Se suceden las advertencias acerca de vulnerabilidades en el software que se emplea para el control de sistemas industriales; el temor a una repetición del caso Stuxnet se ha convertido en inquietud permanente. No se trata de esos ejercicios comunes de “marketimg del miedo”, que mantienen la tensión del mercado de antivirus, sino de un problema global que afecta a la seguridad de las empresas y los gobiernos. Un mantenimiento rutinario ha revelado que 150 ordenadores del ministerio de Finanzas francés estaban infiltrados – aparentemente para sustraer documentos del G20 – pero también los gobiernos de Corea del Sur y Canadá han descubierto ataques similares.
La autoría no se conoce, o no ha sido revelada. Si tras Stuxnet estaba algún adversario de Irán, con los últimos hechos se sospecha de un grupo de hackers alternativos, que últimamente han sido muy celebrados en España a cuenta de su defensa de Wikileaks. En todo caso, se trata de profesionales de primera clase. Los gobiernos procuran no dramatizar, pero este fue el condimiento de la reciente conferencia RSA. Sus dos temas dominantes fueron el así llamado ciberterrorismo y las dudas que subsisten acerca de la seguridad del cloud computing. Este fue el contexto de la conversación con el primer directivo de la primera empresa de seguridad informática del mundo, Enrique Salem (Barranquilla, Colombia, 1966), una autoridad en la materia.
La percepción acerca de la seguridad de los sistemas de información, suele pasar por espasmos de preocupación seguidos de relajación ¿En qué punto está el péndulo?
La forma y gravedad de los ataques ha cambiado con los años; es cierto que últimamente se habla menos de los que van a por dinero o por información sensible, y más de los que atacan infraestructuras críticas de un país – y mañana podría ser otro – pero todos somos vulnerables. Las personas: ¿está usted seguro de que cuando entra en un sitio web o descarga una aplicación, no van a robarle información? Y las empresas: lo más importante es saber qué queremos proteger, la información. Su valor es desigual, y por esto lo primero que hacemos es identificar dónde está la más valiosa; blindar el 1% o 2% que tiene que ser secreta, porque de ella depende la vida de la empresa, y en segundo lugar proteger el 20% que tiene que ser confidencial. Además, hay que hacerlo de manera que pueda funcionar, que los usuarios trabajen sin interrupción.
Y la relajación. ¿Es el factor humano?
Es lo más difícil, cambiar a un ser humano. Mire lo que pasa con Facebook, donde la gente está poniendo información al alcance de cualquiera, y ni siquiera sabe cómo borrarla cuando se arrepiente. La educación ayuda, pero tiene que existir la tecnología para que no se produzcan daños, porque en el fondo a los usuarios no los vamos a cambiar.
Interpreto que allí donde está almacenada la información, están los riesgos.
Exacto. Si se quiere proteger la información, hay que ocuparse de dos aspectos. Uno es el control del acceso, ya se trate de un empleado que tiene la clave o de alguien de fuera que puede meterse en el sistema. El otro, que la información perdida sea recuperable. Es la razón por la que con productos de Symantec se gestiona el backup del 50% de la información del mundo. Como lo oye. Somos el líder mundial porque hemos sabido combinar el backup con la seguridad de acceso.
¿Cómo está influyendo el fenómeno de la virtualización?
Para nosotros, lo que está pasando es que las empresas tienen como prioridad la optimización de sus recursos, y para esto es necesario proteger el sistema completo, con su servidor y su almacenamiento. Si antes teníamos varios servidores dedicados a distintas aplicaciones, y ahora gracias a la virtualización tenemos un servidor con cuatro o cinco aplicaciones críticas, proteger el sistema completo es más importante que antes. No menos importante.
Hablando de fenómenos, ¿qué cambia con el cloud computing?
Es la próxima generación de servicios a los consumidores y a las empresas. Una empresa puede decidir hacerlo todo en su datacenter, pero se priva de capacidad para expandir su negocio. Si un banco español, y hay muchos, compra un banco en Polonia […]
Entonces no son muchos.
[risas] con lo que añade 10.000 empleados, no tiene necesidad de dos servidores adicionales para darles soporte; puede pagar unos euros por usuario y tiene esa capacidad. Según las previsiones, el cloud computing aportará el 15% de nuestro negocio dentro de cinco años, aproximadamente 1.000 millones de dólares.
¿Cuál es la posición de Symantec en el mercado de consumo, donde proliferan los competidores?
Hemos seguido creciendo año tras año, y el 50% del mercado de consumo usa nuestros productos, aportando una tercera parte de nuestra cifra de negocios. El segundo punto es que si uno lee los informes de los laboratorios independientes de test, los ganamos todos, y ahora más que en ningún otro en la historia de la compañía.
Esta es una industria fragmentada y con muchos cambios de propiedad, pero todas las hipótesis de consolidación fracasan, porque aparecen nuevos actores.
Symantec ha comprado unas 40 compañías en diez años, y este año, quiero decir el 2010, han sido tres por 1.700 millones de dólares. Sí, se puede decir que hay una consolidación constante, pero en el mercado de la seguridad siempre entran compañías pequeñitas que sobreviven aferradas a un segmento muy concreto. Y la consolidación prosigue; no hay más de cinco o seis compañías que facturen 1.000 millones de dólares o más. Otra forma de consolidación es la entrada de compañías ajenas a la seguridad. Pienso, por ejemplo, en la compra de McAfee por Intel.
[…]
No es el único caso. Hay otras compañías muy grandes que han entrado en el mercado de la seguridad, pero con poco éxito […] En 2004, cuando Microsoft presentó su producto de seguridad, OneCare, alguien me dijo que sería el fin de Symantec. ¿Qué ha pasado? Que ya no está en el mercado.
¿Qué efecto ha tenido la recesión sobre esta industria?
Como industria, no está a salvo de la recesión, pero la necesidad de seguridad informática no depende del ciclo económico, de que la economía suba o baje. En este sentido, se puede decir que somos una industria más resistente que otras. Se puede prescindir de muchas cosas. pero no en seguridad, no se puede recortar.
¿Esto quiere decir crecimiento?
Quiere decir que este negocio debería crecer regularmente entre el 3 y el 6% anual, y nos gusta que el crecimiento sea estable, sin sobresaltos. Está la posibilidad de crecer por adquisiciones, pero si creciéramos sistemáticamente a ese ritmo, estaremos satisfechos.