b:Secure: tras toda gran iniciativa hay una gran mujer
b:Secure, la publicación sobre seguridad informática más importante en México, con gran reconocimiento en otros países de Latinoamérica, dijo adiós el pasado viernes, con gran pesar, a la que fuera su editora desde el inicio de la revista. Lizzette Pérez Arbezú, periodista especializada en seguridad de la información, muy amablemente ha compartido conmigo esta entrevista, que estoy seguro será de su agrado.
Carlos Álvarez: ¿Cómo es que una mujer llega a esta industria de la seguridad de la información, que suele ser tan… llena de hombres, por así decirlo?
Lizzette Pérez: En mi caso fueron la casualidad, primero, y la curiosidad, después. Inicié mi carrera periodística estando aún en la universidad y una profesora me recomendó para una plaza en un periódico semanal de tecnología, ComputerWorld. Entonces creí que no había mucho futuro, pero me equivoqué.
Tras unos años en el medio empecé a interesarme por temas relacionados con la seguridad informática, de modo que generé una sección específica dentro del portal netmedia.info, del cual estaba a cargo. Me di cuenta que cada vez que publicaba información de seguridad, las visitas a la página subían mucho. En parte por esta razón, y en parte por un interés personal genuino de conocer más sobre el tema, me fui especializando. Por ello, cuando la directora general de Netmedia, Mónica Mistretta, decidió lanzar una revista enfocada en la seguridad de la información, me ofreció quedarme a cargo del proyecto.
Como editora de b:Secure me enfoqué de lleno en el tema, generando networking, asistiendo a foros y seminarios, e inclusive cursando un diplomado en seguridad informática, lo que me llevó a tener un mayor conocimiento técnico sobre el tema que cualquier otro colega.
Finalmente, creo que precisamente el hecho de ser mujer me abrió las puertas en un mercado donde predominan los hombres. Siendo tan pocas las mujeres, es más fácil se recuerde un nombre femenino, ¿no?
CA: ¿Cuánto tiempo estuviste en el cargo de editora de b:Secure y cuál crees fue tu mayor logro en él?
LP: Yo estuve al frente de la revista desde que inició el proyecto, en mayo de 2003, pero la primera edición se lanzó hasta agosto del mismo año. Creo que el mayor logro fue levantar un proyecto desde cero y verlo convertido, tres años y medio después, no sólo en la publicación pionera del medio, sino en la revista líder de seguridad informática en México, y con un nombre que ha llegado a ser reconocido incluso en otros países de América Latina”.
CA: ¿Cuál es la relevancia que la seguridad de la información tiene en la sociedad; es decir, nos afecta a todos o, por ejemplo, puede ser un tema indiferente para un ama de casa?
LP: Creo que el concepto puede tener una implicación diferente para cada persona, pero ya es algo de lo que se habla en todos lados. Aunque un administrador de sistemas, por ejemplo, puede estar mucho más consciente de las amenazas y cómo enfrentarlas, los usuarios caseros ya entienden más de los riesgos a los que están expuestos, sobre todo el robo de identidad, que es una tendencia a la alza.
Este incremento en la conciencia de los usuarios se debe, en gran parte, a la labor de los medios de comunicación. Sin embargo, aún es preocupante que las noticias se difundan en un tono amarillista (de alarma) o que se tergiversen conceptos. Considero que el mayor problema que puede enfrentar un periodista es pecar de negligencia u orgullo, al no querer preguntar sobre un término que no entiende, o dar por sentado algo, porque al hacerlo difunde una idea errónea de la seguridad informática.
CA: En términos tanto de definición como de implementación de políticas de seguridad de la información (y de business continuity management) adecuadas, ¿cómo es la situación generalizada de las empresas en México?
LP: De acuerdo con datos de la más reciente encuesta de Ernst & Young, en México es escasa la prioridad y participación de la alta dirección en temas de seguridad de la información. Los resultados muestran que los ejecutivos delegan esta responsabilidad al área de tecnología, incluso a mandos medios, además de que únicamente 28% de los encuestados en México estuvieron de acuerdo en que sus organizaciones perciben la seguridad de la información como una prioridad a nivel CEO.
Por otro lado, en un artículo de b:Secure (noviembre de 2006) se publicó que aún hay gente que no le da la importancia necesaria al tema de la seguridad porque creen que hacer mal uso de los recursos empresariales no es razón suficiente para sancionar a los empleados. Al menos no, hasta que el mal uso repercute en baja productividad o un incidente de seguridad.
Sin embargo, los asistentes al b:Secure Conference mostraron un mayor nivel de conocimientos técnicos y estratégicos de seguridad, en comparación con el año anterior, y así lo demostraron en sus comentarios y su solicitud para elevar el nivel de las conferencias para 2008. Esto demuestra que hay mayor conciencia, pero como decimos por acá: del dicho al hecho hay mucho trecho. Es decir, las empresas, en general, están en camino de implementar los mecanismos adecuados de seguridad, pero aún falta un buen trecho por andar.
CA: Seguramente habrá sectores más protegidos y precavidos que otros, como suele ocurrir; ¿existen en México obligaciones legales que impongan a empresas y/o personas la necesidad de asegurar la información y los sistemas a través de los que ella es administrada, en alguna forma en particular?
LP: Las compañías trasnacionales, principalmente, deben cumplir con los lineamientos internacionales, como SOX. Pero en México existe también cierta normatividad que aplica para todo tipo de organización en lo que se refiere al manejo de la información, como la Ley Federal de Transparencia (LFT), o la NOM151, que establece los requisitos que deben observarse para la conservación de mensajes de datos.
Para mayor referencia legal, el artículo 49 del Código de Comercio establece que para efectos de la conservación o presentación de originales, en el caso de mensajes de datos, se requerirá que la información se haya mantenido íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta.
Y en el artículo 93 bis se especifican los criterios que deben cumplirse para presentar y conservar información, considerando como íntegro un mensaje de datos si ha permanecido completo e inalterado, independientemente de los cambios que hubiere podido sufrir el medio que lo contiene, resultado del proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido será determinado conforme a los fines para los que se generó la información y de todas las circunstancias relevantes del caso.
Estos son solamente un ejemplo. Hay varios abogados y miembros de la industria promoviendo una serie de iniciativas de legislación para apoyar los esfuerzos de seguridad y privacidad, entre otros.
CA: Para mí la integración de los países, al menos a nivel latinoamericano, es necesaria para combatir los delitos informáticos. ¿Cuál es tu opinión respecto de este punto? ¿Qué podemos hacer, cada uno desde su país, para conseguir que nuestros gobernantes y legisladores entiendan que estos delitos son transnacionales por naturaleza y actúen de conformidad?
LP: Coincido contigo. Creo que cada país tiene que tener sus lineamientos puntuales, conforme a sus propias leyes, pero hay incidentes que rebasan las fronteras, sobre todo en Internet. Hasta donde sé, varias dependencias gubernamentales y agencias policíacas de América Latina han estado en contacto y han unido esfuerzos para combatir el cíber crimen.
Qué podemos hacer? Mientras me desempeñé como periodista mi compromiso fue difundir la conciencia de seguridad informática, generar alianzas con las principales asociaciones de seguridad en el país, cuestionar a los proveedores e informar a los lectores. Ahora que estoy del lado del proveedor, mi tarea es validar que la compañía cumpla con su compromiso de entregar soluciones de calidad a los clientes, pero también apoyar la difusión de la conciencia de seguridad, a través de la participación en foros y de apoyar a los medios de comunicación para que entiendan los conceptos y los difundan adecuadamente.
En este sentido, me uno a la labor que estás haciendo con tu blog en Colombia y ya te invitaré a participar en uno que abriré por acá con Andrés Velázquez, y donde invitaremos a participar a expertos tanto a nivel nacional como internacional.
CA: Latino América adolece de leyes adecuadas en materia de protección de datos; no me refiero a leyes paranoicas que impongan cargas excesivas a los administradores de bases de datos, sino a aquellas que imponen obligaciones de implementar medidas razonables que protejan los datos personales al tiempo que permiten el desarrollo de negocios viables, rentables y respetuosos de los derechos de terceros. ¿Crees que estas leyes deberían estandarizarse, al menos a nivel regional? ¿Es conveniente que exista consenso entre nuestros países a este respecto?
LP: Consenso, al menos, debiera existir entre los países latinoamericanos, sobre todo porque en el ciberespacio no hay fronteras, como mencionábamos anteriormente. Sin embargo, éste es un punto álgido y no me atrevo a aventurar una opinión, a falta de experiencia en el ámbito legal. ¿Estandarizar las leyes a nivel regional? ¿Qué implica? ¿Estarían los gobiernos dispuestos a hacerlo? ¿Hasta dónde lo permitirían sin sentir invadida su soberanía?
CA: La brecha digital es un tema recurrente; nuestros países con frecuencia se quejan porque no disponen de suficientes bienes de tecnología y que para acceder a ellos deben pagar sumas realmente cuantiosas. ¿Qué podemos hacer, a nivel país, para conseguir que esa brecha disminuya, es decir, vale la pena, por ejemplo, buscar reducciones de impuestos para que empresas de tecnología inviertan en nuestros países? Deberíamos definitivamente buscar que haya seguridad jurídica en todo lo referente a Internet (negocios, delitos, datos personales, propiedad intelectual, etc.); si hay seguridad jurídica, los inversionistas extranjeros sabrán a qué atenerse si traen su dinero… ¿no crees?
LP: En México, por ejemplo, intervienen factores fiscales, regulaciones, costo de implementación de infraestructura, competencia entre proveedores, monopolios, reducción presupuestal en el Gobierno, ignorancia y -peor aún- falta de interés por parte de legisladores y magistrados sobre temas relacionados con la tecnología, etcétera.
Sí, la inversión se inhibe por la burocracia, los impuestos y la falta de legislación que obligue a las organizaciones a cumplir con lineamientos internacionales, pero me parece que la búsqueda de seguridad jurídica es apenas una parte de lo que debe hacerse para generar inversión y reducir la brecha digital. Hablamos de problemas de cultura, de prioridades, de integración entre fabricantes y proveedores. Pero ya se está trabajando en todo ello. Ya hay frentes que impulsan las iniciativas ante los legisladores, los proveedores colaboran en proyectos sociales y el mismo Gobierno promueve la digitalización del país. Pero el camino aún es largo…
___________
Tenemos mucho por hacer, mi querida Liz: miles de personas por educar, muchísimo por evangelizar! Y muchas políticas estatales y regionales razonables, suficientes, coherentes y necesarias se deben definir e implementar.
——–
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Comentarios