Hace unos días, el Centro de Transparencia de Ciberseguridad de Huawei en Bruselas abrió las puertas en exclusiva a Escudo Digital en un tour virtual que estuvo dirigido por Yoann Klein, asesor sénior de ciberseguridad en esta misma instalación. Nuestra visita dio para mucho y nos resultó muy interesante, tanto es así que decidimos amplia resta información en nuevos artículos para explicarla más detalladamente.
El primer artículo lo dedicamos a contar algunas bases fundamentales sobre de Centro de Huawei en la capital belga así como de otros centros que tiene la tecnológica china repartidos por todo el mundo, que también incluyen los enfocados en la Investigación y el Desarrollo (R&D, por sus siglas en inglés).
Esto fue solo una parte de todo lo que explicó Klein, quien nos expuso una presentación en la que abordó los "temas más importantes, o al menos, los que a nuestros accionistas les suele gustar analizar con nosotros". Con esta presentación, nos hizo participes de la estrategia de ciberseguridad de Huawei en materia de ciberseguridad y a continuación repasamos sus principales claves. Por otro lado, también tuvimos la oportunidad de conversar con Gonzalo Erro, responsable de ciberseguridad de Huawei España, quien nos ha dado aún más detalles de estos centros, tal y como se recoge en el video que acompaña esta página.
El recorrido de Huawei en el ámbito de la ciberseguridad
Antes de entrar de lleno en el caso de la multinacional china, Klein nos ha recordado que el mundo se está volviendo cada vez más digital y ha advertido que no podemos seguir avanzando sin considerar los riesgos y los inconvenientes que ello implica.
"Huawei es un proveedor global de ICTs así que, evidentemente, incorporamos conocimiento a la responsabilidad que tenemos en este mundo del futuro y esta es la razón por la que ponemos tantos esfuerzos en la ciberseguridad, en desarrollar productos seguros y en involucrarnos en la ciberseguridad de otras organizaciones", ha subrayado.
Tras esta introducción, Klein ha querido destacar que la apertura de este centro en Bruselas hace dos años no tuvo ninguna relación con el hecho de que Estados Unidos situara a su compañía bajo el foco de atención.
"Ese es el mensaje que quieren lanzar, pero no es así. La andadura de Huawei en materia de ciberseguridad se prolonga desde hace más de veinte años. De hecho, la iniciamos el siglo pasado, en 1999, y hemos evolucionado a partir de la 'ciberseguridad tradicional', en la que nos centrábamos en un solo producto, a una ciberseguridad que abarca todos los productos y cómo interfieren entre sí, y que no solo implica a nuestros técnicos. Lo cierto es que si relegábamos toda la ciberseguridad al personal técnico no íbamos a ser capaces de desarrollar la ciberseguridad con un enfoque más amplio. Por este motivo es por el que hemos implementado tantas evaluaciones y controles de seguridad en muchos departamentos distintos de Huawei.
Hasta el momento, el último paso de este recorrido, son este tipo de centros de ciberseguridad y también la inversión de más de dos billones de dólares que hemos realizado en nuevas instalaciones para el desarrollo de software e ingeniería. El mensaje es que el recorrido no ha terminado ni lo va a hacer nunca, va a seguir evolucionando constantemente".
Cómo organiza Huawei su trabajo en el área de la ciberseguridad
Klein nos ha explicado que Huawei cuenta con 2.000 trabajadores enfocados en la ciberseguridad y que la compañía estructura esta área en tres niveles distintos.
En el nivel más alto están los CEOS, una sección que en muchas compañías está absorbida por los CIO o los CISOs pero que en Huawei mantienen aparte y en el primer escalafón.
El nivel intermedio es el que realmente construye la estrategia y las políticas de ciberseguridad, y Huawei relega esta función a una organización experta y totalmente especializada en este ámbito como es GSPO. De hecho, este centro de Huawei en Bruselas en realidad pertenece a GSPO.
Finalmente, el último nivel está compuesto por una red de CSOs y es muy importante para la compañía porque es el equipo que realmente alimenta la capa intermedia con todas las regulaciones de los países en los que opera, con los estándares que debe seguir en cada uno de ellos y con las principales exigencias de los clientes en términos de ciberseguridad.
Cuenta con un sistema de ciberseguridad de garantía de extremo a extremo
Klein ha mencionado, al repasar la trayectoria de Huawei en el ámbito de la ciberseguridad, que la compañía se ha decantado por diversificar el trabajo en esta materia al no dejarla totalmente en manos del personal técnico y al implementar medidas de seguridad en diferentes departamentos de la organización. También nos ha dado varios ejemplos de los diversos procesos en los que han incorporado estas medidas de seguridad y que van mucho más allá del departamento de investigación y desarrollo. También implican su proceso de contratación, de formación del equipo, de selección de proveedores o de la fabricación de los dispositivos en sí misma. En este último caso, nos ha explicado que tienen lo que denominan la "secure box", el material que entregan a los fabricantes con todas las bases y directrices para que desarrollen sus productos y que, posteriormente, resulta en lo que llega al cliente.
"Tenemos que asegurarnos de que llega a él cumpliendo todas nuestras condiciones. Para ello, tenemos un enorme sistema de trazabilidad y gracias a él podemos trazar cualquier software de los que vendemos alrededor del mundo en una hora. Esto también es muy valioso en el caso de que se produzca una vulnerabilidad, porque nos permite saber qué productos pueden estar afectados por este fallo de seguridad de una forma muy sencilla y eficiente".
Cómo integra la ciberseguridad al desarrollo de productos integrados
El desarrollo de productos integrados (IPD) es un sistema que fue creado por IBM y que Huawei implementó para solventar los problemas que estaba experimentando en el ciclo de desarrollo de productos a medida que la compañía crecía y se expandía por todo el mundo. "La idea central del IPD es que las empresas deben expandir los equipos multifuncionales para realizar el desarrollo de productos y utilizar procesos y plantillas estándar para guiar esas actividades de desarrollo", explica un estudio sobre la transformación de la gestión en Huawei publicado por la Universidad de Cambridge.
"IBM promovió el sistema IPD proporcionando servicios de consultoría a otras empresas. Sin embargo, la mayoría de ellas fallaron durante la implementación, y sólo algunas realmente se beneficiaron del sistema IPD; Huawei fue uno de ellas. La transformación de IPD cambió por completo el sistema de desarrollo de productos de Huawei y ayudó a la empresa a superar sus problemas en el desarrollo de productos a mayor escala. La transformación de IPD fue un punto de inflexión para Huawei al convertirse en una empresa de clase mundial", subraya este mismo estudio.
El sistema IPD de Huawei también tiene muy en cuenta la ciberseguridad y Klein nos ha comentado que la integran basándose en modelos de desarrollo de seguridad existentes en la industria así como en las mejores prácticas de seguridad.
Según nos ha destacado, el ciclo de desarrollo habitual de los productos consta de cinco fases: concepto, planificación, desarrollo, pruebas y certificaciones, lanzamiento y ciclo de vida del producto. "Este proceso no tiene ninguna magia, se aplica en todo el mundo para todo tipo de productos. Lo que es importante en Huawei, y por ello le dedicamos un enorme esfuerzo, es definir las bases y los estándares que usamos, como el Open SAMM (gobernanza, construcción, verificación y desarrollo), el BSIMM y el Security Development Lifecycle (SDL). Todos estos estándares suponen extraer parte del control de la seguridad que hemos incrustado en todo el ciclo de desarrollo del producto, como las herramientas que se deben utilizar para la valoración de su código o cómo debe ser la evaluación de riesgos".
Cómo hace frente a las vulnerabilidades que surgen en sus productos
Otro aspecto clave en la estrategia de ciberseguridad de las compañías es cómo le plantan cara a las posibles vulnerabilidades que pueden surgir en los productos a lo largo de todo su ciclo de vida. En este sentido, Klein nos ha asegurado que Huawei sigue "los estándares más altos en lo que respecta a las vulnerabilidades" y que las manejan y divulgan de inmediato para facilitar la evaluación de los riesgos de seguridad en las redes de los clientes.
"Tenemos unos estándares sencillos que explican cómo se debe actuar frente a las vulnerabilidades y que también definen cómo se tienen que difundir a los clientes o a terceras partes. Nosotros seguimos estas directrices rigurosamente. Un ejemplo de ello es que tenemos un equipo que se encarga de recopilar todas las detecciones de vulnerabilidades que recibimos del mundo exterior y de verificar si realmente se trata de una vulnerabilidad. En caso afirmativo, también se encarga de perseguir a los técnicos para que la revisen y la solucionen lo antes posible lanzando un parche que la corrija".
Próximamente, publicaremos un nuevo artículo centrado en el proceso de evaluación de productos que ha desarrollado Huawei en sus cerca de 35 años de historia y que comparte con toda la industria.