Alejandro Bianchi, Presidente de Liveware I.S. participó como panelista experto junto a  especialistas en el área de ciberseguridad de las empresas VU y ESET en SCE Security Conference & Expo 2019. El evento se llevó a cabo el jueves 22 de agosto en Paseo La Plaza.

Durante el panel a cargo de José Piccini de Revista Prensario TI, Alejandro abordó, desde su experiencia empresarial y académica, los desafíos más complejos que enfrenta hoy la industria IT en materia de ciberseguridad, mejores prácticas y cómo Liveware ayuda a sus clientes a implantar normas tales como ISO 27000, de manera de poner la seguridad como atributo de calidad de primer orden. Alejandro explicó las diferencias que existen entre Cyber Resilience y Cyber Security y la importancia de poner atención a la arquitectura de software en este último caso. “Ser seguro es atacar el problema cuando se presenta y ser resiliente es anticipar ese problema. El desafío de las organizaciones es lograr la mayor efectividad de las nuevas tecnologías en un contexto resiliente, donde las empresas puedan anticiparse para prevenirlos y recuperarse lo más rápido posible de cualquier ataque que provengan de distintas fuentes. La combinación de la tecnología con la capacidad de diseñar sistemas seguros y resilientes es un factor crítico de éxito”, señaló Bianchi. 

“El concepto de ciberresiliencia debe estar por encima del de ciberseguridad”, resaltó Alejandro. “Las organizaciones, dependiendo de su estructura, deberían aspirar a lograr ser resilientes y para eso, es necesario primero entender los objetivos de negocio, el valor agregado que le estamos dando a nuestros clientes siendo una organización que garantiza la seguridad. En una segunda instancia, entender cuáles son los servicios que brindamos que son críticos desde el punto de vista de esos objetivos de negocio, vinculados con seguridad. El tercer punto, consiste en identificar los activos organizacionales que son fundamentales para que esos servicios puedan operar en un contexto de máxima seguridad. Y por activo, se debe entender tanto no solo la tecnología sino las personas, los partners y aquellos puntos con los que nos relacionamos. Luego se debe hacer un plan que incluya un ciclo de vida del estado de la seguridad, de todo nuestro portfolio tecnológico a fin de poner la seguridad como punto en cada una de las instancias del ciclo de vida, de tal manera que cada vez que evolucionamos nuestra arquitectura y diseño, logremos entender si hemos mantenido la fortaleza de nuestra aplicación o estamos introduciendo nuevas vulnerabilidades. Introducir el rol de Hacker Ético dentro de la compañía. El plan deberá comprender la generación de security skills, no solamente en los expertos en seguridad sino también en desarrolladores de software para que entiendan que el desarrollo de software con estándares de seguridad es casi tan importante como el resto de los atributos de calidad del producto. Por último, definir una hoja de ruta de implementación en donde el presupuesto sea un elemento fundamental. De tal manera de poder entender que estoy invirtiendo esta suma de dinero porque sino no puedo cumplir con este objetivo de negocio y por ende, no estoy dando valor agregado a mi cliente. Este proceso implica un cambio de cultura donde voy a tener que combinar la agilidad con la garantía de asegurar al cliente su seguridad. Este proceso debe ser continuo y renovable cada vez que generamos tecnología. La visión arquitectónica de sus soluciones y su estrategia de integración son las que deben guiar este plan y hacen a una organización resiliente y exitosa”, explicó Alejandro.

La ética de los Arquitectos de Software es un debate en boga en el exterior”, manifestó Alejandro. “La discusión se centra en varias hipótesis: hasta dónde es ético que un arquitecto, sabiendo que determinada solución que tiene que implementar por un apremio del negocio, está dejando un agujero que puede violar la privacidad del usuario de esa aplicación; hasta dónde es ético que siga adelante y cuál debería ser el comportamiento de ese arquitecto frente al requerimiento propio del negocio. No tardará mucho tiempo en instalarse este debate en nuestro país. Será importante empezar a analizar hasta dónde una necesidad de salir del negocio debería anteponerse al cuidado de la información de nuestros clientes”, indicó Bianchi.

“Otro gran debate que hoy están teniendo compañías como Google y Facebook se relaciona sobre el testeo de la Machine Learning (ML), es decir, cómo nos aseguramos que mi proceso de verificación de la ML está dando el resultado correcto”, señaló Alejandro. Este punto es aún un interrogante. “Estamos generando una enorme cantidad de software para cubrir funciones críticas de las organizaciones para detectar problemas de seguridad pero no sabemos si esa ML está haciendo lo que nosotros esperamos que haga porque todavía no se conocen las mejores técnicas de verificación. Este es uno de los desafíos más recientes que hoy se presenta relacionado con ciberseguridad y ciberresiliencia”, explicó Alejandro.

“La capacitación y la formación de las organizaciones en seguridad es un déficit. La academia está tomando conciencia de esta necesidad y ya están trabajando en el desarrollo de cursos de especialización y maestrías vinculadas con ciberseguridad a fin de formar profesionales que puedan dar soporte a cada una de las etapas del ciclo de vida priorizando el componente de seguridad”, concluyó Alejandro.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *