Carlos Jiménez, director general de Secuware

"Lo que mide la seguridad de una empresa es el punto más débil y en cualquier organización ese punto es el PC"

El entorno de TI está constantemente amenazado por peligros provenientes de múltiples orígenes. La mayor complejidad y potencia de los sistemas obliga a que las políticas de seguridad a implantar sean precisas y adaptadas a cada organización. Carlos Jiménez, director general de Secuware y uno de los mayores expertos en seguridad de España, resume cómo pueden diseñarse políticas de seguridad que garanticen la protección de la forma más eficaz posible.

¿Qué cifras de facturación maneja Secuware?
- Tenemos unos resultados de dos millones de euros de beneficio sobre cinco de facturación. Es un buen margen porque el desarrollo del software ya está bastante amortizado. Estamos invirtiendo mucho en creación de nuevos productos y tenemos muchas subvenciones del Ministerio de Industria. En cuatro años empezarán a aparecer las soluciones derivadas de ese esfuerzo. Ése es el horizonte de inversión que tenemos. El resto nos viene de la venta de productos ya existentes que tienen cinco años en el mercado y que utilizan todas las grandes compañías del país: la Agencia Tributaria, Iberdrola, Telefónica, Indra, Banco de España emplean nuestra tecnología de cifrado para la protección de portátiles y la plataforma de seguridad para la plataforma Windows. Eso básicamente está amortizado.

Secuware dedica un 30% de su facturación a la partida de I+D. Es una cantidad generosa.
- Nos dedicamos a fabricar software y en este negocio hay un ritmo de actualización del sistema operativo para proteger las distintas plataformas. Lo que en un principio eran pruebas de seguridad luego lo fuimos ampliando a aspectos como usabilidad e interfaces gráficos tridimensionales. Y son cosas que requieren mucha inversión.

¿Cuál es el perfil de sus investigadores y desarrolladores?
- Tenemos una cátedra en la Escuela de Ingenieros de Telecomunicaciones con la que desarrollamos mucho. También existe una gran colaboración con las universidades de Málaga y del País Vasco. Tenemos dos perfiles de desarrolladores. Gente muy especializada que se subcontrata en cualquier país del mundo pero que no forma parte de la empresa. Si tenemos que desarrollar la integración con algún hardware o software concreto contratamos al mejor profesional para que nos ajuste el tornillo determinado en ese momento. Ésas son colaboraciones puntuales y en ese sentido tenemos unos 25 colaboradores que han ayudado a desarrollar determinadas cosas. Pero independientemente de eso intentamos trabajar en que exista una cantera y ahí la cantera que tenemos en ‘teleco’ es muy buena y nosotros colaboramos para formarla. Lo normal es que luego se incorporen a la empresa.

¿Cómo es la estructura de la compañía tanto organizativamente como por países?
- Tenemos oficinas en Estados Unidos, Alemania, México y Colombia. Cada una de ellas son independientes y tienen su propio centro de gestión, aunque el software se desarrolla básicamente en España y se suministra a las distintas filiales. Este año hemos abierto una iniciativa nueva, Secuwarelabs, con el objeto de aportar I+D al tejido industrial vasco, un tejido tradicional al que las nuevas tecnologías le pueden aportar mucho. Hay un compromiso del Gobierno vasco de potenciar esa asociación para aportar I+D a la zona. Luego tenemos otra empresa orientada a desarrollar tecnología, SecuwareResearch. Los proyectos más innovadores se hacen allí.

¿Cómo valora la situación de la seguridad tecnológica en España, un país de confiados?
- Hay algunas cosas que hacen de España un buen mercado. Este negocio tiene una historia de más de 20 años. Proyectos como el DNI electrónico son apuestas importantes de la Administración Pública. Esto ha hecho que los organismos tengan que ponerse las pilas para conseguir que todos sus servicios estén preparados para el DNI electrónico y eso ha sido un impulsor importante para el mercado de la seguridad. La plataforma española de empresas de seguridad que presido ha hecho que el sector de la seguridad informática sea un sector con mucho desarrollo. Aquí hay muchas empresas que fabrican, que exportan como nosotros y es un buen nicho de mercado. Yo creo que se ha desarrollado más de lo que correspondería con respecto a su entorno. Esto viene ocurriendo desde hace tiempo. Hace ya quince años en España se vendían proporcionalmente por su mercado el doble de antivirus que en el resto de Europa. El hecho de que la gente pirateara hacía que el software estuviera más infectado. España, además, era el sexto país en creación de virus en aquel momento y básicamente eso hizo que se creara una industria con Panda y Anyware que consolidaron un buen nicho. En España tradicionalmente se improvisa pero eso pasa más en la pyme, que cree que con un antivirus lo tiene todo solucionado.

¿Y las grandes empresas?
- En éstas, que son básicamente nuestro target, se planifica más. Tienen que resolver distintos problemas como el hecho de que la información sensible de la dirección general no puede estar en manos de quien lleva la informática. En España hay una Ley de Protección de Datos que hay que cumplir y una serie de cosas que son grandes dinamizadores para la seguridad en este país.

¿Cuáles serían las claves para una política de seguridad efectiva?
- Nosotros creemos que lo que mide la seguridad de una empresa es el punto más débil y en cualquier organización ese punto es el PC. El hecho de que el usuario sea el administrador local de la máquina le dejaba en absoluta vulneración. La duplicación del uso, tanto en casa como en el trabajo, ha hecho que el usuario creyera que el ordenador era suyo y tomara control de la máquina como si fuera propia. Pero ese usuario no tiene conocimientos para arreglarlo si se estropea ni tampoco tiene la información para que no corra riesgos excesivos. Como el PC, además, está multiplicado por el número de usuarios, ese punto débil está en todas las partes de la empresa. Orientamos la seguridad en la empresa a proteger este tipo de plataformas y lo que hicimos fue proteger el entorno Windows, darle un sistema operativo de seguridad para que las máquinas siguieran la política de seguridad de las empresas.

¿Qué es lo básico en una política de seguridad?
- Lo fundamental es que la empresa sepa lo que quiere hacer con las máquinas, trace unas reglas de cómo tienen que funcionar esas máquinas y que no puedan salirse de esas reglas. Lo que existía antes de nuestra tecnología era que una empresa decidía cuál era su política de seguridad, lo ponía en un manual pero después había que cumplir ese papel. Nosotros configuramos de partida todos los sistemas para que sigan las políticas de seguridad que cada empresa decida. Queremos evitar que las empresas caigan en la falta de previsión, la falta de planificación, la falta de una política de seguridad. No creemos que la seguridad se resuelva por parches o por productos que se van colocando cuando hay una urgencia. Pasa por que la empresa decida para qué quiere los ordenadores y consiga que esos ordenadores funcionen en los límites que quiere establecer.

En un mundo manejado por el miedo. ¿Qué tipo de amenaza hemos de temer los usuarios domésticos y de las grandes corporaciones?
- Un or

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break