"Ojalá hubiera nombrado un CSO antes de la brecha"
Art Coviello, presidente ejecutivo de RSA
(Londres).- Art Coviello lleva tirando del carro de RSA desde mediados de los años 90. Cuando la compañía fue adquirida por EMC hace cinco, pasó de CEO a presidente ejecutivo de RSA, tomando responsabilidades en la matriz como vicepresidente ejecutivo. 2011 no le será un año fácil de olvidar tras haber sufrido, posiblemente, la peor brecha de seguridad de su carrera el pasado mes de marzo. Pero Coviello tiene la virtud de convertir las adversidades en oportunidades y ésta no parece una excepción.
Si repasamos sus últimas citas, en la conferencia de Londres de 2009 dijo que los servicios cloud no eran seguros por el momento; un año después, en la de San Francisco, aseguró que la seguridad ya no volvería a ser un freno para el cloud computing; y este año, un mes antes de la brecha, hizo un llamamiento a los hechos y no a las promesas de seguridad en este entorno. ¿En qué estado se encuentra realmente el cloud computing en términos de seguridad?
- Deberíamos abrazar estas tecnologías, pero entendiendo perfectamente sus riesgos. Creo que el modelo cloud es una oportunidad extraordinaria para reducir costes y aumentar la proactividad, la eficiencia... Ya no es sostenible gastar el 70% del presupuesto TI en mantenimiento. Y además es particularmente seguro, porque en este entorno puedes automatizar la seguridad, cambiándola del mundo físico al lógico. Luego la clave en el tema cloud no es si hacerlo o no, sino cómo hacerlo.
¿Está diciendo que es más sencillo asegurar un entorno lógico que uno físico?
- Sí, eso es. Puedes crear políticas concretas ligadas a una información específica, determinando su control de acceso, sin importar dónde va a parar en la estructura física porque la nube sigue funcionando con independencia de eso.
Pero con todo, surgen brechas como la sufrida por RSA. ¿Cree que ha perdido la confianza de los clientes?
- Bueno, fue duro ver los titulares y la primera reacción fue pensar “oh, Dios mío, no puedo confiar en ellos”. Pero en la medida en que hemos explicado a los clientes lo que sucedió, los primeros pasos que seguimos y los detalles del ataque, creo que hemos tenido éxito a la hora de recuperar esa confianza. Tenemos que seguir haciendo eso independientemente de la brecha. Hemos aprendido mucho de lo que nos sucedió.
Siempre enfatiza la importancia de cambiar los procesos internos. ¿Qué ha cambiado en RSA desde la brecha?
- Hemos hecho varias cosas, comenzando por dar formación a los administradores de sistemas, reducir el número de privilegios de acceso al directorio activo, potenciar tecnologías como NetWitness, cambiar configuraciones de productos... muchos cambios en diversos aspectos, incluido dejar de guardar los registros de seguridad de SecureID de los clientes como se venía haciendo, estando ahora sólo a solicitud del cliente y en modo offline.
¿Fue un error no haber tenido un CSO antes de la brecha?
- Aunque entonces estábamos bajo el paraguas de EMC, con un CSO sobresaliente, creo que el nombramiento de Schwartz como CSO de RSA fue una decisión acertada y ojalá lo hubiera hecho antes. Una de las cosas que se necesitan es más granularidad en la gestión del riesgo, definir y entender los riesgos.
Y una de las medidas por las que apuestan es bloquear el acceso a redes sociales. ¿No supone eso una pérdida de oportunidad de crecimiento para los negocios?
- No decimos que no se puedan utilizar, sino que hay que introducir ciertas limitaciones, ciertas restricciones en los accesos a los servicios de las redes sociales. En suma, decimos sí, pero de un modo determinado.
¿Qué opinión le merecen grupos como Anonymous?
- Deben de creer que lo están haciendo bien, pero están incurriendo en actividades criminales. Nosotros encontramos muchas vulnerabilidades como, por ejemplo, una vez en las tarjetas de crédito sin contacto, pero en lugar de hacerlo público y poner en evidencia a Mastercard o Visa, se lo dijimos a ellos.
Otro mensaje clave de la RSA Conference fue la necesidad de mayor colaboración en la industria de la seguridad. ¿Cómo?
- Hay un dicho muy famoso: “La única manera de comerse un elefante es a bocados”. Y la manera en la que nosotros nos estamos comiendo al elefante es trabajando estrechamente con VMware para aplicar nuestra tecnología en el campo de la virtualización, pero también con los competidores, como Citrix, Microsoft, Cisco, Intel... Estamos dando ejemplo. En un plano más político, en EEUU, presido el Consejo CxO de Ciberseguridad de TechAmerica y tenemos diversos grupos de trabajo colaborando entre sí. Nuestros propios clientes nos deberían demandar que trabajáramos así.
Sin embargo, con la puesta en marcha de la Cloud Trust Authority (CTA), muy similar a una iniciativa de CA hace un año, la sensación es que se duplican esfuerzos...
- Es un mercado libre y hablamos de servicios, no de productos. Si creo que mi propuesta de valor es mejor y tendrá éxito, ¿por qué no lanzarla? En todo caso, la competencia es positiva.
En cuanto a alianzas, a principios de año sellaron una con McAfee. ¿Cuándo veremos los primeros desarrollos conjuntos?
- Hemos hechos algunos anuncios ya de interoperabilidad, pero McAfee es una empresa que ahora pertenece a Intel y nos volveremos a sentar con ellos para poder continuar con la alianza.
Si repasamos sus últimas citas, en la conferencia de Londres de 2009 dijo que los servicios cloud no eran seguros por el momento; un año después, en la de San Francisco, aseguró que la seguridad ya no volvería a ser un freno para el cloud computing; y este año, un mes antes de la brecha, hizo un llamamiento a los hechos y no a las promesas de seguridad en este entorno. ¿En qué estado se encuentra realmente el cloud computing en términos de seguridad?
- Deberíamos abrazar estas tecnologías, pero entendiendo perfectamente sus riesgos. Creo que el modelo cloud es una oportunidad extraordinaria para reducir costes y aumentar la proactividad, la eficiencia... Ya no es sostenible gastar el 70% del presupuesto TI en mantenimiento. Y además es particularmente seguro, porque en este entorno puedes automatizar la seguridad, cambiándola del mundo físico al lógico. Luego la clave en el tema cloud no es si hacerlo o no, sino cómo hacerlo.
¿Está diciendo que es más sencillo asegurar un entorno lógico que uno físico?
- Sí, eso es. Puedes crear políticas concretas ligadas a una información específica, determinando su control de acceso, sin importar dónde va a parar en la estructura física porque la nube sigue funcionando con independencia de eso.
Pero con todo, surgen brechas como la sufrida por RSA. ¿Cree que ha perdido la confianza de los clientes?
- Bueno, fue duro ver los titulares y la primera reacción fue pensar “oh, Dios mío, no puedo confiar en ellos”. Pero en la medida en que hemos explicado a los clientes lo que sucedió, los primeros pasos que seguimos y los detalles del ataque, creo que hemos tenido éxito a la hora de recuperar esa confianza. Tenemos que seguir haciendo eso independientemente de la brecha. Hemos aprendido mucho de lo que nos sucedió.
Siempre enfatiza la importancia de cambiar los procesos internos. ¿Qué ha cambiado en RSA desde la brecha?
- Hemos hecho varias cosas, comenzando por dar formación a los administradores de sistemas, reducir el número de privilegios de acceso al directorio activo, potenciar tecnologías como NetWitness, cambiar configuraciones de productos... muchos cambios en diversos aspectos, incluido dejar de guardar los registros de seguridad de SecureID de los clientes como se venía haciendo, estando ahora sólo a solicitud del cliente y en modo offline.
¿Fue un error no haber tenido un CSO antes de la brecha?
- Aunque entonces estábamos bajo el paraguas de EMC, con un CSO sobresaliente, creo que el nombramiento de Schwartz como CSO de RSA fue una decisión acertada y ojalá lo hubiera hecho antes. Una de las cosas que se necesitan es más granularidad en la gestión del riesgo, definir y entender los riesgos.
Y una de las medidas por las que apuestan es bloquear el acceso a redes sociales. ¿No supone eso una pérdida de oportunidad de crecimiento para los negocios?
- No decimos que no se puedan utilizar, sino que hay que introducir ciertas limitaciones, ciertas restricciones en los accesos a los servicios de las redes sociales. En suma, decimos sí, pero de un modo determinado.
¿Qué opinión le merecen grupos como Anonymous?
- Deben de creer que lo están haciendo bien, pero están incurriendo en actividades criminales. Nosotros encontramos muchas vulnerabilidades como, por ejemplo, una vez en las tarjetas de crédito sin contacto, pero en lugar de hacerlo público y poner en evidencia a Mastercard o Visa, se lo dijimos a ellos.
Otro mensaje clave de la RSA Conference fue la necesidad de mayor colaboración en la industria de la seguridad. ¿Cómo?
- Hay un dicho muy famoso: “La única manera de comerse un elefante es a bocados”. Y la manera en la que nosotros nos estamos comiendo al elefante es trabajando estrechamente con VMware para aplicar nuestra tecnología en el campo de la virtualización, pero también con los competidores, como Citrix, Microsoft, Cisco, Intel... Estamos dando ejemplo. En un plano más político, en EEUU, presido el Consejo CxO de Ciberseguridad de TechAmerica y tenemos diversos grupos de trabajo colaborando entre sí. Nuestros propios clientes nos deberían demandar que trabajáramos así.
Sin embargo, con la puesta en marcha de la Cloud Trust Authority (CTA), muy similar a una iniciativa de CA hace un año, la sensación es que se duplican esfuerzos...
- Es un mercado libre y hablamos de servicios, no de productos. Si creo que mi propuesta de valor es mejor y tendrá éxito, ¿por qué no lanzarla? En todo caso, la competencia es positiva.
En cuanto a alianzas, a principios de año sellaron una con McAfee. ¿Cuándo veremos los primeros desarrollos conjuntos?
- Hemos hechos algunos anuncios ya de interoperabilidad, pero McAfee es una empresa que ahora pertenece a Intel y nos volveremos a sentar con ellos para poder continuar con la alianza.
