Por Florencia Pulla
Gonzalo García
Foto: Gabriel Reig
Las empresas de antivirus lo han hecho por décadas, para irritación de fanáticos del software libre: utilizar la estrategia del miedo a la infección como recurso de ventas. En el público masivo pegó muy fuerte, especialmente con el éxito de Windows en los años 90 como sistema operativo hegemónico: la vulnerabilidad podía infectar archivos y volver a las máquinas inoperables. Hicieron así su dinero empresas como Norton o McAfee. Y dentro de la seguridad empresarial hicieron lo suyo compañías como Blue Coat o Fortinet.
Pero como dice la canción “cambia, todo cambia”. Por lo menos así lo ve el Territory Manager para SOLA del gigante de seguridad de origen estadounidense Fortinet. Para él, el segmento de la inseguridad informática empresarial debe correr su foco y dejar de comunicar desde el miedo para empezar a crear una nueva relación: la del cliente y así alimentar el “sí, se puede”. Aunque no sea, a priori, una tarea sencilla.
Poder para habilitar
“Seguridad es, a veces, el último eslabón en la compra de tecnología de las empresas. Y esto es así, no por culpa de los clientes, sino por los profesionales que hemos hecho un pésimo trabajo en vender qué es este concepto. Y eso es algo que estamos tratando de cambiar”, reconoce Gonzalo García.
Con una experiencia en el rubro de más de 15 años –seis en la empresa que hoy lidera regionalmente desde Buenos Aires en donde, admite, “hay mucho talento humano”– se encuentra entre el puñado de hombres que pueden hablar de la evolución en la estrategia comercial en su negocio.
“Muchos proyectos de seguridad se venden internamente con miedo, por el miedo. “Si pasa esto, se cae todo”, dicen y así alientan la inversión apocalíptica. Transmiten esta idea de que hay que tener cierta tecnología porque sino puede pasar algo grave. Lo cierto es que si uno intenta vender un proyecto así, más allá de que la vulnerabilidad exista y sea grave o no, lo que produce es parálisis. Si además de inculcar miedo, la empresa exige que se realice una inversión grande en soluciones que, de todas formas, jamás van a ser 100% seguras, entonces es muy posible que no se termine haciendo nada. Y esto viene sucediendo desde hace tiempo. Uno va a congresos, a eventos… y es siempre sobre los accidentes de seguridad o sobre el costo de no hacerlo”.
Para García el desafío, entonces, está puesto en revertir esta tendencia. No son la única empresa de seguridad llevando a cabo esta transformación, es cierto, pero su campaña “Power to enable” –que tradujeron como “Poder para habilitar”– implica una inversión importante de la empresa, un aval financiero a un cambio en la mentalidad de los ejecutivos puertas adentro.
“Hoy las empresas necesitan la tecnología no como una ventaja competitiva sino para poder competir, lisa y llanamente, que es muy distinto, porque toca áreas fundamentales del negocio. Históricamente, cada nueva oleada de innovación siempre fue recibida con aprehensión, con un “esto es inseguro entonces no se puede”. Cuando salió Internet, por ejemplo, la mayoría de las empresas tenían solo una computadora conectada con Internet porque no querían arriesgarse. Pero tuvieron que ceder. Lo mismo sucedió con las redes inalámbricas y ahora el fenómeno de bring your own device se está debatiendo mucho en IT y en Recursos Humanos. El desafío, entonces, es poder decir “sí” con seguridad”.
Para empresas como Fortinet esto implica un esfuerzo doble: reinventarse, por un lado, y pedirle al cliente, condicionado por años de campañas, que deje de tener miedo y se atreva a decir que sí. “Existe un statu quo en decir que no. Hay que ir contra esa visión”.
Un impulso que tienen las empresas, más positivo si se quiere, es el avance en la legislación o el estímulo de mejores prácticas en sectores más competitivos en donde hay que demostrar calidad. “Esa calidad también implica que los productos sean manejados de forma segura. Cuando hay normativas, buenas prácticas, regulaciones, es muy bueno para el sector”.
En redes industriales, se puede complicar
Sectores que manejan información crítica, como la banca o las empresas de telecomunicaciones, son famosas por sus inversiones en seguridad. Pero quizás la industria ha quedado relegada de la innovación, por lo menos esa es la sensación que se tiene a priori. García viene a desmentir ese mito y asegura que el problema en la industria no tiene que ver con un atraso relativo sino con dificultades técnicas.
“Las redes industriales se desarrollaron durante toda su historia como redes total y completamente aisladas de las redes tradicionales corporativas. Incluso muchas veces tenían proveedores que les daban sistemas cerrados, sin protocolos estables o que no requerían conexión con el sector IT de las empresas. En el último tiempo han cambiado y se empezaron a abrir en el uso de estándares”.
“Hoy tienen protocolos estables y sistemas operativos abiertos pero es muy difícil hacer un control de seguridad de esos equipos porque se puede llegar a perder el control del proveedor. Muchas veces los responsables dicen “no toco nada” porque se puede llegar a perder el control de la red industrial y junto con eso el soporte de los proveedores. Entonces no es que están atrasados porque no vieron el problema sino porque es más difícil, en términos técnicos. No tiene que ver con falta de conocimientos o inversiones”, explica el responsable de Fortinet para SOLA.
Lamentablemente para las empresas industriales y afortunadamente para los criminales cibernéticos, el sistema es cada vez más complejo y vulnerable. En el contexto actual las amenazas son tres: a la tradicional ira de los empleados enojados con la patronal se le suman el espionaje y el sabotaje de activistas y Gobiernos. Parece salido de una película de James Bond pero no: hoy las computadoras manejan, no solamente datos e información confidencial, sino también el acceso a sistemas complejos como el alumbrado de las ciudades o la operación de un robot industrial.
“Hoy existe hackactivismo con grupos como Annonymous que tienen ideas políticas fuertes y están dispuestos a atacar. Pero también Gobiernos. Los principales países están creando Cyber Armies, con escuadrones de defensa y ataque. El robo de información es algo que se da tranquilamente pero el sabotaje es el verdadero peligro. ¿Qué pasaría si se hace un blackout de la Ciudad de Buenos Aires o si alguien apaga las luces de la Boca en un superclásico o si se abren las compuertas de un dique y se inunda todo aguas abajo? Los blancos estratégicos militares son peligrosos”.
La red de monitoreo Scada es un ejemplo. García lo explica mejor. “Dentro de un proceso industrial hay compuertas, válvulas, calderas. Estas partes funcionaban electrónicamente pero después evolucionaron a PLC que hoy están controlados por computadoras que se comunican por redes de comunicación. La red Scada permite visualizar cómo están funcionando las partes y monitorearlas. Si se ataca Scada, se ataca el monitoreo y si no se ve lo que está pasando, es claro que hay que frenarlo sí o sí”.
¿Pero son las empresas, de verdad, conscientes del peligro? La sensación es que la inversión en seguridad es el último eslabón en la cadena de innovación; una inversión superficial. “Esto es como todo –concluye García– el costo del control versus el riesgo que se quiere correr. Creo que son concientes pero eso no significa que pongan todo el dinero ahí. Soy partidario, incluso, de que se haga por etapas para no causar un shock importante en la cultura organizativa”.
Para todos y todas
En caso de ser una Pyme y tener una necesidad concreta, se puede encontrar una solución en el porfolio de productos y servicios de Fortinet porque, según García, “las necesidades de las grandes y las chicas son las mismas y ofrecemos el mismo servicio, en todas las gamas de producto”.
Es que las soluciones de la compañía son las mismas para todos; lo que cambia es la cantidad que deberán adquirir las empresas, según su tamaño. “Desarrollamos appliances de seguridad de redes. Es decir, nos ocupamos de los circuitos integrados, desarrollamos hardware propio, pero también el sistema operativo, FortiOS, que va por la versión cinco. Todas las protecciones y actualizaciones son desarrolladas por FortiGuard, que las hace en tiempo real y sin intervención del usuario”. Las actualizaciones, el cerebro que mueve el músculo que es el hardware de Fortinet, pueden renovarse anualmente o adquirirse por cinco años.
