|
Bernardino
Cortijo, vicepresidente de seguridad de Terra Lycos |
«La
seguridad encuentra su razón de ser en que hay que hacer las cosas
bien y en que los servicios deben ser de calidad»
|
Terra
Lycos es uno de los macroportales y proveedores de acceso y servicios en
la Red más importantes del mundo. Y también es una compañía
que por razones de su naturaleza y volumen de operaciones electrónicas
de clientes y usuarios, necesita dotarse de una seguridad TIC ciertamente
sólida en su política y a la vanguardia tecnológica.
SIC ha mantenido una entrevista con su vicepresidente de seguridad, Bernardino
Cortijo, un extraordinario profesional cuyo reto consiste en conseguir que
los clientes y usuarios del Grupo, puedan realizar sus actividades de información,
de trabajo o de ocio, sintiéndose seguros.
|
|
¿Qué se entiende en Terra Lycos por seguridad de la información?
Terra es una empresa en la que precisamente la información
es uno de sus más grandes activos, por no decir el mayor. La protección
de esa información resulta vital para la propia organización.
Eso sí, le preciso que cuando menciono el término seguridad,
no sólo me refiero a la seguridad en la faceta de protección
de datos, sino también a la de la infraestructura TIC, a la gestión
de los riesgos y a la continuidad de servicios.
¿De dónde depende jerárquicamente en Terra
Lycos la función de seguridad de la información?
Depende directamente del presidente de la compañía
a efectos corporativos. Luego, en cada país en el que estamos implantados,
y en cada línea de negocio, hay profesionales especializados en
las distintas ramas de la seguridad TIC, siempre coordinados por el área
corporativa.
¿Cómo está organizada la función
de seguridad?
En primer lugar, tenemos a los equipos que están coordinando
y gestionando la seguridad del Grupo en el área corporativa, que
es desde donde se emiten las políticas de seguridad, las normativas,
y donde se elaboran los procedimientos y se lleva a efecto un control
del cumplimiento de lo establecido; en segundo, existe el personal especializado
adscrito a cada país en el que operamos en forma de unidad de negocio:
Terra España, Terra Méjico, Terra Brasil, Terra Argentina,
Lycos... En estas unidades de negocio de países, sí se diferencia
lo que es la seguridad informática propiamente de otro tipo de
seguridades que también dependen del área corporativa y
que, en efecto, deben enmarcarse en el más amplio contexto de seguridad
de la información.
Básicamente esta es la estructura; no obstante, hay una peculiaridad
en Terra Lycos: que trabajamos en base a proyectos activos, que tienen
una estructura horizontal. Le explico: en cada proyecto de seguridad que
tenemos en curso también en aquellos de negocio que la prudencia
y el oficio nos indican que tienen una fuerte vinculación con la
seguridad, hay un responsable y un equipo de colaboradores de distinto
nivel; pero, además, también participan expertos de otras
áreas de la organización, que durante el tiempo de duración
del proyecto, están adscritos al área de seguridad. Lo mismo
ocurre en otros terrenos. Creo que es una manera muy eficaz de optimizar
los medios y de fomentar el que nuestros equipos humanos den lo mejor
de sí mismos.
¿Está satisfecho con la inversión que hace
el Grupo en seguridad de la información?
Sí, en la fase actual de trabajos, muy centrada en el asentamiento
sólido de políticas de seguridad y en la apertura de proyectos
muy específicos para controlar la protección de los datos,
proteger las aplicaciones, dar valores añadidos a ciertas líneas
de negocio... Tampoco somos más ambiciosos de lo que la dimensión
de nuestra función justifica. Hoy, tenemos abiertos varios proyectos
importantes, y todos están teniendo el apoyo de la compañía.
De los proyectos a los que alude, ¿cuál le parece
más significativo?
Hay uno, de ámbito global, que consiste en conseguir optimizar
la seguridad para el cliente. Con este proyecto, que tiene varias partes,
se pretende que cuando el cliente entre sea un usuario gratuito
o de cualquier tipo de nivel de pago y de cualquier servicio se
sienta potencialmente seguro. Esto, dicho así parece estupendo,
pero en realidad es algo muy complejo. Lo tenemos parametrizado, es decir,
valorado según las técnicas estándar para saber hasta
dónde podemos llegar en velocidad de la línea, problemas
que pueden causarse, continuidad de servicios, problemáticas de
seguridad en el envío y recepción de correo-e (intrusiones
en la intimidad, ataques con código malicoso...). También
estamos intentando, en este contexto técnico, articular medidas
que nos permitan facilitar los contenidos adecuados para los menores.
|
|
«La
protección frente a instrusiones es importante en Terra
Lycos, pero aún lo es más la disponibilidad de los
servicios»
|
|
¿Tienen ustedes a hackers o fisgones trabajando en casa?
No me gusta el término hacker, me suena a delincuente.
En Terra Lycos disponemos de profesionales de la seguridad TIC que entienden
muy bien las distintas áreas de especialización en su trabajo
de tipo técnico, ya en el chequeo del estado de nuestras redes
ya en otras facetas de investigación.
¿Le resulta complicado extender la política
corporativa de seguridad al resto de entidades del Grupo en los países
donde operan?
Nunca es fácil. De momento no estamos teniendo mucho
problema, a lo que nos ayuda el que las cosas se estén planteando
en función de un beneficio para el usuario y el cliente. Algunas
acciones obligadas de seguridad parece que no dan un beneficio inmediato,
aunque con las cosas que están pasando hoy en día creo que
dicho beneficio está a la vista.
Hay quien cuenta que ustedes detectan cerca de medio millones
de intentos de ataque al mes. ¿Le parece descabellado el cálculo?
Yo no los he contado, desde luego. Obviamente, en los grandes portales,
y también en las grandes empresas y administraciones con mucho
volumen de transacciones en el contexto de la Red, pues se registran intentos
de ataque. Pero conviene aquí precisar que muchos de estos intentos
son de carácter sistemático y/o estadístico y no
revisten mucha gravedad. Otros se realizan a conciencia y con mal sentido.
Esta es una realidad, y para controlar el que este tipo de incidentes
no se conviertan en causa grave de trastorno para la empresa estamos los
profesionales de la seguridad.
¿Hasta qué punto confía en las herramientas
tecnológicas de seguridad?
La casa la hemos empezado por los cimientos: elaboración
de política, normas y procedimientos basándonos en estándares:
ISO 17799, método de análisis y gestión de riesgos
Magerit, RFCs... Contamos, además, con la ventaja de nuestra fortísima
relación con el Grupo Telefónica, que dispone de una dirección
general de seguridad corporativa que, precisamente, desarrolla las normas
globales y coordina las acciones que al respecto toman las empresas del
Grupo. Después, y por sus peculiaridades, cada una adapta la normativa
a su casuística. Tras crear esa base de normativas adecuadas, hemos
generado procedimientos para identificar productos. En última instancia,
lo que pretendemos es que, se utilice el cortafuegos que se utilice, o
el IDS, o la solución antivirus, o el sistema de alta disponibilidad
y balanceo de carga tal o cual, como mínimo cumpla las especificaciones
de seguridad que damos en la normativa se adapte a los requisitos técnicos
de nuestra infraestructura tecnológica. En estos momentos estamos
evaluando varios productos cortafuegos e IDS, entre otros. Y debido a
nuestras peculiaridades, tamaño y política, no parece que
vayamos a optar, en cada caso, por la herramienta de un solo fabricante,
además de que no todo sirve para todo. Puede pasar que a los seis
meses o al año, una herramienta implantada para cubrir una necesidad,
ya no sea la mejor del mercado.
¿Y dónde quedan las personas?
Con unos buenos profesionales, unos buenos procedimientos de trabajo
y una buena normativa hemos resuelto, sin entrar en el capítulo
de adquisición de herramientas tecnológicas de fabricante,
un porcentaje elevadísimo de problemas de seguridad. Ahora bien,
hay áreas que no pueden protegerse con procedimientos, y es completamente
necesario hacerlo con herramientas.
Una apreciación: a las herramientas tecnológicas hay que
sacarles el máximo partido, y para ello es necesario disponer de
profesionales expertos en su configuración, administración
y mantenimiento.
¿Qué opina acerca del Reglamento de medidas de seguridad
y, en general, de la legislación sobre datos personales?
Parto de la base de que haya Ley o no haya Ley, y de que haya Reglamento
o no, la protección de los datos personales de los clientes y usuarios
en algo importante en una empresa u organización, y más
generalmente en la sociedad. Para cumplir con la legislación sobre
protección de datos personales hay que hacer un importante esfuerzo,
y yo lo tengo asumido. Sin embargo, quizá falte un punto más
de celo en la aplicación de las leyes a aquellos terceros que probadamente
acceden de forma no autorizada a esos datos personales.
|
|
¿Cuál le parece su reto profesional más importante,
relativo a la seguridad, en Terra Lycos?
Conseguir que los clientes y usuarios puedan realizar sus actividades
de información, de trabajo, de ocio, sintiéndose seguros.
¿Cómo? Pues fortaleciendo las aplicaciones, controlando
los accesos, la seguridad en las comunicaciones...
¿Es posible, sirviéndose de la seguridad, ofrecer
valor añadido a las líneas de negocio?
Hay pocas cosas de las que no se pueda hacer negocio. La seguridad
surge como consecuencia de unas necesidades que hay que cubrir de modo
obligatorio y por pura profesionalidad. Ahora bien, si por ejemplo a un
señor, o a una familia, se le ofrecen diferentes niveles de equipamiento
y de seguridad o de protección en función de lo que vayan
a hacer, o a una empresa en función de las distintas necesidades
de sus departamentos, pues la visión empieza a ser de negocio.
Hay varias fórmulas. Terra está contemplando todo lo que
pueda ser útil o necesario. Además, algunos de estos servicios
hay que ofrecerlos en coordinación con empresas especializadas
en seguridad: no vamos a inventar aquí un antivirus o un sistema
de detección de intrusiones.
¿Va a crecer la inversión en seguridad TIC en todos
los órdenes?
Llevamos más de dos años creciendo a buen ritmo,
y todo indica que vamos a seguir en esa línea. Creo que todavía
tiene el ramo de seguridad un margen de crecimiento muy importante, aunque
todo tiene un límite.
¿Ofrece actualmente la tecnología soluciones asumibles
para las necesidades detectadas de seguridad en Terra Lycos?
Queda mucho por hacer. La versión actualmente operativa
de IP está un poco quemada. Debería haber cuanto antes un
cambio. Por otra parte, el número de usuarios de servicios de web
y de correo-e crece y crece, y en ocasiones, algunos sistemas cortafuegos
son ineficaces frente al número tan elevado de llamadas que se
realizan. Hay que trabajar mucho en todos los frentes, por ejemplo en
los balanceadores de carga, a efectos de conjugar de forma óptima
herramientas tecnológicas con distintos propósitos.
También es cierto que las empresas desarrolladoras de productos
de seguridad -europeas y españolas, también- están
trabajando mucho y muy bien, que todo hay que decirlo.
¿Dónde deja a los hackers? ¿Le parece que
son personas que están ahí para divertirse? ¿Existen
intrusos realmente peligrosos, los de verdad, aquellos que no son conocidos?
No concibo, dentro de la ley, el entrar en un sistema ajeno. Cada
persona, física o jurídica, tiene sus propiedades, sean
electrónicas o no, y hay que respetarlas. En este mundo hay dos
tipologías básicas: los curiosillos, generalmente universitarios,
que no hacen mucho daño, y aquellos que van en serio a hacer daño
a una persona, empresa o administración... Creo que las herramientas
tecnológicas deben protegernos de sus ataques, e identificarlos.
¿Qué opinión le merece el proyecto de nuevo
DNI?
Estoy muy interesado. Creo que es necesario, porque debe haber
un documento que nos garantice quiénes somos a través de
los medios electrónicos. Debemos apoyar el proyecto de DNI Electrónico.
Una última pregunta: ¿justifica la seguridad TIC
en base al riesgo que suponen este tipo de amenazas en el contexto de
la Red?
La seguridad TIC, en el contexto de la seguridad de la información,
encuentra su razón de ser en dos pilares: que hay que hacer las
cosas bien, y que los servicios deben ser de calidad. El capítulo
de la protección frente a instrusiones es importante en Terra Lycos,
pero aún lo es más el de la disponibilidad de los servicios.
|
Texto:
José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
|
|
|