'En Huawei entendemos desde hace tiempo que la ciberseguridad es mucho más que una cuestión tecnológica'

Huawei es mucho más que un proveedor de infraestructuras de red, o de teléfonos móviles. El nombre de la compañía está presente en más de 20 segmentos de mercado diferentes que van desde de gestión de bases de datos a infraestructuras de contact center pasando por la gestión de la movilidad empresarial, distribuciones Hadoop a sistemas de prevención y detección de intrusiones, NAC o protección de la identidad y firewall de red.

La compañía cuenta, desde 2019, con un Centro de Transparencia de Ciberseguridad en Bruselas con el objetivo de mostrar las prácticas en ciberseguriad de la compañía, así como facilitar la comunicación entre las partes y una plataforma de pruebas y verificación.

Semanas antes de la apertura oficial del Centro Global de Ciberseguridad, Transparencia y Protección de la Privacidad en Dongguan (China), Bob Xie, Responsable de Ciberseguridad de Huawei para la Región de Europa Occidental, responde algunas preguntas de IT Digital Security.

¿Cuáles son los retos a los que se enfrenta como CSO de Huawei en Europa Occidental?

Como CSO de la región de Europa Occidental de Huawei, tengo dos grandes responsabilidades. La primera es la comunicación, es decir, mantener interlocución con públicos de interés, entre los que se incluyen organismos gubernamentales en el ámbito de la ciberseguridad, las asociaciones del sector, nuestros clientes, etc., y transmitirles la estrategia de ciberseguridad de Huawei, nuestro enfoque abierto y transparente y la protección de la privacidad. Creemos que nuestros productos y soluciones son seguros y deben ser verificados por un estándar común de ciberseguridad unificado, en lugar de basarse en conjeturas o sospechas subjetivas. Esto es todo un reto hoy en día.

Mi segunda responsabilidad es gestionar y desarrollar las capacidades de seguridad y de protección de la privacidad en la región para apoyar la estrategia empresarial y las actividades de desarrollo, lo que significa que necesito contar con un sólido equipo de expertos en seguridad y protección de la privacidad.

La ciberseguridad está cada vez más integrada en las redes y dispositivos, ¿cómo ha evolucionado la estrategia de ciberseguridad de Huawei?

Huawei comenzó su andadura en materia de ciberseguridad en 1999, cuando publicó su primer conjunto de requisitos técnicos para mejorar la seguridad de los productos y soluciones.

En 2011, nuestro fundador y consejero delegado, Ren Zhengfei, reforzó el compromiso de la empresa en materia de ciberseguridad al refrendar la estrategia y publicar el sistema de garantía de ciberseguridad de extremo a extremo. Esto potenció aún más nuestro compromiso: Huawei está decidida a dar la máxima importancia a la ciberseguridad y se dedica a adoptar medidas eficaces para mejorar la seguridad de sus productos y soluciones. Es esencial para nosotros ayudar a nuestros clientes a reducir los riesgos de seguridad y crear confianza en nuestra compañía. Huawei cree que el establecimiento de un marco de garantía de seguridad abierto, transparente y visible favorece un desarrollo sólido y sostenible de las cadenas industriales y la innovación tecnológica. Y nuestro compromiso con la ciberseguridad nunca se verá superado por la consideración de intereses comerciales.

Nuestra estrategia de ciberseguridad se basa en esta idea y evoluciona constantemente con el negocio y el mundo que nos rodea. Por ejemplo, acabamos de terminar el segundo año de un programa de transformación de la ingeniería de software que ha tenido una duración de 5 años y que implica, entre otras acciones, revisar el código y, cuando sea necesario, modificarlo y actualizarlo. La inversión para este programa es muy alta, de unos 2.000 millones de dólares

¿Cuál es el enfoque tecnológico de Huawei en materia de ciberseguridad?

Para poder ofrecer de forma continua productos y soluciones innovadores de alta calidad, es necesario contar con seguridad avanzada en los procesos empresariales. En Huawei, entendemos desde hace tiempo que la ciberseguridad es mucho más que una "cuestión tecnológica". Por eso hemos incorporado las mejores prácticas de la industria, los requisitos legislativos, las políticas y las normas de ciberseguridad en nuestros procesos. La ciberseguridad se ha convertido en una parte fundamental de nuestro funcionamiento empresarial diario. La metodología de ciberseguridad integral de Huawei está incorporada en los 12 procesos corporativos y de negocio: desde cómo contratamos y formamos a nuestro personal, hasta cómo evitamos la manipulación de nuestros dispositivos durante la fase de entrega, gracias a mecanismos de trazabilidad precisos, pero también haciendo un gran esfuerzo para seleccionar y auditar de forma exhaustiva y meticulosa a nuestros proveedores.

Por último, Huawei, por supuesto, sigue las normas y directrices más avanzadas en lo que respecta al desarrollo de productos. Además de obtener la certificación de nuestros productos según los esquemas de cibercertificación más estrictos y reconocidos del mundo (como Common Criteria o NESAS), también complementamos el reconocimiento de terceros mediante la evaluación y valoración continua de nuestros procesos de desarrollo de software según criterios de ciberseguridad como la iniciativa BSIMM.

Huawei es un importante fabricante de Firewalls, ¿tiene previsto ampliar su oferta más allá de la red como han hecho otros fabricantes (Palo Alto, Check Point, SonicWall, WatchGuard...) hacia, por ejemplo, el mercado de la seguridad del endpoint?

Hoy en día estamos muy orgullosos de proponer una gran variedad de firewalls de última generación, que abarcan desde las pequeñas y medianas empresas hasta productos para grandes centros de datos y redes campus. Los clientes están muy satisfechos con nuestras soluciones. Por ejemplo, nuestros firewalls de Inteligencia Artificial (IA), que mitigan las amenazas conocidas y desconocidas en el network edge en tiempo real, pueden apoyar eficazmente la protección del cliente mediante la defensa proactiva contra las amenazas de la red, la mejora de las capacidades de border detection y la resolución de los problemas de deterioro del rendimiento.

Como es posible imaginar, nuestra experiencia y conocimientos técnicos van mucho más allá de la protección de la red. En la actualidad, nuestra cartera de seguridad se extiende a productos como los sistemas de protección DDoS, Anti-APT, etc.

Sin embargo, no dejaremos que nuestra hoja de ruta técnica se vea influida por el “bombo” tecnológico y no nos limitaremos a seguir una tendencia marcada por la competencia. Nuestro único objetivo es aportar valor añadido a los clientes y esforzarnos por ofrecer productos y soluciones fiables con el fin de ayudar a nuestros clientes a crear redes resistentes. Los clientes son los que definen nuestra hoja de ruta.

¿Qué impacto tiene el uso de la Inteligencia Artificial en la ciberseguridad?

La inteligencia artificial aporta cada vez más valor en más aspectos de la vida cotidiana. Esto también ocurre en el ámbito de la ciberseguridad. Por ejemplo, es sin duda parte de la respuesta al actual reto de la escasez de competencias en ciberseguridad. Hoy en día, gracias al uso de algunas capacidades de la IA para realizar acciones de seguridad recurrentes o menos delicadas, podemos asignar (y centrar) la cantidad limitada de recursos cibernéticos a tareas que requieren más conocimientos de alto nivel. La Inteligencia Artificial también puede aportar sólidas ventajas cuando se considera la necesidad de crear conciencia sobre la situación y proporcionar información en tiempo real que apoye las decisiones críticas de los seres humanos. 

Sin embargo, al tiempo que proporciona importantes beneficios, también plantea algunos retos en términos de seguridad y protección de la privacidad. Existen riesgos técnicos que podrían dar lugar a violaciones de los datos, su manipulación o robo. Otro problema es la falta general de regulación y legislación que sirva de guía a medida que crece su uso. Es esencial definir colectivamente las funciones, los derechos y las responsabilidades de las distintas partes interesadas, para poder garantizar juntos que los sistemas de IA se utilicen de forma adecuada y segura, limitando cualquier posible problema social que pueda surgir.

¿Cuál es el balance del Centro de Transparencia Abierta de Bruselas en 2019?

La apertura del Centro de Transparencia de Ciberseguridad de Huawei en Bruselas, que tuvo lugar en marzo de 2019, puso de manifiesto el enfoque "abierto, transparente y colaborativo" de Huawei hacia la ciberseguridad. El Centro tiene tres funciones principales:

En primer lugar, el Centro debe mostrar las prácticas de ciberseguridad de Huawei de principio a fin, desde las estrategias y la cadena de suministro hasta el I+D y los productos y soluciones. Desde la inauguración hemos recibido varios miles de visitantes con perfiles muy diversos (clientes, arquitectos de seguridad, responsables políticos, académicos, periodistas, etc.). El Centro les ha permitido experimentar la ciberseguridad con los productos y soluciones de Huawei, en áreas que incluyen 5G, IoT y cloud. Incluso, hemos invertido recientemente en nuevas funciones para proporcionar una experiencia más inmersiva durante el período de pandemia, yendo más allá de la tradicional "reunión de Zoom".

En segundo lugar, el Centro facilita la comunicación entre Huawei y las principales partes interesadas sobre las estrategias de ciberseguridad y las prácticas de protección de la privacidad y la ciberseguridad de extremo a extremo. Por esta razón, algunos de los recursos del Centro han estado trabajando con partners para sacar partido y promover el desarrollo de estándares de seguridad y mecanismos de verificación, a fin de facilitar la innovación tecnológica en ciberseguridad en toda la industria.

En tercer lugar, el Centro ofrece a los clientes de Huawei una plataforma de pruebas y verificación de la seguridad de los productos y servicios relacionados. Tuvimos la oportunidad de que nuestros clientes realizaran varias comprobaciones de seguridad detalladas y auditorías de nuestro código fuente antes de que se produjeran las restricciones en los desplazamientos. De hecho, por lo que tengo entendido, somos el único proveedor de telecomunicaciones del mundo que permite este nivel de pruebas en sus productos.

Como las estadísticas de la última pandemia son alentadoras, recientemente hemos estado en contacto con numerosas entidades y clientes para establecer nuevas campañas de evaluación. Por ejemplo, hemos facilitado talleres para debatir y aportar soluciones a los nuevos retos de seguridad que surgen en la era del 5G, y a medida que se va imponiendo la IA.

Han abierto un centro de ciberseguridad en Roma este año, el tercero en Europa, ¿hay algún otro en su hoja de ruta?

Abrimos el Centro de Transparencia de Ciberseguridad de Roma en marzo de este año, lo que supone el cuarto centro en Europa. El año pasado se cumplieron 20 años de presencia de Huawei en Europa y esperamos proseguir nuestra presencia aquí otros 20 años y muchos más. Nuestros centros de ciberseguridad desempeñan un papel muy importante en nuestra relación con los clientes europeos y las principales partes interesadas. Nos ayudan a construir y fortalecer las relaciones y a demostrar un compromiso muy serio con la apertura y la transparencia.

¿Qué opina de tendencias como SASE (Secure Access Service Edge) y Zero Trust?

Con la transformación digital de las empresas (y aún más desde el comienzo de la pandemia), vemos claramente la necesidad de trasladar una cantidad constante de funciones de seguridad a la nube, lo que lleva a una mayor convergencia y consolidación. Como proveedor líder de tecnología a nivel mundial, analizamos cuidadosamente el aumento del concepto de Secure Access Service Edge y asesoramos a nuestros clientes. Por un lado, puede ser muy atractivo, y los beneficios son obvios: limitar los silos, reducir la complejidad, mejorar la velocidad y la agilidad, permitir la creación de redes multicloud y, de hecho, apoyar otra tendencia importante que es "el paso al intelligent edge".

Sin embargo, por otro lado, la consolidación de las capacidades de seguridad en la nube debe planificarse cuidadosa y gradualmente. Es esencial que las organizaciones asignen profesionales de la seguridad para establecer un plan de migración desde el perímetro heredado y las soluciones tradicionales basadas en hardware a un modelo "as a service". Este cambio de paradigma y su aplicación se producirán a lo largo de varios años.

Además, abogamos firmemente por la adopción de un enfoque de Confianza Cero como posición adecuada para limitar los riesgos durante el periodo de transición.

Para Huawei, la ciberseguridad y la protección de la privacidad son prioridades. ¿Cómo abordan estos retos?

A nivel interno, como ya he mencionado brevemente, nuestro sistema de garantía de ciberseguridad de extremo a extremo incorpora requisitos de ciberseguridad y privacidad, y controles de seguridad en todos nuestros procesos empresariales. Huawei también ha abordado activamente los retos de la ciberseguridad a través de asociaciones con gobiernos, clientes y partners de forma abierta y transparente.

Las redes están conectadas por dispositivos de diferentes proveedores, y los servicios son proporcionados por diferentes operadores. Por eso creemos en el poder de las normas de certificación de seguridad unificadas. Huawei ha participado en más de 360 organizaciones de estándares de la industria; ha ocupado más de 300 puestos importantes en estas organizaciones de estándares de la industria; y presenta activamente propuestas a dichas organizaciones, haciendo importantes contribuciones al desarrollo de estos estándares.

Por lo tanto, Huawei concede gran importancia a la protección de la privacidad. Para garantizar la aplicación efectiva de los requisitos de protección de la privacidad, adoptamos la colaboración entre departamentos. El Global Cyber Security and User Privacy Protection Committee (GSPC) es la más alta organización de gestión para la ciberseguridad corporativa y de la protección de la privacidad de los usuarios. El Global Cyber Security & Privacy Officer (GSPO) es responsable ante el CEO. Todas las unidades de negocio de Huawei tienen funciones y/u organizaciones dedicadas a la privacidad. Huawei adopta los enfoques y prácticas de protección de la privacidad reconocidos por la industria. Para Huawei, el cumplimiento del GDPR es sólo una parte de la protección de la privacidad de Huawei. La protección de la privacidad no es solo un requisito legal, sino también una responsabilidad social de Huawei como proveedor de infraestructuras TIC y de dispositivos inteligentes. Mejoraremos y optimizaremos continuamente nuestros productos y servicios para garantizar la seguridad y la privacidad, así como para reducir los riesgos de protección de la privacidad de los clientes y usuarios.

Rosalía Arroyo