Los ataques de la ciberdelincuencia son el flanco débil de la cadena de valor en la era digital. Este fue uno de los mensajes que dejó Bob Kalka, en su visita a Madrid para participar en una jornada que, efectivamente, fue abundante en mensajes. Por ejemplo, este: la respuesta convencional de añadir capas de soluciones y parches para cada brecha potencial de seguridad, es altamente ineficiente ante la sofisticación de las amenazas actuales. Tras el cierre de la conferencia, el autor de este blog tuvo la oportunidad de conversar con Kalka, vicepresidente de IBM a cargo de la Security Business Unit, estructura que, curiosamente, no ha sido creada hasta la reorganización de enero pasado.
No es que IBM descubriera súbitamente el problema [el propio Kalka lleva 21 años dentro de la empresa ocupándose de lo que hoy se conoce como ciberseguridad]. Esta fue su explicación: «tradicionalmente, en IBM se había considerado que la seguridad debía formar parte de todas sus actividades, en cada línea de la organización ha habido siempre un equipo especializado en seguridad». En los últimos años, IBM ha adquirido 26 empresas de esta especialidad, y conjugando esas fuerzas ha llegado a ser la segunda compañía del mundo en servicios de seguridad, por detrás de Symantec y por delante de McAfee (propiedad de Intel).
Ahora, ya como unidad de negocio, ¿la seguridad es un producto o un servicio? ¿O es un ´entregable` que se integra en otros productos y servicios?
Todo lo que usted ha dicho.
Imagino que tiene su propia cuenta de resultados. ¿Cómo eran tratados los ingresos anteriormente?
Hemos facturado servicios y productos de seguridad durante más de 20 años, pero eran gestionados por diferentes unidades de negocio; no huno un liderazgo ejecutivo único hasta este año.
¿Cómo se integra desde este año con el resto de líneas de negocio?
Por supuesto, sabemos lo que hacen todas las líneas de negocio, y qué capacidades en materia de seguridad tienen que implementar. Otra cosa es cuándo de lo que se trata es de enfocarnos en ayudar directamente a los clientes en la resolución de problemas de seguridad.
Déme un argumento de por qué es preferible poner la seguridad en manos de IBM y no en las de una empresa especializada, que vende seguridad y nada más que seguridad.
En primer lugar, IBM vende muchas otras cosas, además de seguridad, pero tiene 12.000 clientes de sus servicios de seguridad; estas son nuestras credenciales. En respuesta a su pregunta: indiscutiblemente estamos asistiendo a un cambio de perspectiva: es obvio que nuestros clientes usan distintos productos de seguridad, docenas y docenas de productos ofrecidos por docenas de vendedores. Al mismo tiempo, ¿qué ocurre dentro de esas organizaciones? Que la seguridad se ha instalado en la agenda de los comités de dirección y los consejos de administración. Tanto los CIO [chief information officer] como los CISO [chief information security officer] son convocados a la planta noble para informar sobre lo que se hace en materia de seguridad. Es lógico que el escrutinio permanente obligue a ver las cosas de manera diferente.
¿Cuál es la diferencia?
Hasta ahora, el CISO – allí donde existía – ha tenido una visión amplia, periférica, de los riesgos de seguridad en su organización, que normalmente son muy variados. Por consiguiente, opta por apoyarse en proveedores externos que le suministran productos orientados al tratamiento de cada riesgo […] Llega un momento en el que el CISO se pregunta cómo optimizar su tiempo y su presupuesto trabajando con menos vendedores. Personalmente, me consta el caso de un cliente en Estados Unidos que paga facturas por el mantenimiento de 288 herramientas de seguridad adquiridas a 65 proveedores diferentes […]
El hecho de que IBM comprara 26 compañías de seguridad ¿ha mejorado o agravado el problema?
Cuando empezamos a adquirir compañías de seguridad, no imaginábamos que el mercado evolucionaría como lo ha hecho, pero ha salido muy bien para nosotros, porque hemos sabido conservar el talento de esas compañías dentro de IBM. Un ejemplo que me parece perfecto es el nuevo producto Cloud Security Enforcer: hemos integrado tres tecnologías diferentes en un solo producto que entregamos como servicio en la nube. Si me pongo en el lugar de un cliente, es mucho más sencillo que comprar tres herramientas y tener que gestionarlas internamente.
Muchos opinan que hay demasiados competidores en este mercado, pero mi impresión es que su número aumenta…
Tiene una forma práctica de medirlo: para todas las categorías de productos y servicios de seguridad, Gartner ha definido 14 «cuadrantes», e IBM está incluída en 11 de ellos […] No sé si coincide con su impresión…
Mi pregunta era si los clientes deberían confiar en IBM o en compañías de seguridad poco conocidas…
Por supuesto, no somos la única compañía fiable. Pero lo que sin duda somos, es una compañía que ofrece una propuesta de valor única, con una cartera muy rica de tecnologías que integramos a medida de las necesidades de los clientes, y esta riqueza no la tiene la competencia.
¿Considera la posibilidad de que IBM se alíe o coopere con alguna empresa especialista en seguridad?
Eso es exactamente lo que hacemos. Necesariamente. Los productos de cada una de las compañías que hemos adquirido trabajan con otros productos de otras compañías, y esto no ha cambiado ni va a cambiar. No está en nuestra mentalidad el pensar que los clientes van a usar sólo productos de IBM […]
¿Qué le dice su experiencia acerca de la calidad de la respuesta en las grandes organizaciones ante los problemas de seguridad?
[…] podemos distinguir entre tres tipos de CISO: los que responden, los que protegen y los que influencian. La madurez de una organización en materia de ciberseguridad está relacionada con estas tres actitudes. Los CISO ganan influencia en las empresas cuando estas – es decir, la alta dirección – asumen la importancia de la gestión del riesgo. Es altamente deseable, pero no creo que ocurra ni en el 20% de las empresas. La mayoría confiere al CISO un rol de protector: puede diseñar muy buenos planes, pero pasa buena parte del tiempo presionando para que le hagan caso. Luego están los que solamente responden, una figura de bombero que, por definición, llega después del incendio.
La dinámica del problema ha cambiado con la aparición de un nuevo tipo de delincuente. Aunque la pregunta resulte ingenua: ¿qué se puede hacer contra la llamada web oscura?
Podemos tratar de entender cómo actúa, qué hacen estos delincuentes. Nuestros investigadores trabajan sobre el asunto permanentemente, no como respuesta puntual a ciertos eventos; sin embargo, pocas veces podemos actuar proactivamente contra ellos. De ahí surge nuestra propuesta X-Force Exchange: ponemos nuestras investigaciones al alcance de empresas e individuos, para combinar el conocimiento: las investigaciones sobre la web oscura y la colaboración con nuestros clientes).
La seguridad es un problema geopolítico de envergadura. Se ha publicado que los gobiernos de Estados Unidos y China estarían trabajando en un acuerdo que eventualmente podría no ser bilateral sino gestionado por la ONU. ¿Cree que hay que combatir el ciberdelito por medios políticos? ¿Se puede interpretar que el problema ha llegado a ser tan grande que su solución está fuera del alcance del sector privado?
Con independencia de las implicaciones políticas, que no son de mi competencia, la ciberseguridad ha sido siempre un problema. Todo profesional sabe que la seguridad completa es inalcanzable, que es un ciclo permanente: gestión del riesgo, de protegerse y de estar atentos a lo que se mueve. ¿Sirve de ayuda una iniciativa política? Sí, claro. Por nuestra parte, contribuímos con X-Force Exchange, porque cuanta más información se comparta sobre lo que hacen los «sombreros negros» mejor podremos pillarles. Si ellos se valen de procedimientos de crowdsourcing, para que su malware sea más eficaz, ¿por qué no habríamos de usar nosotros la inteligencia colectiva, a través del intercambio de información?
¿Y qué propone IBM a sus clientes? ¿Cuál es la oferta de la unidad de negocio a su cargo?
Nuestra oferta comprende seis capas: inteligencia, fraude, usuarios, datos, aplicaciones e infraestructura. Naturalmente, las seis están relacionadas, pero la más ´caliente` en la actualidad es la de inteligencia: a través de herramientas analíticas, se puede obtener visibilidad de las amenazas […]
De las cinco o seis capas de esa oferta, ¿cuál es la más demandada por sus clientes?
Las capas son seis, no cinco: inteligencia, fraude, usuarios, datos, aplicaciones e infraestructura. Naturalmente, están interrelacionadas, pero la más ´caliente` en la actualidad es la de inteligencia. A través de herramientas analíticas se obtiene visibilidad de las amenazas; uno de los hallazgos es que si los clientes pueden tener visibilidad de lo que ocurre en sus sistemas, significa que están en buena forma, y que pueden responder a las preguntas de la alta dirección, de los auditores u otras instancias. Si se tiene un cuadro de mando unificado, será más fácil contener las demandas puramente reactivas, tácticas.
Ha descrito una oferta holística, pero ¿realmente los clientes buscan soluciones holíticas o prefieren comprar piezas separadas?
Hay una tendencia manifiesta a comprar soluciones integradas, por la sencilla razón de que les falta personal cualificado. Según un estudio reciente, habría un déficit de 208.000 empleos en seguridad que no se cubren porque no hay candidatos.
En la mesa redonda de esta mañana se dijo que la regulación vigente pone más énfasis en el cumplimiento de las normas que en el riesgo. Se podría inferir que las reglas de juego son, en la práctica, un incordio…
No, no puedo estar de acuerdo con esa inferencia: creo que uno de los papeles de la regulación es dar visibilidad a los problemas de seguridad, y que lo consigue. Ahora bien, las organizaciones tienden a reaccionar ante la regulación haciendo lo mínimo, cumpliendo la norma y esforzándose por mostrar que la cumplen, y evitan crearse más problemas. Personalmente, creo que hay un cambio en esa actitud: cada vez más organizaciones comprenden que cumplir las normas no es suficiente. El objetivo, que no puede estar dentro de la regulación, debería ser una gestión del riesgo sobre una base de tiempo real.
[publicado en La Vanguardia el 22/11}