'La gente es ahora mucho más receptiva al discurso del HSM' (Javier Sánchez, Entrust)

  • Entrevistas

Javier Sanchez, Entrust

Javier Sánchez Fuertes es el Territory Sales Manager de Entrust, y un experto en cifrado y módulos HSM. Dice que las claves de cifrado son la última frontera de la seguridad y propone el HSM como un repositorio de confianza mientras asegura que ?esto no va tanto de proteger el dato, que también, como el proceso de negocio?.

Los HSM (Hardware Security Module), o módulos de seguridad hardware, son dispositivos que generan, almacenan y protegen claves criptográficas. Uno de los referentes del mercado es Entrust, quien en los últimos años ha realizado una serie de compras y fusiones estratégicas que le convierten en un verdadero experto en protección de identidades, pagos y datos con tres unidades de negocio destacadas: Soluciones de Certificación, Gestión de identidades y Accesos y HSM. 

Este contenido salió publicado en el número de Marzo de 2021 de la revista IT Digital Secutity. Descárgatela.

Los últimos tiempos de lo que ahora es el negocio de HSM de Entrust, antes Entrust Data Card, han sido algo convulsos. Hace unos años se produjo uno de esos acuerdos de compra que hacen historia y desbordan titulares. Thales Group anunciaba su intención de comprar Gemalto por 4.800 millones de dólares, para lo cual la Unión Europea le impuso como condición la escisión de su negocio de módulos HSM por temas de competencia. Esa unidad de negocio, Thales eSecurity, llevaría por nombre nCipher y sería vendida a Entrust Data Card en febrero de 2019. Tras unos meses de convivencia, a finales del año pasado se completaba la integración de ambas compañías y nCipher se convertía, oficialmente en Entrust.

Javier Sánchez Fuertes, quien fuera el director general de Thales eSecurity, es ahora Territory Sales Manager de Entrust, una empresa sobre la que dice que tiene productos interesantes y competitivos, cuya presencia en algunos mercados es tremendamente fuerte, una empresa con buenos resultados y que a nivel de recursos humanos funcionan muy bien… Dice que la compra de Entrust no ha tenido ningún impacto en el negocio de nCipher al tiempo que asegura que lo que quieren los clientes es que detrás de la nueva marca, “a poder ser siga la misma persona”.

Protegiendo el proceso de negocio

La compra por parte de Entrust le da a este directivo con más de diez años de experiencia en el mercado de cifrado nuevas oportunidades al pasar a forma parte de una empresa con una oferta que va más allá de los HSM. Habla Javier Sánchez de “interacción” con los compañeros, tanto los que llevan soluciones de PKI como soluciones de firma digital; “allí donde hay una PKI y una firma digital hay una clave privada, y entonces me compete porque el HSM importa”.

Sobre los HSM asegura que “no va tanto de proteger el dato, que también, como el proceso de negocio”. Explica Javier Sánchez que cuando se está protegiendo un proceso de firma electrónica “no estás protegiendo tanto el contenido del documento como asegurándote de que nadie lo modifica”.

Saltamos al IoT y dice el directivo que cuando se le da identidad a las cosas mediante la emisión de certificados, en el fondo es lo que estás garantizando es que nadie pueda suplantar esas identidades; “cuando firmas código que luego se va a cargar en un coche o en una cámaras de vídeo, se hace de forma segura en un HSM, y lo que en el fondo se está garantizando es que no va a haber un mal uso de esas cosas conectadas”.

Explica Javier Sánchez que “las cosas como tal necesitan de una identidad y para ello hay que generar un certificado que dice quién eres, lo que puedes hacer y durante cuánto tiempo”. Para emitir esos certificados Entrust tiene una PKI (Public Key Infrastructure – Infraestructura de Clave Pública) “que nos permite habilitar la identidad de las cosas”. El siguiente paso es “cómo hacer que esa identidad que damos a las cosas se haga de forma segura. La respuesta es: haciendo que cada vez que se firme ese certificado, se firme un entorno seguro, que es el HSM”. Así que, en cuanto al proceso de dotar de identidad de forma segura a las cosas, “tenemos una oferta completa”.

La siguiente vuelta de tuerca, continúa explicando Sánchez, es lo que tiene que ver con la firma de código. Menciona el directivo los coches, las cámaras, los móviles… un montón de cosas que periódicamente tienen una actualización de software, revisión de parches, etc. “Todas estas cargas de software tienen que venir firmadas, y la firma tienen que haber ocurrido dentro de un entorno seguro, que es un HSM, para garantizar que nadie ha podido modificar ese código que ha sido firmado con una clave legítima”.

Dice Javier Sánchez que a pesar de que una brecha de seguridad tiene un mayor impacto mediático; “si eres un banco y resulta que el 90% de tu clientes se relacionan contigo a través de la app del móvil y se produce una modificación ilegítima que hace que la experiencia sea mala, pones en riesgo todo tu negocio. Aquí el riesgo no es una multa, es que el cliente tira la app a la basura y ya está”. Añade el directivo que las empresas se han gastado montón de dinero en proteger sus sistemas con firewalls, antivirus, con seguridad endpoint…  “pero resulta que las claves, que son la última frontera de seguridad, están desamparadas”.

Las claves por sí solas no se pueden proteger, dice Javier Sánchez, reconociendo que ahora los responsable de seguridad de las compañías asumen que sí tienen que proteger las miles de claves que hay en una empresa y que será “o bien por temas de presupuesto, o cuestión de tiempo, o de disponibilidad por lo que todavía no hayan llegado a dotar a su empresa de ese nivel de seguridad en cuanto a la protección de claves que se requiere, pero saben que tienen que hacerlo y ese es un cambio importante”.

HyTrust, más allá del HSM

El discurso de Entrust, con buena acogida en el mercado, es proponer el HSM como un repositorio de confianza donde todas las claves de toda la compañía, bien sean de la PKI, la de firma electrónica, de las sesiones SSL, las claves con las que se cifran las base de datos, las que utilizo para firmar el código… se protejan con una plataforma segura, que no es otra que el HSM.

“Ahora las empresas son mucho más receptivas al discurso del HSM. Ha llegado el momento de proteger las claves”, dice el Territory Manager, Entrust.

Entrust tiene varios tipos de módulos de seguridad de hardware, que funcionan exactamente igual y hacer más o menos lo mismo, pero a velocidades diferentes. Aproximadamente el 85% de lo que se vende son HSM de red, el 10% tarjetas HSM y un 5% son las cajas USB. Y hasta ahora este ha sido el negocio de Entrust Data Protection Solution.

El cambio llegaba a primeros de este año con la compra de HyTrust una compañía que se complementa con Entrust y sobre la que Javier Sánchez destaca su solución para el cifrado de máquinas virtuales y de control de claves, “una propuesta que el mercado está demandando”.

Explica el directivo que cualquier empresa que haga su movimiento a la nube puede hacer uso de las herramientas de cifrado que le den los proveedores de nube pública, pero que en ese momento “pierdes el control”, y que “el hecho de que seas tú quien pueda desplegar tus propias políticas de cifrado, gusta mucho; que seas tú quien pueda desplegar tus propias políticas de control de claves, gusta más todavía”.

La propuesta que añade HyTruts genera nuevas oportunidades de negocio en un mercado que está pidiendo este tipo de soluciones, asegura el directivo

Expansión horizontal

Cuando hablamos del tipo de cliente que consume HSM y cómo ha evolucionado, comenta el directivo que aunque es cierto que el tamaño de las empresas sí que ha cambiado algo, lo que ha ocurrido es que el cifrado ha sido adoptado de una manera más horizontal dentro de las empresas; “si al principio una empresa te compraba los HSM para proteger su PKI corporativa, con el paso del tiempo utilizan también un HSM para proteger las claves con las que se cifran las bases de datos, y también para la gestión de cuentas privilegiadas…”, de forma que lo que está ocurriendo es que el uso de HSM se está extendiendo dentro de las empresas, haciendo realidad el mensaje de HSM como repositorio de confianza.

Explica el directivo que esa expansión horizontal hace que las conversaciones se realicen con diferentes interlocutores: con el responsable de comunicaciones si hablas de proteger las claves del cifrado SSL o con el de desarrollo cuando se trate de proteger las claves con las que se firma el código.

Tras un año de pandemia, este año… “habrá que seguir pedaleando, y creo que un poquito más fuerte que el año pasado”, asegura Javier. Lo dice, eso sí, con la confianza puesta en una oferta de productos más amplia e integrada, una oferta que “el mercado tiene interés en ella”.