|
Xabier
Mitxelena, director gerente de S21SEC |
«Llevamos
a los clientes a un estado de mínima inseguridad»
|
Nacida a mediados de 2000, S21SEC es una joven compañía
española especializada en la prestación de servicios de auditoría
de seguridad y en la realización de test de intrusión, que
en corto espacio de tiempo ha ido ganando una importante cuota en el mercado
nacional de grandes organizaciones: banca, administración, operadoras...
Cuenta con un equipo de expertos acostumbrados a buscarle las vueltas a
la seguridad telemática, y no le hace ascos al desarrollo de herramientas
tecnológicas de protección. Su director gerente, Xabier Mitxelena,
un experto en calidad, trata en esta entrevista, con la debida prudencia,
de un ramo de actividad al que no asusta la palabra ataque. |
|
¿Qué resultados económicos ha obtenido S21SEC desde
que inició sus actividades, y cuáles son sus previsiones?
S21SEC se constituyó en 2000, y empezó a facturar,
como quien dice, después del verano de ese año. La cifra
alcanzada fue de un millón de euros; en este año 2001 podríamos
alcanzar los 5 millones de euros, y en 2002 los 12 millones de euros.
¿Cuántos expertos en seguridad telemática
tienen en plantilla?
Somos 40 personas, de las cuales técnicos son 32. Nuestra
idea es terminar este año con 60 técnicos y a finales de
2002 llegar a 125.
¿Y de dónde van a sacar ustedes a tantos especialistas?
Nuestros técnicos provienen del ambiente cultural de la
Red, y tienen sus propias bases de datos y entornos de trabajo. Mediante
este canal podemos llegar a disponer de 10 ó 15 técnicos
más manteniendo el nivel de calidad que consideramos oportuno,
pero a partir de ahí la cosa se va a poner difícil, por
lo que tenemos planeado crear un centro de formación, ya que por
razones evidentes, el gran activo de S21SEC es su personal especializado
en plantilla. Cogemos contratos en función de la disponibilidad
de recursos, y si por no disponer de más equipo hay que decirle
a un cliente final que no se le puede dar servicio hasta septiembre, pues
se le dice.
¿Pone S21SEC alguna cláusula especial en los contratos
de trabajo de los técnicos que tienen que trabajar atacando
los sistemas de sus clientes?
Si a lo que usted se refiere es a si tenemos un contrato de confidencialidad,
la respuesta es sí, tanto con el trabajador sea o no técnico,
como con el cliente. Al respecto de este último, le diré
que nunca se hace un trabajo sin la autorización previa del cliente
final; es él quien marca las pautas de las IPs y los lugares que
hay que revisar. A partir de ahí seguimos nuestros propios métodos
de trabajo.
¿Tienen muchos clientes?
Antes los contábamos con los dedos de una mano, pero en
los últimos seis meses han crecido de una forma sustancial. Diría
que estamos entre los 50/60, y con unas previsiones de llegar a fin de
año en la actividad específica de servicios de análisis
del estado de seguridad a los 120. De ellos un 80% pertenece al ámbito
de la gran cuenta: administración pública, banca y seguros,
operadoras, fabricantes..., y un 20% al de pymes, sobre todo aquellas
que manejan I+D propio de los sectores metalúrgico, industrial
y de servicios, y que han tenido problemas de fuga de datos a través
de la Red.
Llegados a este punto me gustaría hacer dos precisiones: primera,
que no siempre aquella empresa que cree haber tenido problemas los ha
tenido; y segunda, que en general, cuando alguien nos llama es porque
ha tenido problemas desde el punto de vista técnico o porque ha
de conocer con exactitud los problemas que se puede encontrar desde el
punto de vista legal.
Un suponer: de las 100 compañías más grandes
de este país, ¿cuántas cree que alcanzan el aprobado
en seguridad?
Un 80% están más o menos protegidas. A efectos
de los niveles en que trabajamos, un 3%. Hasta hace poco las empresas
han estado basando la seguridad en lo que denomino kits de supervivencia:
cortafuegos e IDS. Pero en este mercado ha habido mucha chapuza, de tal
suerte que entrar a través de un cortafuegos en numerosísimas
ocasiones no presenta demasiadas complicaciones. Esto se arregla utilizando
profesionales expertos en seguridad.
|
|
«En
casi todos los clientes encontramos agujeros lo suficientemente
importantes como para que se pueda acceder a información
confidencial»
|
|
¿Encuentran en el curso de sus trabajos agujeros de seguridad que
pueden explotarse?
Es una realidad. En casi todos los clientes encontramos agujeros
lo suficientemente importantes como para que se pueda acceder a información
confidencial. También es cierto que algunos de estos clientes llevan
mucho tiempo sensibilizados y disfrutan de un nivel de inseguridad mínimo.
En general, diría que las redes internas y externas están
expuestas a personas con una formación técnica media-alta
que puede acceder a datos e información sin estar autorizados. No
obstante, siempre hay que ser comedido, y las inversiones en seguridad han
de ser las justas y necesarias. Para nosotros lo importante es que el cliente
final sepa cómo está, o mejor, como va estando, ya que la
seguridad es un proceso en el que aparecen continuamente agujeros y vulnerabilidades,
algunos documentados, otros, quizá, no.
Hay agujeros de seguridad. Pero, ¿pasan cosas?
Sin duda. Le mencionaré algunas: usuario interno descontento
con su poco reconocimiento, que mediante la introducción de troyanos
en la red de su empresa, consigue que se caigan todos los días los
sistemas; entidad importante, auditada supongo por una entidad también
importante, en la que en menos de 10 horas entramos en un host haciendo
transacciones en línea; usuario externo que entra en una entidad,
se lleva la base de datos y las aplicaciones, todo ello residente en un
externo; usuarios internos y externos que husmean información de
la dirección general de una compañía; fugas de información,
de naturaleza interna, en departamentos de I+D...
Cabe intuir que una compañía como S21SEC no confía
demasiado en la eficacia de las herramientas tecnológicas de detección
de intrusiones...
Los IDS, tanto los de pago como los de libre disposición,
cumplen la función de ofrecer seguridad en ciertos niveles de las
capas OSI; pero existen otros niveles que no se pueden abordar de una forma
completamente automática. Es ahí donde resulta necesario realizar
trabajos de ingeniería mediante expertos capaces de explotar los
agujeros potenciales que tienen los sistemas, y, además, de determinar
hasta dónde podría llegarse conociéndolos. A pesar
de esto, somos más amigos que enemigos de los productos de IDS.
En la experiencia de S21SEC, ¿se cumple el dato estadístico
al uso que indica que entre un 70% y un 80% de los problemas de seguridad
tienen un origen interno?
Independientemente de que nuestros primeros ataques los
hagamos siempre desde Internet, cuando se abunda en la relación con
el cliente y éste nos permite entrar en sus redes internas, descubrimos
que muchos riesgos potenciales de seguridad están dentro. Sin embargo,
las estadísticas están cambiando: si hace un año se
hablaba de un 80% interno y un 20% externo, las más recientes sitúan
la proporción en un 68% externo y un 32% interno.
Además de ofrecer servicios de auditoría de seguridad
y realizar test de intrusión su actividad más conocida
hoy, S21SEC se ha lanzado al desarrollo de herramientas tecnológicas
de seguridad. La primera es HIVE, pero habrá más.
Por razones del origen de esta compañía y de su materia
prima, era lógico que iniciara sus actividades en el segmento
de las auditorías de seguridad. No obstante, pronto nos dimos cuenta
de que teníamos potencial para, además, desarrollar herramientas
nuevas que elevaran los niveles de seguridad de nuestros clientes.
Por la experiencia acumulada en el mercado sabemos que en el 98% de los
casos las intrusiones se hacen al nivel de código de las aplicaciones.
Así pues, la herramienta que hemos desarrollado y patentado, HIVE,
es un protector de nivel 7. Se presentó el pasado mayo en Amsterdam,
y ya tenemos varios clientes internacionales, entre ellos un desarrollador
de software norteamericano que quiere implementar la herramienta para fortificar
sus aplicaciones, orientadas a dar servicios de ASP a compañías
de más de 10.000 usuarios internos.
Esperamos que HIVE no sea el único producto de S21SEC. De hecho estamos
diseñando una segunda herramienta, orientada a la realización
de auditorías on site, que verá la luz después de verano.
Ésta es una de las herramientas con la que estamos intentado colaborar
con los fabricantes de algunos de los escáneres más conocidos.
Los escáneres hacen las auditorías remotas, lo que en tiempo
y seguridad puede implicar en ocasiones riesgo; lo que hacemos con nuestro
producto es bajar el web a un servidor on site, auditarlo con la herramienta
comercial de la empresa pertinente, y generar un informe de S21SEC. También
estamos en otros dos proyectos de desarrollo, que nos han llevado a solicitar
subvenciones al ministerio de Ciencia y Tecnología, ya que aunque
tenemos capacidad de inversión, ésta, sin embargo, es limitada.
Se trata del desarrollo de herramientas forenses que permitan a los clientes
chequear cuándo han tenido un problema, hacer un seguimiento de los
log, e intentar llegar al origen del asunto para poder plantear soluciones. |
|
En el caso de HIVE, ¿cómo se explica que los gigantes de
la seguridad no hayan desarrollado ya alguna herramienta parecida?
Están en ello, y en el futuro el mercado determinará
si HIVE es mejor o peor que las del resto. Por el momento nos hemos adelantado,
gracias a un equipo de expertos en intrusiones, que saben cómo
entrar y, en consecuencia, están en una posición inmejorable
para conocer cómo no se puede entrar.
¿Qué opina de la auditoría a terceras partes
de
confianza?
Pues que es una alternativa de futuro importantísima. Si
se ha optado por el modelo de terceras partes de confianza, en el contexto
de los sistemas de firma electrónica de amplio espectro, parece
lógico que auditar a los proveedores de servicios de certificación,
desde un punto de vista legal, e incluso fiscal, es un asunto crítico.
Habrá que auditar las plataformas tecnológicas de los proveedores
y determinar si hacen lo que ellos dicen, o si ellos dicen lo que hacen.
Uno de los objetivos de S21SEC, a medio plazo, es especializarse en auditar
soluciones PKI. También tengo que decirle que siempre hemos pensado
que desde un punto de vista fiscal el futuro pasa por inspeccionar y auditar
a los servidores de comercio electrónico.
Por otra parte, S21SEC mantiene una línea de trabajo, por la que
ya factura desde hace 6 meses, que consiste en realizar chequeos de seguridad
a herramientas tecnológicas de fabricantes internacionales de seguridad
TIC.
Ya que ha mencionado los servidores web de comercio, ¿qué
opinión le merecen los sellos de confianza tan de moda últimamente,
tipo Web-Trust u otros de compañías auditoras específicas?
Las grandes consultoras y los grandes integradores empiezan a ver
a la seguridad como un negocio, y como en el contexto de los negocios
siempre se han distinguido por un nombre, pues tienen la necesidad de
crear sus propias etiquetas. No creo en los sellos, y menos en materia
de seguridad. Y lo digo por experiencia, porque algunos sitios que hemos
auditado han pasado los niveles exigidos por alguno de ellos, y la verdad...
Nadie puede certificar la seguridad, sí los métodos de auditoría
de seguridad. Y me parece bien que existan entidades que sean capaces
de dar fe de que otras entidades cumplen una serie de normas para poder
auditar sus sistemas.
En estos tiempos están aterrizando en España muchos
fabricantes de sistemas de detección de intrusiones. ¿Le
causa esto inquietud?
Es buen sintoma, porque quiere decir que fuera de nuestras fronteras
se están dando cuenta de que el concepto de seguridad en España
está madurando. En muchas organizaciones se está llegando
a sentir a la seguridad como una parte de los procesos de gestión,
y cuando esto pasa, empiezan a encajar muchas piezas: consultoría,
herramientas tecnológicas, integración, servicios...
De otro lado, y como ya he apuntado, la seguridad tiene elementos que
no contemplan las soluciones comerciales, por lo que nuestra actividad
en el campo de la auditoría de seguridad y los test de intrusión
es complementaria a la de los fabricantes de sistemas de detección
de intrusiones. Con alguno de ellos estamos incluso en conversaciones
para encontrar sinergia.
¿Con cuál?
Con ISS. Este fabricante está interesado en que el centro
tecnológico de su Xforce en España sea S21SEC; igualmente,
está interesado en integrar HIVE y Araña, otro producto
actualmente en desarrollo en sus soluciones. Otro frente de conversaciones
se centra en los servicios 24X7 y en la seguridad gestionada.
|
Texto:
José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
|
|
|
|