ENTREVISTA

Nils Puhlmann, Cofundador y CISO de la Cloud Security Alliance (CSA)

ISMS Forum Spain

"La nube' precisa otro marco de seguridad. No puede servir lo que hemos hecho siempre"

01/01/2010 - Ángel Gallego, Sevilla
Puhlmann brilló con luz propia en el último encuentro de ISMS Forum Spain, una de las personas con una visión más clara sobre el impacto que va a suponer en la seguridad este cambio de modelo. “El futuro en las empresas pasa por controlar menos y gestionar mejor el riesgo", subrayó en alusión a la inminente adopción de las redes sociales como herramienta de colaboración empresarial.

 
¿Cuál es la misión de la Cloud Security Alliance (CSA)? ¿Cuál es el rol de los miembros asociados?

Nuestro principal compromiso es proveer a la comunidad de información útil acerca de todos los aspectos importantes y comprender qué va a cambiar en un entorno cloud.

Les explicamos qué conceptos vamos a poder seguir manejando, y cuáles ya no. Los miembros de la CSA aprovechan este conocimiento y contribuyen con sus recursos a generar más oportunidades a los demás. Se constituye como un círculo experto que extiende su conocimiento para todo el mundo, no sólo para los miembros, y gratis.

A todos nos ha quedado claro durante la celebración de esta jornada que "la nube" ha venido para quedarse, que no sólo es una tendencia, pero hay todavía muchas personas que desconfían en alojar ahí sus aplicaciones. ¿Qué les diría?

La confianza es un feeling, no se puede cuantificar y menos si eres un profesional de la seguridad. Hace unos años, en las empresas no se trabajaba en remoto y hoy la mayoría de los trabajadores son móviles. Lo mismo ocurre con Software as a Service (SaaS).

Entre las compañías que ofrecen estos servicios se encuentran las de toda la vida, ¿por qué lo van a hacer mal? La meta no puede ser controlarlo todo desde el primer momento; tiene que haber riesgos, como los hay hoy. Los servicios en la nube se traducen en hacer las cosas mejor y con menos esfuerzo.

¿Cree que todas las compañías de TI se van a adaptar tan rápido a este modelo?

Dentro de dos años, la parte de negocio más importante de todos los proveedores estará orientada a cloud. Es más rápido y flexible porque el cliente sólo paga por lo que usa, después se olvida y aquí no se puede competir con las armas de antes.

Pero también es más difícil proteger "la nube"…

Todos los proveedores de tecnología deberían ser abiertos, no transparentes, pero sí deberían compartir su base, lo que se debe hacer y lo que no. No les pido que hablen de producto, sino de modelo de plataforma y de su securización.

Por ejemplo, Microsoft es una de las compañías que está llevando a cabo un cambio más profundo en su manera de entender el negocio y ha realizado un esfuerzo enorme para proteger sus servicios en la nube. Así podrán desarrollar su labor teniendo en cuenta el cumplimiento normativo.

Ahora ya hablamos de cloud porque estamos preparados para aceptar un cambio en la forma de tratar la tecnología, sólo hay que ver lo rápido que crece Second Life o cómo ha cambiado el concepto de juegos... la gente juega unida en la Red.

¿Qué es lo que más debería preocupar a un CISO en un entorno así? ¿Cuáles son los pasos esenciales para llevar a cabo una estrategia de seguridad?

Hay que entender el negocio, saber qué es importante. Quién administra cada parcela, cómo voy a almacenar mi información, conocer a qué riesgos me enfrento y conseguir que funcione. Todo el dinero que se invierta en esta dirección será bienvenido. Si intentas cosas nuevas, aprendes en un nuevo entorno, que no es más difícil, pero sí más complejo.

Los CISO tenemos que conseguir implicar a la empresa en este cambio. Siempre hemos hecho las cosas solos y eso ha sido un error. Si en el departamento de Recursos Humanos ven que tengo razón, lo transmitirán a otros departamentos y, poco a poco, el uso de herramientas en "la nube" se convertirá en cultura de toda la empresa.

A pesar de la situación económica, la seguridad no se ha visto demasiado afectada. ¿En qué áreas se va a invertir más este año?

La Inteligencia de la Información va a recabar grandes inversiones porque las empresas están viendo que tiene sentido. Es una oportunidad para emprender el cambio y entender esta nueva generación de recursos, impulsados por los más jóvenes.

Dentro de cinco años todo habrá cambiado y debemos protegernos, entender qué pasa en "la nube", que la información que rodea a mi producto es más importante a la hora de asegurarla que el producto en sí.

"Si disponemos de información que en seis meses no nos servirá para nada, ¿por qué protegerla?"

Una reciente encuesta en Reino Unido revelaba que el 41 por ciento de los trabajadores ha utilizado información de la empresa en beneficio propio o para ayudar a un amigo a encontrar trabajo. ¿Cuál es el reto en Prevención contra Pérdida de Datos (DLP, en siglas inglesas)?

Si disponemos de información que en seis meses no nos servirá para nada, ¿para qué protegerla? Hay que diferenciar entre contenidos y contextos, y si algo es ridículo es que el 60 por ciento de la información de un data center no se utilice. Del mismo modo considero incomprensible que esa información esté disponible para todo el conjunto de trabajadores. ¿Y si cae en manos equivocadas? En este sentido, los gobiernos llevan ventaja.

¿Quién es el proveedor mejor posicionado en DLP, según su experiencia?

Ninguno. Todos quieren vender su catálogo de 20 a 40 productos sin una estrategia clara. Las empresas pequeñas, sin herencias tecnológicas, lo hacen mejor porque se presentan ante el cliente y le preguntan: "¿qué necesita?".

Estos proveedores combaten el fraude, las botnets, el crimen organizado, pero no ayudan al cliente a ver qué está haciendo mal. El cliente debería decirles: “no me vendas como valioso productos de hace diez años". En la industria del automóvil, el airbag se pagaba como un extra hace años, pero hoy es un estándar y nadie asume pagar más por él.

En seguridad, los clientes deben decir a sus proveedores: "Te pagaré por lo que realmente importa”. De este modo, el entorno cloud acaba beneficiando a ambos.

Entonces, ¿ve viables cambios reales a corto plazo?

Sí, sin duda, excepto en aquéllas empresas que tengan vocación de cadáver. Es necesaria una asociación entre pequeñas empresas; tienen que hacerlo porque ellas serán las principales convencidas del cambio cualitativo de la nube y de las ventajas económicas de las herramientas de colaboración.

ISMS Forum ofrece la 'Guía práctica para la Seguridad en la nube' de la CSA

Para Nils Puhlmann, "la nube" precisa de otro marco de seguridad. “No podemos seguir confiando en lo que hemos hecho siempre, pues los antivirus sólo garantizan una protección del 30 por ciento y el malware se actualiza más rápido que cualquiera de ellos”.

Asimismo, Puhlmann tiene muy claro que la seguridad es un problema que hay que resolver entre todos: “Los ataques son los mismos para todos y debemos tener presente el ejemplo de la banca, que ha invertido mucho en seguridad, pero no hubiese sido capaz de resolver sus problemas sin la colaboración entre entidades”.

Sin duda, este cambio fundamental, tal y como lo define Puhlmann, nos lleva hacia entornos dinámicos y cambiantes, donde la seguridad es un paraguas que lo abarca todo y su efectividad radica en la personalización de los servicios. “Antes, el único problema de las seguridad TI era garantizar que no ocurriese nada y hoy tenemos que ser capaces de trabajar de manera conjunta, pues los buenos y los malos vivimos en el mismo mundo”.

Durante la jornada, ISMS Forum presentó en primicia la Guía práctica para la Seguridad en Cloud Computing, elaborada por la Cloud Security Alliance (CSA) y traducida al español por la propia asociación. Esta interesante guía puede descargarse gratuitamente de la web.

Asimismo, el próximo 21 de enero, ISMS Forum Spain celebrará el I Foro del Data Privacy Institute (DPI) titulado "Recetas para la Privacidad de Datos", que tratará sobre la protección de datos en el sector sanitario.

El acto tendrá lugar en la sede del Consejo General de Colegios de Médicos de España (CGCOM), Plaza de las Cortes, 11 (Madrid). La inscripción es gratuita para socios y 100 euros, para no socios.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual