Entrevistas    Regulación

Amazon Web Services: “Pedimos la revisión judicial si un gobierno quiere tener acceso a datos“

El CISO de Amazon Web Services analiza para INNOVADORES el futuro de la seguridad que pasa por la automatización para ayudar a las pymes y por mejorar el marco regulatorio

02 SEP. 2019 - BOSTON (EEUU)
12 minutos
Steve Schmidt, vicepresidente y CISO de Amazon Web Services, durante su keynote en la conferencia Re:inforce. / INNOVADORES

Habla Steve Schmidt, vicepresidente y CISO (chief information security officer) de Amazon Web Services, de reducir en un 80% el acceso de los humanos a los datos, y de la automatización como clave de futuro de la seguridad de la información. Pero ¿es esa una perspectiva realista para las pymes? "Puede serlo, depende de cómo construyan sus sistemas individuales", afirma a INNOVADORES. "Si operas tu propia base de datos de forma local, vas a tener que estar vigilándola desde la cúpula de la empresa, y eso es bastante arduo. Pero si utilizas los servicios de AWS no tendrás más que a una persona responsable de operar esa máquina, o de instalar el software, porque nosotros ofrecemos automatización para hacer esa tarea por ti».

Schmidt cree que a las pymes no les queda más remedio "porque no disponen del dinero para contratar a los directivos que necesitan. De modo que tienen que elegir: o no realizan el trabajo de seguridad, o hacen una transición al cloud".

Hay margen de maniobra porque, según el CISO de AWS, estamos todavía en los albores de la innovación en la nube. Los siguientes pasos incluirán "un uso cada vez más efectivo del machine learning para reducir el volumen de información que los ingenieros tienen que vigilar". Y, como consecuencia de ello, un incremento de acciones que se realizan de forma automática, "de mecanismos de respuesta con inteligencia artificial". Además veremos "mejores formas de construir de forma segura por defecto. Muchas veces los clientes ponen la seguridad sobre algo después de crearlo y tendrán un modelo para que sea seguro por defecto".

"La primera generación de dispositivos IoT se diseño sin pensar en la seguridad"

En cuanto a la evolución del negocio, en los últimos años AWS ha presentado soluciones alternativas a las bases de datos de Oracle, a los servicios de virtualización de VMware y hasta a los procesadores para centros de datos de Intel y AMD. Cómo pueden estar seguras las empresas que entren en su nuevo marketplace de seguridad de que no habrá soluciones que compitan con las suyas en el medio plazo. "Somos muy claros: creamos servicios donde tenemos capacidades únicas, o donde podemos ver de forma única los datos y el tráfico que se requiere para hacer el trabajo, o donde se precisa una gran escala como la nuestra", dice Schmidt. Pone como ejemplo su servicio Traffic Mirroring, presentado hace unas semanas en Boston: "Está específicamente diseñado para dar a nuestros socios acceso a datos que sólo nosotros podemos recolectar".

"Hay mucha preocupación, a veces, por asuntos que no son reales", continúa. "Si miras a la historia, nosotros no vamos en perjuicio del negocio de nuestros socios, es una regla general. Desde luego, no utilizamos los datos de los partners al tomar nuestras propias decisiones de negocio, es su información y la controlan ellos. Puede ser algo acerca de lo que algunas personas estén preocupadas, pero no es un problema real". 

-Dígaselo a Oracle

-Esas son circunstancias especiales, Oracle es Oracle.

En cuanto a la escalada de tensión en materia de seguridad entre EEUU y China, Schmidt espera que "nuestros gobiernos tengan en cuenta el impacto en los ciudadanos y los consumidores de los dos lados. Hay razones para temer a cualquier gobierno del planeta, tenemos un amplio abanico de soluciones criptográficas e instamos a los consumidores a utilizarlas porque si lo hacen de la forma adecuada nosotros no tenemos acceso a la clave. Y si un gobierno europeo o EEUU nos ordena actuar, sin la clave criptográfica no podemos producir nada útil para él. Es una decisión de diseño muy intencionada".

El CISO de AWS critica en público la contradicción entre los conceptos de uso y soberanía del dato. Los marcos regulatorios a veces acaban convirtiéndose hoy en un problema para la seguridad, e iniciativas como la Cloud Act se ven envueltas en un halo de confusión. "Lo que la gente no entiende es que algunos de los países más agresivos a la hora de dar acceso a los datos de los proveedores locales están en Europa, y eso es así desde hace mucho tiempo. Y otra cosa de la que la gente no percibe es que si haces negocio en una jurisdicción, ya sea una compañía europea en EEUU o una americana en Alemania, te sometes a leyes locales". 

Según Schmidt, "la ley está siempre por detrás de la tecnología desafortunadamente y no sé si hay alguna forma de que algún día la alcance". Y en este punto, el aldabonazo de AWS: "Pedimos que los gobiernos de todo el mundo apliquen procesos razonables que incluyan la revisión judicial cuando necesitan acceso al dato. Eso significa que un juez independiente debe decir: ‘sí, esto es correcto’. Pensamos que esa es una protección adecuada. Sabemos que todos los países tienen una necesidad legítima de proteger a sus ciudadanos contra el terrorismo, la pornografía infantil y cosas así, pero necesitamos una revisión judicial de todo el proceso, para que no se produzcan abusos de poder".

En otro orden de cosas, coincide Schmidt con la percepción de que "la primera generación de dispositivos de internet de las cosas (IoT) fueron diseñados sin tener en cuenta la seguridad, y debe ofrecerse  a los desarrolladores una vía sencilla de hacerlo". En especial, en lo que se refiere a la  actualización del software, "que es donde aparecen las vulnerabilidades". La industria empieza a entender la necesidad de integrar la seguridad en el IoT y, en especial, la automovilística lo ha asumido definitivamente, "se han dado cuenta de que sus coches son dispositivos conectados".

En el ámbito de la criptografía, AWS sigue muy de cerca el impacto de la computación cuántica. "Es una realidad, pero la cuestión es si se convertirá en un problema efectivo en dos años, en 10 o en 20, no lo sabemos. Hay asuntos físicos que todavía tienen que ser resueltos para los ordenadores cuánticos. En cualquier caso, hay cosas que las empresas pueden hacer ya mismo para protegerse frente a los posibles riesgos de seguridad de la computación cuántica. Por ejemplo, los algoritmos cuánticos seguros son una opción real de presente. Estamos investigando intensamente en la criptografía cuántica. Si observas los protocolos de acuerdo actualmente en borrador en ese ámbito, dos de ellos han sido propuestos por Amazon».

Uno de los anuncios de la conferencia Re:invent en noviembre en Las Vegas fue Outpost, una nube gestionada. El futuro son las soluciones híbridas, también en términos de seguridad. "La razón por la que existe Outpost es, por un lado, proporcionar a los clientes un lugar donde utilizar los servicios de AWS muy cercano, desde una perspectiva de red, a su propia infraestructura. Una compañía puede que tenga un mainframe en sus propios data centers, y quizás necesite seguir utilizándolo, pero quizás precise también una conexión segura e inmediata a los servicios de AWS". Outpost se la da. "No podemos hacer mainframes, no es nuestro negocio", dice entre risas. 

-No... de momento. 

-No, no, por favor. 

La otra razón de Outpost es que "muchas compañías tienen una inversión en edificios físicos, en data centers, que han pagado y necesitan monetizar. Esto les permite consumir nuestros servicios dentro de esos edificios que ellos han construido y pagado, reduciendo así costes».