Hace solo unos días contactamos al super ocupado Carlos Jumbo (@cjumbo) para recabar de sus conocimientos y experiencia en seguridad de la información. Carlos Jumbo G., es ecuatoriano y es el gerente de INFORC ECUADOR®, una empresa dedicada a proveer soluciones informáticas y seguridad de la información en Ecuador y Latinoamérica.
GR: » Si fueras el nuevo Director de Seguridad de la Información de geeksroom.com que es lo primero que hicieras?
Carlos: Definiría con los propietarios de la empresa, objetivos y prioridades para su ambiente de negocio, viendo más allá de los riesgos inherentes a la vulnerabilidad y al buen funcionamiento de la infraestructura tecnológica, revisando políticas y procedimientos de seguridad de la información (si las hubiera), de lo contrario se empezaría a trabajar en la elaboración de los mismos.
» Cuál es tu visión del nivel de seguridad existente en tu país y Latinoamérica?
Hay avances y eso es importante, se han adoptado y se están adoptando políticas de estado para proteger los datos de los ciudadanos, en países como Ecuador, se ha avanzado en la parte tecnológica, como por ejemplo en la implementación de la nueva cédula de identidad, que cuenta con un chip que almacena información crítica del usuario, pero aún no está claro el tema de la protección de dichos datos, también está vigente la Ley de Registros de Datos que es la que organiza, regula, sistematiza e interconecta la información contenida en los registros de datos públicos y privados.
En otros países, como Argentina por ejemplo, los delitos informáticos como el Phishing ya son sancionados.
» Los IT son considerados como personas eminentemente técnicas. Cómo debe adaptarse un IT en su rol respecto de las políticas de una compañía?
El personal de IT debe evolucionar todos los días, pero también la compañía debe tener definidos los roles de lo que involucra IT, en algunas entidades ya se cuentan con administradores, jefes, gerentes y CISO de seguridad de la información, quienes son los llamados a establecer las políticas que deben cumplir las personas de infraestructura, sistemas, help desk, etc.
» Cree usted en la ‘convergencia holística’ en cuestiones de seguridad? Cual es más importante la física o la virtual?
Primero, creo que el tema de la convergencia en la seguridad es una tendencia convertida en obligación, luego se debe mantener una visión holística de la compañía o entidad a la hora de protegerla, esto nos ayudará a crear una cadena fuerte, con usuarios capacitados y preparados para proteger el activo de la empresa. El objetivo siempre será reducir los huecos o eslabones débiles de la cadena de seguridad.
» Cómo vendes tu idea y tus servicios de seguridad a un gerente que no ha confrontado problemas otros que masivo spam?
Si ha confrontado problemas de Spam sabe que tiene más que un problema en la empresa, lo que hacemos es mostrarle gráficamente cuánto pierde al año por Spam, de acuerdo al tamaño de su empresa, usuarios conectados, etc, datos globales que muestran lo perjudicial que puede ser el spam sino se toman medidas de control a tiempo.
» Cuál es la seguridad que le interesa al común de la gente, versus negocios.
Considero que hay dos escenarios, el uno que toma la seguridad como una forma de cumplir la norma y la regulación, dónde la calidad de los programas y/o productos no siempre son importantes, siendo predominante el tema costo y cuánto se puede reducir con relación al año anterior, sin tomar en cuenta la evolución ni la efectividad de las soluciones adquiridas, y el otro escenario donde si se analizan metas y objetivos, son quienes toman a la seguridad como un aliado para el desempeño efectivo del negocio.
» Cómo le responde un IT al gobierno, auditores y accionistas de las formas de riesgo en sus instituciones?
La única forma es mostrando resultados, existen las herramientas que ayudan a cumplir de manera efectiva las regulaciones de auditoría y control, así como para un efectivo control de riesgos, demostrando que conoce el riesgo al que está sometida la actividad de la compañía, gestionándolo y tomando las acciones y decisiones acertadas.
Es recomendable tomar riesgos cuando de seguridad de la información se trata? Cómo estableces un balance entre tu trabajo y las intenciones de los propietarios de una empresa. Un sí es un no en otras partes.
En las entidades donde se cuenta con administradores, jefes, gerentes y CISO de seguridad de la información, éstos deben formar parte de las intenciones/proyecciones de los propietarios de la empresa, y son los llamados a recomendar o sugerir alternativas que ayuden a una resolución beneficiosa a la empresa, sin riesgos.
Para otras entrevistas discutidas en GeeksRoom, por favor clic aquí.