Seguritecnia 393

62 SEGURITECNIA Enero 2013 Entrevista se puso en contacto con nosotros para que hiciésemos algo así. El intercambio de información, como puedes suponer, es vital que sea fluido. - Cierto. Se lo comentaba porque pre- cisamente en España el sector privado (que aglutina la gran mayoría de ope- radores críticos) se quejaba de falta de diálogo antes de la aprobación de la Ley PIC. Durante muchos años, en Estados Uni- dos, los operadores privados esperaban que el Gobierno se pusiera en contacto con ellos y viceversa, pero eso cambió. El sector privado pidió lo que necesi- taba y la Administración ofreció lo que podía darle en una relación que, a día de hoy, es más empática. - Para finalizar, querría preguntarle cómo afronta su nuevo desafío profe- sional como miembro de la Junta Di- rectiva de Qualys. Estoy muy orgulloso del nombramiento, porque Qualys se dedica a todas las cues- tiones de seguridad de las que hemos es- tado hablando: Reducir el riesgo, encon- trar vulnerabilidades en la empresa y co- rregirlas. Para mí es una satisfacción y me hace muy feliz contribuir a la reducción de las amenazas (APT, malware) o a la mi- tigación de las botnets desde aquí. Si las vulnerabilidades no tienen éxito, no exis- tirán las acciones criminales. S de Seguridad, donde juega un papel esencial la convergencia. En España se aprobó la Ley PIC para la Protección de las Infraestructuras Críticas, ¿existe una regulación similar en Estados Unidos? En 1998, el presidente Clinton aprobó la Directiva Presidencial para la Protección de las Infraestructuras Críticas, conocida como PDD-63. Desde entonces, cada gobierno ha servido de enlace a los operadores críticos, con la creación de National Infrastructures Protection Cen- ter (NIPC), y ha animado a los operado- res privados a organizarse entre ellos (Telecomunicaciones, Transporte, Ener- gía, etc.) para compartir información so- bre cuestiones comunes. El hecho de que los sistemas continúen funcionando refleja el trabajo bien he- cho que hay detrás de una estrategia de seguridad. Mantener todo en orden –las redes de transporte o que yo pueda ha- cer mi checking online para el vuelo de esta tarde– demuestra que la colabora- ción global funciona. - La colaboración entre sector público y privado ha funcionado muy bien en Estados Unidos… Sí, porque la única que puede legislar es la Administración, pero siempre lo ha hecho después del diálogo. Por ejem- plo, solo el gobierno puede tipificar de- litos específicos contra las Infraestructu- ras Críticas y fue el sector privado el que - Una vez retirado del cargo, ¿podría compartir las principales lecciones aprendidas en el Ejecutivo estado- unidense? La primera lección que he aprendido es que todos debemos colaborar juntos, porque las amenazas a las que se en- frentan los sistemas del Gobierno son las mismas que preocupan a las organi- zaciones privadas y sus negocios y tam- bién a sus clientes finales. La segunda cuestión es compren- der que las necesidades del Gobierno en Seguridad Nacional y seguridad ciu- dadana pueden ser satisfechas por los proveedores privados. Si tenemos clara la meta final y conseguimos entenderlo, muestro trabajo estará bien hecho. En tercer lugar, el momento presente y la Seguridad. Hemos visto cómo desde hace 30 años hasta hoy hemos cons- truido los sistemas TIC con capas de se- guridad, y hemos tenido que avanzar se- riamente para proteger los dispositivos móviles y las próximas generaciones, ha- ciendo uso de la encriptación y autenti- cación fuerte. Hemos conseguido dotar de capacidades de autoconfiguración a la seguridad de los sistemas, partiendo de la base de que cualquier usuario no es un especialista. La habilidad para con- seguir esto nos indica por dónde debe- mos caminar en el futuro. - Supongo que de WikiLeaks también habrán extraído muchas lecciones aprendidas… Sí, lo primero que nos preguntamos en una situación así es: ¿Qué hacemos arre- glando esto, si no debería haber suce- dido? WikiLeaks es el ejemplo perfecto de cómo tratar de compartir demasiada información sin los permisos ni contro- les de seguridad adecuados. Hemos in- teriorizado la necesidad de crear un lis- tado de privilegios, porque no todo el mundo tiene por qué acceder a todo. Cada usuario debe tener acceso a toda aquella información que sea relevante para su trabajo. Lo hemos aprendido. - Hablaba antes de cooperación y creo que un marco muy necesitado de la misma son las estrategias globales Nuestro redactor, Ángel Gallego, atendiendo las interesantes explicaciones de Howard Schmidt.