Llegamos a ustedes gracias a:



Conversando con...

Alok Sharma y Jesús Rojas de Thales e-Security

Las llaves de la seguridad

[14/08/2014] Hace unos días estuvo de paso por Lima Alok Sharma, vicepresidente de Thales e-Security para dar una presentación sobre el tema que domina: La seguridad electrónica. Con él y con álvaro de Jesús Rojas, director de ventas para América Latina de la misma empresa, pudimos conversar gracias a las gestiones que realizó su empresa asociada en el Perú, Electrodata.

Sharma habló sobre el nivel de seguridad que observa en la región y específicamente sobre el negocio en el que se ha especializado su firma: La administración de llaves de cifrado.

Alok Sharma, Jesús Rojas, Thales e-Security
Jesús Rojas, director de ventas para América Latina, y Alok Sharma, vicepresidente, ambos de Thales e-Security, comentan sobre el nivel de seguridad que observa en la región y específicamente sobre el negocio en el que se ha especializado su firma: La administración de llaves de cifrado.

¿Considera que la seguridad ya es un tema que comprenden las compañías?
Sharma: Creo que están aprendiendo cada vez más todos los días. Inicialmente la seguridad no era tan grande, pero en los últimos 15 a 20 años está creciendo; es una parte cada vez mayor del presupuesto de TI. Las personas están gastando más en seguridad, están buscando con mayor cuidado la seguridad y están entendiendo a dónde pertenece.

¿Y ese comportamiento lo observa solo en bancos u otro tipo de industrias?
Sharma: Es para todos. Desde la persona que tiene una tarjeta de crédito hasta la persona que se encuentra comprando zapatos, o alguien que quiere asegurar los datos críticos del gobierno o retailers. Ahora son todos. El sector financiero es más seguro y se encuentra más enfocado que otros pero se encuentra en todos lados.

¿Y cuáles son las preocupaciones más grandes que tienen las empresas?
Sharma: Creo que en general, la principal preocupación es evitar que sus datos críticos salgan de su red. Por ello, en el sector financiero se ocupan de los datos de las tarjetas de crédito, cómo mantener segura la información del cliente de la tarjeta de crédito, o cómo mantengo segura la información de mis clientes; en el campo tecnológico es cómo mantengo seguro mi IP; si desarrollo un patrón para mis productos, cómo lo mantengo seguro. Las personas que escriben software se preocupan de que no haya malware dentro de ese software, entonces hay toda clase aplicaciones.

En el pasado las organizaciones se preocupaban de los ataques externos, luego de los internos, pero ¿cuál es el más frecuente ahora?
Sharma: Ambos. Las personas en el pasado nunca pensaron que alguien podría estar dentro de sus instalaciones intentando llevarse sus datos, y desafortunadamente eso está creciendo. Pero también hay muchas personas que aún realizan ataques desde fuera, como los hackers, entonces vienen de ambos lugares y en múltiples dimensiones.

¿La ingeniería social entonces se ha convertido en la forma más sofisticada de ataque?
Sharma: Creo que está creciendo porque ahora las personas publican sus datos en diferentes sitios web, y entonces se tiene más para aprender sus comportamientos y conocer otros vectores de ataque. Desafortunadamente, cuando hay más información en el dominio público, eso da a las personas más datos con los cuales pueden trabajar.

Entonces ¿se le puede considerar una tercera forma de ataque?, porque no es un ataque a una institución sino a un cliente.
Sharma: Puede ser a un cliente, pero también a una institución.

¿Qué herramientas tenemos ahora para cuidar los datos?
Sharma: En general, las personas están intentando proteger los datos cifrándolos. El cifrado no es nuevo; ha estado presente por muchos años. La parte difícil con el cifrado es donde mantienes la llave y cuán accesible es esa llave, ese es el campo en donde vemos cada vez más sofisticación, y por ello nuestros productos se encuentran diseñados para asegurar esas llaves en una bóveda de seguridad certificada de hardware, para poder usar esas llaves para descifrar los datos.

¿Cuán seguro puede ser el cifrado? y ¿qué tan complicado es implementarlo en compañías que prefieren tener flujos de trabajo que sean fáciles de usar?
Sharma: Puede ser muy seguro, eso depende de cómo lo has desarrollado, pero puede ser muy seguro. En cuando a lo segundo, creo que se está cambiando debido a todos los ataques que hemos visto; y, debido a ellos, los negocios han perdido incluso sus marcas. Muchos negocios han sufrido porque sus datos han sido robados, toda su marca -no solo sus activos- han sido puestos en riesgo.

Las personas se están dando cuenta que tienen que tomar medidas para hacer que su información sea más fuerte y más segura. Si no lo hacen se encuentran en riesgo, hemos visto compañías que casi han desaparecido porque sus datos fueron robados.

Rojas: Quisiera agregar que las compañías están encontrando un equilibrio entre la seguridad y la facilidad en sus operaciones. Y este es el lugar en donde la tecnología de punta se encuentra, tratando de encontrar un equilibrio entre proporcionar un ambiente seguro para la empresa y al mismo tiempo encontrar la facilidad en su negocio. Su negocio no es el cifrado, sino aquello a lo que se dedica. Todos se están dando cuenta que tienen que tener ciertos compromisos e implementar un nivel de seguridad, de otra forma pueden perder su marca y los negocios.

Ahora tenemos dispositivos móviles. ¿Cómo enfrentar la seguridad en estos dispositivos móviles?
Sharma: Definitivamente, es un desafío para todos los involucrados. Los negocios están encontrando soluciones, están implementando formas seguras de pagar con su dispositivo móvil, son diferentes aplicaciones. Entonces el teléfono se está convirtiendo en una extensión de la tarjeta, y hay muchas soluciones creativas y seguras en el mercado. Seguiremos viendo que este mercado va a crecer.

¿Cuál es el nivel de uso del cifrado en América Latina?
Sharma: Está creciendo. Vemos que en la conferencias que asistimos en América Latina son ahora más grandes que hace tres años, y vemos que los negocios son cada vez más seguros, ya sea por las regulaciones o porque tratan de proteger sus datos.

Rojas: Las cifras exactas son difíciles de estimar pero antes veías solo a los grandes bancos como los reales consumidores del cifrado. Ahora lo usan los retailers, los bancos pequeños, las financieras, el gobierno, los carriers, y a los productos que salen se le coloca cada vez más seguridad.

¿Desean agregar algo?
Sharma: Creo que debo decir que hay una diferencia entre cifrado y administración de llaves. Hace muchos años todos se encontraban enfocados en el cifrado y se sofisticaron las herramientas y el desarrollo. Nosotros estamos cambiando. No solo nos enfocamos solo en el cifrado, sino también en la administración de las llaves que significa cómo mantengo las llaves que uso para cifrar los datos y luego dónde coloco esas llaves, y ese es el tipo de sofisticación que está creciendo en la actualidad.

Rojas: Esa es la parte donde las compañías planean el equilibrio, si quieren tener facilidad de uso; pero también, una buena protección tienen que estar en capacidad de administrar esas llaves de tal forma que se puedan proporcionar fácilmente para mis aplicaciones, para mis datos, pero que al mismo tiempo sean fuertes y seguras.

Cuando ofrecen soluciones para administrar llaves ¿ofrecen solo soluciones on premise o también de nube?
Rojas: No hay preocupaciones en cuanto al uso de la nube, pero lo que se hace es que se inicia con elementos que no sean muy riesgosos en la nube, se ve cómo funciona, y luego poco a poco se va colocando otros tipos de información.

Sharma: Las personas poco a poco se están trasladando a la nube.
Jose Antonio Trujillo, CIO Perú