Carlos Jiménez Suárez, presidente de Secuware
“Para un desarrollador de software es difícil sintonizar con la seguridad si no ha formado parte de sus prioridades iniciales
Antaño adalid del desarrollo de herramientas antivirus, con las que ya no se identifica, y hoy centrado en la protección en profundidad de la plataforma Windows de Microsoft, Carlos Jiménez, presidente de Secuware, una de las pocas firmas españolas dedicada al desarrollo de software de seguridad, esconde tras su rostro eternamente joven dieciséis años de experiencia en este ramo tan especializado de las TIC, algo de lo que muy pocos “telecos” en nuestro país pueden presumir.

– ¿Cuál es el negocio de Secuware?

– Hoy por hoy nos dedicamos a mejorar la seguridad de Windows, la plataforma más proclive a sufrir ataques de todo tipo, entre otras razones por ser la más implantada y cercana al usuario.

– ¿Qué dimensión tiene actualmente su organización?

– Tenemos unos 30 empleados, y disponemos de unos 25 expertos, que son quienes llevan a cabo desarrollos específios en proyectos.
Antes, Secuware era una empresa de I+D pura, que asumía que el canal iba a promover su solución. Pero vimos que uno de nuestros mayores problemas no era el coste de nuestra tecnología, sino la transferencia de conocimientos a ese canal y a los usuarios. Desde hace 6 meses, hemos dado un giro y ponemos consultores para que cada uno de los proyectos de implantación, a cargo de nuestros socios, esté tutelado por alguien nuestro con mucho conocimiento de la solución tecnológica.

– ¿A qué tipo de organizaciones se dirigen las soluciones de Secuware?

– Nuestro negocio se orienta a empresas con más de 100 puestos, en las que la preocupación no sólo se centra en la protección en sí del puesto de trabajo, sino también en su gestión y control.

– ¿Está satisfecho, desde el punto de vista económico, con la marcha de la compañía?

– Secuware se dirige a un mercado corporativo muy amplio, y aunque he comentado el tamaño mínimo de 100 puestos, la verdad es que nuestros clientes hoy tienen más de 5.000. El empezar a posicionarse en estos usuarios ha requerido una labor de siembra de unos tres años, invirtiendo en desarrollo. Hoy la cosa es diferente: las organizaciones que han empezado a migrar a Windows 2000 o a XP, se han encontrado con herramientas más fáciles de gestión, como es el directorio activo, y han visto las ventajas de que la tecnología de Secuware esté integrada ahí.
Estas organizaciones, además, no sólo están preocupadas por la integridad y la confidencialidad de los datos y la información, sino también por la disponibilidad, en su acepción más cercana a la estabilidad de la plataforma y su resistencia a la degradación por acción del usuario.

– Secuware es una de las pocas compañías españolas que ha realizado I+D+I en seguridad TIC. ¿Ha sido fácil?

– Hoy existe un interés manifiesto en la Administración por potenciar la I+D+I en las empresas. No siempre ha sido así. Cuando empezamos en Secuware hace cuatro años, cometimos el error de autofinanciarnos, en el sentido de que creíamos en lo que hacíamos y, por tanto, dedicábamos el beneficio de la compañía a innovar y a crear productos TIC que, por suerte, han tenido aceptación en los mercados.
En Secuware nunca habíamos optado a ningún tipo de subvención para nuevos desarrollos -este año sí participamos en Profit-, sino que más bien siempre hemos ido de la mano de un cliente muy interesado en la fabricación de un producto, es decir, un promotor, que en el caso de Crypt 2000 ha sido el Centro Nacional de Inteligencia, y en el de Secuware Security Framework-SSF, Telefónica Móviles.

– ¿Qué proyectos de seguridad han presentado en Profit?

– Uno se centra en el desarrollo de un producto para asegurar que todos los ejecutables que pertenecen al navegador están íntegros y que no han sido corrompidos por un virus u otro tipo de código malicioso. Esto es algo que nos parece básico, pero no ya sólo para una organización, sino también para el ciudadano que tiene un PC en su casa. No es un producto que pensemos vender; más bien, si se hace, lo pondremos a disposición de la Administración. Otro proyecto se centra en el paso de SSF para Windows PC a dispositivos móviles.
“Programar es la única manera que conozco de ser plenamente consciente de lo que manifiesto cuando emito juicios sobre seguridad TIC”

– ¿Le parece suficiente en este ámbito la ayuda de los poderes públicos?

– Qué duda cabe que ahora existen líneas de apoyo a la seguridad TIC, como por ejemplo en Profit, y hace seis años no. Sin embargo, creo que hay que seguir avanzando y puliendo el modo y la forma de promocionar la I+D, a fin de hacer una cada vez mejor gestión de los escasos recursos.

– ¿Qué criterios mantiene para desarrollar sus productos?

– El primero, que tienen que ser fáciles de utilizar, administración cero, si es posible. Y el segundo, que preferimos crear herramientas con menos opciones y evitar así problemas de configuración. Esta filosofía, tendente a la seguridad máxima y a las funcionalidades muy definidas, la hemos adquirido al trabajar con Defensa.

– ¿Son buenas las relaciones de Secuware con Microsoft?

– Secuware es socio para seguridad de Microsoft. Asumo que hay un posible riesgo: que en algún momento nos quisiera absorber. En cualquier caso, una de las ventajas de colaborar con Defensa es que hay un interés estratégico en mantener a una empresa nacional en seguridad informática. Aunque nuestra tecnología hoy se está exportando a América, hay una parcela, la de Defensa, en la que nuestros productos son propiedad del Estado español, y nosotros hemos de mantenerlos.
Incluso aunque se vendiera a Microsoft parte de nuestra tecnología, o se le autorizara a usarla en los límites que se estableciera, Secuware tendría que seguir manteniendo las versiones militares.
De todas formas, no creo que la intención de Microsoft hoy sea la de adquirir una compañía y correr el riesgo de desmontar su know how. Creo que es más partidaria de licenciar: yo coloco estos productos en la plataforma Windows, pago unos royalties y ya está.

– ¿Sigue programando?

– Todos los días; es la única manera que conozco de ser plenamente consciente de lo que manifiesto cuando emito juicios sobre seguridad TIC.

– ¿Qué opina un experto en reforzar la seguridad Windows de los problemas de seguridad que tiene esta plataforma y que tiene Microsoft: nos referimos al sonado asunto de la filtración de código?

– Microsoft es una compañía muy grande, y que existan filtraciones, errores o descuidos por parte de sus empleados, es algo posible. Igualmente, la compañía mantiene muchos acuerdos de consulta del código fuente con terceros, lo que incrementa el riesgo. Supongo que el caso se está investigando.
La filtración de código, más bien pequeña en este caso y por lo que se ha podido saber, aún no siendo una buena noticia, tampoco me parece excesivamente preocupante desde el punto de vista de la seguridad. Lo que el procesador ejecuta no es el código fuente, sino el código compilado. A veces el código fuente puede no tener errores, y si se compila con un compilador que produce un error, pues tenemos un problema. A efectos prácticos, lo que hay que analizar son las debilidades de lo que la máquina ejecuta.

– ¿No le preocupa, en tiempos tan cambiantes como los actuales, que su organización esté exclusivamente centrada en ‘securizar’ la plataforma Windows?

– Disponer de un software que funciona en Windows es como decir que funciona en el 95% de los ordenadores del mundo.

– ¿Parece que confía en que Microsoft no pueda fortalecer la seguridad de su plataforma, a efectos de su uso, en mucho tiempo?

– Es difícil para un desarrollador de software sintonizar con la seguridad si no ha formado parte de sus prioridades iniciales. Un profesional de la protección, y más en el mundo del desarrollo de software, sabe que hay que aplicar una filosofía a veces muy radical, ya que obliga a pensar que todo el mundo puede llegar a ser malo, que todos pueden atacar y ser atacados. Esta es una filosofía que Microsoft no tiene ni siquiera en las nuevas generaciones de Windows. Dicho crudamente: Microsoft no piensa que los usuarios de Windows son malos.



– ¿No valora, entonces, la iniciativa “Informática de Confianza” de Microsoft?

– Sí, por supuesto que la valoro. Lo que pasa es que, además de lo ya dicho, parto de la base de que los usuarios usan el puesto de trabajo de su empresa como el PC de su casa. Y eso no es correcto. El PC ha de servir para lo que la empresa dice, y tiene que ejecutar lo que la empresa considere, no lo que quiera el usuario. Es sorprendente la cantidad de software que se puede encontrar en un puesto, que no debería estar ahí. La filosofía de parches de Microsoft posiblemente te permita tener una especie de suscripción en permanente funcionamiento, pero eso va en contra de cualquier tipo de estabilidad de la plataforma en una empresa.
Para conseguir estabilidad hay dos filosofías: la primera y ya tradicional, que es usar un terminal tonto, y la que actualmente nosotros consideramos, que es hacer posible a las organizaciones poder construirse un Windows corporativo tan cerrado como necesiten.

- ¿Qué prioridades en seguridad de plataforma cliente tienen las organizaciones en España?

- Los profesionales de TIC quieren una plataforma estable, disponible y que se pueda gestionar. Los directivos de otras áreas manifiestan desconfianza hacia el uso que los empleados estén dando a las herramientas puestas a su disposición.
No cabe duda: el 80% de los empleados de una compañía tipo en España podría funcionar con una plataforma más cerrada de la que ahora tienen. Es más: diría que hay grandes abusos por parte de los usuarios, que se manifiestan en forma de pérdida de horas de trabajo y, en no pocas ocasiones, en problemas de seguridad. Esto lo saben bien los departamentos de recursos humanos y los de informática.

- ¿Cree que entre las prioridades de los usuarios corporativos está la protección de la plataforma Windows?

- El ciclo de conocimiento en la materia, dicho de un modo sintético, funciona del modo siguiente: existe un grupo de compradores que comparten entre ellos experiencias. En ese grupo, hay algunos que van marcando tendencias –los menos–, y quienes los copian –los más–. Llegado ese punto, el precio no es tan importante como otros aspectos: si el producto implantado funciona bien, es estable, reduce los problemas... En ese sentido estamos muy satisfechos. Hay alguna compañía de servicios que está ofreciendo a sus clientes nuestra solución de seguridad en el contexto de sus relaciones de mantenimiento, entre otras razones porque se reducen los costes de soporte.

- ¿Qué referencias de Secuware le parecen más significativas?

- Todas lo son. No obstante, como aspecto diferencial puedo decir que aquellas en las que el cliente ha actuado, además, como promotor, caso del CNI, de Telefónica Móviles e Iberdrola. Cada una de ellas ha aportado su granito de arena a nuestra tecnología.

- ¿Se extenderá la iniciativa de militarización del puesto de trabajo de Telefónica Móviles España al resto de compañías de Telefónica?

- El proyecto de Telefónica Móviles España ha sido un éxito. En principio, el precio en el contexto se ha configurado asumiendo que vamos a recibir una compra corporativa de Telefónica de más de 100.000 licencias, en la medida en que la organización lo vaya considerando. Uno de los puntos importantes en este asunto es que Telefónica lo ofreciera a sus clientes, incluido el mercado latinoamericano, en el que estamos interesados y en el que esperamos que sea uno de nuestros socios para la venta.

- ¿Qué política de alianzas con otros fabricantes mantiene Secuware?

- Hemos desarrollado soluciones donde no las había y a fecha de hoy no tenemos competencia, por lo que nos podemos casar con todos. En ese sentido estamos abiertos a estudiar propuestas de colaboración con fabricantes de hardware y de software; a nosotros, por ejemplo, nos interesa que SSF funcione con todo tipo de dispositivos de seguridad. Repito: somos desarrolladores y diseñamos para estar perfectamente integrados en el entorno Windows. Esto nos da una buena posición en el mercado.

- ¿También con compañías desarrolladoras de soluciones antivirus?

- Partimos de la base de que en un entorno con nuestras soluciones probablemente sea innecesario un antivirus. Pero si el usuario tiene uno, no le recomendamos que lo quite: que lo tenga, que lo amortice, y si vale para detectar y eliminar un virus informático conocido pues estupendo, y si no, ya está Secuware para realizar una protección sobre virus desconocidos.

- ¿Cuál es su percepción del futuro de la seguridad TIC?

- Que conseguir entornos seguros en función de las amenazas y los riesgos, va a obligar a rediseñar todos los sistemas, todos los servicios y todos los procedimientos en uso en la sociedad occidental. Antes, cuando construíamos un puente, nos preocupábamos de que pudiera aguantar cierto peso y resistir hasta cierto límite seismos o fuerzas de arrastre de aguas. Hoy sabemos que debemos construirlo (y protegerlo) pensando en que puede ser volado por una bomba.
Creo que una buena protección debe partir de planteamientos muy rigurosos de análisis de riesgos y en la capacidad de previsión para intentar reducir a la mínima expresión posible lo inesperado. Una organización que no invierta adecuadamente en protección TIC valdrá menos que otra que sí lo haga. Por ahí va el futuro, marcado a efectos generales por el aumento vertiginoso de la capacidad de proceso y de almacenamiento, fenómeno que va a hacer necesario disponer de herramientas empresariales eficientes que ayuden a los usuarios a seleccionar contenidos de todo tipo. Y esto tendrá unas notables implicaciones en los negocios y en la seguridad de la información.

 
Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
 
<volver