"Con BYOD, la industria de la seguridad está siendo muy lenta en actuar", Art Coviello, CEO de RSA
Después de su presentación inaugural de la RSA Conference 2014 en San Francisco, entrevistamos a Art Coviello, CEO de RSA.
Este directivo nos comentaba que “tenemos que reconocer que la privacidad lleva asociada la responsabilidad y los gobiernos tienen que jugar el papel de establecer normas de conducta de cómo se puede proteger la privacidad y a la vez abordar la seguridad colectiva, porque también ellos son responsables de la seguridad de los ciudadanos. Normalmente la seguridad asegura la privacidad, pero algunas veces seguridad y privacidad entran en conflicto. Cuando esto ocurre, necesitamos un modelo de gobierno que sea árbitro, y sea cual sea ese modelo de gobierno, tiene que ser transparente en su ejecución, de forma que todo el mundo pueda ver que su ejecución ha sido correcta. No sugiero que esto sea simple, pero para mí la premisa es sencilla y directa”.
Este problema podría resolverse con tecnología, “seguro, la tecnología ayudará progresivamente, por ejemplo con los metadatos puedo obtener los registros telefónicos de con quién se habla, pero no necesito escuchar las conversaciones telefónicas. Ahora bien. si hago la conexión entre un terrorista y uno de estos números telefónicos quizá desee empezar a investigar a una de estas personas, si no hay conexiones no debería hacerlo. Los metadatos son una forma de ayudar, analizando ciertos datos se obtiene suficiente información para que entre el trabajo de inteligencia. Otra forma es proteger la información privada. No necesito saber si un empleado envía un correo a su marido o mujer, pero puedo querer saber si envía información a un competidor, tampoco quiero ver el mail, pero puedo querer ver los metadatos”.
Hablando de la propia RSA, “tenemos cerca de un 40% del negocio total en Europa, y confío en que la zona de EMEA pueda crecer en porcentaje. Italia es un buen mercado, España lo era hasta que la economía entró en crisis, Oriente Medio también es un mercado importante, esperamos que en Alemania mejoremos, y estamos empezando a desarrollar el negocio en África”.
Sobre retos, “hay un par de ellos. La identidad va a ser uno importante. Con BYOD creo que la industria de la seguridad está siendo muy lenta en actuar. Creo que vamos a ver muchos progresos en la gestión de identidad móvil y en autenticación móvil, como parte de grandes cambios en la gestión de identidades según vamos más y más a la nube. Pero más allá de esto, creo que el siguiente paso en la parte de Big Data, es el movimiento hacia los servicios gestionados, debido a la falta de conocimientos en muchas compañías para implantar estas capacidades de centro de operaciones de seguridad avanzada y en la medida que es necesario poder automatizar las respuestas”.
Para Coviello, “este concepto de “seguridad impulsada por la inteligencia” de la que hablo, es el modelo a prueba del futuro. No quiero decir que sea perfecto, sino a prueba del futuro, y déjeme explicar que quiero decir con esto. El viejo modelo ya no vale. Este nuevo modelo de seguridad impulsada por la inteligencia contempla el poder detectar y responder a los ataques a tiempo, y somos capaces de hacerlo porque cada vez somos más sofisticados en nuestros sistemas de gestión y control. Y si podemos hacerlo, no debería importar lo grande que sea el servicio a proteger, incluido el Internet de las Cosas. No debería importar lo sofisticados que sean los atacantes ni los métodos que empleen. Lo que importa es que venga cuando venga y como venga el ataque, seamos capaces de ver la anormalidad, porque en algún punto del ataque, el atacante tendrá que hacer algo anormal y entonces es cuando le cazaremos”.
Sobre la seguridad del Internet de las Cosas, “al final todo depende del riesgo. ¿Pero cómo evaluamos el riesgo? Vulnerabilidad, probabilidad, materialidad y consecuencias, igual a riesgo. Una vez que algo se conecta a Internet hay automáticamente una vulnerabilidad. Así que si quiero atacar su frigorífico, probabilidad baja, pero si lo hago su comida se estropea, así que la materialidad de la consecuencia son 50 euros. Quizá usted tiene más comida que yo en el frigorífico. Así que no hay demasiado riesgo. Pero si lo mira de otra forma, un ataque a múltiples dispositivos conectados a Internet, podría implicar que la materialidad de las consecuencias no sea la comida del frigorífico, sino la seguridad de su sistema de alarma, que es desconectada y las consecuencia es todas las posesiones materiales que tiene en su casa que roban los ladrones fruto de este ataque virtual. La gente piensa en términos de ciencia ficción, en vez de hechos reales y tangibles, que en el Internet de las Cosas pueden ser los sensores de los aviones, los sensores de los automóviles o el marcapasos del corazón, donde la materialidad de la consecuencia es la propia vida”.
Pensando en el futuro, “es muy difícil para una nueva compañía alcanzar lo que llamo velocidad de escape, o velocidad para salir de la órbita de la tierra, por analogía. Es muy difícil para una nueva compañía de seguridad salir de la órbita terrestre antes de que una compañía de seguridad grande la adquiera. Espero ver multitud de cohetes saliendo, pero algunos se estrellarán y el resto serán comprados, y quizá en alguna ocasión habrá una nueva compañía”.
RSA es una compañía de EMC y muchos de sus competidores no están alineados con un suministrador de infraestructura. Para Coviello, “EMC tiene un modelo de negocio interesante, no es una compañía monolítica como pueda serlo IBM. EMC tiene a VMware en virtualización, Pivotal para big data y RSA en seguridad. EMC nos permite que colaboremos con Citrix aunque Citrix compita con VMware. Trabajamos como VMware y Pivotal, así que la estrategia de EMC es dar la posibilidad que el cliente elija, aprovechamos la tecnología de una federación de compañías pero no forzamos a los clientes en ningún sentido en particular”.
Por último, y sobre el cambio en la seguridad en los últimos años, Coviello señala que “tenemos que mirar atrás a 1995. Estábamos concentrados en cuatro áreas, que en realidad se pueden fundir en tres:
La primera es gestión de identidades, chequear la identidad y ser capaces de identificar las identidades fraudulentas. Segundo es ser capaces de proteger la confidencialidad de los datos y descubrir la utilización fraudulenta y los movimientos fraudulentos de datos. Tercero poder gestionar su infraestructura de seguridad para asegurar que hace lo que se supone que tiene que hacer en el contexto de riesgo de su organización. Estas son las cosas atemporales que no hemos cambiado desde 1995, cuando llegué, hasta ahora. Y de la misma forma, en los próximos diez años, no importa dónde nos lleve la tecnología, seguiremos haciendo lo mismo”.
