Cambia el foco de la seguridad
 A partir de los nuevos modelos de ataque cibernético como el phishing y el robo de identidades, la prioridad en materia de protección de los datos se modificó drásticamente. Es por eso que Microsoft está incorporando nuevas características en su próximo sistema operativo Windows Vista, hecho que es acompañado de nuevas acciones para su audiencia de Profesionales de IT, como la Academia Latinoamericana de Seguridad. Emerson González, un Profesional de IT chileno que participa de la comunidad www.itpro.cl y posee un blog personal dedicado al tema http://emersongonzalez.blogspot.com, opina en esta entrevista acerca cómo influye la estandarización de conocimientos al momento de compartir proyectos con otros colegas. ¿Participas de las comunidades de TechNet? Si, regularmente a través de eventos de seguridad y en el apoyo en la formación de nuevas comunidades IT, y como expositor en sitios como www.itpro.cl y otros. ¿Cuál es tu rol allí? Dar charlas en eventos de seguridad sobre tecnología Microsoft, evaluar nuevas tecnologías y exponerlas a la comunidad, siempre relacionados con los tema de seguridad IT. ¿Qué papel juega la seguridad en los departamentos de TI? Como director del área de consultoría tecnológica de Ultragestión (Partner Gold de Microsoft), me toca revisar constantemente los procesos y tendencias en términos de seguridad, y evaluar su aplicación en función de las necesidades operativas de la empresa, en una relación costo/beneficio. Es muy importante considerar el factor económico detrás, ya que en términos de seguridad, uno puede invertir siempre y cuando este costo no supere el valor de mantener la información disponible, privada e integra. Esta relación es conocida como CIA (Confidentiality, Integrity, Accountability). ¿Qué pasó este último año respecto a la seguridad? En términos de inversión se dejo de mirar como la seguridad un firewall de paquetes más un antivirus base. Hoy día estamos conversado concepto como los impulsados por Cisco como NAC (Network Access Control), McAfee (Mcafee NAC) y Microsoft con el NAP (Network Access Protection). NAP es definido por Microsoft como plataforma de aplicación de políticas incorporada dentro del sistema operativo Windows, que permite a los Profesionales de TI configurar políticas (por ejemplo, políticas de actualización de versión del sistema operativo o de antivirus), de forma que se pueda restringir el acceso a la red a los clientes hasta que puedan demostrar que cumplen las normativas indicadas). La primera versión de NAP aparecerá en la nueva versión del sistema operativo Microsoft Windows Server, conocida con el nombre “Longhorn”. ¿Qué porcentaje de recursos económicos destinas a resolver problemas de seguridad? Normalmente, los recursos económicos son orientados por una análisis de riesgos previo que indican como y cuanto debe invertir en tecnología. En el caso nuestro, todos nuestros consultores y equipo internos son capacitados constantemente en materias de seguridad. Así también, como la asignación de recursos del presupuesto de inversión anual dirigido exclusivamente a temas de seguridad, ítem que normalmente se tiende a colocar en gastos más que en inversión. ¿Hay una valorización de los profesionales dedicados al tema en tu país? Hoy día ya sea por organizaciones como ISC2 o lideradas por Microsoft como Academia de Seguridad latinoamericana (ALSI), se está haciendo una diferencia en términos de los profesionales que manejan un cierto nivel de seguridad. Es distinto discutir en una mesa con un profesional por ejemplo (Certified Information Systems Security Professional), que en nuestro país somos un poco más de 62 personas, o un ingeniero que participa en forma activa de ALSI, ya que permite entenderse de mejor manera porque tuvo que pasar por un proceso exhaustivo de investigación, trabajo constante y estudio. Una de las cosas mas importantes es firmar un código de ética de seguridad mundial, como en el caso de CISSP, el cual te obliga a tener un comportamiento intachable y mantenerlo durante todo el periodo que tienes esta certificación. Cualquier incidente que viole esta normal te deja sin esta certificación, y constantemente está siendo evaluada por la entidad internacional. ¿Conoces que sucede en otros lugares del mundo con lo expertos en seguridad? Tengo intercambio a través de foros de ALSI, ISC2, e ISSA (Information Systems Security Association), además de foros de seguridad como TechNet y otros, en los cuales revisas e intercambias información respecto a problemas comunes que ocurren en las organización y como son resueltos en cada país. ¿Cuáles son las ventajas de estar relacionado con los fabricantes de tecnología? Estar al tanto de las últimas tecnologías, y poder analizar antes que nadie como estas impactarán en materia de seguridad en las empresas de nuestra región. |
