|
Teresa
Núñez, responsable de Consultoría de Seguridad de Schlumberger |
"La
demanda de seguridad TIC por impulsos está dejando paso a un modelo
de mercado basado en el desarrollo de planes globales plurianuales"
|
Son escasos en España los consultores que aunan
en su saber conocimientos actualizados sobre normas y estándares,
técnicas de organización y gestión, análisis
de riesgos y tecnologías de protección. Teresa Núñez,
responsable de Consultoría de Seguridad de Schlumberger, además
de disponer de dichos conocimientos, cuenta con una apreciable experiencia
en el desarrollo de proyectos complejos, que son los que en su opinión
van a marcar la pauta del mercado de seguridad en los próximos años. |
|
- ¿En
qué fase se encuentra hoy el mercado de seguridad TIC en España?
- Antes la seguridad se concebía como un conjunto de controles
monolíticos y puntuales, sustentados casi siempre por mecanismos
de protección tecnológicos construidos sin visión
evolutiva y al ritmo de determinados hechos puntuales. En la actualidad
la tendencia, muy clara en EE.UU. y bastante definida en la UE, viene
marcada por la concepción de la seguridad TIC como un programa
o plan. Siguiendo esta tendencia, aún nueva en España, el
programa o plan director de seguridad TIC se define con un presupuesto
dedicado, con una base organizativa específica para gestión,
con un método global y desde una óptica de oficina de proyecto.
- ¿Está colaborando Schlumberger en esta línea
con algunos usuarios?
- En España el proyecto más paradigmático en el que
estamos colaborando es el Plan Director CIS de Defensa, en el que desde
el primer momento se concibió la seguridad TIC con esta visión
de plan integral. Fuera de nuestro país hemos trabajado para la
organización de Correos de Suráfrica. Se nos pidió
la creación de un plan director de seguridad con marco referencial
en la ISO 17799, en la que se tuvieron en cuenta los análisis de
riesgos, las políticas, las normativas y el plan de contingencias
y continuidad de negocio. Se hizo en combinación con algunas empresas
locales para la realización de determinados análisis detallados
de vulnerabilidades en las distintas oficinas de correos del país.
En este proyecto también tuvimos que 'securizar' toda la arquitectura
de interconexión de sucursales.
- Usted, en tanto que profesional de la consultoría de seguridad
TIC, conoce a la perfección normas como la ISO UNE 17799. Pese
al ruido que ésta ha hecho, quizás las compañías
no estén respondiendo a la certificación como era de esperar.
- El seguimiento de estándares es un principio generalmente admitido
en muchas disciplinas, seguridad incluida. Los británicos se han
tomado su BS 7799 muy en serio, de tal manera que hay numerosas organizaciones
embarcadas actualmente en el proceso metódico de certificación
de conformidad con la norma. En otros países europeos y en países
asiáticos ya empieza a notarse lo propio en relación con
la ISO 17799. Como suele suceder, en España vamos con cierto retraso.
En la última edición de Infosecurity, celebrada en UK, se
hizo énfasis en que dentro del modelo de negocio de proveedores
de tecnología, en los SLAs se estaba exigiendo disponer de la certificación
BS 7799 para poder participar en concursos. Aquí, en España,
no se le ha dado este enfoque a la ISO UNE 17799; más bien se tiende
a concebir como un marco de referencia para el planeamiento de la gestión
de la seguridad.
- Seguir la norma pero no certificarse. ¿Un problema de tiempo,
de dinero, de prioridades, de cultura?
- Un poco de todo; no obstante, es un hecho que cuando vamos a realizar
un servicio referente a seguridad de la información alusivo a la
definición de una política, de normativas o de un plan de
seguridad, se nos exige usar como marco de referencia la ISO UNE 17799.
La razón es sencilla: muchas veces la compañía cliente
-sobre todo si es multinacional, aunque no en exclusiva- está sometida
a auditorías periódicas. Seguir la norma -que no certificarse-
facilita la realización de tales auditorías.
De todos modos, insisto: el no seguir formalmente el cumplimiento de normas
es una característica del mercado español.
|
|
Son
las áreas de negocio de una organización las que deben
solicitar que la seguridad se integre en los procesos TIC que dan
soporte a sus actividades
|
|
- ¿Qué
opina de la certificación de la seguridad de productos TIC? ¿Le
parece viable el modelo existente?
- Las organizaciones dedicadas a la creación y publicación
de estándares han hecho un gran esfuerzo en lo que se refiere
a la evaluación y certificación de la seguridad de productos
TIC para que no se impongan en los mismos las especificaciones técnicas
de los fabricantes, sino más bien las necesidades de los clientes.
Creo por tanto que los Criterios Comunes y la puesta en funcionamiento
del concepto de Perfil de Protección redundan en este aspecto
capital. Obviamente, la aplicación de este modelo resulta todavía
muy costosa en términos económicos.
- ¿Qué áreas del mercado de servicios de seguridad
de la información le parecen más prometedores a largo
plazo?
- Todos tienen un excelente futuro por delante, tanto los de consultoría
y prescripción como los de tecnología/soluciones, integración
de sistemas y externalización de la gestión. Cualquier
proveedor que quiera mantenerse como jugador de peso en este mercado
deberá contar en su portafolio con una oferta global, incluyendo
el epígrafe del cumplimiento de la legislación que sea
de aplicación, ya que hoy por hoy, la tendencia de los usuarios
que invierten en seguridad es a demandar a sus proveedores los servicios
necesarios para el desarrollo de planes globales de arriba a abajo.
- ¿De dónde debería depender jerárquicamente
la función de seguridad en una entidad típica?
- La seguridad TIC debe de depender del órgano de mayor rango
en materia de aplicación de tecnologías de información
en una empresa. La función de seguridad de la información,
por su parte, conviene encuadrarla en un nivel de staff de la
dirección. Parece incontrovertible que son las áreas de
negocio de una entidad las que deben solicitar que la seguridad se integre
en los procesos TIC que dan soporte a las actividades. Esta es la clave
para resolver el siempre polémico contexto organizativo y jerárquico
de la seguridad.
- ¿No le parece que los mercados de consultoría y asesoría
acerca de la protección de datos personales está algo
ralentizado?
- En lo que concierne al Reglamento de medidas, y debido al cumplimiento
de plazos de adaptación, hubo en su momento un gran crecimiento
de la demanda, sobre todo en el ámbito privado. Y ese ritmo no
puede mantenerse hoy. Lo que sí noto es la apertura de proyectos
más globales y de mayor volumen en la materia, especialmente
originados en el sector público.
- Entre los servicios que ofrece su compañía, se encuentran
los de consultoría tecnológica y prescripción.
¿Están los desarrollos de las casas comerciales de herramientas
a la altura de las necesidades de los usuarios corporativos en materia
de protección de la información?
- En líneas generales, las tecnologías de protección
o que pueden utilizarse para fines de protección, están
razonablemente maduras para que el usuario se base en ellas para configurar
sus soluciones corporativas de seguridad. La única línea
tecnológica que está en proceso de mejora y refinamiento
es la relativa a los IDS, que está virando hacia una concepción
más cercana a la previsión de intrusiones que a la detección.
Otras herramientas, como las orientadas a la gestión de identidades
y aprovisionamiento, las de análisis y gestión de logs,
y las diseñadas para prestar servicios de confidencialidad, integridad
y disponibilidad, están en una fase de madurez tecnológica
más que aceptable. Asunto distinto es que para su implantación
y despliegue sea prudente recurrir al mercado de integradores con experiencia.
- ¿Qué opina del ROI como justificación de proyectos
de gestión de identidades y aprovisionamiento?
- Hace unos años, cuando la seguridad estaba muy imbricada con
la gestión de sistemas, hubo un repunte de frameworks en
los que se integraba la administración de seguridad de usuarios.
Aquello no cuajó. Cada usuario tuvo que buscarse la vida para
intentar de alguna manera automatizar al máximo este proceso
de administración. Hoy, la llamada gestión de identidades
y aprovisionamiento está bien sustentada en soluciones de fabricante,
con lo que el emprendimiento de estos proyectos, a partir de cierta
dimensión de heterogeneidad tecnológica y número
de usuarios, suele tener una justificación clara también
por ROI, y no sólo por la mejora de la calidad de servicio al
usuario y el fortalecimiento de la seguridad global en la organización.
En este año es rara la compañía que no ha emprendido
iniciativas para crear su directorio corporativo, algo esencial.
|
|
- ¿Le parece interesante el proyecto de DNI electrónico
de la Dirección General de la Policía?
- Es el paradigma en lo referente al despliegue de una PKI y certificados
electrónicos para autenticación y firma almacenados en tarjeta
inteligente. Tenemos un gran interés profesional en tener la oportunidad
de colaborar con la DGP, ya sea en los ámbitos de consultoría
como en los de servicios.
- ¿Cuál ha sido el proyecto de consultoría de seguridad
de la información más estimulante en el que ha participado?
- Me decanto por nuestra contribución al desarrollo del Plan Director
CIS de Defensa, en el que estamos participando a efectos globales, y no
solo en seguridad TIC. Era un reto desde el punto de vista tecnológico,
desde el punto de vista de la concepción de una nueva organización
y desde el punto de vista de la coordinación e integración
de distintos proyectos sometidos a compromisos contractuales en su consecución
y entrega. Nuestro trabajo ha consistido básicamente en asesorar
al respecto de cómo organizar la seguridad, de cómo desplegarla,
crear políticas y normas. Igualmente se nos ha requerido nuestra
opinión profesional sobre distintas alternativas tecnológicas
y herramientas técnicas.
- ¿Se aprende mucho sobre seguridad TIC en la organización
de unos acontecimientos tan especiales como son los Juegos Olímpicos?
- Nuestra responsabilidad en los JJ.OO. atañe a los sistemas soporte
y a la seguridad de dichos sistemas, a efectos organizativos y tecnológicos.
En Salt Lake City desarrollamos a medida muchos de los sistemas de seguridad:
gestión, intrusiones... A partir de ahí creamos productos
paquetizados que han funcionado en Atenas. Uno de los más importantes
ha sido el denominado Cuadro de Mando, que permite hacer informes de situación
a medida, quincenales, semanales, diarios y en ocasiones en línea,
para los distintos responsables con acceso permitido a la información.
En realidad, hemos desarrollado toda una infraestructura de herramientas
alrededor de la gestión de la seguridad, la detección de intrusiones
y la monitorización, que refinaremos para los siguientes Juegos Olímpicos.
Por cierto, el responsable de seguridad de los JJ.OO. es un profesional
de nuestra compañía.
- ¿Y es muy difícil diseñar y probar en cada edición
de los JJ.OO. un plan de contingencias informático y de comunicaciones?
- Tiene su complejidad por razón de la gran concentración
de medios materiales, activos de información y personas en un corto
periodo de tiempo, lo que obliga a realizar pruebas en unas condiciones
muy especiales, contempladas en el análisis de riesgos. No obstante,
tenemos experiencia y disponemos además de una estrategia a efectos
de necesidades de respaldo en caliente y frente a contingencias muy severas.
Para ello utilizamos los más de 40 centros de respaldo que Schlumberger
tiene distribuidos por el mundo en su área de Recovery. Además,
la infraestructura tecnológica de los Juegos está diseñada
en alta disponibilidad desde Salt Lake City. La interconexión de
redes para la divulgación casi en tiempo real de los resultados de
las pruebas obliga a extremar los controles en este aspecto crítico
de la seguridad informática.
- Cabe suponer que en los análisis de riesgos que realizan para
sus clientes, contemplan ustedes los posible apagones de luz, hecho que
inhabilita prácticamente cualquier servicio basado en medios electrónicos
e informáticos...
- Este es un asunto muy crítico. El corte generalizado de fluido
eléctrico padecido por Italia tras el verano, ha llevado al Banco
de Italia a dictar una norma que obliga a todos los bancos del país
a tener un plan de contingencia en el que se incluya la disposición
de un centro de respaldo. Este es un paso importante que puede extenderse
a otros estados de la UE. Obviamente, y como es sabido, las entidades financieras
se mueven ya en el escenario de los denominados riesgos operacionales definidos
en Basilea 2.
En España venimos notando en 2003 un incremento en la demanda de
primeras fases de análisis de riesgos y de planes de contingencia
informáticos, y no sólo en la banca y las finanzas, sino además
en la industria y en el sector público. |
Texto:José
de la Peña Muñoz
Fotografía: Jesús
A. de Lucas
|
|
|
|