Carlos García Perales, director de e-Security de Bull España
«Bull ha sido capaz de convertir un área competencial como es la de seguridad en un área de negocio»
No es habitual encontrar multinacionales ‘clásicas’ el sector de tecnologías de la información que apuesten por la seguridad TIC en el mercado español; en la mayoría de los casos más por ignorancia de sus gestores locales que por falta de posibilidades de negocio. Bull España constituye una honrosa excepción. A través de su unidad especializada, integrada por más de cincuenta expertos, ha sabido configurar un portafolio de oferta nada desdeñable, cuyo éxito está avalado por las numerosas referencias que hoy puede exhibir, algunas de las cuales comenta en la presente entrevista su director de e-Security, Carlos García Perales.

– ¿Qué es e-Security y en dónde se ubica en el entorno de Bull España?

– E-Security es la unidad de Seguridad TIC, dependiente del área de consultoría e integración de sistemas de Integris, la división de servicios de Bull

– Hay que reconocer que Bull, en comparación con otras compañías clásicas de TI, está demostrando una gran competencia y visión en el multidisciplinar sector de la seguridad TIC.

– Aunque ahora ha llegado el momento de dar el salto, la seguridad para Bull ha sido siempre un aspecto esencial en las TIC. Un repaso por nuestra historia lo demuestra: participamos en el desarrollo de la una metodología de seguridad Melissa, de gran repercusión en Europa; inventamos la tarjeta inteligente, una de cuyas aplicaciones –aunque no la única– ha sido la de seguridad; desde hace años, aportamos al mercado soluciones tecnológicas de administración centralizada de seguridad en entornos heterogéneos y para entrada única...
Antes lo que hacíamos en seguridad era apoyar a otras unidades, que es el modelo mantenido hoy por otras compañías TIC de un entorno similar al nuestro. Sin embargo, con e-Security hemos subido un peldaño, tras detectar que había en el mercado proyectos de seguridad con gran valor en sí mismos. Hemos sido capaces de convertir un área competencial en un área de negocio.

– ¿Cómo se enfoca la seguridad en la unidad de e-Security de Bull?

– Manejamos, interna y externamente, el concepto de seguridad activa, que funciona adecuadamente en un mundo en el que los riesgos son mayores ante el incremento de intercambios de información a través de la Red. La porosidad de los sistemas de información y de las aplicaciones es superior a la de antaño, con lo que las amenazas se han disparado. Sucede, además, que al ser el mercado un entorno de fuerte competencia entre empresas, éstas se ven abocadas a incorporar a la carrera nuevos servicios y aplicaciones. En esta situación, los departamentos de seguridad tienen muy difícil asegurar que esas incorporaciones se están llevando a cabo con una garantía mínima de control si no utilizan fórmulas rápidas y eficientes de solución. Para Bull una de esas fórmulas consiste en lo que se denomina sistemas de información de seguridad, que deben ser diseñados y construidos por los departamentos de seguridad e implantados de manera paralela a como se hace la implantación de los sistemas de información de gestión, corporativos o de negocio.
Es en este escenario en el que concibe Bull los servicios y las herramientas tecnológicas capaces de realizar un análisis e identificación continuos de las brechas de seguridad de los sistemas y de las actividades maliciosas de manera parelela a la ejecución normal de las transacciones, y que a partir de esto sean capaces de producir alarmas y de llevar a cabo acciones correctoras.
Ésta es una primera vertiente de la seguridad activa, en la que todo es coste para la empresa. Pero hay una segunda vertiente: la necesidad de convertir los proyectos de seguridad en proyectos de negocio, a través de los procesos de certificación electrónica, de las redes de confianza y de la implantación y uso de la firma electrónica. Es sabido que los intercambios de valor entre las empresas en la Red adolecen de confianza. La firma electrónica y la certificación se presentan como la solución. Creo que ahí las compañías deben mostrarse activas en la búsqueda y conformación de comunidades virtuales que les permitan la realización de transacciones en un ambiente de confianza. Y en esos entornos pensamos que las organizaciones pueden encontrar nuevos modelos de negocio, pueden mejorar sus ratios de negocio, o pueden mejorar su productividad interna.
«Nuestra previsión es alcanzar una cifra de negocio de 1.500 millones de pesetas a finales de año»
– ¿Podría citar algunas referencias de mercado?

– Me cuesta mucho elegir, y además llega un momento en que no se pueden contar todas. Diría que hay alguna en el área de la consultoría digna de mención por lo poco común en este país y en el resto de Europa: la realización del modelo de implantación del modelo de gestión de la PKI de ámbito vasco. Esta consultoría se realizó para siete entidades: el gobierno vasco, las tres diputaciones forales y las tres cajas de ahorros vascas, al objeto de construir una solución capaz de proveer tanto un marco jurídico de relación entre las siete entidades mencionadas en lo que tiene que ver con la certificación electrónica, como un marco tecnológico, una arquitectura tecnológica, en la cual cada una de estas entidades asociadas asume determinada función en esa comunidad virtual. Bull ha ayudado en el desarrollo de los marcos jurídico y tecnológico, y en la elaboración de la política e certificación y del plan de negocio asociado.
Otro proyecto interesante es la construcción de la solución de conexión de autenticación en la banca de empresas de BBVA. Hay otras referencias, ligadas al entorno de la PKI, que tienen para nosotros un gran valor. En primer lugar la experiencia de la Consejería de Justicia de la Junta de Andalucía para la implantación de la aplicación segura de firma para jueces, ficales y secretarios judiciales; de este proyecto sacamos gran parte de nuestra competencia en la materia, incluso en la construcción de tecnología que ha terminado siendo propia y trasplantable a otros clientes, como por ejemplo el ministerio de Justicia de Portugal.
Podemos hablar, también, de Rural Servicios Informáticos, donde se ha implantado una autoridad de certificación y se ha integrado todo el procedimiento de identificación en su intranet corporativa. Bull, además de lo que afecta a los procesos de implantación, ayuda a las empresas a posicionarse dentro de este mundo, que en muchos aspectos les es desconocido. En el caso de Rural, colaboramos en la identificación de los procesos en los que la firma electrónica dentro de su corporación podía tener un valor añadido importante. Igual hicimos con Fonocom.

– ¿Temen que otras compañías les llamen la atención por realizar consultoría de negocio?

– Bull llega a la consultoría de negocio desde el conocimiento profundo de lo que se puede y lo que no se puede hacer utilizando ciertas tecnologías de información y de comunicaciones. Cuando llevamos a cabo una consultoría, lo hacemos porque conocemos bastante bien todas las tecnologías disponibles o en disposición de usarse. Y en esto basamos nuestra independencia. Otras empresas se consideran independientes porque a lo mejor no saben demasiado de ninguna de las tecnologías, y se pueden permitir el lujo de seleccionar cualquiera de ellas.

– Pero Bull participa en el capital de Safelayer. Algunos les pueden acusar de parcialidad...

– A la larga el mercado penaliza a aquellos consultores o integradores que se muestran muy cercanos a un único producto, salvo si ese producto es puntero y está a una distancia abrumadora del resto, en cuyo caso el mercado aplaudirá la decisión del integrador o del consultor. Pero si no existe un líder absoluto del mercado, lo que se exige entonces es independencia. Nosotros no negamos nuestra participación en el accionariado de Safelayer desde el principio, lo que creo fue una decisión excelente, pero existen otros fabricantes de tecnologías con las que tenemos acuerdos corporativos como Baltimore o SmarTrust. El hecho de que los usuarios conozcan que Bull es accionista de un determinado editor de software de seguridad no creo que haya sido un freno para nosotros en el mercado. Nos gusta decir que somos multitecnología, en el sentido de que cuando enfocamos un proyecto estamos capacitados para introducir varias, si es necesario.

– ¿Incluso las de Bull?

– Sí. Para Bull el desarrollo propio de tecnología es importante. No aspiramos a ser un editor de software, pero sí a tener un conjunto de herramientas que nos ayuden a enfocar los proyectos en áreas fundamentales, como las aplicaciones de seguridad. Hasta ahora se ha realizado un enfuerzo importante por proteger aplicaciones de negocio. Poco a poco se empieza a intuir que hay que introducir seguridad en las aplicaciones. Creo que en muchas ocasiones sería bueno hacer girar la construcción de las aplicaciones de negocio alrededor de la propia firma electrónica, porque en muchos aspectos puede mejorar la gestión e incluso reducir el coste de construcción del sistema de firma electrónica. Como proceso tecnológico en sí mismo, puede facilitar la construcción de aplicaciones.
Ahí si queremos tener una tecnología que nos permita realizar proyectos de forma rápida. Dicha tecnología se fundamenta en el uso del certificado electrónico como elemento de identificación de las personas, el directorio LDAP como repositorio de todas las informaciones de autenticación, gestión e identificación, y la tarjeta inteligente normalmente como contenedor. A partir de estos tres elementos, podemos construir las aplicaciones que sea preciso: single sign on, firma electrónica avanzada, sellado de tiempo... Actualmente trabajamos en aplicaciones que tienen que ver con la ‘securización’ de los procesos de correo electrónico y de la gestión administrativa. Quisiera dejar claro que no sólo nos dedicamos a la PKI. Tenemos un grupo muy importante de consultores trabajando en los aspectos ligados a la auditoría y a la construcción de sistemas de seguridad. En este caso estamos más ligados a un editor de software, porque su solución nos parece diferenciadora. Me refiero a ISS. Hablando de referencias, quizá merezca la pena mencionar a Securli@. Allí se realiza una auditoría de seguridad de todos los sistemas gestionados por el gobierno de la Generalitat Valenciana, cerca de 11.000. Otras referencias en esta área son las de Citibank, la Oficina Española de Patentes y Marcas y Eroski.
– ¿Sigue Bull manteniendo sus previsiones de resultados para el mercado ibérico?

– Pensamos que para finales de este año alcanzaremos una cifra de negocio de nueve millones de euros, unos 1.500 millones de pesetas. Significa un crecimiento muy importante frente a los 800 millones de pesetas de 2000, aunque más que el crecimiento en la cifra de negocio, lo que valoramos en e-Security, como unidad, es el crecimiento que se ha producido en los recursos humanos, tanto desde el punto de vista cuantitativo –estamos en el ntorno de las cincuenta personas trabajando en proyectos–, como cualitativo, ya que creo que tenemos uno de los grupos más expertos en las distintas áreas de la seguridad que hay en España. Hay otro parámetro de interés: el peso creciente que la unidad de e-Security está adquiriendo dentro de Bull.

– ¿Cuáles son sus relaciones con socios tecnológicos? Se observa que mantienen tratos con FNMTRCM y con Camerfirma, pero no con ACE.

– En la Oficina de Patentes y Marcas trabajamos con FNMT-RCM. Con Camerfirma hemos colaborado en la implantación de su solución PKI y en el contexto de su oferta de externalización, como la que tienen con la Cámara de Uruguay. De hecho estamos juntos en algunas operaciones y para pruebas de tecnología. Con ACE también tenemos relaciones. Fue la primera entidad de certificación con la que Bull trabajó. Me refiero a Informarket, hoy Euromarket. De todas formas, las relaciones de Bull con estas entidades se entienden sin perjuicio de que en ciertas ocasiones podamos encontrarnos en lugares diferentes en determinadas negociaciones.

– ¿Qué opina de la polémica existente en el mundo de la PKI, acerca de la opción de externalización frente a la de herramientas tecnológicas de fabricante?

– Me parece estéril. Plantear esa disyuntiva de blanco o negro no está en el fondo del problema. Lo importante es que la empresa sea capaz de visualizar su situación, su posición, dentro de lo que pueden ser las redes de confianza, y que ésta sea dueña de las decisiones acerca de la posición que va a ocupar dentro de esas redes de confianza.
La verdad es que la pregunta es difícil de contestar en frío. Creo que la elección debe estar basada en un proceso de decisión, y Bull está en disposición de contribuir a que el usuario se forme un criterio al respecto a través de un trabajo consultivo.

– Una última pregunta: ¿qué compañías considera usted, en tanto director de e-Security de Bull España, como competidoras en el mercado de seguridad TIC, y que cree que les diferencia a ustedes de ellas?

– Empiezo por el final: nos diferencia la versatilidad de nuestra oferta, ya que tenemos capacidades en múltiples áreas de la seguridad, lo que nos permite abordar una amplia tipología de proyectos y desde muchas aproximaciones: consultoría, implantación, desarrollo de tecnología... A efectos de mercado, nuestra presencia se deja sentir en la consultoría y la auditoría de seguridad, en los planes de adaptación a la legislación sobre protección de datos, en la construcción de sistemas de información basados en herramientas de análisis de vulnerabilidad o de servicios de vigilancia, en el ámbito de las consultorías para la identificación de modelos de implantación de PKI, proyectos de implantación de firma electrónica, incluso en el desarrollo de tecnología propia... Encontramos competencia en todos los frentes, pero no puedo hablar de una única tipología de competidores; en muchas ocasiones nos topamos con algunos que acceden a opciones de mercado de una manera espontánea. Esto es típico de la firma electrónica: aprovechar la cercanía al cliente para promover soluciones o para participar en la disputa por ese tipo de proyectos.
Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
Documento en PDF
  
<volver