OPINIONES – LA SEGURIDAD Y AUDITORIA EN BOLIVIA
Viernes 25 de abril de 2008, por
En esta ocasión Nobosti entrevisto al Ing. Guido Rosales Uriona para dar inicio a una nueva serie de artículos orientados a captar la percepción de destacados profesionales en el medio.
1.- ¿Como, cuando y se dio su inicio en el campo de la Seguridad y Auditoria de Sistemas?
Puedo decir que mi inicio en el campo de la Seguridad se ha dado debido a la profesión militar de mi Padre, Hugo Rosales, a él le debemos mis hermanos el habernos inculcado apego por temas de seguridad militar. Mi padre ha sido un destacado militar con especialidad en disciplinas militares relacionadas con la seguridad.
Otro aspecto muy importante ha sido mi formación universitaria en una universidad de aviación civil de carácter semimilitar, donde la seguridad, la alta disponibilidad son problemas que no se solucionan con ctrl.+alt+del.
Cuando retorne de la exURSS, en el año 1996, exactamente en mayo, comencé a trabajar en la Corporación Multinacional Unilever, inicialmente como Soporte Técnico de la Gerencia de Logística, sin embargo al año ya formaba parte de la unidad de Auditoria Interna, cubriendo tareas como auditoria de sistemas, oficial de seguridad, oficial Y2K, todo esto debido a una conjugación de eventos, por un lado mi apego a estas disciplinas y por otro, toda la organización de Tecnología que tiene esta corporación.
2.- ¿Cuáles considera han sido los momentos mas relevantes de su vida profesional relacionado con el campo de la seguridad y auditoria de sistemas?
Primero, creo que todo el tema de Y2K, ha sido determinante en mi vida profesional, fue precisamente esta actividad que me llevo a ver el enfoque integral de la seguridad, cuando hacia visitas a entidades de servicios básicos, proveedores y clientes podía ver el estado incipiente de la auditoria de sistemas. Este hecho fue motivador para dejar la vida laboral de dependiente por cuanto podía hacer algo por mi país, por mi comunidad desde el campo independiente. Las corporaciones son excelente escuela, sin embargo son muy limitantes a la hora de compartir logros y facilidades que pueden beneficiar a otros. Entendamos que son aspectos de diferencia competitiva.
Otro hecho relevante fue lograr la certificación CISA en el año 2000, precisamente ese año me encontraba trabajando como Information Security Administrador & Internal Controler para TI. Haber aprobado el examen me dio el impulso final para dejar la dependencia laboral. Tenia que probarme que la escuela adquirida tenía un valor y reconocimiento mundial.
El año 2003, fue también muy notorio al momento de rememorar acontecimientos, ese año Bolivia tuvo su primer norma NB ISO /IEC 17799:2003 y da la casualidad que esa norma fue aprobada el día de mi onomástico, el 14 de noviembre del 2003. Recuerdo cuando lleve la propuesta a IBNORCA, el proceso de revisión que en ese entonces tuve que encararlo únicamente con la ayuda de mi esposa Claudia Araujo como principal revisora de la traducción y compatibilización que hice para que esta norma salga a la luz.
3.- ¿En que campos o áreas de la industria le ha tocado efectuar trabajos de seguridad o auditoria?
Creo que precisamente el momento de tiempo que me ha tocado vivir, me ha permitido desenvolverme en diferentes áreas y sectores, he trabajado con empresas del sector industrial, telecomunicaciones, pensiones, valores, seguros, entidades financieras, entidades gubernamentales, empresas privadas, creo que en muchos sectores, inclusive para entidades sin fines de lucro con características cristianas.
4.- ¿Como evaluaría la labor que desempeñan las universidades, institutos y demás organizaciones en la difusión de la seguridad y auditoria?
Deficiente¡¡¡, en realidad considero que la Universidad Católica ha sido pionera en este tema, y creo se debe mucho a la presencia de becarios en las funciones de docentes, quienes con una visión globalizada han reconocido pronto la necesidad de impartir estar materias. Ahora creo un logro familiar y lo digo así, por cuanto en conjunto con mi hermano Lic. Hugo Rosales Uriona (www.cosim-ti.com), hemos llegado desde capitales de departamentos hasta provincias como Yacuiba, Comarapa, Vallegrande, Villazon, y similares con servicios de consultaría y principalmente capacitación. Lugares donde la expectativa es muy grande, entidades financieras principalmente a raíz de temas de desarrollo alternativo, desarrollo municipal, llegan a manejar créditos internacionales considerables, pero la tecnología y el control son incipientes. Nos gusta la comodidad de las capitales, pero Bolivia es toda y si no construimos piso a piso, jamás tendremos un nivel internacional. Mientras las bases sean mas sólidas podremos subir mas alto.
5.- ¿Como evaluaría la función del Estado?
Creo que la suma de problemas hace que temas poco conocidos como la seguridad sena relegados a la siguiente generación de legisladores. Y no es solo una percepción, sino por ejemplo tenemos el caso del proyecto de Ley de Transacciones electrónicas que duerme como niña encantada, esperando al príncipe liberador. Creo que es un tema generacional, y que no veremos muchos cambios en este sentido en los próximos 5 años. Las políticas de Inclusión digital, globalizaran los riesgos de la tecnología y cuando estos sean de escalas mayores, entonces la princesa tendrá que ser liberada, mientras, sigamos luchando contra dragones.
6.- ¿Su empresa ha recibido o recibe alguna ayuda del Estado en las iniciativas que lidera? ¿Considera que sería un beneficio?
Absolutamente NO¡, ni del estado ni de organismos internacionales, todas las actividades las vamos construyendo de poco a poco. Ya no es una actividad laboral, es una forma de vida, no solo mía, ha trascendido al interior de mi familia y participamos varios miembros en diferentes ciudades de Bolivia. Pero todo con aportes personales, no queremos despertar los celos, ni envidias cuando se manejan ayudas internacionales, si puede existir alguna organización que lo pueda hacer, excelente, pero buscamos mantener la libertad de decidir, la neutralidad tecnológica.
Evidentemente cualquier ayuda es buena, pero no cuando viene disfrazada de ayuda y en realidad es un negocio a largo plazo que busca quien te colabora. Creo que el Internet nos ha dado la posibilidad de compartir experiencias buenas y malas. Esto nos da la posibilidad de ver otras opciones que no estén enmascaradas. Además esta el propio orgullo que poder hacerlo sin necesidad de copiar modelos. El mejor modelo a copiar esta dado por la Historia misma y esta ya es patrimonio de la humanidad, no necesitamos casar nuestras actividades con líneas corporativas que “ayudan”, pero siempre y cuando compremos de ellos.
7.- ¿En que nivel de madurez, considera que estamos como país? ¿Y Por que?
Tenemos diferencias marcadas de acuerdo con el sector, por ejemplo en sector financiero y telecomunicaciones podemos decir que estamos pasando el nivel 4, sector petrolero cerca al 4 y pasando ese nivel cuando existen relaciones corporativas. En el sector Gobierno en promedio estamos por debajo del 3, debido principalmente a la falta de aprobación de Políticas, normas y procedimientos. En el sector salud en promedio estamos alrededor del 2. Cabe resaltar que esta apreciación es subjetiva, principalmente basada en los trabajos de consultaría realizados y también fruto de las encuestas y relevamientos realizados en las actividades de capacitación.
La falta de madurez se debe principalmente a la falta de regulación sectorial por un lado y en general la debilidad legal en temas de protección de la información, la privacidad de las personas, naturales o jurídicas.
8.- ¿Conocemos que su empresa promueve certificaciones en auditoria, en seguridad y temas forenses? ¿Cuál es el motivo si ya existen certificaciones internacionalmente reconocidas?
Creo que la respuesta tiene que ver con la capacidad de hacer que uno puede tener, en ningún momento queremos crear certificaciones nacionales antagónicas con la corriente internacional, pero si nuestro objetivo es crear Certificaciones intermedias que no tengan que ver mucho con la capacidad de inversión o pago que tengan los postulantes, sino con la capacidad profesional, técnica y personal de cada uno. Después de promover directamente las certificaciones internacionales por mas de 7 años, llegamos a la conclusión de que era un camino angosto, muy orientado a la capacidad de inversión. Los programas que estamos desarrollando además tienen el componente de realidad nacional, con matices de idiosincrasia, marco regulatoria, mercado y características propias. Seguimos lineamientos internacionales, preferentemente de tipo “Open Source” para mantener la independencia tecnológica. Creemos en nosotros mismos y que en un mediano plazo nuestros programas serán exportables, por ahora ya hemos cubierto el eje troncal y las capitales de departamentos como Sucre, Oruro, Tarija y Potosí. Esperamos completar el alcance nacional, sin embargo estamos preparando la logística necesaria para exportar estos productos.
9.- ¿Tenemos conocimiento que ha sido Presidente del Capitulo ISACA en Bolivia? ¿Cual ha sido su experiencia?
Soy miembro de ISACA desde julio de 1998, este año cumplo 10 años. Soy el miembro boliviano mas antiguo Creo que este tiempo me ha dado amplio conocimiento de la organización y precisamente algo que me faltaba era conocerla desde el punto de vista del directorio de un capitulo local. Mi experiencia no ha sido como hubiera deseado, precisamente por esa falta de confianza de quienes podían colaborar. Veo que el objetivo general debe ser el desarrollo de la seguridad, control y auditoria, no precisamente el desarrollo de un Capitulo de ISACA en Bolivia, eso debería ser una consecuencia de la madurez que logran los profesionales quienes deciden asociarse a determinada entidad, deberíamos velar por la libertad de elegir entre pertenecer a una u otra organización, después de conocer varias y no pretender que la pertenencia a una organización hará que el país desarrolle. Ahora estoy seguro que las actividades desarrolladas a titulo personal y como empresa están contribuyendo a este desarrollo, difundimos ISACA desde 1997, somos responsables de membresías a nivel país, pero no es la única forma de desarrollo que proponemos. Tengo membresías en diferentes organizaciones y considero que precisamente esa pluridad de fuentes alimenta de manera mas efectiva la visión y conocimiento de la seguridad, auditoria y control.
10.- ¿Sus actividades académicas? ¿Cual ha sido su rol en la formación universitaria?
Desde 1998 cuando iniciamos con el Dr. Reynaldo Vargas de la UCB Cochabamba la materia de Auditoria de Sistemas, he estado participando en diferentes universidades a lo largo del país con docencias, conferencias, seminarios, tutorías y actividades de extensión universitaria. Hemos organizado la primera Maestría de Seguridad en convenio con la Escuela Militar de Ingeniería, apoyado dictando varios módulos en la Maestría de Auditoria de la UAGRM en Santa Cruz, Establecido un convenio para la organización de un diplomado de auditoria con la UMSA. Considero que apoyar las actividades universitarias es vital para el desarrollo país y esperamos seguir participando con estas actividades.
11.- ¿Alguna recomendación final para promover el desarrollo País en este campo?
Si hablamos de seguridad, podemos resumir la misma en buenos respaldos y criptografía, con esto cubrimos los criterios de la famosa triada de seguridad y los requisitos de la criptografía. Si analizamos no necesitamos casar la seguridad con marcas o lineamientos internacionales. La Criptografía es fundamental y su limite esta dado por el conocimiento de las matemáticas y la imaginación. Por ello, considero que debemos buscar la fuente de Desarrollo en nosotros mismos, en nuestra historia como humanidad. Vemos por ejemplo que las enseñanzas de Sun Tzu, siglos antes de nuestra era, se mantienen en el campo de la seguridad. No busquemos sofisticarnos con términos en ingles o llenarnos de estándares internacionales que son fruto, busquemos ni siquiera el árbol sino las raíces para hacer crecer el nuestro o entender mejor los frutos actuales o los futuros. Recomiendo no olvidar las ciencias exactas, la matemática como base para el desarrollo y sobre todo leer la historia, “mirar atrás para ir adelante”. También debemos entender que la seguridad, control y auditoria no es un FIN por si mismo, sino un medio para hacer la tecnología seguro para su uso.
Guido Rosales Uriona.
Ingeniero en Sistemas, Master en Ciencias de la Ingeniería por la Universidad Internacional de Aviación Civil de Kiev Ucrania.
Master en Dirección Estratégica de TI por la Universidad Politécnica de Cataluña en convenio con FUNIBER.
Auditor CISA desde el año 2000 y Profesional CISM desde el 2003. Miembro de ISACA desde 1998. Past Presidente del Capitulo Local.
Docente de pre y post grado.
Consultor y Gerente General de Yanapti SRL
www.yanapti.com
Importante para los comentarios:
"Las opiniones y comentarios deben tener claramente identificados a sus autores con nombres, apellidos y direccion de email. Caso contrario no serán publicadas"
1 Mensaje
Más Leídos
El servicio RSS de COSETT bloqueado por GOOGLE
Marc Prensky: Nativos e Inmigrantes digitales
CAPITULO 2 - SUN TZU: ESTRATEGIAS PARA LA SEGURIDAD DE LA INFORMACION
Empleador timó a jóvenes y las fotografió desnudas
HALLAZGOS DE AUDITORIA DE SISTEMAS