Gonzalo Erro Iribarren Responsable de privacidad y ciberseguridadHuawei España

“El principal reto es proporcionar productos seguros”

Gonzalo Erro. Huawei España.

La ciberseguridad y la protección de datos son la principal prioridad de Huawei. Ejemplo de ello es que de las 100.000 patentes que tenía activas a finales de 2021, cerca de 3.000 estaban relacionadas con alguno de estos dos elementos. Una apuesta que esta compañía completa con el trabajo a tiempo completo de 3.000 empleados en I+D de ciberseguridad.
De todo ello habla en esta entrevista Gonzalo Erro, quien también se pronuncia sobre la nueva Ley de Ciberseguridad 5G y del resto de regulaciones que están por llegar, entre otras muchas cosas.

La ciberseguridad y la protección de datos están entre las principales prioridades de Huawei. ¿En qué situación se encuentra la empresa en ambas vertientes y cuál es el valor diferencial que ofrece?

La ciberseguridad y la protección de datos son la principal prioridad de nuestra compañía, por encima de cualquier otro interés de carácter comercial. Llevamos más de 20 años proporcionando productos y servicios para redes de comunicaciones en el mercado español, y no hemos tenido incidentes significativos de ciberseguridad o de protección de datos.

A lo largo de estas dos décadas, Huawei ha ido madurando su posición y nivel de seguridad. Para ello, ha completado hitos como el establecimiento de una organización de seguridad, en la que se reconocen las figuras del responsable de seguridad y del delegado de protección de datos; la apertura del laboratorio interno de ciberseguridad, que verifica la seguridad de todos los productos antes de su lanzamiento comercial; o la inauguración de siete centros de transparencia para compartir nuestras prácticas y facilitar la colaboración en este campo.

Nuestro catálogo de productos y servicios es muy amplio y adoptamos los requerimientos de seguridad más exigentes, tanto propios como de regulaciones, de estándares internacionales y de nuestros clientes.

También cabe destacar que somos una de las compañías más auditadas e inspeccionadas a nivel mundial.

Todo esto contribuye a que nuestra empresa, productos y servicios sean más seguros.

¿Cuáles son los objetivos tanto a corto como a medio y largo plazo de Huawei en materia de ciberseguridad y protección de datos? ¿Qué líneas estratégicas seguirá su compañía para conseguirlos?

La ciberseguridad y la protección de datos son objetivos prioritarios para los productos y el servicio de Huawei. Pero es que, además, estamos en un modelo de responsabilidad compartida y debemos coordinarnos con todos los actores interesados. Cada uno tenemos una serie de responsabilidades para generar confianza en la transformación digital.

Nuestra línea estratégica en relación con nuestra actividad como proveedores de soluciones está marcada por cuatro líneas de acción. La primera es la innovación. Huawei tiene más de 3.000 empleados trabajando a tiempo completo en I+D de ciberseguridad. Cada año, la compañía invierte alrededor del cinco por ciento de su presupuesto de I+D en actividades relacionadas con la ciberseguridad y la protección de datos; situación que queremos mantener de manera sostenida.

El resultado de esta apuesta es que, a finales de 2021, Huawei tenía más de 100.000 patentes activas, de las cuales casi 3.000 estaban relacionadas con la seguridad y la protección de datos.

La segunda vía es la comunicación. Queremos continuar compartiendo con nuestros clientes las prácticas y soluciones de seguridad desarrolladas a través de nuestros siete centros de transparencia; cuatro de ellos ubicados en la Unión Europea. Desde su apertura en 2019, y a pesar de la pandemia, hemos recibido más de 350 visitas, incluyendo autoridades públicas, clientes, asociaciones y entidades académicas principalmente.

La tercera línea de acción es la colaboración. Participamos activamente en el desarrollo de un ecosistema europeo de ciberseguridad solido a través de cuatro elementos: nuestra contribución en grupos de trabajo de organismos y asociaciones de la industria; el soporte a la celebración de eventos relevantes y talleres de ciberseguridad; la promoción del talento en ciberseguridad mediante iniciativas con el entorno educativo, como el lanzamiento en 2021 del primer programa de becas en ciberseguridad; y la mejora de las capacidades profesionales en seguridad, como la formación y certificación en seguridad en tecnología 5G que lanzamos el año pasado en Bélgica.

La última vía es la verificación, ya que facilitamos a nuestros clientes la evaluación de la seguridad de nuestros productos y soluciones. A fecha de hoy se han completado siete evaluaciones de seguridad por parte de clientes y proveedores de servicios de seguridad.

Como es bien sabido, Huawei es una empresa puntera en el ámbito de las telecomunicaciones. ¿Cuáles son los peligros que más les preocupan en este sentido desde el punto de vista cíber? ¿Qué medidas de ciberseguridad implementa su compañía para salvaguardar sus redes de comunicación?

Las amenazas para el sector de las telecomunicaciones, y en concreto para los fabricantes de soluciones, no son esencialmente diferentes a las de otras industrias, aunque hay que añadirles los riesgos específicos de dicho sector.

El Informe Anual de Incidentes en el Sector de las Telecomunicaciones de Enisa destaca cuatro factores principales en los incidentes de ciberseguridad en redes de telecomunicaciones. Los errores técnicos de los sistemas, con un 59 por ciento, siguen siendo la principal causa, incluyendo fallos en la configuración o gestión de puertos de comunicaciones. Le siguen los errores humanos, con un 23 por ciento. Las acciones maliciosas constituyen un ocho por ciento, incluyendo las amenazas persistentes y los ciberataques. Y, por último, cabe mencionar los desastres naturales, con un 10 por ciento.

“La mayoría de las amenazas y desafíos para la seguridad en el 5G son los mismos que en el 4G”

Igualmente, es importante destacar que únicamente un 22 por ciento de los incidentes reportados indican que fueron originados directamente por la cadena de suministro. También hay que resaltar que, dentro de esta categoría, un 76 por ciento de los incidentes se debieron a errores técnicos en los sistemas, un 16 a acciones maliciosas y un ocho a desastres naturales.

Reducir estos tipos de incidentes y sus efectos deberían determinar los esfuerzos en nuestra industria. Desde 2020, en Huawei estamos invirtiendo en un programa de mejora de las capacidades de ingeniería de software que, entre otras cosas, nos permita atraer talento y desarrollar las capacidades de codificación segura o el soporte de terceros en la mejora de los procesos de desarrollo de productos.

¿Qué mejoras tiene por delante el sector de las telecomunicaciones desde el punto de vista de la ciberseguridad?

Los próximos años van a ser muy exigentes. Pero no solo para sector de las telecomunicaciones, sino para todas las industrias.

Las regulaciones relacionadas con la ciberseguridad inciden en el reforzamiento de los controles de seguridad, con especial foco en la cadena de suministro. En este sentido, para los fabricantes de equipamiento de redes de telecomunicaciones, el principal reto es proporcionar productos y servicios seguros.

En Huawei estamos convencidos de que mejorar la seguridad de los productos para redes es clave para mitigar los riesgos de incidentes de ciberseguridad. Por ese motivo hemos desarrollado una línea de base de requisitos de seguridad comunes a todos nuestros productos, para que incluyan funcionalidades de seguridad y estén libres de defectos desde su diseño. En particular, aspectos como el control del software de los equipos, el inicio seguro de los mismos, la protección de los interfaces de comunicación, los mecanismos de cifrado de los equipos, la prevención de código malicioso, la configuración segura, la seguridad en las operaciones de mantenimiento o la gestión del ciclo de vida son aspectos clave para la seguridad de nuestros productos.

Por otro lado, verificar y certificar la seguridad de nuestros productos mediante procesos de evaluación independientes llevados a cabo por expertos es un factor adicional para detectar y corregir deficiencias. Nuestros clientes pueden obtener un nivel de aseguramiento determinado que corrobora que nuestros productos han superado estas verificaciones.

Más específicamente en el ámbito del 5G, ¿cuáles diría que son los principales retos de la ciberseguridad?

En general, la mayoría de las amenazas y desafíos para la seguridad en el 5G son los mismos que para el 4G. Sin embargo, se deben tener en cuenta los retos adicionales que plantean las nuevas arquitecturas, servicios y tecnologías a las redes 5G.

Las nuevas arquitecturas de redes, su virtualización y el software 5G introducen nuevas interfaces y límites a dichas redes. Es el caso de la nueva arquitectura basada en servicios y la arquitectura de capas, que deben incluir nuevos requisitos de seguridad para evitar ataques. Por ejemplo, en el despliegue de la red 5G, la función del plano de usuario en el núcleo de la red se traslada al extremo de la red del operador, introduciendo nuevos límites y riesgos.

En cuanto a los nuevos servicios, las redes 5G potencian nuevos casos de uso con mejores capacidades de seguridad para que las aplicaciones y sistemas desarrollados cumplan con los requisitos de seguridad de las industrias verticales.

Por otro lado, la introducción de nuevas tecnologías en la nube podrían crear riesgos de seguridad en el uso compartido y virtualización de recursos de infraestructura. También se debe considerar el impacto de la computación cuántica en los algoritmos criptográficos tradicionales para garantizar la seguridad de la red.

La Ley de Ciberseguridad 5G ya es una realidad. ¿Cuál es su opinión sobre esta normativa y qué cree que supondrá para la seguridad de las comunicaciones de quinta generación en España?

La nueva Ley ha venido para impulsar la seguridad en las redes 5G y generar confianza en esta infraestructura básica para la transformación digital. Todas las iniciativas encaminadas a reforzar la seguridad de una manera objetiva, proporcional y no discriminatoria son bienvenidas.

Para cumplir ese objetivo de impulsar la seguridad real en el 5G, esta regulación viene a mejorar la gestión del riesgo por todas las partes involucradas (operadores y toda cadena de suministro) y la resiliencia de los servicios clave basándose en el principio de “confianza cero”.

Asimismo, la aplicación de dicha regulación debería seguir apoyando la existencia de una industria donde se favorezca la competitividad e innovación en la cadena de suministro y se minimicen las interferencias en las competencias del operador a la hora de determinar su inversión en el diseño, despliegue y gestión de la red 5G.

Por último, en el desarrollo de la regulación sería positivo hacer referencia a estándares internacionales y mecanismos de evaluación reconocidos o aceptados por la industria, como el futuro esquema europeo de certificación para el 5G, el esquema de aseguramiento de productos NESAS-SCAS o la base de conocimiento de seguridad de 5G desarrolladas por la GSMA y 3GPP.

Otras normativas, como la Directiva NIS 2 o la Directiva de Resiliencia, van a ser una realidad en un periodo breve de tiempo. ¿Cuáles son los principales aspectos en los que han de avanzar las legislaciones que están por llegar en territorio europeo y los principales cambios que deben reflejar, sobre todo en lo relacionado con las telecomunicaciones?

Desde Huawei seguimos con gran interés la intensa agenda regulatoria en torno a la digitalización y la ciberseguridad y compartimos el objetivo de generar confianza a través de la entrega de productos y servicios seguros. Consideramos que las normativas que se aprueben en España van a tener una influencia significativa derivada de la estrategia de ciberseguridad de la Unión Europea y la coordinación entre los estados miembros.

En cuanto a aspectos generales de ciberseguridad, la regulación derivada de la Directiva NIS 1 y la trasposición de NIS 2 marcarán en gran medida el nivel para los prestadores de servicios esenciales y proveedores de servicios digitales. El reconocimiento de la figura del responsable de seguridad es, sin duda, un primer paso adelante para impulsar definitivamente este rol, el nivel de responsabilidad que conlleva y los recursos de los que debe disponer.

Respecto al sector de las telecomunicaciones, la nueva Ley General de Telecomunicaciones, la Ley de Seguridad del 5G y su posterior Esquema Nacional de Seguridad van a ser las referencias para todos los actores involucrados.

Y para las administraciones públicas, el nuevo Esquema Nacional de Seguridad supone un paso adelante para que el sector público y su cadena de suministro desarrollen una administración digital confiable.

Otro desarrollo muy relevante para el sector TIC es el Acta de Ciberseguridad y el desarrollo de los futuros esquemas europeos de certificación para diferentes tecnologías, como el Esquema de Certificación de Ciberseguridad Europeo basado en Common Criteria, 5G, cloud, etc.

En este sentido, también la Directiva de Equipamiento de Radio va a ser muy relevante para establecer requisitos en la comercialización de equipos radioeléctricos, así como el procedimiento para la evaluación de conformidad, la vigilancia del mercado y el régimen sancionador de los equipos de telecomunicación.

Por último, el desarrollo y aplicación de la Inteligencia Artificial presenta una serie de retos respecto a la privacidad y la seguridad que también tendrán su desarrollo normativo correspondiente.

Estos son algunos de los desarrollos más relevantes para nosotros como fabricantes de tecnologías y soluciones, pero existen otros ámbitos como el de la lucha contra la ciberdelincuencia o la ciberdefensa que tendrán también gran relevancia.