“Más que por la seguridad, hay que optar por el control”

Martín Carvallo, director general de Sophos Iberia, habla con vnunet.es sobre la recién estrenada independencia de la filial española y el malware que nos espera.

¿Qué tipo de malware es más habitual? ¿Cambia a nivel de empresa o usuario?

Hay varias maneras de verlo. En cuanto a volumen el malware conocido, los troyanos y sus variantes siguen circulado; la protección en el gran consumo es menor y por tanto estas viejas amenazas siguen perpetuándose. Pero a nivel de daño y en el entorno profesional son pequeñas series de amenazas que responden a las necesidades de los ciberdelincuentes que quieren atacar un banco, que quieren recoger tarjetas de crédito, etc. La diferencia está en el nivel de protección y normalmente las empresas tienen las soluciones para protegerse de todos estos tipos de malware. Si se cuelan suele ser por descuido inintencionado de empleados o mala configuración o mala actualización, o cosas así, pero a nivel de empresas la seguridad es muy alta y la clasificación del malware importa menos. Lo que importa más es si lo tienen bien configurado.

Es complicado y costoso controlar todos los protocolos y además aparecen nuevas formas de interconectarse y por tanto nuevos caminos susceptibles de ser utilizados por los ciberdelincuentes. Por eso, más allá de la seguridad, la problemática es qué controlo, qué permito. Es decir que junto a la seguridad está la propia organización de la empresa que debe decidir qué herramientas se van a utilizar.

Hay que ampliar la perspectiva porque la seguridad en el antiguo sentido de la palabra, que era sólo protección ya se queda corta. Las soluciones hoy tienen que ser plataformas de control de riesgo: si en mi empresa implanto Blacberry porque es bueno para el negocio, también hay que tener en cuenta que supone un riesgo que hay que gestionar, limitar, controlar, etc. Desde Sophos hablamos de medir y ayudar a nuestro clientes a que cualquier tecnología o herramienta que quieran implementar tenga un efecto mínimo en la seguridad. Evolucionamos de soluciones de control de seguridad a soluciones de control de riesgo.

Las empresas, ¿se protegen por obligación?

Lo que tengo claro es que si no lo tuviesen que hacer no lo harían. Se protegen porque la ley lo manda y porque hay ataques y malware, claro. De forma que las propias leyes fuerzan y ayudan a la evolución, porque crean el marco de la actividad económica y marcan el ritmo y aplican reglas forzados; pero al mismo tiempo pedimos más reglas, porque cuanto más claras estén esas reglas más claras serán las soluciones a ofrecer. Si no hubiera leyes evolucionaríamos más lentamente porque desde el punto de vista del fabricante tenemos tantos recursos y tantas cosas que desarrollar, y tantas problemáticas a las que contestar, que la ley supone un marco de actuación. La discusión entre lo que pide la empresa, lo que exige la ley y lo que ofrece el fabricante es muy productiva.