– ¿En qué se ha plasmado hasta el momento, desde un punto de vista tecnológico, la iniciativa de seguridad Trustworthy Computing?
– La estrategia Trustworthy Computing abarca varios conceptos: confianza, estabilidad y seguridad en la plataforma, y en torno a este último aspecto giran cinco pilares: aislamiento y flexibilidad, actualizaciones, calidad, autenticación, autorización y control de accesos, y orientación y formación.
El aislamiento y la flexibilidad parten de la idea de que un dispositivo tiene que estar seguro y aislado en cualquier momento en que esté conectado. En este sentido, el Service Pack 2, presentado en septiembre de 2004, incluyó destacadas novedades y actualizaciones
en seguridad, que en un futuro se verán reforzadas a través de nuevas funcionalidades como el bloqueo por comportamiento (behavioral blocking), una técnica para proteger las aplicaciones y los sistemas operativos de gusanos y otras amenazas, detectando comportamientos no habituales en los equipos.
Aislamiento y flexibilidad también significa acceso seguro a la red. Para ello, con Windows Server 2003 e ISA Server 2004, podemos establecer capacidades de cuarentena, permitiendo que cuando una máquina infectada se quiera conectar a la red pueda ser enviada a un área de cuarentena para ser “desinfectada”.
Las actualizaciones ocupan el segundo pilar de la estrategia. Sé que tenemos que hacer que los procesos de actualización sean más sencillos en general. Me llegan muchas opiniones de clientes que advierten que llevar a cabo las actualizaciones es costoso, complicado y lleva mucho tiempo. En este punto, además del actual grupo de trabajo que se ocupa de analizar los mensajes de error que han recibido los usuarios y que éstos nos reenvían, permitiéndonos extraer tendencias, en el primer semestre de este año presentaremos una nueva tecnología, que unificará los procesos de actualización de todos los productos actuales de Microsoft.
En lo referente a la calidad, estamos haciendo un gran esfuerzo, ya que implica que debemos diseñar de forma segura nuestros productos y cerciorarnos de que cuando se instalan por primera vez, se desactivan
por defecto todas las opciones que podrían atentar contra la seguridad, y, además, ofrecer orientación específica, para evitar que el uso del software sea poco confiable. Estas tres facetas se han convertido en una base fundamental de nuestro modelo de diseño.
El cuarto punto clave se refiere a los servicios de autenticación, autorización y control de accesos a aplicaciones, y aquí quiero destacar la tecnología Active Directory de Windows Server, que permite autenticar a los usuarios que se conectan a la red. Esta herramienta se integra con la de otros fabricantes y con otras tecnologías como VPNs, tarjetas inteligentes, o biometría, por citar algunas. Por otra parte, los servicios de gestión de derechos (Rights Management Services), que lanzamos con Windows Server 2003, permiten al usuario asignar permisos a documentos de Office. En este sentido, el próximo Service Pack 1 contendrá una versión beta de este producto, que entre otras mejoras, elimina las dependencias operativas respecto a entidades externas, como la propia Microsoft.
Por último, Trustworthy Computing también hace referencia a la orientación y la formación, para lo cual nuestros equipos de ingeniería trabajan con los clientes, y de forma permanente documentan y redactan informes que ofrecen orientación a los profesionales de TI para el despliegue óptimo y seguro de las tecnologías de Microsoft en sus organizaciones.
 |
“Seguiremos trabajando en colaboración con todos nuestros socios de seguridad” |
– Creo que sí; es más, el proceso está dando muy buenos resultados, y buena parte de ello se debe a que hacemos revisiones periódicas del código, nos sentamos a evaluar cómo una persona podría atacar un fragmento de software y lo revisamos, y se realizan comprobaciones de seguridad. Tengo que reconocer que la cultura de desarrollo de Microsoft ha cambiado drásticamente: ahora se estudia la seguridad desde el principio del proceso de diseño de productos.
Muchos productos de protección TI hoy en día resultan complejos, no son compatibles con todos los entornos, o no son fáciles de entender para los usuarios. Y esto es un problema. Lo que nosotros y la industria intentamos conseguir es que todas las innovaciones en seguridad sean transparentes al usuario final, a la vez que mantengan unos buenos niveles de garantía. Ese es el camino.
– ¿Invierte Microsoft lo suficiente en I+D sobre seguridad y protección TI?
– “Lo suficiente” es un término muy peligroso. Sólo puedo decir que nuestra inversión en seguridad es muy significativa en formación del equipo de desarrolladores, en nuevos productos... Como he mencionado, hay un cambio de cultura en Microsoft, en lo concerniente a seguridad, que es una de las grandes prioridades de la compañía. ¿Es suficiente? No lo sé, pero estamos esforzándonos para que nuestros clientes estén satisfechos y estamos innovando para que desplieguen nuestra tecnología de la forma más confiable posible.
– ¿Qué porcentaje de su presupuesto asignan a seguridad?
– No puedo responderle, fundamentalmente porque no hemos adjudicado un presupuesto específicamente para seguridad. Se trata de algo transversal a toda la compañía, y cada grupo de trabajo tiene responsabilidades relativas a seguridad. Así que dentro de un contexto de negocio no vemos la seguridad como algo que va por su lado, con un presupuesto aparte. Para tener éxito creo que debe ser tratada de forma holística, ya que es incluso más interesante para el usuario que la seguridad forme parte de cualquier cosa que haga Microsoft.
– ¿Qué lugar quiere ocupar Microsoft en el campo de la seguridad TI en relación con los fabricantes clásicos especializados?
– Con Service Pack 2 nos dimos cuenta de que teníamos que trabajar muy de cerca con los fabricantes de seguridad. En este sentido, por ejemplo, al constatar que más de un 60% de los usuarios nunca actualiza su software antivirus pasado los 90 días de prueba, decidimos incluir en la web de Microsoft un listado de ofertas gratuitas de antivirus, para lo cual colaboramos con un buen número de socios de la industria.
Asimismo ocurre con otras herramientas, respecto a las cuales también proporcionamos orientación en nuestra web y redirigimos a nuestros clientes hacia nuestros socios, donde pueden encontrarlas.
Creo que hay una gran industria ahí fuera, y que todas las innovaciones que se están produciendo en las distintas áreas de seguridad se están llevando a cabo en tiempos cortísimos. Vamos a seguir apoyando esos progresos, ya que nuestro objetivo número uno es acercar la seguridad a los usuarios.
– Continuamos evaluando las posibilidades que nos ofrece la tecnología de GeCad. Una de las cosas que hemos hecho con ellos son cleaners, para virus recientes, que hemos distribuido en las actualizaciones a millones de máquinas. ¿Haremos algo diferente en el futuro? La verdad es que, en este sentido, planificamos nuestra estrategia en función de lo que demandan los usuarios.
– ¿Ha sido esa misma insistencia por parte de los usuarios lo que ha llevado inevitablemente a la compra de Giant para poder ofrecerles software anti-spyware?
– Nuestros clientes nos han dejado muy claro que el spyware y otros tipos de software engañoso representan un problema de máxima importancia, para lo que requieren soluciones efectivas de Microsoft. La amenaza creciente del spyware es un hecho y exigía que también Microsoft ofreciera una respuesta directa, por eso compramos Giant
La adquisición de Giant es la mejor manera de poner buena tecnología en sus manos en un corto plazo de tiempo, además de proporcionarnos la base para nuevas soluciones en un plazo más largo. Sin duda, la operación se ha realizado de forma muy rápida al estar los objetivos de ambas empresas perfectamente sintonizados.
– Tras el reciente lanzamiento de la versión beta de Windows AntiSpyware, ¿cuáles van a ser los siguientes pasos en la implementación de esta tecnología?
– Cuando llevamos a cabo la compra de Giant anunciamos que en cuestión de un mes ofreceríamos una versión beta de una nueva herramienta de prevención, detección y eliminación de software espía basada en su tecnología. Y así ha sido, ya que la primera versión beta de Windows AntiSpyware para los sistemas operativos 2000, XP y Server 2003 se ha ofrecido a los usuarios veintiún días después de la adquisición de esta compañía.
Asimismo, la primera entrega mensual de la herramienta de eliminación de software malicioso de Microsoft Windows –una solución para eliminar gusanos y virus de los PCs de los usuarios– se lanzó el pasado 11 de enero, como parte de los procesos de actualización de software de seguridad mensuales.
Antes de dar nuevos pasos, tenemos la intención de invitar a los usuarios a que instalen estas herramientas y recabar sus opinión para, a partir de ahí, tomar decisiones.
– ¿Cuál será a partir de ahora la relación de Microsoft con el resto de los fabricantes de soluciones anti-spyware, algunos de los cuales son actualmente sus partners?
– Seguiremos trabajando en colaboración con todos nuestros socios de seguridad. En relación con el spyware, pensamos que es crítico que Microsoft haga una importante inversión en soluciones que permitan a nuestros clientes ganar seguridad. Así que continuaremos recomendando soluciones anti-spyware de terceros, entre ellas las de, por ejemplo, Ad-Aware o Spybot, como así hacemos ahora desde Microsoft.com, y seguiremos trabajando con el resto de la industria para hacer frente al reto del spyware, ya que por encima de todo nuestra intención es que cada usuario instale y use de forma regular alguna solución de este tipo.