Sobre nosotros
Compra al por mayor Contactar con Ventas Encuentra a tu Distribuidor
asus
ASUS
Blog
15 de julio de 2024

El campo de batalla invisible: Perspectiva de un CISO sobre ciberseguridad

En el mundo hiperconectado de hoy en día, la innovación prospera junto a una amenaza constante: la ciberdelincuencia. Como Chief Information Security Officer (CISO) en ASUS, navego por este campo de batalla invisible, protegiendo a nuestra empresa y a los usuarios de las amenazas digitales en constante evolución.


De la innovación a la responsabilidad: El arma de doble filo de la tecnología

La historia de la tecnología es una historia de progreso y vulnerabilidad. Desde los albores del mainframe hasta la omnipresencia de Internet, cada avance ha abierto puertas a los ciberdelincuentes. Hoy en día, con más de 450.000 nuevos programas maliciosos y aplicaciones potencialmente no deseadas (PUA) que aparecen cada día, según AV-TEST Institute, una seguridad robusta ha dejado de ser un lujo para convertirse en una necesidad.

Robert Chin, CISO de ASUS


En ASUS, la seguridad es primordial

En ASUS, la innovación está en nuestro ADN. Hemos sido pioneros en una amplia gama de productos y soluciones, y ahora estamos adoptando la IA para revolucionar nuestros productos. Sin embargo, este impulso hacia el progreso se equilibra con un profundo compromiso con el uso responsable de la IA y la seguridad de los datos.

En ASUS, cada unidad de negocio evalúa meticulosamente cómo aprovechar la IA sin dejar de mantener los más altos estándares de seguridad y privacidad. Proporcionamos formación y directrices exhaustivas a nuestros equipos para mitigar los riesgos, garantizando la seguridad tanto de nuestros datos como de la información de nuestros clientes.

La ciberseguridad también desempeña un papel fundamental en nuestro marco ESG. Las normativas ESG exigen cada vez más a las empresas que revelen sus esfuerzos por mejorar la seguridad de sus productos y servicios. Por eso, nuestra estrategia ESG 2035 da prioridad al refuerzo de la seguridad de nuestra cadena de suministro. ASUS también sigue promoviendo los sistemas de gestión de la seguridad de la información (SGSI) ISO/IEC 27001 para cumplir las normas internacionales. Además, cumplimos con el GDPR de la Unión Europea para garantizar que la recopilación, el procesamiento y el uso de los datos personales son conformes.

Al mismo tiempo, ASUS ha integrado los recursos internos existentes para facilitar la comunicación y la colaboración entre departamentos y funciones. Llamamos a nuestra visión "Creando resiliencia digital, mejorando la confianza en la marca: Persiguiendo la excelencia pensando en la seguridad".


El Centro de Seguridad Digital: Nuestro centro de ciberdefensa

Hace dos años creamos el Centro de Seguridad Digital de ASUS. Este equipo especializado hace frente a las amenazas internas y externas, fomentando una cultura de seguridad por diseño. Nos centramos en la seguridad de los productos en todos los dispositivos y colaboramos estrechamente con líderes del sector como Microsoft.

Cada avance ha abierto puertas a los ciberdelincuentes (Photo by Hackernoon on Unsplash)


Nuestro planteamiento es proactivo. En nuestras reuniones mensuales con la alta dirección, evaluamos cómo gestionamos los incidentes de seguridad. Esto implica detectar, analizar, responder y recuperarse de los problemas de seguridad para reducir su impacto y prevenir problemas futuros. También hablamos de "DevSecOps" (Development Security Operations), que consiste en integrar la seguridad en el diseño del producto, lo que suele denominarse diseño por turnos. Este enfoque fomenta la consideración de la seguridad, las pruebas y la validación en una fase temprana del desarrollo, antes de la producción en masa, para ahorrar esfuerzos y resolver antes los problemas.

El Centro también se asegura de que la seguridad esté plenamente integrada en nuestro proceso de diseño de productos, de modo que podamos prevenir las vulnerabilidades antes de que los productos lleguen a los clientes. Este esfuerzo implica la incorporación de funciones como la tecnología de huellas dactilares y la realización de rigurosas auditorías de seguridad.

También establecí nuestro Comité de Seguridad de la Información, que depende directamente del Consejero Delegado y está integrado por altos ejecutivos y jefes de cada unidad de negocio. Las reuniones mensuales garantizan que los nuevos productos y soluciones reciban sólidas medidas de seguridad, minimizando las vulnerabilidades. Este enfoque colaborativo va más allá de ASUS.

Además, ASUS ha encabezado la formación de la Alianza para la Seguridad de la Información en la Industria de Alta Tecnología. Esta alianza reúne a diez importantes empresas taiwanesas de alta tecnología, fomentando la colaboración y el intercambio de conocimientos para reforzar las ciberdefensas colectivas del sector.


Más allá de los muros de ASUS: Protegiendo todo el ecosistema

La misión de mi equipo incluye garantizar la seguridad de las oficinas de ASUS repartidas por ochenta países y también abarca nuestra cadena de suministro. Es importante no sólo proteger las zonas directamente relacionadas con nuestra empresa: los problemas de seguridad actuales nos obligan a tener una visión mucho más amplia. Esto se debe a que es bastante común que si los piratas informáticos no pueden violar nuestros sistemas directos, intenten atacar nuestra cadena de suministro, por ejemplo. Hemos tenido problemas en este ámbito en el pasado y trabajamos continuamente para mejorar la seguridad de nuestros proveedores y crear una cadena de suministro más segura, lo que es vital para la resistencia general. Esta filosofía también se aplica a nuestras filiales.

La importancia de la seguridad de la cadena de suministro puede verse en el caso de SolarWinds hace dos años. Piratas informáticos rusos se infiltraron en la empresa, que suministraba software al gobierno estadounidense, robando información de forma silenciosa durante años. Este incidente tuvo consecuencias importantes, como una caída del precio de las acciones del 30% y un acuerdo de 26 millones de dólares con los accionistas. Además, la U.S. Securities and Exchange Commission (SEC) demandó a la empresa por presunto incumplimiento de sus obligaciones en materia de seguridad del producto y de la empresa.

En lo que respecta a nuestros socios, Microsoft ha sufrido recientemente varios incidentes de ciberseguridad, como los problemas del correo electrónico M365 y las vulnerabilidades de algunos de sus productos. Recibimos regularmente lo que se conoce como notificaciones "Patch Tuesday" de Microsoft. Se trata de un evento mensual en el que Microsoft emite notificaciones formales a todos los clientes del mundo en las que detalla las vulnerabilidades y fallos de sus productos, clasificados según los estándares del sector. Microsoft puede abordar entre ochenta y noventa temas cada mes en estos anuncios. Se trata de un reto importante y un quebradero de cabeza para cualquier CEO o CISO.


El elemento humano: Por qué es importante la formación de los usuarios

A menudo pasado por alto, el error humano contribuye de forma significativa a las violaciones de la ciberseguridad. Según un estudio conjunto de la Universidad de Stanford y Tessian, los errores de los empleados son responsables de una gran parte de los incidentes de violación de datos. Por ejemplo, el 52% de las personas hicieron clic en un correo electrónico de phishing porque parecía que procedía de un alto ejecutivo de la empresa.

De hecho, muchos problemas de seguridad se deben a simples errores de configuración que dejan vulnerables a los dispositivos. Al igual que en los primeros tiempos de la electrónica de consumo compleja, muchos usuarios se esfuerzan por configurar correctamente sus dispositivos y servicios, dejándolos expuestos sin querer. Estas cuestiones son especialmente relevantes ahora que estamos entrando en la era de los PC con IA.

En ASUS, abordamos estos retos a través de completos programas de formación. Los nuevos empleados reciben formación en ciberseguridad a los tres meses de incorporarse, y los cursos de actualización anuales dotan a toda nuestra plantilla de los conocimientos necesarios para proteger los datos confidenciales. Los simulacros de phishing y los ejercicios de ingeniería social aumentan aún más la concienciación, haciendo hincapié en que la ciberseguridad es una responsabilidad compartida.

El futuro de la ciberseguridad: Un esfuerzo colectivo

La ciberseguridad es una batalla continua que requiere vigilancia y colaboración constantes. Si damos prioridad a la seguridad desde el diseño, fomentamos la educación de los usuarios y creamos alianzas sólidas en el sector, podremos crear un futuro digital más seguro para todos.


Más información sobre el compromiso de ASUS con el ESG y la seguridad de la información: https://esg.asus.com/en/philosophy/corporate-governance/information-security-management.

Suscríbete a nuestro blog
Mantente actualizado con las últimas tendencias y tecnologías de la industria para educación, PYMES y empresas.
Logo tienda 0 +INFO ? Cargando... Se ha añadido un nuevo artículo en tu cesta Ver Cesta Seguir comprando