ENTREVISTA Luis Abenza Ruano, Consejero Delegado de PENTA3 «Nuestro factor diferenciador estriba en la construcción de soluciones completas de PKI a medida del cliente con tecnología hardware y software propia» Todo parece indicar que la hora de asumir la firma electrónica, la certificación digital, la PKI, ha llegado. La marea de opiniones formada por esta tecnología y los procedimientos operativos a ella asociados durante el último trimestre de 1999 debería empezar a cristalizar en la implantación en cascada de las soluciones comerciales disponibles. Una de ellas es la propuesta por PENTA3, la empresa española más señera en el desarrollo de productos criptográficos hardware y software de seguridad en TIC, que calienta motores para hacer frente a este 2000, el año del despegue. Luis Abenza, Consejero Delegado de esta compañía con diecisiete años de historia, reflexiona en la siguiente entrevista sobre un final de siglo y de milenio que marcan el comienzo de un nuevo mercado de la seguridad y la confianza. - ¿Qué conjunto de soluciones ofrece hoy al mercado PENTA3? - Somos una compañía española con un elevado know how en tecnologías de seguridad de los sistemas de información, especialmente en lo que concierne a la aplicación de herramientas criptográficas en los negocios. Disponemos de un conjunto de productos propios, como por ejemplo OpenSecure, una propuesta completa de PKI; elementos de software como Cryptosign, que vienen a dar soluciones de utilidad al uso de certificados electrónicos; proxies de seguridad enfocados, por ejemplo, a VPN‘s, y hardware criptografico de alta seguridad y prestaciones. Igualmente, PENTA3 dispone en su catálogo de productos de seguridad de terceros para integrarlos con los propios a petición de los clientes: control de accesos y entrada única, VPN’s, sistemas cortafuegos, detección de intrusiones y control de los recursos, servicio de directorio, certificación digital en redes inalámbricas... En el terreno de la tarjeta inteligente, tenemos acuerdos con Gemplus y Oberthur, y actualmente observamos con gran interés un producto americano que combina la firma electrónica con los parámetros biométricos. Nuestra probada capacidad de desarrollo, nuestro conocimiento y el hecho de disponer de un equipo formado por treinta profesionales, de los que veinticinco son técnicos especializados en seguridad de los S.I., son factores que nos distinguen de otros agentes del mercado. Además, acabamos de reforzar el área de consultoría con la incorporación de un equipo profesional de reconocido prestigio y experiencia en esta área. - PENTA3 es una compañía muy atípica en lo referente a su ubicación en los distintos estratos del ramo de la oferta, ya que opera en venta 50 directa al cliente final y también a través de terceros... - En aquellos proyectos que son exclusivamente de seguridad, Penta 3 se dirige al cliente final. En aquellos otros en los que la seguridad se contempla como un aspecto concreto dentro de un proyecto de más amplio espectro (teletrabajo, marketing oneto-one, workflow, comercio electrónico B2B…), corrientemente a cargo de integradores, prescriptores o consultores de negocio, actuamos como un integrador especializado en el ámbito de la seguridad con una dilatada experiencia, y no sólo como meros proveedores de productos propios. No sé si PENTA3 es atípica; lo dejaría en diferente. Nos interesa trabajar con business partners, concretamente con integradores de sistemas y con prescriptores, y nos parece crucial que conozcan nuestra tecnología y que la consideren adecuada para dar solución a los usuarios. En este sentido, PENTA3 prevé este año canalizar el 70% de sus ventas a través de socios. - ¿No es este enfoque incompatible con la estructuración del sector de oferta? - Podría serlo hasta cierto punto, a no ser que se respeten, como es nuestro caso, determinados criterios. Lo que no puede PENTA3 es borrar de su historia diesisiete años de experiencia de mercado y, como antes he comentado, una más que respetable cartera de clientes finales. Un ejemplo: si Repsol, una gran compañía que ha confiado tradicionalmente en nosotros, nos pide una solución basada en PKI, atenderemos debidamente dicha petición. Otro ejemplo: recientemente hemos participado en un concurso -aún por resolver-, convocado por un operador de telecomunicaciones en España para implantar una solución PKI. Nos presentamos solos, a diferen- cia del resto de las ofertas candidatas, al entender que según la especificación inicial de la operadora, no era necesaria la participación de una consultora de negocio: el trabajo conjunto de los técnicos de la convocante y de PENTA3 es suficiente para la implantación del proyecto. Más adelante, quizá fuera necesaria una consultora de negocio, que lógicamente seleccionaría la operadora. Para resumir: lo que desde PENTA3 ofrecemos a clientes y usuarios finales, a desarrolladores e integradores, son soluciones técnicas de seguridad basadas en servicios profesionales especializados, tecnologías avanzadas de producción propia o integradas con soluciones de terceros, y productos adecuados. - ¿Qué facturación han registrado en 1999 en el área de seguridad de los sistemas de información, y que previsiones tienen para 2000? - En el ejercicio de 1999 PENTA3 facturó en el área específica de seguridad 250 millones de pesetas. Nuestra objetivo para 2000 es alcanzar una facturación superior a los 500 millones de pesetas. Creo que tal y como se está comportando el mercado en estos comienzos de año, es factible cumplir dicho objetivo, o incluso superarlo. - Hace un año decidieron ustedes darse a conocer en los mercados exteriores. ¿Qué han sacado como consecuencia de aquella iniciativa? - Decidimos promocionar las líneas de hardware criptográfico y de PKI. Participamos en Infosecurity (Reino Unido), en Cebit (Alemania), en Smau (Italia), en San Luis (EE.UU), y cosechamos muy buenas valoraciones de Gartner Group y otros analistas… De todo aquello hemos sacado unas conclusiones muy instructivas: primera: que nuestro producto es absolutamente competitivo; segunda: que su enfoque es muy diferente al de la práctica totalidad de las soluciones PKI; tercera: que se necesitan ingentes medios para conseguir dar una proyección internacional a nuestra línea de productos. En consecuencia, y siendo realista, con los actuales recursos de PENTA3 no es posible consolidarse en los mercados exteriores y, al mismo tiempo, atender adecuadamente las necesidades del mercado español. El problema no es de tecnología, sino de recursos. Hasta que no dispongamos de los que consideramos suficientes, lo que espero suceda en breve plazo, nuestra atención primordial se la lleva el mercado de nuestro país. - ¿Va a continuar siendo PENTA3 una compañía española? - Sí. Hoy por hoy, PENTA3 ha realizado una ampliación de capital por un valor de 125 millones de pesetas, y está en negociaciones avanzadas con dos fondos de inversión, una gran empresa industrial y una entidad muy vinculada a Internet, todos ellos españoles. La intención es incorporar en PENTA3 a dos de estas iniciativas, pero no para buscar exclusivamente respaldo financiero, sino más bien una base de credibilidad en los mercados cimentada en aspectos como el marketing, los recursos humanos, los canales de venta... En todo menos en tecnología. - Hablemos de OpenSecure, la solución integral para PKI de PENTA3. ¿En qué consiste? - OpenSecure es una línea que encuadra los diferentes componentes hardware y software de nuestra solución de PKI. Concretamente la última y reciente versión es OpenSecure PKI 4.0, que se compone de OpenSecure-RA 4.0 + OpenSecure-CA 3.0. La principal diferenciación de PENTA3 en este contexto es que disponemos de una autoridad de registro, una FEBRERO 2000 / Nº38 / SiC ENTREVISTA autoridad de certificación y unas funcionalidades de nivel alto con una configuración determinada. Esto es lo que enseñamos, pero normalmente, cuando se implanta, es bastante diferente al producto origen. No hay una PKI igual a otra, y cada proyecto de PKI es una solución a medida del usuario, integrada con determinados sistemas adicionales que requieren mucho más que una configuración de producto. - Se observa que llevan una versión más de la RA que de la CA. ¿Por qué? - Es un rasgo que nos diferencia de otras compañías productoras. PENTA3 se ha focalizado mucho hacia la RA, a fin de conseguir una solución abierta que resuelva algunos problemas a las corporaciones que se plantean hacer una inversión en estas tecnologías; a saber: que ante la avalancha de autoridades de certificación que están surgiendo, se necesitan productos abiertos que puedan interoperar con tecnologías de certificación diferentes en el presente y en el futuro. OpenSecure-RA cumple este requisito. Un ejemplo: la empresa X: ¿para qué va a pagar certificados electrónicos a entidades certificadoras si el 80% de los mismos van a ser de uso exclusivo en su intranet? Aquí conviene poner una RA, unas políticas de certificación… La firma de los certificados internos servidos por la RA la realizará una CA marca X a coste cero; pero, al mismo tiempo, esta RA podrá pedir certificados a ACE, a Global Sign, a Tawte (ahora de Verisign) y a cualquier otra de las tecnologías existentes hoy o en el futuro. - Para aplicaciones internas de una empresa qué recomienda usted, ¿disponer de una CA propia o externalizar? - Una empresa grande no necesita certificados externos para ‘securizar’ las comunicaciones en su intranet o para montar un sistema de entrada única. Por el contrario, las compañías pequeñas, que a lo que tienen terror es a meterse en la complejidad del mantenimiento de una CA, y no tanto a la inversión que supone, van a decantarse mayoritariamente por contratar servicios de outsourcing. Esto afecta también a los proyectos piloto, en los que lógicamente se emiten certificados electrónicos para fines de prueba. En esencia, con este outsourcing, que creo va a ser una tendencia de mercado, no se suplanta la actividad natural de los proveedores de servicios de certificación. Precisamente, y a estos efectos, PENTA3 tiene en curso un proyecto con un despacho de abogados, que ha considerado oportuno invertir quince millones de pesetas en una PKI, bajo la modalidad de externalización, a fin de ofrecer a sus clientes un valor añadido importante: las comunicaciones seguras. Le cambio de tercio. ¿Cómo es posible que una compañía española haya desarrollado software y hardware criptográficos? Siempre entendimos que la criptografía, orientada a la seguridad en la informática y en las comunicaciones era un campo de gran futuro. En su momento, nos adelantamos mucho al mercado, especialmente en el desarrollo de hardware avanzado, aunque ello nos ha permitido con el paso del tiempo tener clientes de la categoría de Sistema 4B o la Administración Pública. A diferencia de otros proveedores de placas, PENTA3 puede vender el producto muy abierto para desarrolladores. Una orientación específica de estos productos, que cumplen las normativas vigentes en la materia, se centra en su uso para que la PKI, a efectos de seguridad, delegue las funciones criptográficas críticas en hardware específico. 52 - ¿Ve vacíos tecnológicos significativos que pudieran afectar a la implantación de la tecnología de firma electrónica, la certificación digital y, obviamente, la PKI? - Sí, por supuesto; el uso de la firma digital y la emisión de certificados es una actividad que ya están desarrollando los proveedores de servicios. Sin embargo, cuando determinados potenciales usuarios de firma digital empiezan a ver las funcionalidades que ésta puede aportarles, se dan cuenta de que el círculo no está cerrado, ya que faltan ciertos servicios importantes: almacenamiento de docu- «No hay una PKI igual a otra, y cada proyecto de PKI es una solución a medida del usuario, integrada con determinados sistemas adicionales que requieren mucho más que una configuración de producto» mentos firmados electrónicamente, herramientas ofimáticas para workflow, teletrabajo, servicios de sellado digital…, todos ellos periféricos a la firma y la PKI, pero necesarios para obtener de la firma las funcionalidades deseadas. A corto plazo no veo el desarrollo de la firma electrónica vía el comercio electrónico B2C. Llegará, pero primero tendrá que implantarse en las empresas. - Un asunto importante, el almacenamiento de documentos. ¿Dispone PENTA3 de soluciones específicas al respecto? - Hemos puesto a punto un desarrollo específico para el almacenamiento y custodia de documentos firmados electrónicamente. Muchos documentos, vinculantes, han de almacenarse por imposiciones legales durante muchos años, además de tener que cumplir requisitos relativos al tratamiento de datos personales y otros que aún están por concretar. Sí, tenemos una solución que puede ofrecerse a medida del usuario. De hecho, y no viene de ahora, PENTA3 lleva aportando soluciones de almacenamiento seguro a medida para protección de bases de datos críticas desde hace años. Uno de nuestros clientes en este contexto es el Ministerio de Sanidad. - ¿Cómo marchan los acuerdos de PENTA3 con ACE? - Nuestras relaciones con ACE disfrutan de una salud espléndida. Además de como cliente, consideramos a la Agencia de Certificación Electrónica como un distribuidor privilegiado de nuestros productos. PENTA3, como sabe, ha desarrollado específicamente para ACE una autoridad de registro basada en OpenSecure-RA. Cuando ésta es vendida por ACE, toma el nombre de ACE-RA. - ¿Le parece correcto que los proveedores de servicios de certificación españoles opten por tecnologías desarrolladas por empresas extranjeras? - ACE, inicialmente y para un proyecto concreto, tomó la decisión de optar por tecnología canadiense, tras considerar diversas opciones, entre otras la de PENTA3. El proyecto de las Cámaras de Comercio está basado en tecnología española de una empresa competidora nuestra. En otro orden de cosas, la verdad es que se me hace muy cuesta arriba el observar que cuando ciertas iniciativas públicas han necesitado esas tecnologías criptográficas las hayan adquirido en el extranjero, sin más consulta, hasta donde yo sé, al mercado interior. PENTA3 es un buen ejemplo para evidenciar lo que sufre una compañía española que se dedica a desarrollar tecnología criptográfica de aplicación en los S.I. con el exclusivo soporte de sus socios y, sinceramente, poca ayuda de la Administración. Esta compañía se sentiría muy honrada si tuviera oportunidad de aportar, enseñar, demostrar e instalar tecnología desarrollada cien por cien en España al gran proyecto Ceres, al menos para que se pruebe y se compare con otras propuestas. Además, creo sinceramente que podríamos haber dado un soporte tecnológico muy significativo a muchos de los desarrollos que se están abordando en la autoridad de certificación pública de nuestro país. Es más: seguimos insistiendo a sus responsables para que, al menos, nos comuniquen cómo están abordando esos desarrollos, a fin de poder adaptar nuestras soluciones a los mismos. -¿Qué papel van a jugar los operadores de telecomunicaciones en la implantación masiva de los certificados digitales? - No están parados, pero sí callados. Noto que tienen una gran inquietud al respecto, y el día menos pensado nos enteraremos de alguna noticia importante, ya que la certificación digital es parte de su negocio y puede constituir un elemento diferenciador. Los operadores, especialmente los de telefonía móvil, pueden convertirse en CA para un gran universo de usuarios a un coste muy bajo. - ¿Sigue confiando en que 2000 es, realmente, el año del despegue? - Va a ser mejor que los 17 años anteriores. El hecho de que la Junta General de Accionistas de PENTA3 haya aprobado una ampliación de capital como la antes referida ratifica nuestra confianza en el esperable incremento de la cifra de negocio. Nuestra tecnología es adecuada para no perder oportunidades en el hoy mercado potencial. Lo cierto es que desde finales de 1999 se ha marcado una tendencia positiva, y en lo que llevamos de 2000 estamos registrando un número creciente de peticiones de oferta. No hay cliente al que le empieces a hablar de certificación electrónica que no te tenga dos horas asaeteado a preguntas. ■ Redacción: José de la Peña Muñoz Fotografía: Jesús A. de Lucas FEBRERO 2000 / Nº38 / SiC