"La seguridad total requiere limitar la libertad del usuario"

Carlos Jiménez, presidente de Secuware

En pleno proceso de expansión comercial, la compañía española Secuware ha roto una lanza allende las fronteras, aportando la alta sofisticación de su tecnología de seguridad integral para grandes organizaciones. El fundador y artífice de este logro es Carlos Jiménez, considerado uno de los cinco mayores expertos en la materia, que ha cambiado el rumbo de la protección que ofrecen los antivirus en el puesto de trabajo en pro de un sistema blindado que impide cualquier intromisión. Claro y rotundo, Jiménez explica su visión de un mercado creciente y rentable, en el que los antivirus y similares no solucionan los problemas de seguridad.

¿Cuál es la situación actual de Secuware, en un momento en el que la seguridad todo lo envuelve?
- Hasta el año pasado, éramos una empresa de I+D que facturaba tecnología con la visión de que era algo que se iba a necesitar tarde o temprano, siempre muy vinculada a seguridad militar en grandes organismos, para combatir ataques no solicitados, filtraciones, etc., pero no teníamos una proyección comercial, o digamos civil, de nuestra tecnología, por lo que empezamos a dar a conocer nuestros desarrollos en el mercado. En este momento hemos volcado todo nuestro conocimiento en seguridad para el puesto de trabajo a otros entornos como el de la movilidad. Estamos en un periodo de gran expansión y abriéndonos a los mercados internacionales, como Estados Unidos, toda Sudamérica, Hon Kong, Suecia, etc. con un gran éxito porque no existe tecnología como la que nosotros tenemos ahora mismo. Estamos dos o tres años por delante de la que tienen en estos mercados, lo que nos ofrece una enorme oportunidad para conseguir extender al máximo nuestros desarrollos.

En esa apertura comercial, el mensaje de Secuware aboga por la seguridad proactiva, frente al de los fabricantes de antivirus, que es de reacción y prevención. En la escala de protección del puesto de trabajo, ¿dónde ponen los matices uno y otro?
- La diferencia es el enfoque. Los fabricantes de antivirus utilizan la misma tecnología que yo inventé hace dieciséis años, cuando desarrollé el primer antivirus para Viernes 13. En ese momento cambió un poco el paradigma, porque hasta entonces existían detectores de virus, es decir, un escáner en línea de comandos que analizaba todo el disco duro y detectaba el fichero infectado. Entonces, en lugar de tener un proceso en funcionamiento permanentemente de búsqueda, yo lo cambie por un sistema de protección que estaba latente hasta que se ejecutaba un programa, y que verificaba en tiempo real si estaba infectado o no. Cuando en 1998 vendí Anyware a McAfee, pensé que el problema no consiste en cuánto tiempo tarde en reaccionar un antivirus, sino que la persona que hace un virus tiene como objetivo saltarse los sistemas antivirus que ya existen. Por ello, basta con que encuentre un hueco y lo haga sólo una vez para que, automáticamente, todo el sistema antivirus esté comprometido para siempre y exento de seguridad.

Entonces, ¿cuál es la alternativa?
- Pues no valen alternativas de tener una tecnología más preventiva o más reactiva. Si se produce un solo error, todo el sistema está en peligro. Lo que hemos visto sistemáticamente desde hace mucho tiempo es que no existe una tecnología antivirus suficientemente fiable para hacer frente al virus que no ha aparecido todavía, es decir, que no puede ofrecer una seguridad al cien por cien. El funcionamiento básico de la gran mayoría de los antivirus se basa en detectar los virus que ya se conocen y, al igual que las técnicas heurísticas, que intentan localizar comportamientos que podrían ser nocivos, sólo descubren un porcentaje limitado, y ese es el problema.

Y Secuware ,¿qué hace al respecto?
- Justamente lo contrario, que es buscar la manera de que no pueda penetrar jamás un virus en el sistema. La única forma de conseguir esto es asumir que el usuario tiene que recortar sus libertades. El asunto es cómo lograr balancear ambos aspectos. A la mayor parte de los usuarios, más que ejecutar todos y cada uno de los programas, les interesa utilizar aquellos que conocen y en los que están formados. Por tanto, si condicionas tu ordenador a que funcione con ese número concreto de programas, estaríamos acotando enormemente el problema y garantizando realmente la seguridad del sistema.

Pues justo todo lo contrario, ¿no?
- Sí. Se trata de darle la vuelta al modelo establecido. El del antivirus se basa en que hay unos programas que son malos que tienen que detectar y parar, mientras que el resto se puede utilizar. En mi modelo, los programas que tiene el PC y que puedo ejecutar son muy concretos y no hay más. Así funcionamos en la vida real: cuando alguien llama a la puerta y lo ves por la mirilla, dejas pasar a quien conoces, mientras que no abres al individuo que ha aparecido, por ejemplo, en televisión como un delincuente. Esto es lo mismo. De esta forma se invierte el problema, porque los virus ya no se pueden introducir libremente. Además, para ejecutar un programa, el usuario tiene que pasar una serie de procesos, previa autorización, que antes no tenía. En las grandes organizaciones esto encaja perfectamente con su filosofía de negocio, ya que tienen una gran plataforma de PC, que funcionan todos igual y en los que se puede definir que sólo se ejecuten determinados programas. Desde hace tiempo, las empresas tienen un plan de seguridad en el cual se especifica el software que pueden utilizar sus empleados y lo que no. Normalmente, la plantilla cumple esos requerimientos y se ajustan a esa filosofía, la vulnerabilidad se extiende en las conexiones a Internet.

Pero convertir el puesto de trabajo en un bunker, como ustedes señalan, ¿hasta qué punto no limita la libertad de usuarios cada vez más expertos? ¿No contradice eso las estadísticas de que la verdadera amenaza está dentro?
- Totalmente de acuerdo. Está comprobado que el 80% de los delitos en esta materia se cometen desde dentro de la propia organización. Nuestra filosofía de productos es que la seguridad que nosotros proporcionamos a las organizaciones es absolutamente transparente para los usuarios que siguen las normas de la empresa, al tiempo que impide que se las salten. Se trata de un sistema operativo de seguridad que se ejecuta antes que Windows, de manera que el PC sólo lo puede utilizar el propio usuario. Nosotros no decimos cómo tienen que funcionar, sino al revés: la empresa es la que define su propio plan de seguridad, lo que autoriza y lo que no, etc. Nuestra misión es reconfigurar, adaptar y cerrar Windows para que cumpla ese plan. Evidentemente, eso chocará con algunos usuarios que han hecho lo que no deberían y que, a partir de ahora, ya no podrán hacerlo. Pero los beneficios son grandes, porque las organizaciones reducen sus costes de propiedad, ya que hay que mantener un PC que no es igual al que entregaron a su empleado por primera vez. Esto no es un problema de flexibilidad para el usuario ni para la privacidad, porque nosotros no controlamos los datos. El problema son los programas, porque son los que dictan al ordenador cómo tiene que trabajar con esos datos, y eso es lo que debería ser inmutable. En el momento que alguien parchea un programa, puede convertir un PC en un sistema de ataque dentro de la propia empresa. Nuestro enfoque con respecto a la seguridad es blindar los programas.

A pesar de ese riesgo, la norma habitual es poner parch

Whitepaper emc-cio-it-as-a-service-wp Whitepapers