El mes de junio del pasado año vio la luz el Grupo de Trabajo de Seguridad de la Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información, en adelante AUTELSI, ¿qué les impulsa a crear grupos de trabajo dentro de la Asociación?
AUTELSI nació como asociación de usuarios empresariales, pero a medida que ha pasado el tiempo se han incorporado también fabricantes e incluso la Administración Pública, con la idea de tener una visión global. Es decir, somos una entidad en continua evolución. Con todo este abanico de integrantes pretendemos dar una opinión muy diversificada y con amplias miras, además de haber sido desde el principio una asociación abierta a colaborar y recibir colaboraciones. En este sentido, nunca se ha pretendido competir con ninguna otra asociación, muy al contrario, nuestro objetivo es contribuir a reducir la brecha digital y esto lo hacemos a través de dos líneas: una es la difusión de conocimientos a través de los distintos grupos de trabajo, mientras que la segunda consiste en elevar a la Administración Pública aquellas necesidades en Tecnologías de la Información que los usuarios nos transmiten. De ahí que surgieran los grupos de trabajo.
Actualmente AUTELSI cuenta con 18 grupos de trabajo, siendo uno de ellos el Grupo de Trabajo de Seguridad ¿qué lo originó y cómo tomó cuerpo?
A día de hoy, contamos con 198 asociados reunidos bajo un espíritu de asociación abierta y dinámica. Desde el comienzo han sido ellos los que han manifestado inquietudes en materia de seguridad y así, en junio de 2004, se creó el Grupo de Trabajo de Seguridad. Si bien es verdad que se requiere un quórum mínimo, en cuanto se plantean carencias y necesidades se propone la formación de un grupo de trabajo. En el caso concreto del grupo de seguridad su creación oficial se produce cuando el verano pasado se acomete un cambio en la Junta Directiva de AUTELSI, aunque anteriormente ya existían iniciativas dentro de la Asociación para afrontar la vulnerabilidad de las empresas.
Hace 15 meses que fue nombrado presidente del Grupo de Trabajo de Seguridad ¿qué medidas han adoptado en esta materia desde entonces?
Lo primero que hicimos fue realizar una encuesta entre todos los miembros de la Asociación para que expusieran cuáles eran sus mayores necesidades en el ámbito de la seguridad. A partir de sus respuestas, definimos las áreas de trabajo que hemos acometido a lo largo de este año.
¿Cuáles fueron las principales preocupaciones sobre seguridad manifestadas por los usuarios?
La lista de inquietudes en seguridad era amplia y los primeros puestos estaban copados por cuestiones como la firma digital y certificación electrónica, seguida por todo lo relacionado con el cumplimiento de la Ley Orgánica de Protección de Datos, la preocupación por la seguridad en las redes (tanto LAN, como WAN, VPN o inalámbricas) y también la gestión de seguridad informática, es decir, planes de contingencia.
¿Cuál ha sido la evolución en las necesidades de los usuarios observada por usted desde que es presidente del Grupo de Trabajo de Seguridad?
Los problemas de los usuarios son variados, pero podríamos decir que la línea de evolución de sus necesidades, que obviamente coinciden con las del mercado en general, se puede reducir a dos grandes ámbitos. Por una parte, la mayoría de las empresas asocian la seguridad de las TIC a una sola persona, que es el responsable de seguridad, lo cual restringe a un empleado o a un departamento toda una política de gestión que debería, no sólo contar con un equipo de expertos, sino también llegar hasta la alta dirección para que ésta tome conciencia de la importancia de la infraestructura para la empresa y su política de seguridad asociada, así como los planes de contingencia. La misión de asociaciones como la nuestra es la labor divulgativa del verdadero peso de la seguridad, al margen de la existencia de equipos de trabajo especializados.
Otro de los cambios ha sido el aumento de ataques desde distintos flancos: ya no hay que asociar el concepto de seguridad a los puntos perimetrales de la red empresarial, ahora debemos proteger no sólo la red exterior, sino también el interior, donde se producen muchos incidentes. Además, debemos contar con la presencia de gran número de dispositivos portátiles (teléfonos, portátiles, PDAs) que se conectan a la red aprovechando las bondades de la movilidad (comerciales que trabajan desde la casa del cliente, desde un aeropuerto…), y todos ellos se conectan en una red pública para después entrar en la red empresarial, con el consiguiente riesgo para la compañía.
¿Cómo ha respondido AUTELSI frente a estos dos retos actuales?
Por una parte, hemos elaborado un documento que inicialmente denominamos “Decálogo de Buenas Prácticas” y finalmente hemos llamado “Recomendaciones Prácticas de Seguridad”. Se trata de un texto público donde abordamos recomendaciones para que el empleado -usuario de tecnología- adopte ciertas medidas de seguridad básicas a su alcance y, por otro lado, dedicamos buena parte de las prácticas a los departamentos de Tecnología de la Información y responsables de seguridad.
El Grupo de Trabajo de Seguridad está integrado por compañías de diferentes ámbitos como RENFE, El Corte Inglés, Enditel, NCR España o la Fábrica Nacional de Moneda y Timbre, sin embargo la presencia de expertos en seguridad es reducida ¿cómo se explica esto?
Actualmente el grupo está compuesto por 15 empresas, aunque la cifra es variable porque estamos abiertos a la entrada de nuevos componentes, y nuestro propósito es ser lo más heterogéneos posible, algo que se cumple. Contamos con responsables de seguridad de firmas como RENFE, pero también hay proveedores de seguridad como Enterasys Networks, Secureware o Arix Seguridad y, finalmente, la Administración Pública está presente con la Fábrica Nacional de Moneda y Timbre, en temas como la firma digital y el DNI electrónico.
¿Qué proyectos tiene a corto plazo el Grupo de Trabajo de Seguridad?
En principio tenemos previsto celebrar una mesa redonda para el primer trimestre de 2006 donde se planteará el interrogante de cómo proteger el negocio de las amenazas presentes en la red. La finalidad última es concienciar a los altos directivos de las necesidades de seguridad. Piensa que, según la ley, el consejero delegado es responsable de garantizar la seguridad de la información que maneja la compañía, es decir, el potencial riesgo de vulnerabilidad de los datos de una empresa no sólo recae en el jefe del departamento de informática o de seguridad de TI.
Apoyándose en la experiencia de los usuarios de AUTELSI, ¿cree que las empresas españolas están al mismo nivel que el resto de Europa en materia de seguridad?
En seguridad no se producen desigualdades como cuando hablamos de la famosa brecha digital. En España no hay una gran diferencia en políticas de seguridad con respecto a otros países, lo que ocurre es que la seguridad como tema que abarque toda la infraestructura tecnológica de una empresa y que implique a los altos directivos e incluso al empleado que maneja un PC y no sólo al responsable de TI es bastante reciente. Los estados han adoptado medidas de seguridad perimetral y políticas internas de gestión, pero les resta un largo camino por recorrer a todos. En realidad, puede considerarse que la seguridad todavía está en su infancia, basta con pensar que los primeros ataques famosos a la red pública se han producido hace tres años y las medidas para contraatacarlos se han adoptado después. Hasta entonces no se pensaba que los problemas de seguridad podían afectar al negocio.
La gran dinamizadora de este sector ha sido la red IP. Antes se hablaba de comunicaciones privadas sobre soporte público y ahora son comunicaciones públicas sobre soporte público, eso sumado a un mundo tan dinámico como el tecnológico y que cambia constantemente convierte a la seguridad en un problema global al que nadie escapa.
¿La alta preocupación en seguridad se traduce en fuertes inversiones en este campo?
Manejamos estadísticas que demuestran que la seguridad ocupa los tres primeros puestos entre las preocupaciones de los responsables de TI de las empresas, sin embargo, es difícil valorar cómo se traduce esta preocupación en cifras económicas, debido, en buena medida, al deseo de privacidad de las compañías en ese sentido.
¿Cómo valora que empresas de seguridad como Symantec apueste por abordar otros sectores y ofrecer seguridad asociada a otras soluciones?
Sin entrar en el caso concreto de Symantec y VERITAS Software considero que es positivo para el sector de las TIC. La seguridad actualmente se compone de muchas soluciones de nicho que resuelven problemas particulares y considero que tender hacia una mayor interacción es beneficioso.
El grado de madurez alcanzado en el mercado de las redes tendrá que trasladarse al terreno de la seguridad, un segmento muy joven donde ahora encontramos muchas empresas especializadas en un área de seguridad (en antivirus, en gestión de la red, en seguridad perimetral), pero donde hay pocas compañías capaces de dar una solución global que proteja al cliente en su completa dimensión. Sin embargo la tendencia es ir en esa línea.