2023 es el quinto aniversario de la Iniciativa Global de Transparencia (GTI, por sus siglas en inglés) de Kaspersky, el programa que tiene como objetivo establecer un punto de referencia en la industria para hacer frente a los riesgos de la cadena de suministro. Dado que la actitud general con respecto a los riesgos asociados al uso de software de terceros es cada vez mayor, y que las empresas y los organismos reguladores están más interesados en saber hasta qué punto es seguro el software que utilizan, la compañía rusa ha anunciado sus planes para aumentar su red de Centros de Transparencia en todo el mundo y ampliar las opciones de revisión del código fuente en su evento Kaspersky Next, celebrado en Zúrich. La compañía de ciberseguridad también ha presentado el nuevo centro de datos de máxima seguridad y energía sostenible que alberga los datos de sus clientes en la ciudad suiza, el Green Data Center.
La demanda de una mayor confianza digital es cada vez más habitual, con hitos importantes marcados por la aparición de normativas como la propuesta de Ley Europea de Ciber-resiliencia. Esta última ha planteado cuestiones sobre los criterios para poner a prueba los productos digitales y las medidas para verificar su cumplimiento, con una demanda de marcos universales basados en generar confianza.
Kaspersky expandirá su red de Centros de Transparencia a mediados de 2024 a Medio Oriente y África, -abriendo sus primeras instalaciones de este tipo en la región-, Asia-Pacífico
Con el objetivo de poner de probar la fiabilidad de las soluciones de Kaspersky y promover normas de transparencia en el sector de la ciberseguridad, la GTI ha ido evolucionando hasta alcanzar los 7,9 millones de dólares (en torno a 1,2 millones de euros) de inversión desde su lanzamiento en 2018. En la actualidad, la GTI abarca seis pilares principales: reubicación de datos, apertura de Centros de Transparencia en todo el mundo, auditorías independientes periódicas, programa de gestión de vulnerabilidades, programa educativo de creación de capacidades cibernéticas e informes de transparencia.
“Cuando Kaspersky lanzó su Iniciativa de Transparencia Global fue pionera en promover la confianza digital y la responsabilidad de los proveedores ante sus clientes”, comenta Yuliya Shlychkova, directora de Asuntos Públicos de Kaspersky. “Hoy, vemos que la transparencia es cada vez más demandada por organizaciones de todo el mundo, que adoptan una actitud más madura hacia su protección cibernética, prestando más atención a la seguridad de sus proveedores de software. Kaspersky es una empresa visionaria, que se anticipa al desarrollo de la industria y las tendencias futuras”.
Índice de temas
Crear estándares de transparencia
Una de las primeras acciones de GTI fue la reubicación de los datos relacionados con ciberamenazas recibidas por los usuarios de productos de Kaspersky a centros de datos en Suiza. En la actualidad, los datos de los clientes de Kaspersky en Europa, Norteamérica, Latinoamérica, Oriente Medio y también varios países de la región de Asia y el Pacífico se almacenan y procesan en dos centros de datos ubicados en Zúrich.
“En Kaspersky siempre nos hemos tomado muy en serio la forma en que protegemos los datos de los usuarios. Para garantizar la seguridad de esta información hemos seguido un enfoque integral, haciendo que nuestra gestión de datos cumpla con los principales estándares de la industria”, explica Anton Ivanov, director de tecnología de Kaspersky. “También invitamos a auditores externos para que realicen verificaciones y seleccionamos instalaciones que cumplen con los estándares de la industria para el almacenamiento y procesamiento de datos. Con esta visión holística, damos a los usuarios de los productos de Kaspersky una total tranquilidad en torno a la seguridad y la privacidad de su información”.
GTI ha ido evolucionando hasta alcanzar los 7,9 millones de dólares (en torno a 1,2 millones de euros) de inversión desde su lanzamiento en 2018
En los Centros de Transparencia, socios, clientes y expertos gubernamentales en ciberseguridad pueden verificar la integridad de las soluciones de Kaspersky revisando el código fuente y comprobando en primera persona cómo son los procesos internos de la compañía. La empresa ha abierto ocho centros más repartidos por Europa, Norteamérica, Latinoamérica y también en Asia-Pacífico. Hasta la fecha, Kaspersky ha organizado 60 sesiones informativas en sus Centros de Transparencia en todo el mundo, con la visita de reguladores y empresas.
En Kaspersky Next 2023, la compañía ha anunciado que expandirá su red de Centros de Transparencia a mediados de 2024 a Medio Oriente y África, -abriendo sus primeras instalaciones de este tipo en la región-, y Asia-Pacífico. Estas tres nuevas instalaciones informarán sobre las prácticas internas de ingeniería y gestión de datos de Kaspersky y también sobre los estándares y las mejores prácticas para la industria.
Kaspersky también ha ampliado su revisión de código fuente en sus Centros de Transparencia. Antes solo ofrecía el código de sus principales productos corporativos y de consumo, pero a partir de julio de 2023 la empresa eliminará las limitaciones a este respecto y pondrá a disposición de sus clientes empresariales el código fuente de todas sus soluciones locales. La decisión se produce por el aumento del interés de los clientes en revisar el código de otros productos de Kaspersky. Otra novedad será la publicación de los resultados de la autocertificación de los productos de la compañía en base a las recomendaciones descritas en la propuesta de la Ley Europea de Ciber-resiliencia.
La Iniciativa Global de Transparencia incluye:
- Auditorías periódicas de terceros. Desde 2019, los sistemas de gestión de datos de la empresa se someten a certificaciones periódicas, lo que garantiza la seguridad de la información.
- Publicación de informes de transparencia con estadísticas sobre las solicitudes de experiencia técnica y datos de usuarios recibidas por parte de gobiernos. En la segunda mitad de 2022, Kaspersky recibió 37 solicitudes de seis países.
- Programa Bug Bounty: cualquier persona puede reportar vulnerabilidades críticas o errores encontrados en los sistemas de Kaspersky y obtener una recompensa de hasta 100.000 dólares en el caso de las vulnerabilidades más críticas. Desde marzo de 2018, se han abonado un total de 77.450 dólares en recompensas.
- El Programa de Creación de Capacidad Cibernética (CCBP): está diseñado para ayudar a las organizaciones a desarrollar mecanismos y habilidades para las evaluaciones de seguridad de los productos TIC. Desde 2020, seis organismos gubernamentales han formado parte de este programa.
Green Data Center Zurich City
Green es una compañía proveedora de data center en Suiza, que ha construido un nuevo data center en la ciudad de Zúrich que alberga los datos de la compañía de ciberseguridad Kasperksy. Green Data Center un edificio que cuenta con refrigeración, suministro de energía y conexión de datos y garantiza la máxima seguridad y disponibilidad de los sistemas del cliente. El edificio fue diseñado por el arquitecto suizo Theo Hotz. Solo las zonas de oficinas son visibles desde el exterior, las salas de datos están protegidas bajo tierra en cinco suelos subterráneos.
El Green Data Center Zurich City es uno de los primeros centros de datos de Suiza en utilizar calor residual. El sistema de refrigeración está diseñado pensando en la sostenibilidad. La refrigeración es producida localmente desde Obras Eléctricas Cantonales de Zúrich (EKZ). Los sistemas de refrigeración están situados en el techo del edificio y aprovechan el aire exterior en caso de que la refrigeración proporcionada por el EKZ se caiga o deje de estar disponible.
Dos subestaciones diferentes suministran energía al centro de datos, a través de dos líneas de alimentación y cableado sin cruces. Cada rack de cliente está perfectamente provisto. En el caso de que se produzca un corte de energía, las baterías y los generadores están preparados para garantizar un funcionamiento ininterrumpido y mantenerlo durante días o incluso semanas.
Toda el área del centro de datos está monitoreada las 24 horas y ofrece tecnología punta de protección de acceso con cinco zonas de seguridad y triple autenticación. El centro de datos cumple con todas certificaciones de seguridad europeas, incluidas aquellas propias de industrias con unos requisitos de seguridad particularmente exigentes. El centro de datos verdes de la ciudad de Zúrich forma parte de la plataforma de centros de datos verdes. Ofrece empresas seis centros de datos modernos y de alto rendimiento en cuatro ubicaciones con óptima conectividad incluso a las nubes públicas más grandes.
