"Es urgente que las organizacionespúblicas y Brivadas enarbolen unaestrategia centrada en la seguridaddel dato"

,=,. . : i ',:l::::.

Fundodo en 2002 por Shlomo Kromer, cofundodor ssimismo de CheckPoint Softwure Terhnologies, lmpervo es hoy uno recono(ido compoñíoen el dmbíto de Io seguridsd de los dstos en pleno exponsión. Horesolo tres oños lo firms oferrizó en lberio, territorio en el que supropuesto fecnológico hs sido ocogido con grun interés y respoldodopor un0 sobresolienfe cifro de negocio. Jesús Vego Gorcí0, DirectorRegionol de Ventos poro esto región, deslocu o lo lorgo de estuconversocién con 5le los elementos diferenciodores de lo propuesto delmpervo, lo neresidud de obordor uno gestión globol del r iesgo deldoto y los nuevos escenorios en los que estú presente lo compoñí0.

84

r

- ZCómo resumiría la evolución de lmperva enlberia en estos tres años de operaciones en laregión, primero a través del mayorista ExclusiveNetworks y posteriormente con un equipo localque usted encabeza?- La evolución no puede ser más alentadora. Hemosdesarrol lado un volumen de negocio muy importan-te, el interés del mercado por nuestras solucionescada vez es más relevante, y prácticamente estamosobservando demanda de nuestras soluciones en tatotal idad de los segmentos vert icales que componenel tejido empresarial. Estamos muy satisfechos con laevolución hasta ahora, ysobretodo porqueel procesode educación del mercado hacia las soluciones deseguridad de los datosque son las quevende lmpervaha calado considerablemente, y hemos conseguidoun reconocimiento de marca muy importante en unespacio de t iempo muy corto.- ZCómo se ha desarrol lado el últ imo ejercicio deIa f i l ial y cuáles son las l íneas estratégicas de lacompañía en el mercado ibérico para este y lospróximos ejercicios?- En este último ejercicio prácticamente hemostr ipl icado nuestra cifra de ventas del año 201 0 en elterritorio espa ñol, tenemos clientes en práctica mentetodos los segmentos verticales, y para este ejercicio2012 esperamos no menos que dob lar la c i f ra defacturación del año pasado. Además, vamos a hacermucho h incap ié en todos aque l los segmentos deespec ia l sens ib i l idad por la in fo rmac ión que mane-jan : e l ámbi to de la sa lud o los serv ic ios f inanc ie rosson áreas en las que vamos a hacer foco, amén deotras -como puede ser el sector seguros- que porrazones de cumplimiento normativo están siendomuy recepttvas a nuestra propuesta.- éCuál es el perf i l de sus cl ientesy qué referenciasdestacaría en nuestro territorio?- El perf i l de nuestros cl ientes está muy I igado aaque l los que qu ie ren dar un s igu ien te paso en Iaevo luc ión de Ia segur idad. Has ta ahora , buenaparte de las organizaciones vivían una sensaciónde falsa seguridad y pensaban que las solucionestradicionales de seguridad perimetral o las solucionesbasadas en el puesto, como las anti-malware, asícomo los más modernos DLP, eran suficientes. Esoya no es así, y buena muestra de el lo son los ataquesrecientes perpetrados a organizaciones como Sony,C i t ¡bank , o s in i r más le jos a en t idades como INTECOo la Dirección General de la Pol icía en España. Estosincidentes han hecho que los cl ientes estén másconcienciados de que hay que l levar la seguridada un estadio superior, porque la infraestructuraexistente ya no es suficiente.En lo que atañe a las referencias, aunque por cuestio-nesdeseguridad no puedo ofrecerle ningún nombre,le diría que contamos entre nuestros cl ientes contodas las empresas que hoy por hoy son referentesen nuestro país, que en mayor o menor medidaestán desarrollando proyectos en torno a nuestrastecnologías.- i .Cómo se distr ibuye en España la t ipologíade proyectos que se abordan con tecnologíade lmperva?- lmperva, como bien sabe, se dedica a la seguridadde los datos, tanto en forma estructurada en bases dedatos como en forma desestructurada en ficheros, yprotegemos asimismo el acceso a esa información através de las aplicaciones. Hoy por hoy, prácticamenteel 50% de los proyectos que desarrollamos se están

A B R r L 2 0 1 2 / N " 9 9 / S i G

centrando en e[ área de la seguridad de lasaplicaciones web: no en vano es por ahí pordonde se están perpetrando buena parte delos ataques en la actual idad, y para los cualesla infraestructura deseguridad no es suficiente.La otra mitad la circunscribiría en el ámbitode la seguridad de las bases de datos, y laseguridad de los servidores de ficheros.Desde la perspectiva cuanti tat iva, en lo quese refiere a la facturación, digamos que porel coste más elevado que tienen las solucio-nes de seguridad de las bases de datos o deservidores de ficheros, se equilibra bastantela balanza entre los dos mundos; pero encuanto a número de proyectos como tal, elvolumen más elevado está en la parte de laprotección de las apl icaciones web.- áEstán ustedes satisfechos con su actualestructura de distribución en España?iPlanean sumar nuevas firmas mayoris-tas a su estructura en lberia?- El modelo que está siguiendo lmpervaen toda Europa es similar: contar conun único mayorista en cada paísyuncanal de distr ibución de entre 1 0 v15 distribuidores. Por ello, no hayprevistos cambios a corto plazo eneste sentido. En el resto de Europa,en aquellos países donde ExclusiveNetworks tiene presencia, tambiéncontamos con ellos como firmamayorista.- ZCómovalora lmperva la f iguradel integrador?* El integrador ha de contr ibuir al desarrol lode oportunidades; identificar las mismas ydesarrollarlas conjuntamente con nosotros.En gran medida hecho en falta algo más deespecial ización en el canal de distr ibución;pero la idiosincrasia del mercado españoles la que es. El canal t iene que atender a unmercado de un tamaño quequizás no da paratener ese alto grado de especial ización que amí me gustaría, aunque reconozco que seríaimportante conta r con integ radores algo másformados, que real izaran u na mayor inversiónen la formación de sus áreas técnicas.- iQué elementos diferencian la propuestaSecureSphere de lmperva frente a otrastecnologías similares disponibles en elmercado?- Sin ánimo de ser pretenctoso, creo que encada una de las tres áreas que aborda Secure-Sphere contamos con las mejores soluciones:tanto en u¡eb a pplication firewal/(WAF), comoen el área de seguridad de bases de datos, y laseguridad de los servidores de f icheros.Además, señalo que algo que nos hace abso-lutamente diferenciales es que somos la ú nicacompañía que, por una parte, se dedica a darseguridad al dato y a las apl icaciones queacceden al mismo, y que, por otra, protegeel ciclo completo de vida del dato, en formaestructurada, en forma desestructurada yel acceso al mismo desde las aplicaciones.Esto hace que nuestros proyectos, desde suconcepción inicial, capten mucho la atenciónde los clientes. Un proyecto podría comenzarhoy por la seguridad de las bases de datos,

S i C / N o 9 9 / A B R I L 2 0 1 2

por una cuestión de cumplimiento normativo;pero el hecho de presentar una propuestaque a medio plazo puede ofrecer solucióna una problemática global, como es la dela seguridad del dato, hace que los clientespongan mucha atención en la protección delciclo global de la información.Vincular esos tres mundos es algo que a loscl ientes les aporta muchísimo valory hace quebuena parte de los proyectos que lmperva haganado en el últ imo ejercicio hayan tenido sumotivación en esta ventaja: no solo por tenerla mejortecnología en cada una de las áreas,sino por esta apuesta de roadmap a futuro entérminos de dar una solución global.- En la experiencia de lmperva, écuáles sonlos elementos impulsores en la adopción

de tecnologías de seguridad de los datosen lberia?- Es cierto que el cumplimiento normativosuele ser un área que hace despertar proyectosen el ámbito que nos concierne, pero no esmenos desdeñable el aspecto relacionado conla seguridad de las apl icaciones web y la ges-t ión de permisos de usuario, muy vinculadoal ámbito de control de usuarios con altosprivi legios. Existe mucha sensibi l idad de caraa la gestión global del r iesgo del dato, porqueal f inal gestionar o controlar el r iesgo de lainformación t iene un impacto directo en lacuenta de resultados de una compañía; véasepor la vía de la gestión del r iesgo operacional,que nosva a permit ir tenermenos provisioneso más capital circulante para nuestra organi-zación, o evitar cuestiones relacionadas conel impacto que puede provocar en nuestramarca una fuga de información. Siempredigoque el cumplimiento normativo debe ser unaoportunidad para las empresas de l levar suseguridad a un escalón superior. Abordar losproyectos de cumplimiento normativo conel único objet ivo de poner una marca en unformulario es un craso error. lgualmente, losepisodios defuga de información están gene-rando mucha conciencia. Desde la perspectivade lo que hoy se da en l lamar responsabil idadsocial corporativa es fundamental protegeradecuadamente el dato; no nos debemos deolvidar de que el dato es algo que perteneceal ámbito de la privacidad del usuario, quenos entrega a las empresas para l levar a cabotransacciones con é1, y qué menos que cuidar

"Las compañías destinan hoy en torno a un 10%de presupuesto dedicado a segur¡dad a proteger

dato. El 90% restante sigue aplicándose enprotección contra un t¡po de amenaza queha decaído significativamente: la amenaza

hacia el perímetro, hacia la red. El75o/ode los ataques se están perpetrando a

través de las aplicaciones, y éstas estánabsoluta mente'desg ua rnecidas"'.

)rrl:tr¡iuttiüll|¡ititli:iirri;t¡rr

debidamente de esa parte de su privacidad.- Según algunas firmas analistas, se estimaque de la inversión global en seguridadsolo una pequeña fracción se dedica ala protección de informacién del centrode datos de alto valor para el negocio.éHasta qué punto se da, en su opinión,una desconexión entre las amenazas y lainversión actual en este ámbito a pésarde las crecientes pérdidas que experi-mentan las organizaciones por fugas deinformación?- Absolutamente. Es cierlo lo que menciona.Hoy, del presupuesto dedicado a seguridad,las compañías están destinando en torno aun 10% del mismo en dar segur idad a l dato.El 90% del presupuesto sigue dedicándose a

la protección contra un t ipo de amenaza queha decaído signif icat ivamente: la amenazahacia el perímetro, hacia ia red. El 75% de losataques actuales se están perpetrando a travésde las apl icaciones. Las apl icaciones estánabsolutamente "desguarnecidas". Gartnerdice que el 660/o de las apl icaciones t ienenvulnerabi l idades y OWASP estima que es el82o/o, pero no cabe duda de que es por ahípor donde están entrando los ataques. Todoslos últ imos ataques por parte de Anonymousu otros grupos hacktivistas se han perpetra-do a través de la apl icación web. Y vuelvoa insist ir : las herramientas tradicionales deseguridad no son suficientes para protegernuestras apl icaciones. Es urgente que lasorganizaciones públicas y privadas enarbolenuna estrategia centrada en la seguridad deldato; hay que circunscribir la seguridad aldato y a las apl icaciones.Una vez que el usuario franquea el sistemade autenticación de la organización, lascompañías t ienen muy poca visibi l idad sobrequé es lo que está haciendo un usuario, quédatos consulta, qué es lo que hace con esosdatos, si lo que hace es o no ortodoxo... Porno mencionar que no se apl ica en buenaparte de los casos algo que para mí es cru-cial: el principio de privi legio mínimo. Losusuarios t ienen permisos muy superiores alos estr ictamente necesarios para cumplircon su cometido ordinario. Pór otra parte,es bastante sorprendente, pero cuando sepregunta abiertamente a los cl ientes si sonconscientes de dónde residen sus datos, y en

particular sus datos sensibles, el desconoci-miento es abrumador.- éQué parte del negocio de la compañíaactualmente procede de su propuestaen la nube? ¿Y en concreto de su fi l ialIncapsula?- La propuesta de lmperva en la nube estávinculada a la protección de aplicaciones.Es una solución de web application firewall(WAF), y a su vez también ofrecemos en lanube un servicio de protección contra ataquesDdo5. Esteúltimo es para nosotros un negociomuy incipiente, no en vano empezamos acomercializarlo en el tercer trimestre del añopasado, y ha generado bastante atención,pero todavía las cifras de negocio son deun volumen bajo, aunque esperamos quetenga un desarrollo muyimpodanteen lospróximos trimestres.- Dado el impacto mediático y sobrela información crítica de las organiza-

- i

ciones que tienen los ataques de gruposhacktivistas en.la actualidad, équé pro-yección le augura a los servicios anti-Ddo5basados en la nube? iPodremos hablar deellos en un futuro no muy lejano comouna commodity?- Un servicio anti-Ddo5 en la nube resultaimpresc ind ib le . Los a taques de grupos comoAnonymous t ienen claramente tres fases:una pr imera de rec lu tamiento de personasdispuestas a perpetrar un ataque contrauna organ izac ión ; una segunda donde losespecial istas del movimiento hacktivistatoman la temperatura a las apl icacionesque quieren atacar, en la que si t ienen éxitodirectamente sustraen la información y luegola exponen al exterior; y si no t ienen éxitoen esa segunda fase, la tercera supone elataque de denegación de servicio. Por el lo,contar con un servicio de esta naturaleza esmuy impor tan te . Has ta ahora todo lo que esla protección contra DdoS se l levaba a caboañad iendo ancho de banda, pero es to t ieneun coste extraordinario. El servicio en la nubees mucho más adecuado porque es capaz dedescartar todo ese tráf ico que es i legít imoentregá ndote solo el tráf ico que es releva ntepara la organización, Por tanto, sí, este t ipode servicios t iene que acabar convirt iéndoseen una commodity.- Según tengo entendido, lmperva pla-nea que en un futuro próximo el servicio

86

"Un servicio anti-DdoS en la nube resulta imprescindible.Hasta ahora la protección anti-DdoS se llevaba a caboañadiendo ancho de banda, pero esto t¡ene un coste

extraordinar¡o. El servicio en la nube resulta mucho másadecuado porque es capaz de descartar todo el tráfico

ilegítimo entregando solo el tráf¡co que es relevantepara la organización. Este tipo de servicios ha de acabar

convirtiéndose en una cammodity".

Threat Radar soporte un amplio abanico desoluciones de seguridad frente a fraudesde todo t ipo, ofreciendo lo que podriadenominarse el primer marco de preven-ción multiproveedor. ZPodría darnos másdetalles de estos planes?- El módulo Threat Radar para nosotros esun complemento de nues t ra so luc ión WAF,que prác t icamente e l 100% de los c l ien tesadqu iere en la o fe r ta in ic ia l , ya que o f receu n a f u n c i o n a l i d a d m u y i m p o r t a n t e d e s d ela perspec t iva de l con t ro l de la reputa-ción. Hasta ahora Threat Radar permitíae l con t ro l reputac iona l , y desde e l ú l t imot r imest re de l año pasado hemos incorpo-rado la par te de prevenc ión de f raude,permi t iendo in tegrarnos con so luc ioness imi la res s in que los c l ien tes tengan quemodi f i car o recod i f i car sus ap l i cac iones .Con lmperva no es necesar io es to ú l t imo,vamos a ofrecer la capacidad de comprobarqué ap l i cac ión an t i f raude qu ie re u t i l i za re l c l ien te , ver i f i car s i e l usuar io t iene ins -talado el agente preceptivo dentro de sup la ta fo rma, y a par t i r de ah í de ja r le pasaro remi t i r le hac ia e l lugar que e l c l ien tees t ime opor tuno para que haga uso deesa func ión an t i f raude. En pr inc ip io nosintegramos con Trusteer, y vendrán otraser ie de so luc iones a med io p lazo .- iQué planes t iene la compañía en lo queconcierne a la protección de los disposi-

tivos móviles, dado el creciente uso quede dispositivos profesionales se hace enel ámbito personal y viceversa? 5u CEOha comentado en alguna ocasión que elcontrol de un dato que sale de un centrode datos es prácticamente inabarcable...- Nuestro objet ivo es proteger el dato en surepositorio, en el centro de datos y el accesoal mismo a través de las apl icaciones. El dis-posit ivo móvil no es ni más ni menos que undisposit ivo más que accede a ese dato, comopueda ser un portátil, un PC de sobremesa, ocualquier otro dispositivo que pueda accederala información. Nosotros nos quedamos antesde soluciones del estilo de los DLP (data loss

prevention). El DLP se preocupa de, una vezque el dato está en manos del usuario, pordónde quiero o no qurero que ese datof luya (si quiero que se imprima, que seenvíe por correo-e, etc.). La solución delmperva se implanta con anterioridad, enla medida en que vamos a aportar visibi l i -dad sobre dónde está ese dato, si el lugardonde reside t iene vulnerabi l idades, si elcomportam¡ento del usuario con respectoa esa información es correcto o no... Unavez que se ha pasado por estos procesosy el dato está en manos del usuarío, esoes parte de la propuesta de valor de otrassoluciones donde, de momento, lmpervano t iene previsto entrar.- iPlanea lmperva seguir creciendo me-diante la compra de otras tecnologíascomplementarias, especialmente trassu reciente salida a bolsa?- Desconozco cuál va a ser la estrategiade Ia compañía al respecto tras la sal ida

a bolsa. En cualquier caso, cierto es que talsalida ha sido muy exitosa; prácticamente encuatro meses y medio el valor de la acción seha doblado, lo cual denota el interés de losinversores por nuestra compañía.- iCuál es su opinión sobre las aproxima-ciones del Gobierno de los EE.UU. y de laUnión Europea a la protección de los datosy la privacidad?- Creo que es absolutamente necesarioreforzar la información que de los consumi-dores t ienen las empresas. Hasta ahora hahabido controles bastante laxos. e insistoque por una cues t ión de responsab i l idadsocial corporativa las empresas t ienen queproteger la información que los usuarios lesentregamos para real izar transacciones conella. Me parece muy adecuado que la SEC(U.5. Securities and Exchange Commission),por ejemplo, haya regulado que se tengaque no t i f i car en 24 horas cua lqu ie r t ipode fuga de in fo rmac ión o a taques a lascompañías cotizadas, y me parece perfectoque la Un ión Europea haya rev isado la leyde protección de datos y privacidad. Estasacc iones t ienen que hacer que las empresassetomen esto mucho más en serio que hastaahora . Es t r i s te que a l f ina l e l hecho de quese impongan sanciones severas sea lo quehace reaccionar a las personas responsablesde estas áreas o a las áreas de negocio,fundamenta lmente . I

A B R r r 2 0 1 2 / N . 9 9 / S í G