Gregory Touhill, quien fuera designado por el expresidente Barack Obama como el primer Federal Chief Information Security Officer (CISO) de Estados Unidos y actual presidente de la división Federal en AppGate, confía en que algunos países de la región de América Latina, cuentan con potencial para tener un óptimo desempeño en el tema de seguridad cibernética.

En entrevista con Forbes México, el especialista en seguridad cibernética e información, dijo que ve algunos focos de excelencia cibernética en la región, en concreto en países como Colombia y México en donde destaca algunos hallazgos.

Forbes: A nivel América Latina, ¿qué país podría ser una referencia en la buena gestión de seguridad cibernética?

Gregory Touhill: Veo muchos focos de excelencia cibernética en América Latina y destaco dos. Primero, estoy impresionado por lo que estoy viendo en muchas partes de México. Encuentro que la mayoría de los altos ejecutivos que he conocido en México tratan sus datos como patrimonio. 

Entienden que la ciberseguridad es un problema de gestión de riesgos y están invirtiendo bien en las personas, los procesos y la tecnología que ayudan a que sus negocios crezcan y así mismo producen resultados efectivos, eficientes y seguros. 

También estoy impresionado por la destreza técnica de las capacidades de desarrollo de software emergentes que estoy viendo salir de Colombia. Colombia está produciendo excelentes programadores informáticos que están desarrollando sus productos utilizando las mejores prácticas de DevSecOps. Como resultado, el código que producen es de una calidad excepcional.

F: ¿Cuál es el panorama actual sobre los riesgos que enfrentan las sociedades en el tema de seguridad cibernética?

GT: La ciberseguridad tiene mucho que ver con la gestión de riesgos y, a medida que las sociedades continúan dependiendo cada vez más de la tecnología de la información, los riesgos siguen aumentando. Riesgos comunes, como los que plantean los defraudadores y los grupos de delincuentes cibernéticos, siguen dominando los titulares, pero los que acechan en las sombras son de los más peligrosos. 

Por ejemplo, muchas personas y organizaciones no reconocen el valor de sus datos y no los protegen adecuadamente. Reiteradamente, demasiadas personas están cediendo libremente el acceso a su información personal, exponiéndose a amenazas como acosadores cibernéticos, robo de identidad y otras actividades criminales. 

En algunos casos, las personas han publicado fotos y videos de sus vacaciones en redes sociales, para luego darse cuenta que los delincuentes usan esas imágenes para asegurarse que no están en casa y robarlos mientras están por fuera. Las empresas a menudo no tratan sus datos como patrimonio y gastan demasiado en proteger información trivial y no lo suficiente en proteger información muy valiosa.

F: México es uno de los países que ha tenido afectaciones cibernéticas en diversas plataformas hasta gubernamentales. ¿cómo debe protegerse un gobierno y las autoridades y que tipo de inversiones se deberían estar haciendo para esto?

GT: Muchos gobiernos y empresas continúan confiando en el modelo de defensa perimetral tradicional. La llegada de la nube informática, la movilidad y otras tecnologías modernas han expuesto debilidades fundamentales en el modelo de defensa perimetral tradicional.

Creo que los gobiernos y las empresas deben adoptar la estrategia de seguridad Zero Trust y actuar con determinación y rapidez para implementarla. He descubierto que los Perímetros Definidos por Software son la mejor y más esencial tecnología instrumental que acelera el trayecto de Zero Trust. Si todavía estuviera en el gobierno, actuaría rápidamente para retirar mi estrategia de defensa perimetral heredada y la tecnología obsoleta, costosa y cada vez más vulnerable, como las VPN y los controles de acceso a la red. Los reemplazaría con la estrategia de seguridad Zero Trust habilitada por tecnología de Perímetro Definida por Software.

F: Más allá de inversiones millonarias y la creación de mejores estrategias de seguridad, ¿qué otro tipo de oportunidades existen para las corporaciones ante la ciberseguridad?

GT: Creo que las empresas deben adoptar la estrategia de seguridad Zero Trust como un paso necesario y esencial hacia el futuro, en realidad no tienen que continuar invirtiendo elevadas cifras en sus defensas cibernéticas.

La razón es que el modelo de defensa perimetral tradicional se basa en capas complejas de defensa. La complejidad es la pesadilla de la seguridad, la cual aumenta los costos y posibilidades de errores de configuración. Las tecnologías como los Perímetros Definidos por Software son más simples tanto para el usuario final como para el operador en la sala de servidores. No compraría nada nuevo que no me ayude a mejorar mi seguridad, optimizar mis operaciones, retirar tecnología antigua y reducir mi costo de operaciones.