José Antonio Velasco, responsable de redes y sistemas de Wanadoo España
«Las herramientas tecnológicas sólo son importantes y útiles si se saben usar y se usan bien»

Wanadoo España, filial del grupo France Telecom, que cuenta con más de 470.000 clientes activos, es uno de los más pujantes proveedores de acceso en nuestro país, además de creador de portales y sitios especializados, distribuidor en línea de productos culturales, editor de guías on-line y tradicionales, y servicios Internet dirigidos a profesionales. Su responsable de seguridad de redes y sistemas, José Antonio Velasco, desgrana en la siguiente entrevista cómo se aborda la seguridad en su compañía.

– ¿Cómo está vertebrada en Wanadoo la seguridad de la información?

– Tenemos un foco central de seguridad que se encarga de coordinar todas las tareas del ciclo de vida de la seguridad y que cuenta con una serie de enlaces definidos con el resto de departamentos de Wanadoo, en puntos estratégicos como son, sobre todo, la parte de producción ISP, los sistemas internos de gestión que dan soporte al negocio, ofimática, etc.; asimismo tenemos enlaces con recursos humanos y jurídicos, además de con marketing y usuarios, es decir, con los puntos estratégicos en los que la seguridad interviene decisivamente.
Dentro de lo que es el foco central, diferenciamos dos partes: una más ligada a lo que son las tecnologías y a los controles tecnológicos, y otra a lo que son los análisis de riesgos y las políticas. Por supuesto, están los consabidos enlaces entre ambas.

– ¿Dónde se encuadra el departamento de seguridad informática?


– Dentro de la Dirección de Sistemas de Información, que en Wanadoo denominamos Dirección de Redes y Sistemas. Tiene capacidad para reportar al DSI y de ahí elevarlo hasta la siguiente capa, que es Presidencia. Puede decirse que hay decisión ejecutiva a partir del Director de sistemas de información. Nuestro enlace es directo y el apoyo es considerable.

– ¿Cómo configuran la seguridad?

– Cuando hablamos de nuestro trabajo, preferimos llamarlo ‘gestión de riesgos’ de seguridad de la información. La parte fundamental, aparte de lo que son los controles técnicos, que van por su lado, es el asentamiento de este modelo. Nosotros hemos definido un modelo de gestión basándonos en el ciclo de vida de la seguridad: análisis de riesgo, determinación de necesidades, políticas y controles, su implementación; luego la evaluación de estas políticas y controles, y finalmente, la concienciación y la formación, todo en un ciclo y todo a la vez. En cuanto al propio análisis de riesgo, una de las tareas fundamentales es asentar en sí la metodología, que ha de ser realista, porque el análisis puede ser muy complejo pero ha de ser práctico. En el análisis nos estamos basando en diversas fuentes de información, parte de la cual es una metodología formal, además de en Magerit, la BS, las normas de ISO... Nuestro objetivo para este año y probablemente el siguiente es asentar el modelo de gestión de riesgos e insertarnos más en lo que son los procesos estratégicos de la empresa.

– A día de hoy, Wanadoo España es el sumando histórico de varias empresas ...

– Provenimos históricamente de dos compañías; una situada en Alicante, llamada CTV, y otra en Vitoria, que era Jet. Incorporamos sus plantillas y al hacerlo pudimos disponer de un personal muy cualificado dada su especialización. Esto toca muy de cerca precisamente a la seguridad, ya que buena parte del personal más técnico del área –quien precisamente se encarga de tareas como el análisis de vulnerabilidades, etc.– procede de tales orígenes. En cuanto a seguridad, esta desvertebración nos proporciona ventajas evidentes, una de las cuales es la de poder disponer de varios centros de proceso de datos, lo cual nos sirve idealmente para nuestro plan de contingencia. Así, contamos con un CPD en Madrid y otro en Alicante, y, en función de la importancia de los servicios (ancho de banda, etc.), así articulamos y equilibramos nuestro plan de contigencias.

– ¿Cómo se distribuye geográficamente el personal?

– En Wanadoo seremos unos quinientos empleados, de los cuales unos doscientos están en Madrid. En Alicante se concentra la parte de Producción de Sistemas y Desarrollo, en tanto que en Madrid recaen la áreas de Dirección y Marketing. En lo que respecta a Seguridad Informática, se reparte en ambas localizaciones.

– ¿Qué ‘pata’ de la seguridad prima en una compañía de las características de Wanadoo?


– En lo que a nosotros concierne, la seguridad tiene dos áreas en donde ha de actuar: en nuestros sistemas internos para salvaguardarlos, y de cara a nuestros usuarios, protegiéndolos y ofreciéndoles servicios de valor añadido, precisamente de seguridad. Bajo esta premisa genérica y de que lo importante es el negocio, la pata fundamental es la de la disponibilidad, lo cual no es nada nuevo porque siempre se ha tenido en cuenta. No obstante, el ‘alza’ de la seguridad en los últimos años no ha venido por esa pata sino por el incremento de las dos restantes: la confidencialidad y la integridad.
La mayoría de los controles asociados al departamento tienen que ver mucho con la confidencialidad y la integridad porque la disponibilidad, aunque intervinimos en la definición de requisitos, etc, es tarea más propia de los departamentos de producción de las empresas, cuyo objetivo, además del de la eficiencia, es precisamente ese: la disponibilidad permanente. En cualquier caso, y en mi opinión, está fuera de toda duda que la disponibilidad es fundamental y como se delega su gestión en los departamentos de producción, resta entonces ocuparse de las otras dos patas.
En nuestro caso, pues, lo que más nos importa es la confidencialidad y la integridad. En tanto compañía, la confidencialidad es muy importante ya que internamente tenemos información muy valiosa, y como ISP, además tenemos añadido una función de proveer confidencialidad a nuestros servicios.

«No cabe discusión: un intruso es quien entra en un sistema ajeno. Eso es ilegal y contra eso hay que luchar»
– ¿Qué parte de responsabilidad cabe atribuir a la seguridad por ustedes ofertada para contribuir a la consolidación del comercio electrónico?

– Desde luego la falta de confianza del usuario ha sido determinante para que el comercio electrónico no acabara de despegar. Necesita tener la percepción de seguridad y ahora mismo no es así, ya no sólo por razones de los propios protocolos utilizados en el comercio-e, sino tambien por una percepción general de todo lo que hace en Internet.
En ese sentido, en tanto ISP, tenemos la obligación de proporcionar unos servicios seguros. Fuera del ámbito del comercio-e, por ejemplo, sigue habiendo mucha desconfianza: están los virus informáticos o, con la entrada masiva del ADSL y las conexiones permanentes, una sensación continua de desprotección. Para que cuaje es fundamental poder disponer de unos estándares adecuados, que todas las organizaciones y agentes implicados puedan estar de acuerdo y hablen el mismo ‘idioma’. Casos como el no triunfo del SET son los que han estado propiciando que no despegue.

– ¿Qué opina de las cajitas ‘todo-en-uno’ con funciones antivirus-cortafuegos integradas?


– Con los servicios de ADSL el objetivo es proporcionar servicios de valor añadido de seguridad y, por supuesto, empieza por ahí. Tenemos una conexión permanente y el router o equiparable tiene características de cortafuegos. No es una utopía, es la solución que estamos pensando y de hecho la vamos a ofrecer.
Sin embargo, el problema de los cortafuegos para clientes es el de su gestión. Gestionar un parque de cortafuegos en nombre del cliente a veces resulta muy costoso y en parte ineficaz, porque no se le puede dejar funcionar sin más, requiere configuraciones contínuas. Para usuarios residenciales, que es nuestro mercado natural, sí veo en un futuro próximo los sistemas de ADSL protegidos por cortafuegos en configuración básica pero no gestionados por el ISP; en un futuro lejano, tal vez. En el mundo de la pyme la cosa varía y la seguridad gestionada empieza a tener un poco más de sentido.

– ¿Cómo mima Wanadoo los datos personales de sus usuarios?

– En esta casa tenemos articulados los mecanismos necesarios para estar adecuados a la legislación vigente y cumplir la normativa española. Disponemos del documento de seguridad y hemos desarrollado las medidas y adaptación de los sistemas que exige el reglamento.

– Nadie cree en las intrusiones, pero ¿haberlas, haylas?


– La seguridad absoluta no existe pero el riesgo sí. No tiene sentido que alguien diga que tiene riesgo pero que directamente niegue que pueda tener intrusiones; muchas de ellas ni siquiera se detectan porque no estamos preparados para detectarlas, y muchas de ellas ni siquiera son maliciosas.
También depende mucho de cuán goloso seas como objetivo. Como ISP sí que hemos tenido incidentes de seguridad y ataques continuos, entendiendo por ello escaneos de puertos, análisis un poco superficiales, etc. O sea, los incidentes existen, las intrusiones son menos, y los ataques, continuos: por abusos de recursos, etc. La tecnología aún está bastante indefensa frente a ciertos tipos de ataques como los de denegación de servicio.

– Para velar por la información, se utiliza tecnología. ¿Qué opina en tanto ayuda para cumplir ciertos propósitos?

– Partiendo de que la seguridad de la información no se cubre solamente con tecnologías, las herramientas sólo son importantes y útiles si se saben usar y se usan bien, adecuadamente. La industria ha hecho grandes esfuerzos y ahora mismo hay en el mercado muy buenas herramientas y bastante competencia. Pero son productos que requieren saber utilizarlos por equipos profesionales, para extraer unos resultados e inferir de ellos información útil sobre lo que son capaces de proporcionar; por ejemplo, en la detección de intrusiones.
Se precisa tener un equipo adecuado y muy bien gestionado porque si no, la herramienta en sí misma no sirve de nada. Se tiende mucho a implantar sistemas, que de por sí son buenos, pero creyendo erróneamente que van a funcionar solos. La mayoría de estas herramientas requieren mucho esfuerzo de gestión y realmente merece más la pena casi no ponerlas si no se gestionan, porque a la larga tener una falsa sensación de seguridad te puede llevar a problemas muy gordos.
– Recientemente Wanadoo ha acometido la implantación de una solución muy innovadora en materia de cortafuegos y alta disponibilidad...

– Así es, la arquitectura del cortafuegos se terminó de implantar en enero. En los últimos meses hemos hecho reconstrucción y mejoras de nuestra arquitectura y, para ello optamos por StoneGate de Stonesoft. Si bien seguimos teniendo mucha plataforma Firewall1 de Check Point, StoneGate nos pareció muy interesante porque nos proprocionaba la alta disponibilidad que demandábamos, la versión que tenían ya proporciona el rendimiento que nosotros requerimos en tanto ISP. En cualquier caso, desearía precisar que resulta útil e interesante, incluso por cuestiones de seguridad, el disponer de varias plataformas de cortafuegos de distintos fabricantes

– ¿Los virus son una molestia o una pesadilla?

– A nivel corporativo nuestra infraestructura de protección es bastante eficiente. Tenemos implantado McAfee y los tiempos de respuesta frente a nuevos virus por parte del fabricante son aceptables. Si se tiene una infraestructura razonablemente adecuada con unas prestaciones correctas, no procede llegar a niveles paranoicos.

– ¿Qué entiende por un intruso?

– No cabe discusión: un intruso es quien entra en un sistema ajeno. Eso es ilegal y contra eso hay que luchar. Comprendo que hoy en día, la mayoría de las intrusiones no tienen carácter malicioso; son más bien por ánimo de juego o de superación, pero no me gustaría nada que alguien entrara en mi casa para echar un vistazo. No tengo ningún reparo en condenarlos.

– De los meros actos de voyeurismo se puede llegar a intrusiones premeditadamente peligrosas...

– No dudo que existen intrusos de los de ‘verdad’. Aunque se esté razonablemnete protegido, no es menos cierto que si alguien es capaz de detectar una vulnerabilidad, también puede suceder que otro que pudiera tener intereses en contra de los demás o con ánimo de apropiarse o destruir algo ajeno, se sirva de dicha vulnerabilidad para oscuros propósitos. Si a ello se suma la ingente cantidad de información disponible en la Red sobre estos temas, se puede llegar a hacer mucho daño.

– ¿Qué opina de la tecnología y propósitos de los sistemas de detección y defensa frente a intrusiones?


– Para una compañía como la nuestra, en tanto ISP, estas herramientas IDS son fundamentales. En nuestro caso, utilizamos tecnología híbrida y estamos en fase de implantación de mejoras. Para ello contemplamos herramientas de ISS y Snort. Pero con todo, aunque sean útiles y válidas, estas herramientas no son la panacea pues con vistas a su implantación son muy complejas de configurar y, sobre todo, de gestionar. El fin último es que nos ofrezcan información actualizada y útil, y eso es complicado.

– ¿Cuál es lo próximo en seguridad en su organización?


– Este año estamos realizando el estudio de viabilidad para abordar un proyecto de utilización de una infraestructura de clave pública como arquitectura de seguridad general para toda la compañía. Queremos tener nuestra propia infraestructura y usar la tecnología de certificados digitales para lo que es la autenticación de todos nuestros sistemas, con un posible salto posterior a ofrecer servicio a nuestros clientes, y para la confidencialidad de los datos en correo electrónico, integrándolo todo. También nos planteamos la gestión centralizada de usuarios con workflow de autorizaciones y sistemas de sincronización de bases de datos de autenticación.
De todas formas los entornos son complejos; algunos ya están capacitados para asimilar rápidamente esta tecnología pero en otros costaría mucho implantarla. En cualquier caso tendremos que valorar cómo se adecuan estas opciones a las proporciones de nuestra compañía y cúan maduro está el mercado a fin de que el balance final entre inversión y beneficios nos satisfaga.
Texto: Luis G. Fernández
Fotografía: Jesús A de Lucas

Documento en PDF

<volver