"Las políticas de seguridad son indispensables en las empresas para minimizar riesgos"
Claudio Uehara Jefatura Oficial de Seguridad e Información del grupo Wong |
1. La seguridad en estos días ha cobrado un papel muy importante en las organizaciones. ¿Cuál es su opinión respecto al conocimiento de los profesionales TI y políticas de seguridad que actualmente se implantan en las compañías para salvaguardar sus activos importantes como la información?
Pienso que el conocimiento aun no ha llegado de manera contundente a la comunidad TI. Se están haciendo esfuerzos importantes en difundir lo que es la Seguridad de Información a todo nivel, ya sea a través de seminarios, conferencias y cursos como el Diplomado de Common, por lo tanto, hay un camino andado. Sin embargo, hay un tema de inversión económica de por medio –sea para capacitar a la gente, para conformar un equipo de Seguridad de Información o para implementar Herramientas de Seguridad- que hace que se avance lentamente.
Son muy pocos los profesionales de TI que están capacitados y se mantienen capacitados adecuadamente, espero que este numero se incremente con el paso del tiempo.
Respecto a la implementación de Políticas de Seguridad, lo mas probable es que las empresas grandes ya han reconocido a la Seguridad de Información como punto estratégico para sus negocios y cuenten con sus Políticas de Seguridad estructuradas y en vigencia, pero las demás tal vez no cuenten con este documento y solo se basen en procedimientos no formales.
2. ¿Qué lo motivó a ser parte del Diplomado de Auditoria y Seguridad que Common Perú dictó a la comunidad TI?
La necesidad de seguir aprendiendo y de mantenerme actualizado en estos importantes temas. Además he comprobado que los profesionales de la empresa para la cual trabajo estamos avanzando en varios temas con respecto a otros colegas. También me ha servido para comprobar si la orientación que se plantea en la empresa es la correcta.
3. ¿El desarrollo del curso cubrió sus expectativas?
Cubrió completamente mis expectativas. El balance entre la teoría, las practicas y sobretodo el intercambio de vivencias y anécdotas que ocurren en nuestros respectivos trabajos son cosas invaluables que alimentan nuestro conocimiento y nos ayudan a encarar de una mejor manera las diferentes formas de amenazas que existen en nuestro entorno TI.
4. ¿Podría indicarnos cuáles fueron los temas que más inquietud e interés le despertaron y porqué?
En línea general los puntos tratados en sus tres módulos fueron muy interesantes.
En la primera parte los conceptos iniciales de auditoria, controles, riegos, políticas, procedimientos, entre otros aclararon el enfoque del curso.
En el Modulo I : Auditoria de Sistemas trató sobre los puntos a considerar en la evaluación de seguridad y aplicación de controles con los temas del ISO 17799 y el CobIT.
En el Modulo II : NTP-ISO/IEC 17799:2004 EDI y al final con los interesantes temas de certificados digitales, firmas digitales, pki, criptografía, firewall, IDS, etc.,
que se trataron en el Modulo III : Tecnología de Seguridad de Información.
Sería interesante que desarrollen temas como qué debe hacer una empresa para desarrollar un Disaster Recovery Planning (DRP) partiendo de un Business Impact Analysis (BIA) para luego evolucionar en un Business Continuity Planning (BCP).
También podría explicarse el tema del aseguramiento de la información ante el desarrollo de nuevas tecnologías que se implementan rápidamente, como es el caso del wireless, del RF-ID, etc.
6. Los conocimientos y casos analizados, ¿qué conclusiones le han permitido alcanzar para su desempeño profesional y en la empresa?
Indudablemente que los temas tratados en este curso van a servirme de mucho para el desarrollo de mi función como Oficial de Seguridad de Información en mi empresa.
7. Para usted, ¿cuáles son los riesgos más comunes que actualmente atraviesan las compañías y a qué factores usted le atribuye esta realidad?
La falta de conciencia de los usuarios en general en materia de seguridad de información al creer erróneamente que el equipo de Sistemas es el responsable de todo la información que se maneja. Otro punto de riesgo esta en el hecho del rápido avance tecnológico con la creación de mas dispositivos removibles en los cuales pueden caber mucha información y que cuyo transporte pasa inadvertido.
8. Finalmente, ¿qué consejos o recomendaciones podría brindarle a las empresas y colegas respecto al tema seguridad y auditoria en TI?
A la Gerencia y Alta Dirección de las empresas, que sigan apoyando a sus profesionales de TI para que se capaciten en esta materia. Que la conformación de un equipo de Seguridad de Información es necesaria para poder enfocarse en la minimización de los riesgos, y por ultimo que cada vez tomen mayor conciencia que es necesario su apoyo para poder implementar la Seguridad de Información.
Y a mis colegas TI que sigamos participando en grupos de trabajo intercambiando experiencias y conocimientos para afrontar con éxito los retos que se nos presentan.
Pefil Profesional Claudio Uehara Shiroma
Actualmente ocupa la Jefatura Oficial de Seguridad e Información del grupo Wong. Es ingeniero especializado en Cisco Certified Networking Associates (CCNA). Estudió en la Universidad San Marcos obteniendo el titulo de Ingeniero Electrónico. Dentro de la corporación Wong ha se desempeñado en la Jefatura de Help Desk, Soporte y Comunicaciones.