HP: «No puedes proteger un equipo si no securizas su firmware»

Hace unos días os contábamos que en el HP Security Summit de Londres, la multinacional hacía especial hincapié en cómo las impresoras se habían convertido en el eslabón más débil de la seguridad IT de las empresas. Como nos contaban en el evento, el 53% de los responsables IT no son conscientes de que las impresoras son dispositivos susceptibles de ser “hackeados” o que pueden convertirse en un vector de ataque para todo tipo de cibercriminales.

En el mismo evento tuvimos la oportunidad de entrevistar a Luciana Broggi, General Manager Enterprise Solutions EMEA de HP, quien nos contó que esfuerzos están haciendo desde la compañía para proteger estos dispositivos y qué buenas prácticas pueden poner en marcha las empresas. Esto es lo que nos ha contado.

MuyComputer Pro: Acabáis de presentar la nueva línea de la que consideráis que es la impresora más segura del mundo. Pero al margen de estos dispositivos en particular, ¿qué pueden hacer las empresas para proteger sus impresoras, sean o no de HP?

Luciana Broggi: Creemos sin ninguna duda que tenemos la impresora más segura del mercado, en la que hemos incluido características avanzadas que las securizan desde la base. Pero sobre todo eso tenemos la fuerte convicción de buena parte de esa seguridad, depende de la forma en la que las impresoras se gestionan dentro de la organización.

Es por este motivo por el que hemos presentado la nueva versión de HP Secure MPS, un nuevo servicio que crea distintas capas de protección dentro de las empresas, poniendo en este caso el foco de seguridad en la impresora.

La protección de la impresora recorre distintas etapas: análisis de la red y determinar si esa red es segura, si los protocolos de seguridad están siendo aplicados en la configuración de la impresora, el acceso a las impresoras (qué usuarios pueden utilizar los distintos equipos), la monitorización de qué uso efectivo se está haciendo de los dispositivos y por supuesto, el hecho de que todo ello da como resultado una gran cantidad de datos que pueden ser analizados por el equipo IT de la compañía. Datos que no solo pueden utilizar además para comprobar si su parque de impresoras se mantiene seguro, sino que pueden mostrar a la hora de obtener sus certificados compliance.

MuyComputer Pro: Por lo que dices, HP Secure MPS también funciona en los equipos fabricados por vuestra competencia.

Luciana Broggi: Sí, funciona con las principales marcas de equipos de impresión y con casi todos sus equipos. Por supuesto creemos que es mejor trabajar con impresoras de HP ya que en ese caso HP Secure MPS puede trabajar mejor con las capacidades de cada dispositivo, pero por supuesto,  puede trabajar con cualquier otra marca.

MuyComputer Pro: Tradicionalmente no ha habido una gran preocupación por la seguridad de las impresoras en las empresas. Ni siquiera en el momento en que cualquier impresora se conectaba a la Red. Pero el mensaje que estás lanzando desde HP es precisamente ese. ¿Está calando ese mensaje? ¿Detectáis que crece la preocupación en las empresas?

Luciana Broggi: De momento seguimos creyendo que la preocupación en las empresas en este terreno sigue siendo baja, pero también estamos viendo cada vez más las compañías que solicitan información o servicios relacionados con la seguridad en la impresión.

Por ejemplo uno de los servicios que ofrecemos con más éxito a las empresas, es una consultoría de seguridad sobre su parque de impresión, de modo que puedan saber a qué nivel de riesgo se están enfrentando, además de asesorarles para poder minimizar los riesgos.

Para ello uno de nuestros expertos en seguridad visita la compañía y pasa unos cuatro o cinco días comprobando in situ el estado de seguridad de la empresa  y les ofrece finalmente un informe sobre su situación actual y en qué horizonte se deberían posicionar.

A veces te llevas sorpresas interesantes. Clientes que se mueven en sectores en los que la seguridad es vital y descubres al poner en marcha este análisis, que menos del 25% de sus impresoras están securizadas. En las empresas que sin embargo han optado por HP Secure MPS este porcentaje puede llegar hasta el 97%

MuyComputerPro: Primero fueron los ordenadores, después los móviles, ahora parece que son las impresoras. ¿Cuál crees que va a ser el próximo dispositivo que va a tener que preocupar a las empresas?

Luciana Broggi: Es una pregunta difícil de responder, cuando piensas en el Internet of Things o en el más amplio Internet of All Things. Tenemos tanto dispositivos que se conectan a Internet y que van con nosotros todo el tiempo… o si piensas en el fenómeno de los wearables… o incluso algo tan inocente como un monitor, que ya puede ser hackeado hoy en día.

Es difícil saber qué va a ser lo próximo, depende en gran medida del tipo de empresa, pero si la experiencia sirve de algo, ya vimos en el pasado como una de las grandes amenazas de seguridad IT se estaba dando en los circuitos del aire acondicionado, un elemento que por aquel entonces nadie pensaba que era necesario proteger. Hoy en día todo lo que está conectado al sistema de calefacción, como termostatos inteligentes, están conectados a la Red y son bastante vulnerables ante un ataque.

MuyComputer Pro: Bring Your Own Device ha sido una gran tendencia en muchas compañías durante los últimos años. Sin embargo algunas parecen ahora recular y apostar más por el Device as a Service, como apuesta más segura en la infraestructura de la empresa.

Luciana Broggi: Este es sin duda uno de los grandes debates que se está viviendo muchas empresas. Por supuesto cuando una empresa da al empleado un dispositivo, puede garantizar un mayor control sobre su configuración, sobre el hardware que pone en sus manos y si piensas por ejemplo en el mundo PC, no todos los portátiles del mercado ofrecen el mismo nivel de seguridad. Y sí, en este aspecto, la compañía tiene de alguna forma más control sobre el nivel de seguridad que van a tener los dispositivos que se introducen en la empresa.

Sin embargo en términos de monitorizar la seguridad de los dispositivos, incluso si se aplica una política BYOD, cuando a esos equipos se les aplican las mismas reglas, bajo una solución de gestión integral de dispositivos a los que incluso puedes acceder de forma remota, entonces sí puedes comprobar áreas como el tipo de software de seguridad que está presente en cada dispositivo, el acceso que hay cada equipo o controlar un número determinado de ataques potenciales. ¿Qué no vas a poder controlar? Ese nivel de seguridad que por ejemplo en HP introducimos en nuestros equipos a nivel de firmware como puede ser  HP Surestart o HP Sureview y que no están en otras marcas.

MuyComputer Pro: En el evento hemos visto como la próxima gran amenaza de seguridad en la empresa va a venir embebida en el firmware de los dispositivos que se introducen en la compañía y que casi con total seguridad, van a ser indetectables por soluciones de software tradicionales. ¿Qué se puede hacer en esos escenarios?

Luciana Broggi: Algunas empresas, cuando instalan una nueva imagen de disco en un equipo, pueden incluir herramientas que tienen capacidad de escanear la máquina y recopilar los  meta-data que produce el equipo: datos como la BIOS que utiliza el equipo, el uso de memoria y batería, la funcionalidad del chipset…etc. Con estos datos se puede entrever si hay algo que no está funcionando como debería precisamente a nivel de firmware.

Esto por supuesto no se puede hacer en escenarios BYOD y ahí está el debate. Muchas empresas han pasado por lo tanto del modelo Bring Your Own Device al Choose Your Own Device, de modo que dan al empleado un rango de dispositivos entre los que pueden escoger y que se van a encargar de securizar.

MuyComputerPro: Cuando hacéis de la ciber-resiliencia otro de los motivos centrales de este evento, asumís que pese a cualquier esfuerzo que se ponga en marcha, el ataque se va a producir sí o sí. No hay ninguna medida de seguridad que se pueda poner en marcha que asegure al 100% la integridad de un equipo o una estructura IT

Luciana Broggi: Uno de nuestros clientes preguntó hace poco a uno de nuestros técnicos. ¿Podemos tener una impresora que sea 100% segura? Y la respuesta que le dio fue “Sí, si no está conectada y no imprime”.

No puedes prevenir que finalmente alguien acabe por atacar una impresora, porque además no sabes quién va a atacar o de qué forma podría hacerlo. Lo que sí puedes hacer es llevar a cabo una monitorización y una gestión continua que permita responder y proteger el equipo una vez que el ataque se ha producido.

Lo que puedes hacer es crear barreras que aseguran que ese ataque limita su alcance, o que no tan exitoso como podría llegar a ser. Es por lo que hablamos de esas capas de seguridad, que pueden detectar en qué estadio se encuentra el ataque gracias a nuestra tecnología, que permiten restaurar la BIOS de una máquina en el momento que detecta una intrusión. Esto es la diferencia entre seguridad gestionada y no gestionada. Si no gestionas la seguridad de tu empresa, el ataque básicamente entra en la organización y se expande.

MuyComputer Pro: ¿Crees que es más difícil para HP posicionar este mensaje en las pequeñas o medianas empresas que en las grandes y multinacionales?

Luciana Broggi: Sí porque las empresas grandes están acostumbradas, son más sensibles a estos temas, suelen tener además sus propios departamentos IT en los que se toma en consideración la gestión de la seguridad. En las pequeñas habitualmente no tienes un IT manager o ni siquiera un IT specialist… suele ser incluso el dueño de la compañía el que se ocupa del aspecto tecnológico.

La toma de conciencia de las amenazas informáticas es mucho mayor en las grandes empresas pero hay de todo, y no son pocos los casos de grandes compañías que tienen una implementación de políticas de seguridad inferior a lo que vemos en muchas pequeñas empresas.

De hecho vemos muchas pequeñas empresas que precisamente porque no tienen departamentos IT propios, vienen y nos preguntan sobre qué pueden hacer para mejorar su seguridad y confían más en los expertos.