Juan Antonio Saras Pazos, director de Centros de Competencia de Indra
«Seguridad de la información es una línea estratégica de Indra para 2003»

La oferta de servicios de seguridad de la información en España cuenta desde hace tiempo con integradores globales de gran peso en el sector de TIC. Uno de ellos, Indra, dispone ya de notables referencias en este ámbito. Su director de Centros de Competencia, Juan Antonio Saras Pazos, un profesional que conoce desde hace años los entresijos de la seguridad, manifiesta en esta entrevista las razones por las que su compañía ha apostado por este mercado.

– ¿Cómo se entiende en Indra la seguridad de la información?

– De una forma amplia, que resumo en tres grandes conceptos: disponibilidad continua de los sistemas, exactitud y fiabilidad de la información que se trata en los mismos, y un último concepto, que abarca los modelos y prácticas de gestión que permitan demostrar ante terceros la existencia y validez de dicha información.

– ¿Qué actividades desarrolla principalmente Indra en los mercados de seguridad TIC?

– Somos una compañía de servicios global, por lo que nuestra cobertura de mercado va desde la consultoría y prescripción de herramientas tecnológicas hasta la explotación de servicios de seguridad, pasando por el suministro de soluciones de seguridad llave en mano. Creo que ofrecemos un portafolio de servicios integrales de gran calidad en todos los ámbitos de la protección de la información, incluyendo los de auditoría informática de seguridad y creación y mantenimiento de planes de contingencia TIC. Tenemos precisamente una línea de consultoría especializada en estas últimas líneas de negocio, en la que se incluye también el epígrafe correspondiente a la adaptación permanente de los tratamientos de datos personales a la legislación vigente. También hay otra línea de oferta alrededor de la gestión de identidad lógica en la que incluimos el suministro de las soluciones de infraestructura de clave pública (PKI), gestión de los derechos de acceso, soluciones de clave única, provisión de recursos, gestión centralizada de seguridad, etc., que constituyen, frente a las soluciones típicas de seguridad perimetral, los elementos de oferta más novedosos.
En realidad, la seguridad TIC está ya presente en la construcción de aplicaciones y el ámbito de la planificación y desarrollo de sistemas. Lo digo porque muchos de los trabajos que aluden específicamente a seguridad TIC los estamos realizando en el marco de proyectos generales de modernización tecnológica emprendidos por clientes.
Por otra parte, tenemos una línea muy importante de servicios de externalización de la función informática, en la que también se incluyen los alusivos a seguridad técnica y gestión de la seguridad, aunque digno es reconocer que dicho mercado de protección, considerado de forma específica, es todavía emergente.

– ¿Sólo emergente?

– Hasta el momento no hemos detectado demasiados proyectos, ofertas o concursos en los que el usuario esté interesado en externalizar la seguridad; no obstante, Indra tiene experiencia en su gestión en el marco de los servicios de outsourcing de la función informática. Como ejemplo le cito a Red Eléctrica de España, un cliente que ya tenía definida la función de seguridad. En otros casos de externalización con clientes en los que dicha función podía ser, digamos, mejorable, Indra la ha mejorado y, obviamente, la mantiene y evoluciona.
Para nosotros la seguridad técnica y la gestión de la seguridad son componentes fundamentales de un sistemas de información, y esto lo tenemos muy en cuenta en los servicios de externalización. Quiero decir con esto que si en algún momento un cliente no tiene definida la función de seguridad, nosotros la implantamos, sujetos claro está a criterios de ahorro de costes y de cumplimiento de los acuerdos de nivel de servicio que firmamos.

– Por su respuesta se deduce que Indra no contempla la externalización específica de la gestión de la seguridad como un área de mercado...

– Digamos que las organizaciones externalizan la función informática completa o grandes bloques de dicha función. Quizás debamos observar la externalización de la seguridad de forma específica como un fenómeno de maduración lenta y aplicable a mercados masivos.

“El DNI electrónico es la gran oportunidad de este país para alcanzar una ventajosa posición internacional en el acceso en línea a servicios que hoy no están disponibles en la red”

– ¿Cómo está organizada Indra para atender las necesidades de sus clientes en materia de seguridad TIC?

– Sucintamente: tenemos una organización que cubre los mercados verticales, y después un conjunto de unidades horizontales para canalizar aquellas ofertas que, o bien son muy especializadas, o bien son consideradas como prometedoras. Si concurren estas circunstancias, creamos lo que se llama centros de competencia. Tenemos, entre otros, un centro de este tipo en el que un equipo interdisciplinar de cincuenta profesionales da respuesta a los proyectos relacionados con los servicios avanzados de seguridad, además de colaborar en la componente seguridad de grandes proyectos corporativos. Conviene aclarar que para formar los equipos de trabajo estos expertos se complementan con profesionales especializados en los componentes de desarrollo y sistemas necesarios, pertenecientes a los denominados centros de Producción, en los que unos tres mil técnicos dan soporte a las necesidades de las distintas unidades y centros de la compañía.
Lo mejor para hacerse una idea es saber que la media de expertos de Indra que trabajan en seguridad es de entre cien y doscientas personas.

– ¿Qué opina de la línea de seguridad en relación con otros mercados TI?


– Hay dos aspectos que están cada vez más consolidados como realidades independientes u horizontales en relación con los S.I.: la seguridad y la gestión de sistemas. Una y otra forman parte de este conjunto de funciones que han de resolverse de un modo global en una organización. Veo en ellas un gran potencial.
En la compañía dedicamos recursos combinados interdepartamentales a la identificación de nuevas oportunidades de mercado en las que focalizarnos. Como producto de dichas investigaciones, identificamos unas 6 ó 7 líneas por año. En este proceso, una de estas líneas identificadas de cara a este año es la relativa a las nuevas soluciones de seguridad de la información.

– Pero Indra lleva ya trabajando bastante tiempo en este campo...


– Hemos ido, a efectos generales, en sintonía con los ritmos de la demanda. No obstante, quiero remarcar que hay un área, la de certificación electrónica, en la que Indra ha sido muy innovadora. Empezamos a considerarla en 1999, año de creación de Safelayer, de la que somos socios fundadores. No obstante lo dicho, nuestro primer trabajo de mercado lo iniciamos en 1998 con tecnología de Entrust para Red Eléctrica Española dentro del proyecto de la creación del mercado eléctrico.

– ¿Por qué decidieron invertir en Safelayer y qué relaciones mantiene Indra actualmente con Entrust?

– Como integrador español, Indra necesitaba acceder a las fuentes de aquellas herramientas tecnológicas de seguridad en comunicaciones que utilizaban criptografía de clave pública, y que pudieran ser de aplicación en áreas gubernamentales. Tenga en cuenta que hace cinco años, la criptografía aún no había traspasado la frontera de lo militar. Se abrió entonces la oportunidad de Safelayer, una compañía que dispone de excelentes técnicos y hoy convertida en una empresa importante con intenciones de competir también en mercados exteriores.
En lo referente a Entrust, puedo decirle que somos distribuidores en España, y mantenemos unas relaciones excelentes y directas, ya que constituye una plataforma de certificación básica junto a la que plantean Safelayer, Baltimore y otros.

– ¿Sigue teniendo el mismo empuje que hace un año la certificación electrónica?

– La línea de certificación, validación y gestión de identidad sigue siendo estratégica para Indra. Tras la ralentización habida en el año 2002 se abren ahora en España buenas oportunidades. Reconozcamos que en los proyectos en los que de lo que se trata es de crear una infraestructura común que todos usemos –y los de certificación digital constituyen un ejemplo de manual–, siempre resulta necesario un motor que ayude a despegar. El sector público debe jugar ese papel, al ser el principal responsable de la modernización de la sociedad. En un segundo lugar mencionaría al sector financiero, y bastante alejados de la posición de cabeza a los de industria y comercio.

– ¿Qué opina del proyecto de DNI electrónico?

– Es la gran oportunidad de este país para alcanzar una ventajosa posición internacional en el acceso en línea a servicios que hoy están, en parte, fuera de la red. Creo que muchas entidades están esperando la evolución de esta iniciativa, ya que su culminación les permitirá cerrar completamente el círculo de los canales en línea que tienen abiertos, por ejemplo, para la firma de contratos No veo por ahora un proyecto en España que sea más importante para la certificación electrónica que el del DNI digital. Además su despliegue es muy viable, ya que a diferencia de otros estados, en el nuestro la gestión del documento nacional de identidad está centralizada y, por tanto, en pocos años se puede dotar a todos los ciudadanos con el nuevo DNI.

– ¿Y qué opina del Plan Director CIS?

– Uno de los mercados específicos más importantes de Indra es el de defensa. El desarrollo del Plan Director CIS va a significar la modernización de la gestión de las Fuerzas Armadas y una oportunidad para ahorrar costes. Como es sabido, en la concepción del Plan se ha identificado a la seguridad de la información como una función horizontal, independiente de las aplicaciones, lo cual es un gran acierto.

– ¿Están satisfechos de los resultados obtenidos por Indra en los mercados de seguridad en España?

– En relación con los resultados del año 2001, en 2002 quizá no hayamos crecido tanto en volumen como en cuota de mercado. En algunos segmentos nos hemos quedado casi igual, como por ejemplo en certificación electrónica, en tanto que en otros los crecimientos fueron muy grandes, como sucedió en lo referente a la adaptación de los tratamientos de datos personales a los requisitos de la LOPD y del Reglamento.

– ¿Le parece que el segmento de oferta de integradores en seguridad está sobredimensionado en España?

– Ya se ha ido corrigiendo desde el pasado año una cierta situación de sobredimensionamiento en lo que toca a las compañías de nicho. Esto es algo clásico en los mercados emergentes. Para Indra, las buenas empresas de nicho son potenciales aliados y nunca competidores.

– ¿Por qué un usuario corporativo, interesado en acometer acciones en seguridad con ayuda externa, debería de elegir a Indra y no a otras compañías?

– Porque nuestra oferta es global y de calidad, incluyendo la labor de prescripción de herramientas tecnológicas y, claro está, la experiencia de su implantación e integración en el curso de no pocos proyectos. De verdad, no se me ocurre ahora un área de actividad en protección de la información en la que Indra no esté posicionada, salvedad hecha de la de prestación de servicios de certificación, en la que hoy por hoy no tenemos interés.

– ¿Podría citar algunos proyectos en los que hayan participado?


– Tenemos más de un centenar de referencias corporativas. Le citaré algunas del año 2002: eAgora, en el que colaboramos con ACE como PSC para mecanizar el proceso de firma electrónica de Telefónica con proveedores. Hemos sido adjudicatarios del sistema de control del AVE Madrid-Barcelona, que requiere unas condiciones estrictas de autenticación para los operadores, incluso contemplando herramientas biométricas. Otra referencia que creo paradigmática es el proyecto TITAN, de Cajamadrid, destinado a la identificación única de empleados de la entidad en sus accesos a los sistemas de información mediante certificados Safelayer en tarjeta inteligente con aplicaciones financieras. En el Instituto Andaluz de Salud realizamos una consultoría para conocer las aplicaciones de los certificados electrónicos Ceres en la SAS, y en la Generalitat Valenciana, que dispone de tecnología Baltimore para firma y cifrado, realizamos otra consultoría de alto nivel para pasar procedimientos físicos al ámbito electrónico.
A efectos de creación de una infraestructura de seguridad perimetral enfocada al cumplimiento estricto de la LOPD y el Reglamento, podemos citar el proyecto realizado en colaboración con Telefónica para la cumplimentación de censos de población y vivienda del INE por Internet. El sistema base de elecciones electrónicas que realizamos para el Consejo Asesor de Personal de la Guardia Civil también ha sido muy emblemático en España y fuera de ella, habida cuenta del uso de certificados electrónicos, en este caso expedidos por Ceres con tecnología Entrust, cuidando siempre el secreto del voto. Para Indra el de elecciones constituye un mercado en sí mismo.

– Una última pregunta: ¿se invierte en España suficientemente en seguridad?


– En términos generales, no. Hay algunos sectores más concienciados que otros, por ejemplo la banca, las cajas de ahorros y las instituciones públicas encargadas de servicios críticos como es el caso de, entre otras, las mencionadas Red Eléctrica de España o AENA, que invierten sumas razonables. La industria, el comercio y muchos organismos públicos con las ideas poco claras en temas de seguridad, no invierten lo suficiente en relación con el valor del activo que deberían proteger. Ello indica que tenemos por delante un gran mercado que va a registrar crecimientos muy significativos.

Texto: José de la Peña Muñoz
Fotografía:
Jesús A. de Lucas

Documento en PDF
 

<volver