9 minute read
Tecnología
Proveedores de ciberseguridad “todo en uno”, ¿qué podría salir mal?
Por: Ing. Jorge Osorio, Co fundador y Director de Servicios de Consultoría en CSI Consultores en Seguridad de la Información, Presidente del Capítulo (ISC)2 México. www.csinfo.com.mx info@csinfo.com.mx Los servicios de ciberseguridad y seguridad de la información han evolucionado de manera significativa en los últimos 10 años, de la misma forma las empresas y fabricantes en el sector han ampliado su abanico de productos y servicios, intentando hacerlos más sencillos de adquirir y brindando los mejores beneficios para sus clientes.
Sin embargo, esta creciente demanda de servicios y productos ha convertido al sector de ciberseguridad y seguridad de la información en México, en un lugar donde es difícil encontrar proveedores con verdaderos diferenciadores.
Durante esta evolución, los proveedores de ciberseguridad han pasado de ofrecer algunas marcas dentro de su portafolio, a incluir servicios administrados, consultivos, de monitoreo, ciberinteligencia e incluso especializados, como implementación de sistemas de gestión de seguridad de la información, pruebas de penetración y análisis de vulnerabilidades o incluso análisis forense y por si no fuera poco, han agregado más marcas de ciberseguridad a su conjunto de soluciones; lo cual pareciera algo benéfico para sus clientes, debido a la posibilidad de ofrecer soluciones
“todo en uno”, que facilitan significativamente la gestión de contratos y parecen disminuir los costos de los proyectos.
¿Cómo afecta dicha situación a una empresa o cliente final?
En primera instancia parecería que existen múltiples beneficios (precio y/o gestión), sin embargo, este tipo de proveedores rompen una de las más importantes premisas de la propia seguridad: La segregación de
funciones.
El principal objetivo de la contratación de un proveedor de ciberseguridad debería generarse a partir de la necesidad de una solución (hardware o software) y/o un servicio en específico. Cuando un proveedor se convierte en juez y parte dentro de los propios servicios que ofrece, fácilmente los resultados se pueden “viciar” o carecer de la perspectiva necesaria para disminuir los riesgos y mejorar la seguridad.
Ejemplos y consideraciones
Cuando una empresa contrata un “Oficial de Seguridad de la Información” como outsourcing al mismo proveedor que realiza los servicios de monitoreo (SOC) y quien también suministró y configuró todos sus dispositivos de ciberseguridad (Firewalls, IPSs, Antimalware, entre otros) en un solo contrato anual, con pagos mensuales y penalizaciones que hacen sentir a la empresa “confortable” de la situación.
Sin embargo, en este caso y de forma natural, el Oficial de Seguridad de la Información deberá revisar de forma “neutral” y periódica todos los registros y alertas generados por los dispositivos de seguridad y por el área de monitoreo (SOC) para identificar posibles incidentes y darles el seguimiento apropiado; pero si las penalizaciones están ligadas a la cantidad de incidentes (lo cual es común en este tipo de contratos) y este número lo determina mensualmente el propio Oficial de Seguridad de la Información, probablemente no se reportarán la cantidad de incidentes o incluso muchos de ellos no llegarán a ser notificados a la propia organización.
Tecnología
Otro ejemplo se encuentra cuando una empresa adquiere una solución de seguridad y le pide al mismo proveedor que realice PenTesting a esa infraestructura para verificar que hayan sido correctamente implementados. Obviamente, al no existir una correcta segregación de funciones, los resultados estarán viciados y carecerán de la neutralidad necesaria para este tipo de servicios.
Por último, es necesario considerar que, si bien los proveedores de ciberseguridad “todo en uno” pueden brindar costos más asequibles para sus clientes, a la larga este tipo de prácticas derivará en riesgos mayores que fácilmente pueden convertirse en la frase “lo barato sale caro”. Esto sin considerar la cantidad de información sensible y/o accesos privilegiados que puede tener un solo proveedor.
Entonces, ¿cómo debemos elegir los proveedores?
En primera instancia, es necesario identificar los beneficios de cada proveedor, es decir, más allá de las clásicas presentaciones comerciales donde todos son buenos para todo, debemos identificar en lo que realmente es experto cada uno. Por ejemplo, existen algunas empresas que son realmente expertas en la implementación de soluciones de ciberseguridad para infraestructura o redes, otros contarán con excelentes servicios administrados o de monitoreo, algunos otros lo serán en servicios consultivos especializados como pentesting, implementación de sistemas de gestión de seguridad de la información, programas de concientización o análisis forense.
Aquí las recomendaciones mínimas para elegir a un proveedor:
Contar con personal certificado en la máxima categoría, de acuerdo con el producto y/o servicio que realizará y garantizar que dicho personal será quien realice dicha actividad. La contratación debe realizarse de forma directa, sin intermediarios ni subcontrataciones. Más allá de un simple “Acuerdo de Confidencialidad o NDA”, el proveedor debe poseer una certificación internacional sobre algún estándar de seguridad de la información, por ejemplo, el estándar ISO/IEC 27001:2013 y garantizar que el servicio que estará realizando se encuentre dentro del alcance de dicho estándar. Los proveedores que auditen (revisen o evalúen) no deben ser los mismos que implementen o monitoreen, esto ayudará a disminuir la probabilidad de cualquier resultado “viciado” o con poca neutralidad.
Tecnología
IA, fundamental para optimizar operaciones industriales
A medida que las operaciones industriales se vuelven cada vez más autónomas, los trabajadores conectados son vitales para el éxito del negocio digital.
Por: Kim Custeau, Vicepresidente de APM Business de AVEVA. http://linkedin.com/in/ kim-custeau-754a353 os impulsores comerciales han evolucionado
Ldramáticamente durante el primer año de la pandemia por coronavirus. Con una mayor volatilidad tanto en el lado de la oferta como de la demanda, las empresas de energía están más enfocadas que nunca en aprovechar la nube, internet de las cosas, inteligencia artificial y analítica para impulsar la flexibilidad, eficiencia, disponibilidad y sostenibilidad en tiempo real.
Pero no es solo la tecnología la que marcará una nueva frontera en la productividad industrial. Igual de importante es el creciente nivel de interacción humana con la inteligencia artificial conectada y el software basado en datos.
Cuatro nuevos impulsores comerciales clave
Después de la pandemia, cuatro áreas claves han surgido como imperativos comerciales para la nueva normalidad. A medida que las inversiones de capital se reducen, las empresas deben reevaluar los proyectos para determinar su viabilidad, ROI y reducir el costo total de instalación.
En consecuencia, los operadores deben revisar los procesos de trabajo tradicionales y el intercambio de información para permitir un modus operandi de ingeniería completamente nuevo.
Con equipos remotos que requieren un mejor contexto y un acceso más profundo a los datos para supervisar las operaciones, colaborar y tomar decisiones, existe una mayor necesidad de tener una mejor visualización y análisis contextual de la información operativa en toda la empresa.
A medida que las operaciones comienzan a volverse cada vez más autónomas, garantizar la confiabilidad y la operación segura de los activos críticos con una supervisión mínima se vuelve vital. El personal en el taller y en el campo requerirá cada vez más facilitadores y ayudas para las tareas de trabajo, ya que la experiencia operativa profunda se vuelve escasa. Y finalmente, en un entorno de mayor imprevisibilidad, las empresas deberán impulsar altos niveles de agilidad y capacidad de respuesta en las cadenas de valor para minimizar las fugas de valor, optimizar la producción y maximizar las oportunidades de ganancias.
El ascenso del trabajador conectado
El trabajador conectado representa la transformación digital a través de los ojos del empleado. Para alcanzar el verdadero valor potencial de cualquier programa de transformación digital, las empresas deben centrarse genuinamente en las necesidades del personal humano detrás del "activo de trabajo".
Durante la próxima década, la IA podría contribuir hasta con $15,7 billones a la economía global, pero son los trabajadores conectados los que serán los verdaderos agentes de cambio en este escenario. Según Harvard Business Review, el 80 por ciento de los trabajadores globales no tienen escritorio y gran parte de su trabajo es móvil. Estas fuerzas laborales de primera línea son el nuevo enfoque de la transformación digital.
Expertos en:
Fábrica de Software Desarrollo web Análisis e investigación de mercados
Tecnología
Empoderar a estos trabajadores conectados es imperativo si las empresas quieren ayudar a impulsar mejoras operativas en productividad, seguridad y colaboración a medida que las empresas se vuelven más automatizadas. La IA también tendrá un papel fundamental que desempeñar en el seguimiento y mejora del trabajo remoto, en equipo, toma de decisiones, bienestar y satisfacción laboral de los trabajadores.
Al mapear cuidadosamente las necesidades de personal, las empresas pueden cultivar una fuerza laboral comprometida que funcione en armonía con la infraestructura digital y los objetivos de la empresa.
Gemelos digitales para condiciones dinámicas
A medida que las empresas comiencen a recurrir a la IA en todas las tareas y procesos operativos, las organizaciones requerirán capacidades adicionales para la inferencia, predicción, orientación y adaptación a condiciones dinámicas.
Hoy, estas capacidades se combinan para crear un "gemelo digital" para la empresa. La tecnología mapea los atributos físicos y de comportamiento integrales de todos los activos para simular, evaluar, predecir y prescribir.
Visualización avanzada
En medio de un panorama de operaciones cada vez más autónomas, el trabajador conectado interactuará con el gemelo digital de un activo, utilizando herramientas de visualización avanzadas, y habilitadores de tareas de trabajo para guiar las actividades, lo que garantiza la eficiencia y la coherencia.
En la empresa que represento, contamos con una solución digital que proporciona descubrimiento y navegación de datos a través de una interfaz de usuario intuitiva basada en web con visualización 1D, 2D y 3D incorporada.
La tecnología que aprovecha los servicios en la nube de Microsoft, infraestructura, datos y servicios de inteligencia artificial de Microsoft Azure, proporciona información detallada sobre los activos que mejora enormemente la toma de decisiones. Permite a cualquier persona de la empresa ver datos sobre el activo en el contexto del activo físico en sí y su conectividad en la planta.
La solución digital que mencioné, debe interactuar de manera efectiva con los trabajadores, especialmente los trabajadores de campo. Nuestros clientes muestran constantemente mejoras significativas en la aceleración de la formación, desarrollo de habilidades y gestión de la seguridad de las operaciones.
Datos sin precedentes, activos conectados
Industrial IOT ha creado la oportunidad de acceder a cantidades sin precedentes de datos de activos conectados. Con las mejoras en la conectividad y la seguridad de los datos, se están reduciendo las barreras históricas y se están logrando las ventajas de las implementaciones en la nube.
En un mundo que se digitaliza rápidamente, las empresas deberán impulsar altos niveles de agilidad y capacidad de respuesta en las cadenas de valor para minimizar las fugas de valor, optimizar la producción y maximizar las oportunidades de ganancias. Pero son los aspectos visuales y humanos de la IA los que impulsarán la verdadera revolución del software industrial.
Con las soluciones integrales de Microsoft en la nube y nuestra experiencia, los trabajadores conectados acelerarán el tiempo de generación de valor y permitirán que los importantes beneficios de la nube y la inteligencia artificial se conviertan en realidad.
