Descárgate en PDF el desayuno completo (Gratis)
La apertura del evento estaba clara. ¿Son seguros los data centers de hoy en día? ¿Se pueden tomar medidas extras? Para Vicente de la Morena, Responsable Comercial de Grandes Cuentas, división de Seguridad de IBM, “en principio el CPD de la compañía es seguro siempre que se aplican las medidas de seguridad necesarias para proteger la información que reside en él. Lo importante, para garantizar que éste sea seguro es definir cuál es la política de seguridad y desarrollar políticas de seguridad preventiva”. En la misma línea de afirmar que los data centers sí son seguros se sitúa José Casado, Consulting System Engineer de Cisco. En opinión de este directivo, “la oferta de data Centers sí se puede considerar seria. Para garantizar la seguridad, en realidad de lo que se trata es de que el Data Center pueda tener estipulado cuáles son las medidas de seguridad así como las de nivel de servicio. Además, una característica importante es que uno de los factores clave de las empresas es que la seguridad ha de estar acompañada de disponibilidad, por lo que el reto es importante”.
En efecto, la disponibilidad es uno de los aspectos que más demandan empresas y clientes. En este sentido, Enrique Birlanga, Datacenter Business Development de Scheneider Electric, afirma que “efectivamente los centros de datos externos aportan mayor disponibilidad vs. eficiencia, lo que significa que a todos los niveles se hace un control más exhaustivo de toda la infraestructura, los datos las herramientas, etc. En mi opinión, el Data Center externo es más seguro que el CPD privado, en muchos casos”. Para Javier Martínez, director técnico de NetApp, “la diferencia se encuentra en el tamaño de la empresa porque está claro que las empresas grandes pueden implantar un tipo de políticas de seguridad que una pequeña no puede, así que opta por un data center externo que, evidentemente, puede ser mucho más seguro que si lo instala en sus propias oficinas”. Para concluir, Félix Martín, Gerente IT Assurance de HP, “asegura que “el del data center es un negocio maduro y esto significa que gracias a la madurez, es un servicio de confianza, y por tanto seguro”.
Argumentos de venta
A pesar de que todas las empresas afirman que los data centers, sobre todo si son externos, son seguros, los recelos por parte de los clientes existen. Así que, ¿cómo conseguir que esa desconfianza por parte del cliente o de la empresa disminuya? El portavoz de HP lo tiene claro: “Para trasladar confianza hay que establecer SLAs específicos y concretos. Es necesario exigir un cumplimiento normativo respecto a estándares y esto además también es un argumento de venta y luego, el que estos servicios de Data Center puedan ofrecer servicios de seguridad específicos también ayuda. Ahora todo el mercado está pidiendo más eficiencia y a un menor coste con lo que choca con la seguridad. El cliente tiene que darse cuenta de este error, y que la seguridad es algo que cuesta dinero”. Así que está claro que eficiencia y seguridad van de la mano y si lo que se pretende es ser más eficiente, la seguridad ha de aumentar, por lo que la factura se tiene que incrementar. En este aspecto, Javier Martínez de NetApp cree que “hay varios aspectos: hay que hablar por un lado de la seguridad lógica: que el acceso a los datos de un cliente estén correctamente acreditados y por otro hay que mencionar a la seguridad física es decir, que el CPD tenga las condiciones de seguridad adecuadas y finalmente hay que pensar en la disponibilidad: aquí entrarían las copias de seguridad y la protección ante desastres y a esto los proveedores se tienen que comprometer mediante los SLAs”. Para el portavoz de Schneider Electric hay que añadir más cosas: “Podemos hablar de seguridad lógica y física, pero en esta última hay que tener en cuenta que una configuración errónea puede llevar a realizar paradas no deseadas. Hay que prevenir estos posibles fallos además de otros como pueden ser los sabotajes”. Para José Casado de Cisco, “cualquier empresa que quiere vender servicios de data center tiene que saber vender esa confianza tanto en la seguridad lógica como en la seguridad física. Además hay que mostrar la experiencia de la compañía en los profesionales que trabajan en esos Centros de Datos. Además, muchas veces el 60-70% de los fallos que se producen es por error humano. Por ello hay que dar un portfolio diferenciado y amplio al cliente”.
La nota discrepante en este sentido la pone Luis Miguel García de la Oliva de Microsoft que cree que es necesario “subir el listón de la seguridad porque va más allá del software y de las prácticas: yo añadiría la flexibilidad. Hay miedo a poder equivocarse y las compañías necesitan una flexibilidad que se encuentre en la operabilidad de los datos, una no dependencia de un único proveedor. Son muchas las compañías que se quieren salir de su inversión tradicional por ser más flexibles”.
Los proveedores
La oferta es múltiple por lo que la elección tanto de proveedores como de herramientas es compleja para el posible cliente. Tal y como afirma Vicente de la Morena, Responsable Comercial de Grandes Cuentas de la división de Seguridad de IBM, “el mercado es muy amplio y existen soluciones al alcance de cualquiera. Nosotros tenemos clara una cosa en IBM: Nuestra apuesta por la seguridad es firme. De hecho hace un par de años, separamos todas las áreas que tenían que ver con seguridad y las agrupamos en una división única, concretamente para dar tranquilidad al mercado”. Y es que, para asegurar la seguridad en los data centres cada maestrillo tiene su librillo. Así por ejemplo, y ante la amplitud del mercado, Luis Miguel García de la Oliva, Director de la unidad de Negocio de Servidores y Plataformas de Microsoft asegura que “cada compañía lo afronta de una forma u otra. Nosotros nos basamos en estándares, porque nuestra oferta de tecnología está centrada también en la legislación de cada uno de los países. Entre otras acciones en Microsoft llevamos a los clientes a ver nuestros CPDs, para que vean que son una realidad y les explicamos delante de los mismos nuestras políticas de seguridad”.
José Casado, Consulting System Engineer de Cisco, tiene otro punto de vista. En su opinión, “aunque hay soluciones maduras de seguridad lo que puede transmitir confianza a un cliente es la flexibilidad. Nosotros ,que somos una empresa que ha venido desde el entornos físico, hemos visto que todo ha cambiado y muchos elementos físicos han migrados a entornos más virtuales y otros han dado un paso más allá yéndose a la nube. Creemos que la empresa que sea capaz de dar respuestas a los clientes en los distintos entornos es en la que va a confiar el cliente”. Sin embargo, Birlanga de Schneider Electric no pone en duda la seguridad: “Los CPDs son seguros. A lo mejor hace 10 años habría más duda pero ahora, el Data Center externo tiene mucho know how y es muy seguro”.
¿Vale ser una compañía de reconocido prestigio en el mundo de las TIC para que la gente confíe en ella? Evidentemente sí, pero con matices, tal y como asegura Javier Martínez de NetApp: “Todos somos conscientes de que no somos el único proveedor de nada. Hay firmas que tenemos determinado prestigio y que llevamos años trabajando en un determinado sector. Para las empresas lo importante es confiar en compañías que tengan un bagaje detrás y que se sepa que trabajan bien. De todas formas, no vale todo, porque si hablas de seguridad hay que confiar en empresas de valor y de confianza porque siempre te encuentras “kamikaces” que firman SLAs que saben de antemano que no van a poder cumplir”. Por su parte, el portavoz de HP cree que “tenemos que diferenciar lo que es la tecnología de los que son las personas y los procesos. Yo creo que existe una gama extensa de tecnologías suficientemente amplia y el mercado ofrece garantías. Otra cosa es cuando hay que implantar esas tecnologías y nos podemos encontrar con que una oferta puede ser inadecuada o insuficiente. No toda la oferta se acomoda a las necesidades de la empresa y ahí es donde tiene que decidir lo que quiere”.
Herramientas y Cloud
La nube es uno de los potenciadores de los Data Centers. Al estar cada vez más datos en el cloud, son también mayores los retos que en materia de seguridad deben afrontar éstos. Para Félix Martín de HP, “con la nube aparecen nuevas necesidades y paradigmas. Yo creo que el mercado tiene madurez para confiar en las tecnologías que existen. Nosotros hemos definido la seguridad en tres pilares: aplicaciones, seguridad de la redes e inteligencia. En estos tres estriba la evolución de la seguridad en el CPD”. Por su parte, Jo´se Casado de Cisco asegura que “en Cisco tenemos una filosofía de seguridad orientada al acceso y la protección del usuario. Esta arquitectura se ha ampliado y se ha hecho más flexible. Nuestra estrategia se va adaptando al modelo de flexibilidad. Además, ofrecemos los mismos niveles de servicio al cliente, independientemente de la aplicación y podemos aportar el mismo nivel de protección frente a amenazas y vulnerabilidade”.
La forma de trabajo en IBM es diferente. Ya no sólo se encuentra el data center, también están los dispositivos, el big data, etc. Al menos así lo asegura Vicente de la Morena. Responsable Comercial de Grandes Cuentas de la división de Seguridad del Gigante Azul: “Un área en la que trabajamos es la seguridad en los datos y poder asegurar que nadie ha manipulado la info. Los mayores de riesgos de 2012 es que determinadas aplicaciones web no eran seguras, así que también hay que asegurar éstas. Luego está la seguridad de los dispositivos (móviles, tabletas, etc.) y también hablamos de la seguridad inteligente porque vivimos en el mundo de Big Data y todos los dispositivos tienen su información y necesitamos normalizar los datos que se encuentra en cada uno de ellos, para así ayudar a tomar decisiones en tiempo real Es decir, se trata de tener una estrategia de seguridad completa”..
Lo más costoso
Como en todo, siempre existirán aspectos más complicados a la hora de trabajar, y en materia de seguridad, más. Para Félix Martín de HP, lo más costoso es la interoperabilidad: “Cualquier aspecto en que ésta sea relevante suele ser muy complicado. El tema de la gestión de identidades es algo complejo y es uno de los mayores problemas, porque no se trata de herramientas en particular y en este aspecto las empresas no están muy maduras. Incluso las empresas que han intentado acometer una gestión de identidades no han tenido éxito, así que si esto lo externalizas es todavía más complicado”.
Para el portavoz de Cisco, “cada uno de los elementos tiene que ser protegido, pero para nosotros lo más complejo es el acceso remoto y las aplicaciones porque son los dos puntos que se están revolucionando más. Antes el acceso a las aplicaciones era físico y ahora nos encontramos con la moda del BYOD, por ejemplo. Esto es un reto: dar el control de acceso a todos estos dispositivos. Además antes tenías que proteger una aplicación que estaba en un data center y hoy la app cambia de data center constantemente, así que los que hay que conseguir es que sea irrelevante el dispositivo desde el que nos conectemos y dónde se encuentre la herramienta de software”. En este sentido, Vicente de la Morena de IBM coincide: “Los dos principales riesgos viene de la parte de aplicaciones y el mayor foco viene a raíz del uso de smartphones, porque las empresas acceden a sus datos desde cualquier punto y desde dispositivos que normalmente son del usuario, porque lo que hay que proteger esa información. Este es el mayor reto con el que nos encontramos hoy en día”.
LAS EMPRESAS
Microsoft: refuerza su posicionamiento en la nube en base a su CloudOS (Sistema Operativo en la nube) que apoyándose en Windows Server y System Center facilita a la empresa sus capacidad de despliegue en nube privada, pública o híbrida. Windows Server 2012 va más allá de la virtualización, proporciona la simplicidad de gestionar cientos de servidores como si fuesen uno solo, es la base de las aplicaciones modernas de hoy en día y soluciona escenarios de trabajo como la conexión remota. Windows Server posee una cuota de mercado de 79% en España y Hyper-V está a punto de alcanzar el 30% (IDC), creciendo por encima de sus competidores. System Center es la solución de gestión que proporciona la consola única de gestíon de la nube privada, pública e híbrida. Windows Azure es el servicio de infraestructura y aplicaciones en la nube pública de Microsoft; soportando todos los estándares de seguridad y privacidad; es un entorno abierto para que cualquier tipo de tecnología pueda desplegarse en la nube
IBM Security Virtual Server Protection: La virtualización en los datacenters ofrece importantes ventajas para las empresas y es la primera piedra para la construcción de un entorno cloud, por lo que es vital añadir la capa de seguridad necesaria para proteger esos entornos virtuales. IBM Security Virtual Server Protection es una solución integrada diseñada para que las organizaciones puedan explotar plenamente las ventajas de la virtualización de servidores protegiendo a la vez activos virtualizados vitales. La solución también cuenta con las actualizaciones que nos provee nuestro informe X-Force.
HP: como proveedor end-to-end de soluciones para construcción de DataCenters, tiene una cartera completa de soluciones de seguridad que permiten proteger de manera adecuado su DataCenter: Programa HP Cloud Protection ayuda a mitigar las amenazas más comunes de un DataCenter en un entorno de Cloud híbrido, al mismo tiempo que direcciona las necesidades de seguridad operacionales y de cumplimiento normativo. HP Fortify y WebInspect HP. Integradas dentro de la familia de software de HP son soluciones diseñadas para identificar vulnerabilidades en el código estático, aplicaciones de análisis de vulnerabilidades de seguridad. HP TippingPoint. Sistema de prevención de intrusos, que inspecciona el tráfico de red en el Data Center en busca de virus, gusanos, ataques cibernéticos y anomalías de seguridad. Este tráfico “malo” es filtrado y elminado, al mismo tiempo que permite la generación de alarmas de seguridad. HP ArcSight. Solución para la gestión de ciberamenazas e incidentes de seguridad. ArcSight es una tecnología SIEM reputada que permite gestionar de forma centralizada toda la información de seguridad y eventos de seguridad.
Schneider Electric: La solución InfraStruxure para centros de datos, integra totalmente el suministro eléctrico, la refrigeración, los racks, la gestión y los servicios. Esta arquitectura a medida permite seleccionar componentes normalizados para crear una solución a través de configuraciones modulares. InfraStruxure está disponible para cualquier entorno informático, desde armarios de cableados hasta grandes centros de datos.
NetApp ofrece soluciones de almacenamiento empresarial que pueden ayudar a cumplir con varios de los requisitos de seguridad de las organizaciones, incluyendo el cifrado de la información, la alta disponibilidad de los datos y aplicaciones, la protección ante fallos lógicos mediante copias de seguridad y la protección ante desastres. Por ejemplo, la solución NetApp MetroCluster permite construir sistemas que sobrevivan al fallo completo de un CPD sin perder datos (Recovery Point Objective (RPO)=0). Las copias de seguridad integradas en nuestros sistemas de almacenamiento utilizan la tecnología de Snapshots, y permiten cambiar el paradigma de backup, creando copias de seguridad completas varias veces al día.
Cisco IPS 4500 Series. Diseñado específicamente para el centro de datos con un formato compacto 2RU, Cisco IPS 4500 Series protege los recursos críticos mitigando los ataques mediante seguridad basada en el contexto y análisis de reputación de red, proporcionando el mayor rendimiento de la industria por unidad rack (10 Gbps). El IPS facilita una protección de aplicaciones ultra-eficiente y puede integrarse en una amplia gama de redes, garantizando la interoperabilidad con los elementos ya existentes.