Entrevista: Héctor Sánchez, director de seguridad corporativa de Microsoft. "Nuestra apuesta por la seguridad es total" Crear un canal de comunicación continuo con los responsables de seguridad de las organizaciones es el reto de Hector Sánchez

Entrevista: Héctor Sánchez, director de seguridad corporativa de Microsoft. "Nuestra apuesta por la seguridad es total"
Crear un canal de comunicación continuo con los responsables de seguridad de las organizaciones es el reto de Hector Sánchez

Foto: MicrosoftPregunta: ¿Por qué Microsoft ha decidido reforzar su área de Seguridad con la creación de la Dirección de Seguridad Corporativa?

Héctor Sánchez: Los responsables y directores de Seguridad (CSO) de las grandes y medianas corporaciones necesitan un contacto fluido y continuo con Microsoft. Muchos de los activos que estos profesionales tienen que considerar en sus planes directores de seguridad están basados en tecnología Microsoft, por lo que es una buena noticia que aumentemos la dedicación a este colectivo de forma directa. También la Administración Pública presenta requerimientos especiales en esta materia. Una relación constante con Microsoft es imprescindible, y la función que represento hace posible y potencia esa comunicación.
P: ¿Cuáles son sus objetivos?
HS: Crear un canal de relación permanente con los responsables de seguridad de las corporaciones y Administraciones españolas. Microsoft necesita conocer las inquietudes de esos profesionales, que deben influir en la estrategia que la compañía plantea y ejecuta. Nos une el objetivo de reducir los niveles de riesgo de los usuarios de las Tecnologías de la Información (TI), desde diferentes perspectivas. Respecto a la Administración, como proveedora de servicios de seguridad y de defensa de los ciudadanos, la finalidad es facilitarle esa labor en aspectos críticos como la delincuencia cibernética, la identificación (DNI digital) o la protección de infraestructuras.
P: Parte de la filosofía de trabajo de Microsoft hacia sus clientes y partners consiste en escucharlos, en atender sus demandas. ¿En qué se traduce esto dentro de su nuevo cometido?
HS: Desarrollamos consejos de seguridad, denominados Security Councils, a nivel internacional hace años; en España en 2005. En ellos, los responsables de seguridad de las grandes y medianas corporaciones transmiten sus preocupaciones, que se debaten internamente, y se muestra la estrategia de Microsoft al respecto. Esta sistematización nos permite consolidar un feedback que influye en la estrategia de seguridad de Microsoft. El último Security Council celebrado en España evidenció que las principales inquietudes de los directores de Seguridad se centran en aspectos como la protección de contenidos, la instalación y/o distribución de actualizaciones, la mayor defensa de los usuarios y la información sobre los pasos de Microsoft en este campo. Los CSO quieren un Microsoft fuerte en la oferta de soluciones de seguridad e identidad, y robusto en los fundamentos tecnológicos. La realidad es que tenemos que hacer mayores esfuerzos por divulgar nuestra estrategia y aplicaciones, porque así, su confianza aumenta.
P: ¿Cómo se enmarca la estrategia de esta Dirección dentro de la iniciativa Trustworthy Computing? ¿Sigue vigente o ha quedado superada por otras políticas en el ámbito de la Seguridad?
HS: Trustworthy Computing es mucho más que una iniciativa. Es uno de los puntos de inflexión más importantes en la historia de Microsoft, junto a .NET e Internet. Se trata de una estrategia con objetivos ambiciosos que podrían resumirse en una confianza global en los sistemas de información. La finalidad es tan concisa como ambiciosa, y su desarrollo se ejecuta a medio y largo plazo. Los primeros resultados son positivos y animan a seguir trabajando (disminución de los problemas de seguridad en más de un 70 por ciento). Pero aún tenemos mucho que mejorar y avanzar.
P: ¿La creación de esta nueva figura en Microsoft da a entender que las grandes compañías españolas no son conscientes de la importancia de contar con entornos tecnológicos seguros?
HS: No tiene por qué. Quizá sean las grandes corporaciones las que más recursos humanos y económicos pueden dedicar al cuidado de sus activos informáticos. La falta de seguridad en las organizaciones medianas o pequeñas sí puede ser preocupante. Cada vez existe mayor conciencia sobre la necesidad de protección, aunque no siempre se acierta con las medidas adecuadas para cubrirla. La tecnología, los procedimientos y las personas conforman, a partes iguales, los componentes de cualquier solución de seguridad, y su éxito depende de la capacidad para orquestar estos tres elementos. Para Microsoft, es importante incidir en cada uno de ellos: desarrollar la mejor tecnología para proteger los sistemas; documentar cómo hay que operar la tecnología con criterios de seguridad, y ofrecer formación para que los profesionales afronten con la mejor preparación el reto de proteger los datos de su empresa. Los sistemas son tan seguros como el conocimiento del experto. Por ello, es vital que sepan cuáles son las características de seguridad implícitas en la tecnología Microsoft, y que las decisiones posteriores se tomen sobre ese conocimiento previo.
P: ¿Cómo calificaría la seguridad general de las grandes corporaciones (correo, servidores, redes...)?
HS: Se percibe una mayor protección de los entornos más evidentes, como servidores o sistemas de correo. Aun así, conviene saber escoger la mejor tecnología, con el coste más adecuado. El firewall Microsoft ISA Server y la plataforma Antimalware de Microsoft Antigen son excelentes ejemplos. También nos hemos esforzado mucho en hacer de Visual Studio Team System la mejor plataforma de desarrollo para la construcción segura de aplicaciones, incluyendo potentes automatismos que faciliten que el código sea más robusto. Sin embargo, la máxima de que una cadena es tan débil como el más débil de sus eslabones en ocasiones se olvida, y es frecuente encontrar entornos con sus infraestructuras correctamente protegidas, pero con aplicaciones desarrolladas sin criterios suficientes de seguridad. Quizá ese sea uno de los aspectos más descuidados. La exposición de una aplicación a un entorno de usuarios corporativo o público exige que el código se haya diseñado y ejecutado con criterios de seguridad. No es suficiente el conocimiento funcional de la aplicación. Algunos estudios indican que el 70 por ciento de los problemas de seguridad de una empresa procede de aplicaciones desarrolladas sin estos criterios.
P: ¿En qué se concretará la oferta de seguridad de la compañía en los próximos años?
HS: La visión holística que Microsoft mantiene sobre la seguridad y la gestión de identidades y control de accesos se traduce en un amplio abanico de tecnologías, presentadas al usuario en tres formatos: productos específicos, plataformas de base más robustas y completas y una oferta de servicios de seguridad remotos. Respecto a los productos específicos de seguridad, las propuestas de Microsoft van desde los sistemas de protección perimetral, como Microsoft ISA Server 2004, los sistemas de protección antivirus-spam, como Microsoft Antigen para mensajería, el sistema antivirus Microsoft Client Protection y una nueva generación de tecnologías que completarán el portfolio de soluciones. Los productos para controlar las identidades y accesos se centran en Microsoft Windows Server 2003, desde donde se proponen soluciones para proteger la información (Encrypted File System, gestión de derechos digitales–RMS, Data Protection Manager 2006 y cifrado de volumen en Windows Vista), controlar los accesos (Directorio Activo, ADAM, VPN Access, protección de cuentas de usuario de Windows Vista, Audit Collection Services...) y gestionar la identidad (Windows Server, Microsoft Identity and Integration Server, soporte de smartcards, etcétera). Respecto a las tecnologías para fortalecer la plataforma Microsoft, hay que destacar Service Pack 2 de Windows XP y Service Pack 1 de Windows Server 2003. Es 15 veces menos probable ser infectado por cualquier tipo de malware si se tiene el Service Pack 2 instalado. Igualmente, debemos tener presentes las herramientas Microsoft Antispyware, sistemas de actualización automática como Microsoft Update, Firewall Personal en Windows XP y Windows Vista, fortalecimiento de Servicios, Network Access Protection (NAP), mejoras IPSec para crear VPNs más robustas, Malicious Software Renoval Tools...
Defendemos la necesidad de dotar de una base mínima de seguridad que no suponga un sobrecoste a los clientes. Respecto a los servicios de seguridad remotos, tanto para el usuario doméstico como para el empresarial, nuestra propuesta pasa por Microsoft Windows One Care (gestión global de la seguridad del puesto de trabajo del usuario doméstico) o frontbridge (externalización de la seguridad de la mensajería corporativa). Nuestra oferta global es extensa y queremos que siga creciendo.
P: Ha hecho referencia a algunas certificaciones de seguridad. ¿Qué importancia tienen para Microsoft?
HS: Certificaciones, como Common Criteria, son importante porque permiten a los profesionales tomar decisiones objetivas respecto a la seguridad en sus empresas, ya que pueden comparar sus requisitos frente a un estándar consistente y determinar el nivel que se necesita para cada uno de ellos, así como comprobar si un producto cumple o no con sus requisitos. Además, pueden fiarse cien por cien de la evaluación realizada por laboratorios de testeo independientes. Por otro lado, Common Criteria ayuda a los fabricantes a desarrollar productos seguros con objetividad y manteniendo un lenguaje de seguridad común. En Microsoft nos hemos esforzado mucho en los cuatro últimos años en certificar Tecnología bajo estos criterios. ¿El resultado? Más de 20 tecnologías certificadas Common Criteria, que incluyen Windows XP, Windows Server 2003, ISA Server y Exchange Server.
P: ¿España es un país más vulnerable que el resto de Europa?
HS: Muchas de las amenazas que discurren por la Red no saben de fronteras. Todos estamos expuestos a la tecnología dañina. La educación y la cultura tecnológica de los usuarios difieren según los países y, quizá en ese caso, tenemos aún un largo camino por recorrer para educar y concienciar al usuario de los beneficios, las posibilidades y las necesidades de establecer pautas de protección. Sin embargo, desde la perspectiva de la seguridad, España es un país pionero en muchos sentidos, tal y como demuestran casos como la tarjeta CERES y el uso que de sus servicios hace la Agencia Tributaria para la declaración del IRPF por Internet; el DNI digital; la Seguridad Social y un largo etcétera de ejemplos de Administración electrónica avanzada.
P: ¿Existe la seguridad total?
HS: La seguridad total es una quimera en cualquiera de nuestras formas de convivencia. Gestionar el riesgo es el objetivo más adecuado. Algunos de nuestros partners están especializados en lo que llamamos Quick Assesments de Seguridad, en los que, de forma metodológica se examina, en un plazo aproximado de dos semanas, el estado de seguridad de la tecnología Microsoft desplegada en la empresa, para proponer una serie de recomendaciones orientadas a disminuir el riesgo. Cualquier interesado puede enviarme un correo a hectors@microsoft.com, y le facilitaré más información al respecto.
P: ¿Qué mensaje daría desde aquí a los lectores de Perspectivas?
HS: Confianza en que la apuesta de Microsoft por la seguridad no tiene vuelta atrás. La estrategia de la compañía es rotunda. Apostar por nuestra tecnología es cada vez más una realidad objetiva. Resulta paradójico que en algunos entornos críticos se alegue la seguridad como motivo para no poner una determinada tecnología Microsoft, cuando debería ser precisamente la seguridad el motivo para desplegarla con amplitud. Invito a los lectores de Perspectivas a que ellos o sus responsables de Seguridad contacten conmigo a través de mi email de forma continua. Estamos estableciendo un canal directo de comunicación de Microsoft Ibérica con estos profesionales para asegurarnos de que la información relevante fluye de forma directa y permanente.
Fuente: www.microsoft.com
Revista Perspectivas nº 18
Invierno de 2006
Suplemento Temático: Los nuevos retos del Director de Seguridad

Entradas populares