«Nuestro factor diferenciador estriba en la construcción de

Anuncio
ENTREVISTA
Luis Abenza Ruano, Consejero Delegado de PENTA3
«Nuestro factor diferenciador estriba en
la construcción de soluciones completas
de PKI a medida del cliente con
tecnología hardware y software propia»
Todo parece indicar que la hora de asumir la firma
electrónica, la certificación digital, la PKI, ha llegado.
La marea de opiniones formada por esta tecnología y
los procedimientos operativos a ella asociados
durante el último trimestre de 1999 debería empezar
a cristalizar en la implantación en cascada de las
soluciones comerciales disponibles. Una de ellas es la
propuesta por PENTA3, la empresa española más
señera en el desarrollo de productos criptográficos
hardware y software de seguridad en TIC, que
calienta motores para hacer frente a este 2000, el
año del despegue. Luis Abenza, Consejero Delegado
de esta compañía con diecisiete años de historia,
reflexiona en la siguiente entrevista sobre un final de
siglo y de milenio que marcan el comienzo de un
nuevo mercado de la seguridad y la confianza.
- ¿Qué conjunto de soluciones ofrece hoy al mercado PENTA3?
- Somos una compañía española con un elevado
know how en tecnologías de seguridad de los sistemas de información, especialmente en lo que concierne a la aplicación de herramientas criptográficas
en los negocios. Disponemos de un conjunto de
productos propios, como por ejemplo OpenSecure,
una propuesta completa de PKI; elementos de software como Cryptosign, que vienen a dar soluciones
de utilidad al uso de certificados electrónicos; proxies
de seguridad enfocados, por ejemplo, a VPN‘s, y
hardware criptografico de alta seguridad y prestaciones. Igualmente, PENTA3 dispone en su catálogo
de productos de seguridad de terceros para integrarlos con los propios a petición de los clientes:
control de accesos y entrada única, VPN’s, sistemas
cortafuegos, detección de intrusiones y control de
los recursos, servicio de directorio, certificación
digital en redes inalámbricas... En el terreno de la
tarjeta inteligente, tenemos acuerdos con Gemplus
y Oberthur, y actualmente observamos con gran
interés un producto americano que combina la firma
electrónica con los parámetros biométricos.
Nuestra probada capacidad de desarrollo, nuestro
conocimiento y el hecho de disponer de un equipo
formado por treinta profesionales, de los que veinticinco son técnicos especializados en seguridad de
los S.I., son factores que nos distinguen de otros
agentes del mercado. Además, acabamos de reforzar el área de consultoría con la incorporación de un
equipo profesional de reconocido prestigio y experiencia en esta área.
- PENTA3 es una compañía muy atípica en lo
referente a su ubicación en los distintos estratos
del ramo de la oferta, ya que opera en venta
50
directa al cliente final y también a través de
terceros...
- En aquellos proyectos que son exclusivamente de
seguridad, Penta 3 se dirige al cliente final. En
aquellos otros en los que la seguridad se contempla
como un aspecto concreto dentro de un proyecto de
más amplio espectro (teletrabajo, marketing oneto-one, workflow, comercio electrónico B2B…),
corrientemente a cargo de integradores, prescriptores o consultores de negocio, actuamos como un
integrador especializado en el ámbito de la seguridad con una dilatada experiencia, y no sólo como
meros proveedores de productos propios.
No sé si PENTA3 es atípica; lo dejaría en diferente.
Nos interesa trabajar con business partners, concretamente con integradores de sistemas y con
prescriptores, y nos parece crucial que conozcan
nuestra tecnología y que la consideren adecuada
para dar solución a los usuarios. En este sentido,
PENTA3 prevé este año canalizar el 70% de sus
ventas a través de socios.
- ¿No es este enfoque incompatible con la estructuración del sector de oferta?
- Podría serlo hasta cierto punto, a no ser que se
respeten, como es nuestro caso, determinados criterios. Lo que no puede PENTA3 es borrar de su
historia diesisiete años de experiencia de mercado y,
como antes he comentado, una más que respetable
cartera de clientes finales. Un ejemplo: si Repsol,
una gran compañía que ha confiado tradicionalmente en nosotros, nos pide una solución basada en PKI,
atenderemos debidamente dicha petición. Otro ejemplo: recientemente hemos participado en un concurso -aún por resolver-, convocado por un operador
de telecomunicaciones en España para implantar
una solución PKI. Nos presentamos solos, a diferen-
cia del resto de las ofertas candidatas, al entender
que según la especificación inicial de la operadora,
no era necesaria la participación de una consultora
de negocio: el trabajo conjunto de los técnicos de la
convocante y de PENTA3 es suficiente para la implantación del proyecto. Más adelante, quizá fuera
necesaria una consultora de negocio, que lógicamente seleccionaría la operadora.
Para resumir: lo que desde PENTA3 ofrecemos a
clientes y usuarios finales, a desarrolladores e integradores, son soluciones técnicas de seguridad
basadas en servicios profesionales especializados,
tecnologías avanzadas de producción propia o integradas con soluciones de terceros, y productos
adecuados.
- ¿Qué facturación han registrado en 1999 en el
área de seguridad de los sistemas de información, y que previsiones tienen para 2000?
- En el ejercicio de 1999 PENTA3 facturó en el área
específica de seguridad 250 millones de pesetas.
Nuestra objetivo para 2000 es alcanzar una facturación superior a los 500 millones de pesetas. Creo
que tal y como se está comportando el mercado en
estos comienzos de año, es factible cumplir dicho
objetivo, o incluso superarlo.
- Hace un año decidieron ustedes darse a conocer
en los mercados exteriores. ¿Qué han sacado
como consecuencia de aquella iniciativa?
- Decidimos promocionar las líneas de hardware
criptográfico y de PKI. Participamos en Infosecurity
(Reino Unido), en Cebit (Alemania), en Smau (Italia),
en San Luis (EE.UU), y cosechamos muy buenas
valoraciones de Gartner Group y otros analistas…
De todo aquello hemos sacado unas conclusiones
muy instructivas: primera: que nuestro producto es
absolutamente competitivo; segunda: que su enfoque es muy diferente al de la práctica totalidad de las
soluciones PKI; tercera: que se necesitan ingentes
medios para conseguir dar una proyección internacional a nuestra línea de productos. En consecuencia, y siendo realista, con los actuales recursos de
PENTA3 no es posible consolidarse en los mercados
exteriores y, al mismo tiempo, atender adecuadamente las necesidades del mercado español. El
problema no es de tecnología, sino de recursos.
Hasta que no dispongamos de los que consideramos suficientes, lo que espero suceda en breve
plazo, nuestra atención primordial se la lleva el
mercado de nuestro país.
- ¿Va a continuar siendo PENTA3 una compañía
española?
- Sí. Hoy por hoy, PENTA3 ha realizado una ampliación de capital por un valor de 125 millones de
pesetas, y está en negociaciones avanzadas con dos
fondos de inversión, una gran empresa industrial y
una entidad muy vinculada a Internet, todos ellos
españoles. La intención es incorporar en PENTA3 a
dos de estas iniciativas, pero no para buscar exclusivamente respaldo financiero, sino más bien una
base de credibilidad en los mercados cimentada en
aspectos como el marketing, los recursos humanos,
los canales de venta... En todo menos en tecnología.
- Hablemos de OpenSecure, la solución integral
para PKI de PENTA3. ¿En qué consiste?
- OpenSecure es una línea que encuadra los diferentes componentes hardware y software de nuestra
solución de PKI. Concretamente la última y reciente
versión es OpenSecure PKI 4.0, que se compone de
OpenSecure-RA 4.0 + OpenSecure-CA 3.0. La principal diferenciación de PENTA3 en este contexto es
que disponemos de una autoridad de registro, una
FEBRERO
2000
/
Nº38
/
SiC
ENTREVISTA
autoridad de certificación y unas funcionalidades de
nivel alto con una configuración determinada. Esto
es lo que enseñamos, pero normalmente, cuando se
implanta, es bastante diferente al producto origen.
No hay una PKI igual a otra, y cada proyecto de PKI
es una solución a medida del usuario, integrada con
determinados sistemas adicionales que requieren
mucho más que una configuración de producto.
- Se observa que llevan una versión más de la RA
que de la CA. ¿Por qué?
- Es un rasgo que nos diferencia de otras compañías
productoras. PENTA3 se ha focalizado mucho hacia
la RA, a fin de conseguir una solución abierta que
resuelva algunos problemas a las corporaciones
que se plantean hacer una inversión en estas tecnologías; a saber: que ante la avalancha de autoridades
de certificación que están surgiendo, se necesitan
productos abiertos que puedan interoperar con tecnologías de certificación diferentes en el presente y
en el futuro. OpenSecure-RA cumple este requisito.
Un ejemplo: la empresa X: ¿para qué va a pagar
certificados electrónicos a entidades certificadoras
si el 80% de los mismos van a ser de uso exclusivo
en su intranet? Aquí conviene poner una RA, unas
políticas de certificación… La firma de los certificados internos servidos por la RA la realizará una CA
marca X a coste cero; pero, al mismo tiempo, esta
RA podrá pedir certificados a ACE, a Global Sign, a
Tawte (ahora de Verisign) y a cualquier otra de las
tecnologías existentes hoy o en el futuro.
- Para aplicaciones internas de una empresa qué
recomienda usted, ¿disponer de una CA propia o
externalizar?
- Una empresa grande no necesita certificados externos para ‘securizar’ las comunicaciones en su
intranet o para montar un sistema de entrada única.
Por el contrario, las compañías pequeñas, que a lo
que tienen terror es a meterse en la complejidad del
mantenimiento de una CA, y no tanto a la inversión
que supone, van a decantarse mayoritariamente por
contratar servicios de outsourcing. Esto afecta también a los proyectos piloto, en los que lógicamente
se emiten certificados electrónicos para fines de
prueba. En esencia, con este outsourcing, que creo
va a ser una tendencia de mercado, no se suplanta
la actividad natural de los proveedores de servicios
de certificación. Precisamente, y a estos efectos,
PENTA3 tiene en curso un proyecto con un despacho de abogados, que ha considerado oportuno
invertir quince millones de pesetas en una PKI, bajo
la modalidad de externalización, a fin de ofrecer a
sus clientes un valor añadido importante: las comunicaciones seguras.
Le cambio de tercio. ¿Cómo es posible que una
compañía española haya desarrollado software y
hardware criptográficos?
Siempre entendimos que la criptografía, orientada a
la seguridad en la informática y en las comunicaciones era un campo de gran futuro. En su momento,
nos adelantamos mucho al mercado, especialmente
en el desarrollo de hardware avanzado, aunque ello
nos ha permitido con el paso del tiempo tener
clientes de la categoría de Sistema 4B o la Administración Pública. A diferencia de otros proveedores
de placas, PENTA3 puede vender el producto muy
abierto para desarrolladores. Una orientación específica de estos productos, que cumplen las normativas vigentes en la materia, se centra en su uso para
que la PKI, a efectos de seguridad, delegue las
funciones criptográficas críticas en hardware específico.
52
- ¿Ve vacíos tecnológicos significativos que pudieran afectar a la implantación de la tecnología
de firma electrónica, la certificación digital y,
obviamente, la PKI?
- Sí, por supuesto; el uso de la firma digital y la
emisión de certificados es una actividad que ya están
desarrollando los proveedores de servicios. Sin
embargo, cuando determinados potenciales usuarios de firma digital empiezan a ver las funcionalidades que ésta puede aportarles, se dan cuenta de que
el círculo no está cerrado, ya que faltan ciertos
servicios importantes: almacenamiento de docu-
«No hay una PKI igual a otra, y cada
proyecto de PKI es una solución a medida
del usuario, integrada con determinados
sistemas adicionales que requieren mucho
más que una configuración de producto»
mentos firmados electrónicamente, herramientas
ofimáticas para workflow, teletrabajo, servicios de
sellado digital…, todos ellos periféricos a la firma y
la PKI, pero necesarios para obtener de la firma las
funcionalidades deseadas. A corto plazo no veo el
desarrollo de la firma electrónica vía el comercio
electrónico B2C. Llegará, pero primero tendrá que
implantarse en las empresas.
- Un asunto importante, el almacenamiento de
documentos. ¿Dispone PENTA3 de soluciones específicas al respecto?
- Hemos puesto a punto un desarrollo específico
para el almacenamiento y custodia de documentos
firmados electrónicamente. Muchos documentos,
vinculantes, han de almacenarse por imposiciones
legales durante muchos años, además de tener que
cumplir requisitos relativos al tratamiento de datos
personales y otros que aún están por concretar. Sí,
tenemos una solución que puede ofrecerse a medida del usuario. De hecho, y no viene de ahora,
PENTA3 lleva aportando soluciones de almacenamiento seguro a medida para protección de bases de
datos críticas desde hace años. Uno de nuestros
clientes en este contexto es el Ministerio de Sanidad.
- ¿Cómo marchan los acuerdos de PENTA3 con
ACE?
- Nuestras relaciones con ACE disfrutan de una salud
espléndida. Además de como cliente, consideramos
a la Agencia de Certificación Electrónica como un
distribuidor privilegiado de nuestros productos. PENTA3, como sabe, ha desarrollado específicamente
para ACE una autoridad de registro basada en OpenSecure-RA. Cuando ésta es vendida por ACE, toma
el nombre de ACE-RA.
- ¿Le parece correcto que los proveedores de
servicios de certificación españoles opten por
tecnologías desarrolladas por empresas extranjeras?
- ACE, inicialmente y para un proyecto concreto,
tomó la decisión de optar por tecnología canadiense, tras considerar diversas opciones, entre otras la
de PENTA3. El proyecto de las Cámaras de Comercio
está basado en tecnología española de una empresa
competidora nuestra. En otro orden de cosas, la
verdad es que se me hace muy cuesta arriba el
observar que cuando ciertas iniciativas públicas han
necesitado esas tecnologías criptográficas las hayan adquirido en el extranjero, sin más consulta,
hasta donde yo sé, al mercado interior. PENTA3 es
un buen ejemplo para evidenciar lo que sufre una
compañía española que se dedica a desarrollar
tecnología criptográfica de aplicación en los S.I. con
el exclusivo soporte de sus socios y, sinceramente,
poca ayuda de la Administración.
Esta compañía se sentiría muy honrada si tuviera
oportunidad de aportar, enseñar, demostrar e instalar tecnología desarrollada cien por cien en España
al gran proyecto Ceres, al menos para que se pruebe
y se compare con otras propuestas. Además, creo
sinceramente que podríamos haber dado un soporte
tecnológico muy significativo a muchos de los
desarrollos que se están abordando en la autoridad de certificación pública de nuestro país. Es
más: seguimos insistiendo a sus responsables
para que, al menos, nos comuniquen cómo
están abordando esos desarrollos, a fin de poder
adaptar nuestras soluciones a los mismos.
-¿Qué papel van a jugar los operadores de
telecomunicaciones en la implantación masiva de los certificados digitales?
- No están parados, pero sí callados. Noto que
tienen una gran inquietud al respecto, y el día menos
pensado nos enteraremos de alguna noticia importante, ya que la certificación digital es parte de su
negocio y puede constituir un elemento diferenciador. Los operadores, especialmente los de telefonía
móvil, pueden convertirse en CA para un gran universo de usuarios a un coste muy bajo.
- ¿Sigue confiando en que 2000 es, realmente, el
año del despegue?
- Va a ser mejor que los 17 años anteriores. El hecho
de que la Junta General de Accionistas de PENTA3
haya aprobado una ampliación de capital como la
antes referida ratifica nuestra confianza en el esperable incremento de la cifra de negocio. Nuestra
tecnología es adecuada para no perder oportunidades en el hoy mercado potencial. Lo cierto es que
desde finales de 1999 se ha marcado una tendencia
positiva, y en lo que llevamos de 2000 estamos
registrando un número creciente de peticiones de
oferta. No hay cliente al que le empieces a hablar de
certificación electrónica que no te tenga dos horas
asaeteado a preguntas. ■
Redacción: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
FEBRERO
2000
/
Nº38
/
SiC
Descargar