridad en Salesforce y antes, fue director principal de ingeniería de seguridad en Microso .

A con nuación, compar mos una entrevista que Lee concedió al portal de no cias CSO que evoca a la reﬂexión: No esperemos a que nuestra empresa o emprendimiento sufra una crisis como la de Zoom para sustentar un proyecto de inversión en ciberseguridad. ¿Puede darnos un poco de información sobre la situación en Zoom hasta el momento en que llegó? Lee: En diciembre de 2019, Zoom tenía alrededor de 10 millones de par cipantes en reuniones diarias, pero en abril / mayo, creció a alrededor de 300 millones. En los primeros meses de 2020, el equipo estuvo trabajando las vein cuatro horas del día tratando de acostumbrarse al volumen y a los nuevos y diferentes pos de usuarios. No puedo imaginar que haya demasiadas empresas que hayan experimentado un crecimiento tan increíble con tanta rapidez. Como empresa grande y de alto perﬁl, nuestros clientes nos some eron a un gran escru nio. Me gusta llamarlos "ejercicios de pentest gratuitos", porque nuestros clientes estaban haciendo fuertes revisiones de seguridad en nuestro producto. Siempre le di la bienvenida a eso, y realmente se estaban esforzando para analizar cosas como el enrutamiento de datos y el cifrado. [El Gerente General Eric Yuan] tomó esos resultados y elaboró el plan [de 90 días] que básicamente implicaba hacer pivotar al equipo de ingeniería de Zoom para que realmente se centrara únicamente en la seguridad y la privacidad.

Jason Lee CISO Zoom

pg.06 - JULIO 2021 ¿Cuál fue su enfoque del problema en sus primeros días de trabajo? Lee: [Tiene] mucho que ver con la seguridad y la privacidad por diseño, no solo en nuestro producto, sino en todos los aspectos, desde nuestro sistema de ingeniería hasta nuestros entornos de TI. Esto también afecta a los controles de seguridad comunes. Muchas empresas enen múl ples sistemas de iden dad; Soy faná co de un sistema de iden dad, que es más fácil de administrar y ofrece una experiencia consistente. Cuando se crea un equipo de seguridad tan rápido como el mío, es muy fácil aplicar controles y ralen zar los procesos comerciales. Una forma en la que abordamos esto fue creando módulos reusables que tengan incorporados elementos de seguridad básicos ya construidos de tal forma que los ingenieros puedan enfocarse en innovar funciones nuevas y geniales. Debe haber un marco de cumplimiento común, un framework que pueda superponerse con todas las cer ficaciones dentro de ese marco. Eso significa que no se ene que hacer una nueva auditoría para cada cer ficación, lo cual es fundamental para una empresa de so ware como servicio. La úl ma pieza del rompecabezas de la agilidad empresarial es la excelencia opera va; por ejemplo, la rapidez con la que podemos responder a un incidente, o si la ingeniería necesita que revisemos algo, ¿cuáles son nuestros acuerdos de nivel de servicio? ¿Cómo operacionalizó la estrategia? Lee: Se trata de asegurarnos de contratar a los mejores talentos y de proporcionar funciones de seguridad innovadoras en nuestros productos. Cuatro miembros de mi equipo de seguridad hicieron presentaciones en RSA este año. Me encanta que ahora podamos hablar sobre seguridad en algunas de las conferencias más importantes, y es un símbolo de cuánto nos hemos centrado en elevar el nivel del equipo de seguridad y la seguridad en Zoom. Soy un gran faná co de la gamificación cuando se trata de entrenar. Me encanta cuando puedo

hacer que los equipos compitan entre sí. Un gran ejemplo es nuestro equipo de desarrollo. Tenemos competencias entre equipos sobre quién puede encontrar la mayor can dad de vulnerabilidades en una aplicación falsa que hemos creado. Tenemos premios, así que es el enfoque diver do y es mulante de la capacitación, y al equipo de ingeniería le encanta ". ¿Cuáles son algunos de los cambios que realizó para abordar las necesidades de seguridad y privacidad de Zoom? Lee: Un par de cosas importantes que hicimos primero fue asegurarnos de tener encriptación AES-GCM de 256 bits de forma predeterminada, y adquirimos una empresa llamada Keybase con el CEO Max Krohn que pasó a construir encriptación de extremo a extremo como caracterís ca opcional, lanzado en octubre del año pasado. A medida que el perﬁl de Zoom crecía, muchos más inves gadores intentaban interactuar con nosotros y, honestamente, fue abrumador en ese momento. Así que ese fue el precipicio para construir un programa de recompensas por errores. Inver mos en eso, y contraté a Adam Ruddermann de NCC Group, quien había estado liderando la consultoría para ayudar a las empresas a desarrollar prác cas de recompensas por errores. Ha subcontratado su programa de recompensas por errores. ¿Cómo está funcionando eso? Lee: La belleza de asociarse con estos terceros es que son especialistas en la clasiﬁcación de alertas, se ocupan de un gran volumen y pueden escalar rápidamente. Si está pensando en iniciar un programa de recompensas por errores desde cero, creo que tardaría mucho más en despegar. Zoom agregó caracterís cas de seguridad por defecto. ¿Cuáles fueron sus prioridades al desarrollarlos e implementarlos? Lee: Teníamos tantos usuarios nuevos que no sabían cómo usar estas funciones, y era muy importante para nosotros hacer las cosas más

pg.07 - JULIO 2021 fáciles para todos. Cuando piensa en las caracterís cas de seguridad, lo más importante a considerar es cómo hacer que la seguridad sea súper simple desde la perspec va del usuario. También incluimos una función de "suspender las ac vidades de los par cipantes", que es donde alguien puede congelar una reunión y eliminar a alguien que había accedido al enlace de la reunión, pero no debía estar allí, reanudar la reunión y luego denunciar a la persona. Agregamos una función para permi r que los usuarios seleccionen por cuál de nuestras 21 ubicaciones de centros de datos ubicados en el mismo lugar quieren que pasen sus datos y cuáles no quieren usar. Una de las cosas que creamos fue un Consejo de CISO, con un montón de CISO de clientes en varios espacios. Cuando comenzamos, estaba realmente enfocado en la estrategia de producto, que es algo para lo que muchas empresas usan un consejo de CISO. Sin embargo, terminamos girando un poco, porque descubrimos que los CISO estaban más interesados en aprender lo que estaba construyendo dentro del programa de seguridad, y no solo sobre el producto. Les presentaba parte del contenido de mi tablero, por ejemplo, y ellos podían arrojarle 'tomates', proporcionándome comentarios que han sido muy ú les. Me encantó tener ese grupo de mentores y asesores, y descubrimos que el consejo de CISO era una oportunidad sin aprovechar no solo para obtener comentarios sobre el producto, sino también comentarios más amplios sobre el programa de seguridad.

FUENTE

¿Cuáles son los desa os y oportunidades clave restantes para con nuar evolucionando la posición de seguridad de la organización? Lee: Ahora se trata de impulsar la madurez y la innovación y seguir adelante con todos los programas de seguridad que tenemos implementados. El programa de recompensas por errores es un gran ejemplo. Ahora que ene un año, nuestro enfoque está cambiando a cómo podemos hacerlo más avanzado y hacer cosas más avanzadas con él. Por ejemplo, estamos buscando oportunidades para hacer piratería en vivo donde podamos traer a los inves gadores de seguridad y casi tener un evento po hackathon. Todavía estamos construyendo a escala como locos y, por lo tanto, madurar nuestros procesos es realmente lo más importante. Realmente estamos tratando de automa zar tanto como sea posible, por lo que hay obstáculos que superar para cambiar de procesos manuales a procesos más automa zados. Somos una empresa que prioriza los videos y estamos trabajando con toneladas de organizaciones que todavía están tratando de averiguar cómo pueden operar mejor en un modelo híbrido, con trabajadores regularmente tanto dentro como fuera de la oﬁcina. ¿Cómo interactúa eso con los que están en casa? Eso es algo que estamos buscando abordar con nuevas funciones que me entusiasman mucho. ¤

pg.08 - JULIO 2021

El efecto perverso de la desinformación en elecciones¹ Elaine Ford

Directora fundadora de D&D Internacional Democracia Digital. Presidente de Internet Society Perú (2016-2021) y autora del libro: “El reto de la democracia digital. Hacia una ciudadanía interconectada” (2019).

lo largo de estos meses de con enda electoral, desde Democracia Digital hemos dado especial énfasis al tema de la desinformación. Sin embargo, hemos visto en estas úl mas semanas, vísperas al 6 de junio, fecha en que se realizará nuestra segunda vuelta electoral, que la desinformación está más agresiva que nunca. Y es que hay que entender que ésta no viene sola. Viene en “combo o en pack”, como yo le llamo. ¿Y qué signiﬁca esto? Signiﬁca que usualmente la vemos acompañada de no cias falsas o fake news , de maquinarias de trolls , de bots automa zados, cuentas falsas, uso de hashtags, que comparten , retuitean y viralizan el ¹ Extractos de la Conferencia dictada en Foro Internacional “La desinformación online y su impacto en la democracia”, el 28 de mayo de 2021.

contenido con una gran ferocidad y un amplio alcance. Vemos videos alterados, fotos trucadas, imágenes retocadas , memes , audios que distorsionan la realidad y también vienen con un fuerte componente de odio y agresividad. Pero lo lamentable de todo esto es su efecto perverso, porque logran todo lo siguiente: Traicionan a la verdad. Desinforman a la población. Manipulan al individuo. Agreden y descalifican al adversario polí co. Incitan al odio con mensajes y discursos hos les, difamatorios y discriminatorios. Ÿ Deslegi man a las autoridades. Ÿ Se cues onan a las ins tuciones. Ÿ Se genera desconfianza, porque finalmente Ÿ Ÿ Ÿ Ÿ Ÿ

pg.09 - JULIO 2021 Ÿ Ÿ Ÿ Ÿ Ÿ Ÿ

no se sabe a quién creer. Se agudiza la incer dumbre, el miedo y la angus a. Se busca invalidar el proceso, como podría suceder después del 6 de junio. Se hiperpolariza a la población. No se alcanzan acuerdos, diálogos ni consensos. Se incita a la violencia, al caos y a la sublevación de ciertos grupos radicales.

Miren ustedes todas estas consecuencias. Todo ello es tremendamente preocupante y perturbador, porque afecta la esencia de la convivencia ciudadana e impacta severamente en nuestra democracia. Nuestra débil democracia que cada día se resquebraja un poco más. Lo que sucede es que, en el ámbito polí co, esa lucha de poder en contextos electorales se convierte en un campo de batalla donde de pronto todo es permi do. No hay autorregulación por ningún lado. Y eso es algo que lo hemos visto también en dis ntas la tudes a nivel global y en nuestra región la noamericana. El punto acá es la necesidad de que sea el polí co, la persona capaz de autorregular su retórica, su contenido o mensaje para evitar justamente la desinformación. Pero también para evitar caer en otras acciones que se cues onan como lo es la censura de la información o el generar advertencias sobre los contenidos. Prác cas que hemos visto en el úl mo empo en elecciones, y que han sido una respuesta por parte de las principales redes sociales (o las corporaciones de tecnología), para evitar la proliferación de información falsa y, consecuentemente, eludir todo el efecto perverso que ya hemos señalado. Entonces, recae en el polí co, en el líder y, por supuesto, en su par do la responsabilidad de

conducir a sus seguidores, par darios y atraer a nuevos votantes con la verdad. Generando un clima de confianza propicio para sanar fisuras producto de la desinformación y el desgastante proceso electoral donde lo que no es verdad, muchas veces es inventado o creado para desvirtuar la realidad. Otros aspectos a tener en cuenta en este clima de desinformación y, que lo estamos viviendo día a día a través de las redes sociales, es lo concerniente a la construcción de filtros burbujas o también la tendencia a la tribalización. Es decir, finalmente uno interactúa, lee, comparte y retuitea entre aquellos que piensan igual o similar. No hay opción para una opinión dis nta, menos si lo es disrup va u opositora. Entonces lo que vemos no es solo polarización, sino una sociedad digital muy fragmentada, entre esos núcleos que enen afinidad en sus intereses polí cos o sociales, cuyos contenidos muchas veces son con una fuerte carga valora va. Si eres “neutro” o

pg.10 - JULIO 2021 “ bio” en tus posiciones, en tus mensajes o posts, es muy probable que estos no sean muy exitosos y el alcance sea mínimo. Esto va de la mano con otro aspecto que es propio de estos empos digitales, donde el ciudadano se ve empoderado. Si bien desde Democracia Digital nosotros aplaudimos esa capacidad que nos ofrecen las nuevas tecnologías para que el individuo se exprese, se maniﬁeste, cree contenido y lo comparta. Lo que estamos viendo es un excesivo narcisismo de parte de aquellos nuevos inﬂuencers polí cos, tuiteros, que hacen un uso constante de las redes sociales. Con esto, hay el riesgo pues, en caer en ese sen miento de creer que su verdad es absoluta, ya que tampoco abren espacio al diálogo y a la interacción. Por el contrario, se percibe una ac tud intolerante. Es decir, “en la medida que más personas me dan like, se supone que tengo la razón. Estoy en lo correcto”. En otras palabras “más likes validan mi posición”. Eso es lo que enden a creer y, personalmente, considero que es un error. Considero que es simplemente su punto de vista, su opinión.

Porque recuerden que justamente eso es lo que nos ofrece Internet y las plataformas digitales, la posibilidad de que todas las opiniones pesen por igual. Esa horizontalidad y simetría que es una caracterís ca propia de la e-par cipación o la par cipación en línea. Frente a estos niveles de desinfodemia que estamos viviendo en este proceso electoral han habido muchos esfuerzos desde dis ntos frentes. No es fácil comba r la desinformación y tampoco no hay una sola fórmula o receta. Tampoco se logrará en el corto plazo. Esta desinfodemia es una piedra en el zapato en esta era digital. Que muchos abusan de ella, para usufructuar o tener un beneﬁcio. Lo cierto es que hay que actuar de manera coordinada porque absolutamente todos y todas tenemos algo que aportar. Si no lo sabías, ahora lo sabes. Te invito a ver el reciente Decálogo² que hemos preparado, que ofrece 10 pasos para comba r las no cias falsas. Es muy oportuno transmi rlo y considero que debemos tenerlo en cuenta para evitar el efecto perverso de la desinformación. ¤

² Puedes ver el Decálogo en el canal en YouTube de D&D Internacional – Democracia Digital: h ps://www.youtube.com/watch?v=8IizNHM5hIY

pg.11 - JULIO 2021

La decepción de Colonial Pipeline, y por qué simular Ransomware

urante mucho empo la función más importante del CISO fue proteger los sistemas, ya que estos eran el blanco preferido. Sin embargo, los ciberdelincuentes se han vuelto muy “produc vos”, maximizando el resultado con el menor esfuerzo. Y en vez de inver r empo buscando vulnerabilidades, dirigen los ataques de Ransomware a los usuarios. Si analizamos los úl mos incidentes de ciberseguridad relevantes vamos a descubrir que, en general, los sistemas son el medio y no el ﬁn del ataque. El so ware queda intacto, pero vehiculiza un impacto altamente dañino. Cuando llegan las primeras no cias sobre un nuevo ataque de Ransomware, como el reciente caso de Colonial Pipeline, nos imaginamos al

pg.12 - JULIO 2021 ciberdelincuente vulnerando directamente al so ware. Luego, cuando sale a la luz que el atacante u lizó los sistemas tradicionales con una contraseña expuesta de un usuario, nos sen mos decepcionados porque, si bien era esperable, no ene el “glamour” que podría atribuirse a semejante “hazaña”. Ante esta realidad de constante amenaza, más real que hollywoodense, el CISO ene a disposición diversas medidas para ges onar un ataque de Ransomware . Todas deben ser probadas a priori para saber cómo funcionan y conocer su grado de efec vidad. Por ejemplo: Ÿ Ÿ Ÿ Ÿ Ÿ

Hacer una prueba de recuperación de backups Veriﬁcar que los sistemas estén actualizados Veriﬁcar que los sistemas se ejecuten con mínimos privilegios Testear los an virus contra un Ransomware de úl ma hora Medir el grado de concien zación de los usuarios

Para probar este úl mo control, el CISO se puede apoyar en las simulaciones de Ransomware con el obje vo de medir el comportamiento de los usuarios frente a posibles ataques, y así conocer el nivel de riesgo de la organización.

¿Cómo es un Ransomware simulado? Una simulación de Ransomware busca medir la negligencia de un usuario al descargar y abrir archivos. En una simulación de Ransomware no hay infección porque el archivo ejecutado es inocuo, y lo que recibe el usuario es un mensaje educa vo que le permite saber el peligro que ha sorteado.

¿Es suﬁciente? No. La medición por sí sola no hace nada. Las simulaciones de Ransomware deben complementarse con un plan de concien zación en ciberseguridad con nuo que favorezca la adopción de hábitos en los usuarios. ¤

twi er.com/smar ense linkedin.com/company/smar ense

pg.13 - JULIO 2021

¿Volver a la oﬁcina? No, gracias…

Enrique Dans

Senior Advisor on Innova on and Digital Transforma on at IE Business School

l pasado día 2 de junio, Apple anunció que a par r de Sep embre, sus empleados deberían volver a trabajar desde sus oficinas, el impresionante Apple Park en Cuper no, California, con la posibilidad de trabajar desde sus casas únicamente dos días a la semana con un máximo de dos semanas al año y bajo aprobación de la dirección. La polí ca, que especifica que será necesario trabajar en la oficina los lunes, martes y jueves, es más conservadora que la de muchas otras compañías y, par cularmente, mucho más que la de otros gigantes tecnológicos, pero supone una cierta flexibilización de las condiciones de trabajo para una compañía que tradicionalmente ha mantenido una ac tud hos l ante el trabajo distribuido y ha exigido a sus empleados estar presentes en las oficinas de manera habitual.

En la nota, firmada por Tim Cook, la compañía hablaba de hasta qué punto los empleados se habían pasado todo el año pasado echándose de menos y de cómo las videoconferencias, aunque habían servido para estrechar algo la distancia, no podían replicar muchas de las cosas que tenía el estar sicamente en la oficina. De hecho, el pasado marzo, el propio Tim Cook había afirmado que estaba deseando que los empleados volvieran a las oficinas, y había hablado de cómo «la innovación no siempre es una ac vidad planificada», y de por qué «el encontrarse a lo largo del día y el hacer avanzar una idea que se acaba de tener es algo para lo que realmente se necesita estar juntos». Tan solo dos días después, varios miles de empleados de la compañía han dirigido una

pg.14 - JULIO 2021

¹ Extractos de la Conferencia dictada en Foro Internacional “La desinformación online y su impacto

carta de protesta contra el anuncio de la vuelta a las oficinas en la que afirman no solo no haberse sen do escuchados a lo largo del pasado año, sino incluso ac vamente ignorados, en sus demandas para seguir t ra b a j a n d o d e m a n e ra d i st r i b u i d a , y reclamando una polí ca más flexible con respecto a este po de acuerdos. Básicamente, no solo no quieren volver a la oficina, sino que afirman que la falta de flexibilidad de la compañía ha llevado a muchos a dejar su trabajo en Apple, y hablan de una fuerte desconexión entre la forma en que el equipo direc vo piensa sobre el trabajo distribuido y las experiencias posi vas vividas por muchos de los empleados de Apple durante la pandemia. La carta considera además el trabajo distribuido como una parte más de los esfuerzos de la compañía por acomodar la diversidad y la inclusión, dado que “para que la inclusión y la diversidad funcionen, tenemos que reconocer cuán diferentes somos todos y, con esas diferencias, surgen diferentes necesidades y diferentes formas de prosperar”.

de uso compar do, todo ello sin dejar de poder cuidarse mejor a sí mismos y a las personas que les rodeaban. Si esto ocurre en una compañía como Apple, con una cultura histórica de trabajo presencial, una sede carísima representa va y recién construida, y un liderazgo fuerte en ese sen do, ¿qué no ocurrirá en otras empresas cuyos trabajadores hayan podido experimentar las ventajas del trabajo distribuido? ¿Y qué ocurre cuando ese trabajo distribuido, en lugar de ser la opción obligatoria debida a una pandemia, es una opción no única y decidida con total libertad? No volvamos al pasado. ¤

Según afirman en la carta, el año pasado llevó a que muchos empleados se sin esen como si realmente pudieran hacer el mejor trabajo de sus vidas por primera vez, libres de las restricciones de los desa os que inevitablemente impone el desplazamiento diario a las oficinas o las oficinas *FUENTE

pg.15 - JULIO 2021

ivimos en una etapa de la historia que se le ha denominado “Sociedad de la Información”, por un lado por la capacidad humana de generar desarrollo social y económico en base a la ges ón de la información (y del conocimiento), así como por la facilidad para crear, divulgar y compar r información.

Es en este contexto de desarrollo humano que nuestra democracia se desenvuelve teniendo, para el tema de la información, dos vertientes aparentemente divergentes pero que son dos lados de la misma moneda, una moneda que sirve para la estabilidad democrática en un contexto de irrestricto respeto de desarrollos humanos.

Protección de Datos Personales y Acceso a la Información: Dos lados de la misma moneda Erick Iriarte

CEO EBIZ La n America

Por un lado tenemos la protección de datos personales, desarrollada como respuesta, entre otras, a fenómenos como el nazismo y toda forma de autoritarismo que u lizando la información de las personas (en especial su información más sensible), con la legislación de protección de datos personales se busca evitar que el estado o cualquier privado (empresa, colec vo o individuos) puedan, u lizando la información de las personas, generar mecanismos de discriminación por color de piel, credo polí co, opción sexual, ﬁliación religiosa, datos gené cos, entre otros; de igual modo la legislación de datos personales evita las vulneración de libertades y derechos, de personas que hayan podido brindar su información.

Del otro lado tenemos la legislación de acceso a la información pública, creada para transparentizar el Estado, como instrumento de lucha contra la corrupción, para la veeduría ciudadana, para fomentar la democracia basada en la transparencia y no en una cultura de secretismo. Es pues la información que el estado generado con recursos del estado, o administra de sus ciudadanos (en su mecanismo de fuente de

pg.16 - JULIO 2021 acceso público), que debe estar disponible para el equilibrio democrá co. Ambas legislaciones son básicas para la vida moderna, y para la democracia tal como la deseamos y tal como la construimos. Sin embargo hemos visto como u lizando, erradamente, la legislación de datos personales, se ha venido bloqueando legí mos acceso a información que serviría para transparen zar el estado (el congreso ha denegado reiteradamente información de acceso público) o aunque la norma va permite el acceso a emails de funcionarios públicos se intento bloquear el acceso a los emails de Mar n Vizcarra (El Tribunal de Transparencia tuvo que clariﬁcar que si eran accesibles siguiendo el ar culo 16A del Reglamento de la Ley de Transparencia) Pero igualmente equivocadas son las posturas de considerar la legislación de datos personales como impedimento de acceso a la información. Los datos personales son de cada persona, su uso debe estar adecuadamente regulado, en un contexto de evitar abusos, ir contra la legislación de datos personales es no entender la privacidad como un derecho humano básico y fundamental, refrendado por Naciones Unidas, en la Asamblea de Diciembre del 2013, mediante su resolución 68/167. El derecho a la privacidad en la era digital. Es en este contexto que añadimos los temas de #derechoalolvido, con hechos de lesa humanidad como la desaparición de los 43 normalistas en México, o las diversas desapariciones en toda

América La na bajo regímenes dictatoriales y autoritarios, y aún durante empos de “democracia”. No se puede u lizar instrumentos creados para proteger como herramientas para ocultar y tergiversar la historia. En el Perú contamos con una autoridad de Transparencia, Acceso a la Información Pública y Protección de datos personales que depende del Ministerio de Jus cia y que aún debe conver rse en una Autoridad Autónoma, de preferencia de rango cons tucional, yendo aún mas allá de lo que plantea el reciente proyecto de ley presentada por el ejecu vo. Hace 20 años tenemos ley de Transparencia, hace 10 años Ley de Protección de Datos Personales, hace 4 años Autoridad de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Y hace 28 años, desde la Cons tución de 1993, se incorporó el Habeas Data como proceso cons tucional, es decir casi 3 décadas de desarrollos de estos dos lados de la misma moneda. La legislación de datos personales y de acceso a la información pública se crearon para ser instrumentos de democracia y de respeto de derechos humanos, no fueron diseñadas ni deben ser u lizadas como herramientas de impunidad y menos aún para intentar hacer revisionismo contrarios a nuestro devenir como sociedad. El #DerechoalOlvido no puede exis r sin el #DerechoALaVerdad y mucho menos puede ser u lizado para que olvides. #YaMeCanseDeImpunidad ¤

pg.17 - JULIO 2021

Serie: Estrategia de Ciberseguridad

Pilar: Sistema de Información para la Gestión del Ciberriesgo Juan Dávila

MBA, CISA, CISM, CRISC, ISO 27001 LI&LA, ISO 27032 LCM, ISO 22301 LA, ISO 37001 LA, COBIT 5 F&I&A

a invasión de no cias sobre ciberataques cada vez más numerosos, variados y de mayor impacto, refuerzan la necesidad de contar con una estrategia de ciberseguridad como una plataforma organizacional que soporte y fortalezca las inicia vas de transformación digital acorde con las demandas vigentes del mercado y de los clientes. Iniciamos una serie de ar culos sobre los pilares de una estrategia de ciberseguridad y en esta oportunidad nos referimos al Sistema de Información para la Ges ón del Ciberriesgo. En uno de los recientes ciberejercicios en el que par cipé, uno de los máximos responsables del Comité de Crisis decía lo siguiente: “La situación vigente (del ciberejercicio) es un desastre. No contamos con la información mínima que nos permita tomar decisiones de forma oportuna. Claramente, es un contexto que pone en riesgo a la operación completa”. La mirada del medio vaso lleno nos dice que este direc vo es consciente de las severas limitaciones bajo condiciones de stress que un ciberincidente puede generar y que pueden

conducir a una parálisis operacional y de toma de decisiones. En este escenario se combinan los picos desconocimientos de las instancias tác cas y estratégicas de las organizaciones sobre el ecosistema del ciberespacio y la ges ón de sus riesgos, aunque no menos cierto es que aún estamos en fases tempranas de un despliegue metodológico de la ges ón de los riesgos asociados a las operaciones en el ciberespacio. Ante este contexto, una de las herramientas más poderosas que podemos implementar es un Sistema de Información para la Ges ón de los Ciberriesgos, que considere los siguientes baselines: Ÿ

Involucramiento efec vo de la Alta Dirección y los niveles estratégicos y tác cos en la ges ón de los ciberriesgos. No basta con su preocupación ni con la asignación de recursos. Se requiere capacitarlos y entrenarlos en sus roles y responsabilidades, así como en el entendimiento y en la aplicación metodológica del ciberriesgo, con

pg.18 - JULIO 2021 Ÿ

un enfoque centrado en el impacto y en la toma de decisiones.

Integración y despliegue transversal de la metodología de ges ón de ciberriesgos, con la premisa de un entendimiento compar do e inequívoco del panorama vigente de ciberamenazas y de las vulnerabilidades organizacionales en términos de las personas, procesos y las tecnologías que los originan, lo que incluye a nuestros proveedores.

Brindar transparencia en el perﬁl de ciberriesgo de la organización. Los responsables deben conocer el estado real del ambiente de control organizacional y su grado de efec vidad ante el nivel de ciberriesgo que puede impactar en las operaciones. Esta correlación permi rá tomar decisiones oportunas que op micen la protección de los principales ac vos en el ciberespacio. Monitorear el contexto de ciberriesgos sobre

la base de un repositorio y herramientas de correlación de fuentes internas y externas con datos de ciberamenazas, logs transaccionales y de infraestructura de seguridad integral, requerimientos norma vos, entre otros. Ÿ

Ofrecer información periódica fácil de entender y ges onar para los dueños de los riesgos y gestores. No se trata de informes técnicos de soporte. Se requiere proporcionar reportes, mapas de riesgos y KRIs en términos de negocio para una comprensión de los alcances de los factores del ciberriesgo, que permita priorizar y op mizar la toma de decisiones.

La implementación de un Sistema de Información para la Ges ón del Ciberriesgo brinda mayores opciones para un soporte efec vo en la seguridad asociada a la transformación digital de las organizaciones, integrando un modelo de prevención y respuesta ante los desa os que representa el panorama vigente de ciberamenazas. ¤

pg.19 - JULIO 2021

La importancia de la ciberseguridad en las infraestructuras críticas nacionales Gianncarlo Gómez

Head of Cybersecurity Audit en BanBif, LA27001, ISO 27032, ISO 31000, ISO 22301,LPDP,CSX

egún el Department of Homeland Security, Las infraestructuras crí cas (IC) describen los ac vos y sistemas sicos y ciberné cos que son tan vitales para los países que su incapacidad o destrucción tendría un impacto debilitante en nuestra seguridad sica o económica o en nuestra salud o seguridad pública. Asimismo, incluye la vasta red de carreteras, puentes y túneles de conexión, ferrocarriles, servicios públicos y ediﬁcios necesarios para mantener la normalidad en la vida diaria. El transporte, servicio ﬁnanciero, el comercio, el agua potable y la electricidad dependen de estos sistemas vitales. Debido a su importancia, son altamente suscep bles a las amenazas ciberné cas: de acuerdo al estudio Estado del riesgo ciberné co en La noamérica en empos del COVID-19, realizado

por Marsh y Microso , el 31 % de empresas la noamericanas percibió un aumento de ataques de esta índole a raíz de la pandemia.

Para protegerlas, es necesario implementar una serie de medidas necesarias para garan zar la con nuidad de las operaciones. En el documento “Lecciones de Ciberseguridad de la Pandemia” elaborado por el Cyberspace Solarium Commission

pg.20 - JULIO 2021 indica que la pandemia del COVID-19 representa un desa o para la con nuidad de las operaciones de las Infraestructuras cri cas y servicios esenciales de los países, También realiza una analogía de la pandemia con un ataque ciberné co: Ÿ

PRIMERO

En primer lugar, tanto la pandemia como un ataque ciberné co importante pueden ser de carácter mundial, lo que exige que las naciones miren simultáneamente hacia adentro para ges onar una crisis y trabajen a través de las fronteras para contener su propagación. En segundo lugar, tanto la pandemia COVID19 como un importante ciberataque requieren un esfuerzo de respuesta de toda la nación y es probable que reten la ges ón de incidentes y los mecanismos de coordinación existentes. En tercer lugar, cuando no se dispone de terapias o vacunas inmediatas, las pruebas y los tratamientos surgen lentamente; estas circunstancias hacen que sea más importante construir sistemas ágiles, resistentes y que permitan la coordinación entre el gobierno y el sector privado, como es necesario en el ámbito ciberné co. Por úl mo, y tal vez lo más importante, la prevención es mucho más barata y las relaciones preestablecidas mucho más eﬁ ca c e s q u e u n a e st rate g i a b a s a d a únicamente en la detección y la respuesta. En concordancia con un eslogan de INDECI “La seguridad (en este caso la ciberseguridad) es tarea de todos!”.

SEGUNDO TERCERO ÚLTIMO

Asimismo, es importante establecer soluciones tecnológicas innovadoras que ayuden a monitorear, analizar y detectar -en empo realposibles incidencias, con el obje vo de establecer los protocolos de respuesta adecuadas ante la señal de alarma. Pero, ¿qué otras tareas se pueden realizar para resguardar las IC? Entre las más destacadas podemos mencionar las siguientes: Liderazgo y coordinación del Poder Ejecu vo Para hacer frente al COVID-19 o a otras catástrofes, es impera vo que el poder ejecu vo se guíe por un fuerte liderazgo, incluyendo expertos en la materia que estén suﬁcientemente capacitados para coordinar, planiﬁcar y preparar una respuesta

a la crisis con mucha antelación a los acontecimientos perturbadores. Una respuesta nacional a un ciberataque significa vo depende de un gobierno capaz y experimentado Disponibilidad y seguridad de los recursos crí cos La crisis del COVID-19 ha reforzado la importancia de comprender y mi gar las dependencias de la cadena de suministro y las deficiencias de la capacidad de producción nacional para proteger a las empresas de las crisis y perturbaciones que interrumpen la entrega de bienes y servicios. Una robusta fuerza laboral de ciberseguridad La crisis del COVID-19 ha puesto de relieve la importancia de crear una fuerza de trabajo capaz de ges onar el estallido de una crisis en las infraestructuras cri cas. Tras un importante ataque ciberné co, los países tendrán que depender de una fuerza laboral capacitada en materia de seguridad ciberné ca para mi garla y mantener niveles de ciberresiliencia aceptables para garan zar el bienestar de la población. Evaluación y ges ón nacional sostenida de los riesgos ciberné cos La crisis del COVID-19 ha puesto de relieve la importancia de evaluar con nuamente el riesgo y dar prioridad a los esfuerzos de prevención. Los sectores de infraestructura crí cos enden a ser interdependientes. Un ataque o interrupción de uno puede caer en cascada y perturbar rápidamente los elementos centrales de un país. Defensa en capas Esta prác ca consiste en crear sistemas de protección en capas; es decir, la nube, los disposi vos tecnológicos de la empresa, los firewalls y los correos electrónicos corpora vos son protegidos por separado. Esto ene como finalidad robustecer el sistema de seguridad de la organización. Segmentación de la red Segmentar el funcionamiento de la red, par cularmente las relacionadas a las tecnologías de la información (TI) y las tecnologías de operaciones (OT), es crucial para no ser víc ma de un ciberataque. Para ello, es importante implementar sensores de red dentro de los sistemas informá cos internos, pues estos

pg.21 - JULIO 2021 son los encargados de detectar movimientos sospechosos que puedan generar riesgos. De esta manera, se evita que todo el sistema de seguridad de una empresa se vea afectado o comprome do al sufrir un ataque. Establecer un marco de seguridad Las empresas operadoras de servicios crí cos deben dotarse de polí cas y herramientas informá cas seguras, y que garan cen el correcto funcionamiento de los servicios básicos del país. Para ello, deben contar con un marco de seguridad establecido, como el eslabón de su estrategia de seguridad, como por ejemplo el Cybersecurity Framework del NIXT v1.1.

VISÍTANOS De acuerdo al reporte Ciberseguridad 2020: riesgos, avances y el camino a seguir en América La na y el Caribe realizado por el Banco Interamericano de Desarrollo (BID), Perú aún no cuenta con una estrategia nacional de seguridad ciberné ca; sin embargo, ya ha puesto en marcha una polí ca nacional de ciberseguridad, emi endo una serie de norma vas, como el DS 106-2017-PCM que aprueba el Reglamento para la Iden ﬁcación, Evaluación y Ges ón de Riesgos de los Ac vos Crí cos Nacionales. A pesar de estos avances, nuestro país no mejora sus indicadores de Protección de la Infraestructura Crí ca en comparación con el informe del año 2016. ¤