Tras casi siglo y medio de presencia en el sector como referencia en el campo de la certificación y los ensayos, SGS creó Digital Trust Services, su división especializada en la ciberseguridad. Para conocerla con más detalle, hablamos con su Vicepresidente, Sergio Lombán Lage.
¿Cuál es la actividad de SGS?
El grupo SGS es una multinacional de origen suizo creada en 1878 y que es líder mundial en el sector de las inspecciones y ensayos y la certificación. La compañía, que da empleo a 95.000 personas, se ocupa de realizar cualquier tipo de ensayo que permita establecer confianza entre el vendedor, el comprador y el consumidor.
Y una de sus divisiones más recientes es la de ciberseguridad..
Así es. SGS creó la división Digital Trust Services para dar esos servicios en el campo de las tecnologías de la información.
¿De qué manera?
Digital Trust Services divide su actividad en cuatro grandes líneas de negocio. La primera de ellas es la certificación de productos y sistemas seguros. Para que la gente lo entienda, lo que hacemos es garantizar que cuando una persona o una empresa compra un teléfono móvil, un ordenador o una aplicación de software, estos productos no tienen vulnerabilidades sistemáticas.
La segunda gran línea de negocio es la de redes, comunicaciones y servicios en la nube seguros, que tiene como misión realizar pruebas de seguridad en páginas webs o redes corporativas para que durante su uso sea imposible saltarse las reglas de configuración por parte del operador de esa red cloud. El tercer gran ámbito en el que trabajamos son los sistemas de gestión de la seguridad de los procesos y las personas. En la práctica, eso supone certificar que la empresa tiene los procesos necesarios para estar segura y las personas adecuadas también para ello. Por último, la cuarta línea de negocio es la que se ocupa de establecer y certificar protocolos seguros de gestión de los datos. Todo el mundo utiliza algún tipo de servicio cloud: Office 365, Google Drive… ¿Quién te asegura que desde la última vez que accediste a un archivo hasta la siguiente, ese fichero o documento no ha sido modificado? Lo que nuestra división hace es, precisamente, certificar que los datos no se van a ver alterados ni usados de manera maliciosa.
Es decir, que lo que hacen es transmitir confianza.
Confianza digital, para ser más exactos. Le pondré un ejemplo que seguramente ilustrará muy bien lo que hacemos si usamos un producto de consumo. Cuando vamos al supermercado o al colmado del barrio a comprar leche, confiamos a ciegas en que ese producto cumple todas las características y procesos necesarios hasta llegar al consumidor. Es más, nadie se cuestiona que no pueda hacerlo cuando, en realidad, es muy difícil que un gobierno o un estado puedan asegurar que todos los productores de leche cumplen con esos protocolos y sistemas de seguridad. Ahí es donde entran en juego empresas como la nuestra.
¿Existe desconocimiento en esta materia?
Lo hay, aunque cada vez se habla más de ciberseguridad y las empresas son más conscientes. De todos modos, cuando hablamos de servicios digitales hay muchas organizaciones que no saben que tienen que cumplir unas ciertas normativas. En nuestro ámbito de acción, se está poniendo en marcha ahora el Acta de Ciberseguridad Europea, que se ocupa de marcar los requerimientos mínimos requerimientos que deben cumplirse para poner un producto en el mercado.
¿Por qué cree que hasta ahora no se regulaba?
Porque para muchas empresas, en especial para las pymes, la ciberseguridad no era una prioridad, sino que al hablar de sistemas informáticos primaban aspectos como la fiabilidad y sobre todo, el coste de su implementación. Debemos desterrar la imagen de los hackers como niños de 15 años que desde su habitación pasan el tiempo intentando acceder a una web de una empresa o a un sistema interno. Eso ya no es así. Hoy en día, el 80% de este tipo de ataques es obra de verdaderas organizaciones criminales relacionadas con otros delitos graves como el tráfico de personas, armas y estupefacientes.
¿Por qué crece el cibercrimen organizado?
Primero, porque este tipo de organizaciones ve en estas acciones una forma rápida de hacer dinero; segundo, porque muchas empresas no saben muy bien a quién recurrir cuando se encuentran un problema de este tipo; y tercero, porque tenemos un serio problema global de legislación para atajar estos ataques en terceros y cuartos países.
¿Qué medidas sugiere Digital Trust Services para proteger a las organizaciones?
Lo primero que hacemos siempre es un diagnóstico en forma de ensayo en las sedes de las empresas para conocer sus vulnerabilidades y para saber cuál es su nivel de madurez en el ámbito de la seguridad en tecnologías de la información. A partir de ahí, el cliente sabe que tiene que mejorar y los conocimientos que debe incorporar. No podemos olvidar que si algo tiene el cibercrimen es que las amenazas evolucionan y cambian mucho. Por eso es una buena práctica repetir esos ejercicios de análisis y de auditoría por lo menos una o dos veces al año.
Y reducir al mínimo las posibles brechas de seguridad.
Sí, pero es preciso dejar algo muy claro: no existe un sistema que se pueda proteger al 100%, como tampoco existe un sistema que sea invulnerable per se. ¿por qué? Pues porque rara vez las empresas tienen un solo sistema informático, sino que poseen varios servidores o varios programas que interactúan entre ellos. Por esa razón, el recurso más empleado y que proponemos habitualmente consiste en buscar soluciones de monitorización permanente de las redes. En nuestro caso disponemos de un activo fundamental, un centro de operaciones online situado en Madrid que es una referencia a nivel mundial. Con él podemos comparar el estado normal de una organización o de una red con el momento en que se produce un ciberataque, lo que permite a los clientes reaccionar de una manera mucho más rápida.
¿Qué diferencia a la compañía de sus competidores?
Hay varios aspectos que nos definen muy bien. El primero de ellos es la independencia y la ética en la gestión de los datos del cliente. Somos una empresa con 140 años de experiencia reconocida como actores neutrales e independientes, casi un siglo y medio en el que nos hemos ganado la confianza de muchos sectores. Ofrecemos una gran calidad para este tipo de servicios porque, entre otras cosas, no tenemos intereses industriales; no nos casamos con una tecnología ni con un sistema concreto, sino que nos adecuamos a las necesidades de cada cliente. Un segundo elemento que nos define es que tenemos una capacidad certificada para hacer las cosas. Somos un player grande y estamos certificados por las principales agencias líderes de la Unión Europea. Y esto es clave para que una organización opte por nosotros, ya que debe tener en cuenta que un mal consultor puede ser la principal brecha de seguridad para una empresa.
Antes hablaba de que las amenazas evolucionan y cambian. ¿Qué propone la empresa para compensar ese hecho?
Uno de los aspectos que nos ha convertido en una referencia es que somos líderes mundiales en inversión en investigación de amenazas. Tenemos acuerdos con diferentes universidades en esta materia, como el que firmamos con la Universidad Tecnológica de Graz para crear el Campus de Ciberseguridad de SGS, donde realizaremos investigación conjunta, pruebas y certificaciones de ciberseguridad. Laboratorios como ese y como el de Madrid nos ayudarán a hacer frente a las nuevas amenazas, porque no podemos pensar que existe una varita mágica que convierta en seguro a algo que no lo es.
¿Cuáles son los retos de futuro de SGS?
A nivel global, queremos potenciar nuestra presencia en algunas áreas. Un ejemplo de ello son los Estados Unidos, donde abriremos en breve un nuevo laboratorio en San Antonio (Texas). También estamos preparando la llegada a Asia, donde queremos reforzar la estructura que tenemos hoy en Taiwán porque se trata de un mercado muy importante.
Si hablamos de España, tenemos en Madrid uno de los laboratorios líderes a nivel mundial en el ámbito del ciberseguridad que no solo da servicio a nuestro país, sino a toda la estructura del grupo. El reto es, ahora que hemos conseguido que la ciberseguridad no sea una preocupación solo de las grandes empresas, enfocarnos en las pymes para ofrecerles un servicio de calidad basado en la experiencia, la trayectoria, el conocimiento técnico y toda la infraestructura de investigación y desarrollo del grupo.
UNA INFRAESTRUCTURA ÚNICA EN MADRID
El CyberLab Madrid, es uno de los centros de referencia globales en la red de SGS. Desde sus instalaciones de seguridad, este centro da cabida a un SOC (centro de operaciones de Seguridad) que da cobertura mundial a clientes 24*365 dias al año.
Desde bancos hasta gobiernos, los clientes de SGS confían a este centro la monitorización permanente de sus redes, para alertar de ciberataques y sobre todo, de la posible pérdida de información de sus bases de datos.
En este lugar también se encuentra un Laboratorio de Ensayos en ciberseguridad para hardware y software, que permite a SGS, certificar desde dispositivos de alta seguridad, hasta productos IoT.
