|
Juan
Antonio Saras Pazos, director de Centros de Competencia de Indra |
«Seguridad
de la información es una línea estratégica de Indra
para 2003»
|
La oferta de servicios de seguridad de la información
en España cuenta desde hace tiempo con integradores globales de gran
peso en el sector de TIC. Uno de ellos, Indra, dispone ya de notables referencias
en este ámbito. Su director de Centros de Competencia, Juan Antonio
Saras Pazos, un profesional que conoce desde hace años los entresijos
de la seguridad, manifiesta en esta entrevista las razones por las que su
compañía ha apostado por este mercado. |
|
¿Cómo se entiende en Indra la seguridad de la información?
De una forma amplia, que resumo en tres grandes conceptos: disponibilidad
continua de los sistemas, exactitud y fiabilidad de la información
que se trata en los mismos, y un último concepto, que abarca los
modelos y prácticas de gestión que permitan demostrar ante
terceros la existencia y validez de dicha información.
¿Qué actividades desarrolla principalmente Indra
en los mercados de seguridad TIC?
Somos una compañía de servicios global, por lo que
nuestra cobertura de mercado va desde la consultoría y prescripción
de herramientas tecnológicas hasta la explotación de servicios
de seguridad, pasando por el suministro de soluciones de seguridad llave
en mano. Creo que ofrecemos un portafolio de servicios integrales de gran
calidad en todos los ámbitos de la protección de la información,
incluyendo los de auditoría informática de seguridad y creación
y mantenimiento de planes de contingencia TIC. Tenemos precisamente una
línea de consultoría especializada en estas últimas
líneas de negocio, en la que se incluye también el epígrafe
correspondiente a la adaptación permanente de los tratamientos
de datos personales a la legislación vigente. También hay
otra línea de oferta alrededor de la gestión de identidad
lógica en la que incluimos el suministro de las soluciones de infraestructura
de clave pública (PKI), gestión de los derechos de acceso,
soluciones de clave única, provisión de recursos, gestión
centralizada de seguridad, etc., que constituyen, frente a las soluciones
típicas de seguridad perimetral, los elementos de oferta más
novedosos.
En realidad, la seguridad TIC está ya presente en la construcción
de aplicaciones y el ámbito de la planificación y desarrollo
de sistemas. Lo digo porque muchos de los trabajos que aluden específicamente
a seguridad TIC los estamos realizando en el marco de proyectos generales
de modernización tecnológica emprendidos por clientes.
Por otra parte, tenemos una línea muy importante de servicios de
externalización de la función informática, en la
que también se incluyen los alusivos a seguridad técnica
y gestión de la seguridad, aunque digno es reconocer que dicho
mercado de protección, considerado de forma específica,
es todavía emergente.
¿Sólo emergente?
Hasta el momento no hemos detectado demasiados proyectos, ofertas
o concursos en los que el usuario esté interesado en externalizar
la seguridad; no obstante, Indra tiene experiencia en su gestión
en el marco de los servicios de outsourcing de la función informática.
Como ejemplo le cito a Red Eléctrica de España, un cliente
que ya tenía definida la función de seguridad. En otros
casos de externalización con clientes en los que dicha función
podía ser, digamos, mejorable, Indra la ha mejorado y, obviamente,
la mantiene y evoluciona.
Para nosotros la seguridad técnica y la gestión de la seguridad
son componentes fundamentales de un sistemas de información, y
esto lo tenemos muy en cuenta en los servicios de externalización.
Quiero decir con esto que si en algún momento un cliente no tiene
definida la función de seguridad, nosotros la implantamos, sujetos
claro está a criterios de ahorro de costes y de cumplimiento de
los acuerdos de nivel de servicio que firmamos.
Por su respuesta se deduce que Indra no contempla la externalización
específica de la gestión de la seguridad como un área
de mercado...
Digamos que las organizaciones externalizan la función informática
completa o grandes bloques de dicha función. Quizás debamos
observar la externalización de la seguridad de forma específica
como un fenómeno de maduración lenta y aplicable a mercados
masivos.
|
|
El
DNI electrónico es la gran oportunidad de este país
para alcanzar una ventajosa posición internacional en el
acceso en línea a servicios que hoy no están disponibles
en la red
|
|
¿Cómo está organizada Indra para atender las necesidades
de sus clientes en materia de seguridad TIC?
Sucintamente: tenemos una organización que cubre los mercados
verticales, y después un conjunto de unidades horizontales para
canalizar aquellas ofertas que, o bien son muy especializadas, o bien
son consideradas como prometedoras. Si concurren estas circunstancias,
creamos lo que se llama centros de competencia. Tenemos, entre otros,
un centro de este tipo en el que un equipo interdisciplinar de cincuenta
profesionales da respuesta a los proyectos relacionados con los servicios
avanzados de seguridad, además de colaborar en la componente
seguridad de grandes proyectos corporativos. Conviene aclarar que para
formar los equipos de trabajo estos expertos se complementan con profesionales
especializados en los componentes de desarrollo y sistemas necesarios,
pertenecientes a los denominados centros de Producción, en los
que unos tres mil técnicos dan soporte a las necesidades de las
distintas unidades y centros de la compañía.
Lo mejor para hacerse una idea es saber que la media de expertos de
Indra que trabajan en seguridad es de entre cien y doscientas personas.
¿Qué opina de la línea de seguridad en relación
con otros mercados TI?
Hay dos aspectos que están cada vez más consolidados
como realidades independientes u horizontales en relación con
los S.I.: la seguridad y la gestión de sistemas. Una y otra forman
parte de este conjunto de funciones que han de resolverse de un modo
global en una organización. Veo en ellas un gran potencial.
En la compañía dedicamos recursos combinados interdepartamentales
a la identificación de nuevas oportunidades de mercado en las
que focalizarnos. Como producto de dichas investigaciones, identificamos
unas 6 ó 7 líneas por año. En este proceso, una
de estas líneas identificadas de cara a este año es la
relativa a las nuevas soluciones de seguridad de la información.
Pero Indra lleva ya trabajando bastante tiempo en este campo...
Hemos ido, a efectos generales, en sintonía con los ritmos
de la demanda. No obstante, quiero remarcar que hay un área,
la de certificación electrónica, en la que Indra ha sido
muy innovadora. Empezamos a considerarla en 1999, año de creación
de Safelayer, de la que somos socios fundadores. No obstante lo dicho,
nuestro primer trabajo de mercado lo iniciamos en 1998 con tecnología
de Entrust para Red Eléctrica Española dentro del proyecto
de la creación del mercado eléctrico.
¿Por qué decidieron invertir en Safelayer y
qué relaciones mantiene Indra actualmente con Entrust?
Como integrador español, Indra necesitaba acceder a las
fuentes de aquellas herramientas tecnológicas de seguridad en
comunicaciones que utilizaban criptografía de clave pública,
y que pudieran ser de aplicación en áreas gubernamentales.
Tenga en cuenta que hace cinco años, la criptografía aún
no había traspasado la frontera de lo militar. Se abrió
entonces la oportunidad de Safelayer, una compañía que
dispone de excelentes técnicos y hoy convertida en una empresa
importante con intenciones de competir también en mercados exteriores.
En lo referente a Entrust, puedo decirle que somos distribuidores en
España, y mantenemos unas relaciones excelentes y directas, ya
que constituye una plataforma de certificación básica
junto a la que plantean Safelayer, Baltimore y otros.
¿Sigue teniendo el mismo empuje que hace un año
la certificación electrónica?
La línea de certificación, validación y
gestión de identidad sigue siendo estratégica para Indra.
Tras la ralentización habida en el año 2002 se abren ahora
en España buenas oportunidades. Reconozcamos que en los proyectos
en los que de lo que se trata es de crear una infraestructura común
que todos usemos y los de certificación digital constituyen
un ejemplo de manual, siempre resulta necesario un motor que ayude
a despegar. El sector público debe jugar ese papel, al ser el
principal responsable de la modernización de la sociedad. En
un segundo lugar mencionaría al sector financiero, y bastante
alejados de la posición de cabeza a los de industria y comercio.
¿Qué opina del proyecto de DNI electrónico?
Es la gran oportunidad de este país para alcanzar una
ventajosa posición internacional en el acceso en línea
a servicios que hoy están, en parte, fuera de la red. Creo que
muchas entidades están esperando la evolución de esta
iniciativa, ya que su culminación les permitirá cerrar
completamente el círculo de los canales en línea que tienen
abiertos, por ejemplo, para la firma de contratos No veo por ahora un
proyecto en España que sea más importante para la certificación
electrónica que el del DNI digital. Además su despliegue
es muy viable, ya que a diferencia de otros estados, en el nuestro la
gestión del documento nacional de identidad está centralizada
y, por tanto, en pocos años se puede dotar a todos los ciudadanos
con el nuevo DNI.
|
|
¿Y qué opina del Plan Director CIS?
Uno de los mercados específicos más importantes
de Indra es el de defensa. El desarrollo del Plan Director CIS va a significar
la modernización de la gestión de las Fuerzas Armadas y
una oportunidad para ahorrar costes. Como es sabido, en la concepción
del Plan se ha identificado a la seguridad de la información como
una función horizontal, independiente de las aplicaciones, lo cual
es un gran acierto.
¿Están satisfechos de los resultados obtenidos
por Indra en los mercados de seguridad en España?
En relación con los resultados del año 2001, en 2002
quizá no hayamos crecido tanto en volumen como en cuota de mercado.
En algunos segmentos nos hemos quedado casi igual, como por ejemplo en
certificación electrónica, en tanto que en otros los crecimientos
fueron muy grandes, como sucedió en lo referente a la adaptación
de los tratamientos de datos personales a los requisitos de la LOPD y
del Reglamento.
¿Le parece que el segmento de oferta de integradores
en seguridad está sobredimensionado en España?
Ya se ha ido corrigiendo desde el pasado año una cierta
situación de sobredimensionamiento en lo que toca a las compañías
de nicho. Esto es algo clásico en los mercados emergentes. Para
Indra, las buenas empresas de nicho son potenciales aliados y nunca competidores.
¿Por qué un usuario corporativo, interesado en
acometer acciones en seguridad con ayuda externa, debería de elegir
a Indra y no a otras compañías?
Porque nuestra oferta es global y de calidad, incluyendo la labor
de prescripción de herramientas tecnológicas y, claro está,
la experiencia de su implantación e integración en el curso
de no pocos proyectos. De verdad, no se me ocurre ahora un área
de actividad en protección de la información en la que Indra
no esté posicionada, salvedad hecha de la de prestación
de servicios de certificación, en la que hoy por hoy no tenemos
interés.
¿Podría citar algunos proyectos en los que hayan
participado?
Tenemos más de un centenar de referencias corporativas.
Le citaré algunas del año 2002: eAgora, en el que colaboramos
con ACE como PSC para mecanizar el proceso de firma electrónica
de Telefónica con proveedores. Hemos sido adjudicatarios del sistema
de control del AVE Madrid-Barcelona, que requiere unas condiciones estrictas
de autenticación para los operadores, incluso contemplando herramientas
biométricas. Otra referencia que creo paradigmática es el
proyecto TITAN, de Cajamadrid, destinado a la identificación única
de empleados de la entidad en sus accesos a los sistemas de información
mediante certificados Safelayer en tarjeta inteligente con aplicaciones
financieras. En el Instituto Andaluz de Salud realizamos una consultoría
para conocer las aplicaciones de los certificados electrónicos
Ceres en la SAS, y en la Generalitat Valenciana, que dispone de tecnología
Baltimore para firma y cifrado, realizamos otra consultoría de
alto nivel para pasar procedimientos físicos al ámbito electrónico.
A efectos de creación de una infraestructura de seguridad perimetral
enfocada al cumplimiento estricto de la LOPD y el Reglamento, podemos
citar el proyecto realizado en colaboración con Telefónica
para la cumplimentación de censos de población y vivienda
del INE por Internet. El sistema base de elecciones electrónicas
que realizamos para el Consejo Asesor de Personal de la Guardia Civil
también ha sido muy emblemático en España y fuera
de ella, habida cuenta del uso de certificados electrónicos, en
este caso expedidos por Ceres con tecnología Entrust, cuidando
siempre el secreto del voto. Para Indra el de elecciones constituye un
mercado en sí mismo.
Una última pregunta: ¿se invierte en España
suficientemente en seguridad?
En términos generales, no. Hay algunos sectores más
concienciados que otros, por ejemplo la banca, las cajas de ahorros y
las instituciones públicas encargadas de servicios críticos
como es el caso de, entre otras, las mencionadas Red Eléctrica
de España o AENA, que invierten sumas razonables. La industria,
el comercio y muchos organismos públicos con las ideas poco claras
en temas de seguridad, no invierten lo suficiente en relación con
el valor del activo que deberían proteger. Ello indica que tenemos
por delante un gran mercado que va a registrar crecimientos muy significativos.
|
Texto:
José de la Peña Muñoz
Fotografía: Jesús
A. de Lucas
|
|
|
|