Lo último en medidas de seguridad para mantener sus datos seguros

Thorsten Stremlau

15/09/2016

Thorsten Stremlau, principal arquitecto informático global de Lenovo, habla de algunas características que hacen de cualquier portátil una fortaleza digital.

La imagen de Lenovo como empresa china lleva a muchas personas a pensar que nuestra seguridad es poco de fiar. Nada más lejos de la realidad. En primer lugar, Lenovo es una empresa internacional. Tenemos dos sedes, una en Carolina del Norte y otra en Pekín, y siete centros de investigación por todo el mundo, la mayoría de los cuales no están en China. Además, somos una empresa que cotiza al 100 % en la bolsa de Hong Kong. El legado de IBM sigue influyendo en la cultura de Lenovo, sobre todo en el área de seguridad.

Un nuevo enfoque sobre seguridad

Los últimos dos años han supuesto una remodelación integral de nuestros planteamientos de seguridad.

Hemos creado una oficina de seguridad de productos (Product Security Office o PSO) cuya función es asegurar la integridad de todos los procesos de Lenovo, ya se trate del desarrollo de software, de hardware o de cualquier paso intermedio.

Nos hemos afiliado al Foro de Equipos de Seguridad y Respuesta ante Incidentes (Forum of Incident Response and Security Teams o FIRST), que nos asesora a la hora de gestionar la comunicación y transparencia cuando se produce un fallo de seguridad. Así pues, ahora planteamos la seguridad según un proceso reconocido en el sector. Asimismo, hemos contratado para el cargo de director de información y seguridad a un gran profesional que anteriormente fue director informático del Ministerio de Justicia de EE UU. El puesto entraña una gran responsabilidad, por lo que queríamos contar con la persona idónea. Estas son las nuevas medidas que hemos tomado, pero también hemos implementado nuevas estrategias.

Estrategias seguras

Lenovo ha creado un comité de seguridad, del que yo soy miembro, que revisa exhaustivamente todos nuestros productos desde el punto de vista de la seguridad.

Ahora contamos con un equipo de respuesta ante incidencias de seguridad en productos, una medida sin precedentes en el sector de los PC. Se trata de un equipo que publica online todas las incidencias de seguridad identificadas por Lenovo, la industria, los gobiernos o los consumidores, sean de hardware o de software, y comunica los riesgos y el plan de corrección. Recibimos numerosas críticas por ser tan abiertos. Nuestros competidores hacen mucho menos ruido, lo que lleva a algunos clientes a pensar que estos incidentes solo nos afectan a nosotros. El hecho es que afectan a todos los fabricantes.

También tenemos la sala de lectura de BIOS de Lenovo. Este programa permite a los clientes acudir a nuestros laboratorios para estudiar el código fuente del BIOS con el objeto de localizar vulnerabilidades potenciales o puertas traseras.

Creamos y mantenemos el código de nuestro proceso de desarrollo de firmware en nuestros propios servidores, y el firmware publicado siempre cuenta con una firma digital. Hay protocolos muy estrictos que dictan quién tiene acceso a los servidores con firma.

También ofrecemos una herramienta que permite validar el BIOS de todo lo que se puede descargar de nuestra página web, de modo que el cliente puede estar seguro de que cualquier producto que instale no ha sido modificado ni infectado.

Más seguridad en los productos

¿Y qué hay de los productos en sí? Me alegro de que haga esa pregunta. Todos los componentes que pueden llevar una etiqueta tienen un sello de seguridad que garantiza que son artículos auténticos Lenovo y no falsificaciones. Realizamos una validación completa de todos los componentes del BIOS de nuestros dispositivos, componentes que están certificados por la normativa internacional de seguridad.

Todos los ThinkPads actuales y futuros de Lenovo integrarán Intel BIOS Boot Guard, con lo que garantizaremos la actualización del firmware del BIOS. Todas las máquinas tendrán un módulo de plataforma confiable (TPM, por sus siglas en inglés) que permite cifrar datos localmente. Además, ofrecemos compatibilidad con una amplia gama de tecnologías de cifrado de disco completo.

También hemos contado con la posibilidad de robo. Si un ladrón llegara a borrar el disco duro, este seguirá enviando datos de ubicación y usuario. Claro está, el propietario podrá realizar un borrado de seguridad remoto en su equipo.

Nuestras máquinas no contienen software inflado. Utilizamos una imagen limpia de Windows 10, lo que supone menos desorden, menos vulnerabilidades y una experiencia dinámica para el usuario.

Gracias a Intel Authenticate, la autenticación está integrada en el hardware en lugar del software, lo que proporciona una capa extra de seguridad. Estamos totalmente a favor de los lectores de tarjetas inteligentes NFC y nuestros ThinkPads usan un nuevo lector de huellas dactilares. Ambas medidas aumentan la seguridad. De hecho, hablé de ellas en uno de mis artículos anteriores: Por qué los días de las contraseñas están contados.

Podemos bloquear ciertos dispositivos USB, lo que impide el robo de datos con una memoria USB en caso de que alguien lograra evitar la seguridad del software. Un ThinkPad bien configurado, por ejemplo, habría detenido a Edward Snowden.

Por último, nuestro servicio de recuperación de activos documentados elimina los datos de los dispositivos tres veces, de acuerdo con el proceso del MInisterio de Defensa de EE UU.

Proveedores

Huelga decir que todo esto es insignificante si nuestros proveedores relajan su seguridad. Por eso hemos introducido un cuestionario con 250 preguntas centrado en seguridad. Mediante este proceso podemos vetar a los proveedores, ya que solo trabajamos con los que son de confianza.

Todos nuestros proveedores firman un acuerdo legal por el que se someten a todas las leyes de privacidad de los países en los que prestan sus servicios, y un segundo en el que se comprometen a tomar las medidas necesarias para evitar el envío de productos con vulnerabilidades. También deben notificarnos en caso de que alguna entidad gubernamental les pida información pertinente.

Estamos llevando la seguridad a un nivel totalmente nuevo. No tenemos elección: nuestros socios y nuestros clientes confían en ello.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.