EntrevistasSeguridad

Bob Xie, CSO de Huawei: “Esto es como una carrera y la seguridad va a depender de quién vaya por delante”

Bob Xie, CSO de Huawei en Europa, charla con Computing sobre la actualidad de la ciberseguridad y cuáles son las tareas que está llevando a cabo la compañía para garantizar que sus productos están correctamente securizados.

Bob Xie supervisa el desarrollo de los negocios de Huawei en la región de Europa Occidental, con foco en la ciberseguridad. Esto incluye alinear las actividades de desarrollo estratégico de Huawei y las capacidades de seguridad con los clientes clave y los gobiernos europeos.

Después de más de 20 años trabajando para Huawei, ¿cómo ha evolucionado la compañía en lasecurización de sus dispositivos?

Desde mi punto de vista si hablamos de ciberseguridad en Huawei hablamos de un todo un proceso, de largo un viaje que hemos recorrido para llegar al punto en el que estamos ahora. Recuerdo que en el 2000 Huawei empezó a considerar la ciberseguridad como un aspecto a tratar y comenzamos a hacer test para securizar nuestros productos. A partir de 2005, nos dimos cuenta de que la ciberseguridad no era solo algo que aplicar en el producto, sino que teníamos que ver cómo mejorar la capacidad centrándonos en un sistema de búsqueda y el desarrollo. Así, en 2010, cuando la ciberseguridad ya estaba en el primer plano, decidimos crear el Centro de Evaluación de Ciberseguridad de Huawei en el Reino Unido, el primero de este tipo y con el objetivo securizar toda la cadena de suministros y asegurarnos de que todos nuestros partners, estaban al nivel de madurez en materia de seguridad y cumplían con los estándares para asegurar que los productos estaban correctamente protegidos de principio a fin.

¿Y en la actualidad? En un período en el que los dispositivos son usados en cualquier lugar y con la conexión a diferentes redes, ¿están debidamente securizados?

Desde 2018 venimos trabajando en la creación del Centro de Transparencia de Ciberseguridad de Huawei en Bruselas, que se inauguró oficialmente en marzo de 2019 y, desde ese año, y con la vista puesta en la nueva conexión 5G, empezamos a considerar que los productos y las soluciones de Huaweis no solo tenían que ser seguras, sino también resilientes porque por muy seguro que sea un dispositivo la vulnerabilidad siempre va a estar ahí y aunque un ciberatacante no la encuentre hoy no significa que no la pueda encontrar mañana, porque la tecnología es así . Por eso, pensamos que, una vez la seguridad se ve comprometida, es muy importante ser rápidos a la hora de aportar una solución para recuperarse. Es entonces cuando desde Huawei entramos en una fase de transformación y decidimos invertir dos billones de euros para reestructurar y reorganizar el sistema heredado y proveer esa resiliencia para los productos con los que nuestros clientes van a operar en el futuro.

"No estamos teniendo incidentes pero eso no significa que no los podamos llegar a tener por lo que tenemos que seguir manteniendo el ritmo como hasta ahora"

¿Cómo se gestionan las vulnerabilidades de un producto cuando sale al mercado?

La mayoría de los dispositivos hoy están securizados porque están previamente testados y cumplen los estándares de seguridad pero además, desde Huawei, perseguimos cumplir las certificaciones de manera correcta y podemos garantizar que nuestros dispositivos están bien protegidos ya que en los últimos 10 años, según el informe de ENISA, la Agencia Europea de Seguridad de las Redes y de la Información, ningún incidente comprometió a Huawei. Eso lo conseguimos gracias a nuestra política de divulgación y que, desde el equipo PSIRT (Product Incident Response Team) de la compañía actuamos de forma rápida cuando hay un problema detectando, analizando y proporcionando una solución para solucionarlo. Además, gracias a nuestro sistema de trazabilidad, sabemos a qué consumidor va dirigido cada producto y cuando lo recibe, por lo que podemos emitir la notificación de la vulnerabilidad directamente a nuestro cliente y decirle cuando y como instalar el parche que hemos creado para corregirla.

Durante el último año vemos como los ciberatacantes usan técnicas cada vez más sofisticadas, ¿están avanzando los equipos de seguridad a la par que los ciberataques?

Sí, esto es como una carrera y la seguridad va a depender de quién vaya por delante. Si los equipos de ciberseguridad  son más rápidos que los atacantes, todo irá bien, pero si somos más lentos encontrando esas posibles vulnerabilidades tendremos problemas. Hasta ahora creo que la situación es buena porque estamos invirtiendo mucho dinero y esfuerzos en mejorar este aspecto y prueba de ello es que en Huawei tenemos a más de 2.600 personas dedicadas a la ciberseguridad y las cuáles están siendo continuamente formadas para detectar cualquier tipo de nueva amenaza. Así, podemos decir que no estamos teniendo incidentes pero eso no significa que no los podamos llegar a tener por lo que tenemos que seguir manteniendo el ritmo como ahora porque de lo contrario, si no aprendemos y corremos más rápido, estaremos detrás de los ciberatacantes. 

Como responsable del Centro de Transparencia de Huawei en Europa, ¿puede contarnos para qué sirven y qué características tienen?

Desde Huawei , la transparencia es un elemento clave para construir la confianza de nuestros clientes. Por eso llevamos testando nuestros productos más de 11 años y somos la única compañía que ha abierto  permitiendo que los consumidores puedan probarlos y que ellos mismos sepan lo buenos que son. Así, nació el Centro de Transparencia de Huawei que ahora mismo tiene varias funciones además de la de permitir probar los dispositivos a los clientes. Por un lado, compartir y demostrar como gestionamos la ciberseguridad de nuestros dispositivos de principio a fin y por otro, como incrustamos las soluciones de seguridad en ellos. Y este centro, también sirve como plataforma para que todos nuestros empleados y consultores colaboren y cumplan con los requisitos y políticas establecidos por Huawei relacionados con la ciberseguridad, ya que hoy en día se habla de ello en muchos escenarios diferentes y crear, implementar y unificar unos estándares unificados es una de las claves.

¿Cuál es el punto de vista de Huawei sobre las regulaciones en materia de 5G y la estrategia nacional en este campo para evaluar la seguridad de los equipos de redes de telecomunicaciones?

Estamos colaborando con nuestros partners para realizar una serie de innovaciones para adoptar las nuevas tecnologías como son el 5G, Cloud, el IoT o la Inteligencia Artificial. El 5G, en concreto, cada vez es más importante porque va a impactar en cualquier ángulo de la vida de las personas en el futuro y también de forma económica en todas las naciones del mundo, por lo que es fundamental concienciar a la población. Se va a convertir en una infraestructura de información crítica para cualquier país y debido a eso, crear una estrategia nacional y regulaciones específicas va a ser totalmente necesario para garantizar el desarrollo y la seguridad. Desde el punto de vista de Huawei, usar los objetivos y estándares que se creen para tal fin, servirá también para evaluar la seguridad de los productos siempre y cuando cada país prepare las medidas técnicas necesarias para gestionar la ciberseguridad y consideramos que esto es una responsabilidad compartida .Y en última instancia, una estrategia bien definida con inspecciones y las medidas adecuadas acompañadas de dar una correcta información de cómo usar los productos a los consumidores, va a favorecer a toda la industria.

¿Cuál es el peor ciberataque al que se puede enfrentar una compañía?

El ataque más peligroso que puede sufrir una compañía es un apagón total de las comunicaciones. Si no podemos llamar o conectarnos a Internet podría ser una pesadilla tanto para cada uno de nosotros a nivel individual, como para cualquier compañía o sistema de comunicaciones un país y, precisamente por eso, tenemos que impedir que esto pudiese llegar a ocurrir. ¿Y cómo podemos impedir esto? Pues como decía, poniendo el foco en diferentes aspectos, desde la cncienciación de la gente hasta la seguridad de todos los productos, soluciones y operaciones que realizamos en nuestro día a día.

Computing 813