¿Cuál es el estado actual de la seguridad? ¿Cuáles son los riesgos para las empresas? ¿Es seguro el Cloud Computing? Y qué ocurre con los dispositivos móviles: ¿son conscientes las empresas de la importancia de establecer medidas de seguridad en este tipo de dispositivos? 0 ¿qué deben hacer las empresas cuando se plantea el uso del llamado BYOD (Bring Your Own Device)? Estas son algunas de las cuestiones que hemos planteado a siete de los principales jugadores de los entornos de Seguridad que tienen oferta en nuestro país, en el curso de un Desayuno de trabajo que ha organizado BYTE TI con motivo de la próxima edición de su número 200.

Publicidad

Scott Colon, Senior Solution Strategist de CA Technologies, Mario García, Country Manager de Check Point, Javier Torres, Director centro Experto de Seguridad de Informática El Corte Inglés, Miguel Peña, Innovation Manager de NTS- Solutions, Isaac Fores, Country Manager de SonicWall, Emilio Castellote, Director de Marketing de Producto de Panda Security, y Luis Fuertes, Enterprise Business Development Manager de España y Portugal de Symantec mantuvieron dicho encuentro con la redacción de esta revista: sus opiniones y conclusiones las resumimos a continuación.


El primer tema de debate estaba claro. ¿Cuál es el estado de la seguridad en este sector tecnológico que está en permanente cambio? Abrió el fuego Scott Colon, Senior Solution Strategist de CA. En su opinión, lo que caracteriza al mercado de la seguridad y lo diferencia de otros sectores es que “ésta se encuentra en un proceso de permanente cambio. Es fundamental que las empresas sepan que la seguridad siempre va a ser una tendencia principal y que ayuda a potenciar la eficiencia de las organizaciones. El reto principal al que se enfrentan es poder entender quiénes son los usuarios y cómo deben gestionar su acceso seguro a los datos ya que al final son los datos el único activo que pueden proteger”. El problema es que los cambios en esta materia son frenéticos, pero en realidad los cambios no vienen dados por la tecnología en si misma. Al menos esa es la opinión de Mario García, country manager de Checkpoint, para el que “la autentica revolución que se está produciendo en el mercado de la seguridad viene de la profesionalización de los «malos». Ahora mismo es un negocio profesional, de mafias, de ataques entre empresas, de ataques entre estados, etc. Todo está bajo ataque en estos momentos y la seguridad tiene que evolucionar en todos los entornos”.


La cuestión es que la seguridad afecta cada vez a un mayor número de entornos y dispositivos, lo que hace que gestionar todo ello sea más complejo. Miguel Peña, Innovation Manager de NTS, cree que donde “hay que poner el énfasis es en el cambio que se está produciendo en un entorno cloud y móvil, donde los datos están mas expuestos y en el que el usuario es el eslabón más débil. Aquí es donde esta el principal reto”. No obstante y tal y como aseguró Javier Torres, director centro Experto de Seguridad de IECI, todo depende de quién sea ese usuario: “Existen diferentes grados de madurez. Por un lado nos encontramos las grandes empresas y las administraciones públicas, que tienen un nivel de madurez muy elevado. Además también tenemos un elevado grado de madurez tanto en leyes como en normativa, pero a partir de aquí esta madurez va disminuyendo, sobre todo en PYMES y usuarios”. En este sentido, Luis Fuertes, especialista en Cloud de Symantec cree que “lo más importante es que todas las aplicaciones que pongamos en marcha pongan su punto de mira en el flujo de información entre dispositivos, porque la información ya no reside en el corazón de las compañías, ya que la información puede estar en un smartphone, en una tableta o en un USB”. Finalmente, Isaac Fores, si cree que aunque “hemos mejorado en lo referente a la madurez, aún queda un largo camino por recorrer entre todos. El jugador clave es el integrador que pueda dar servicios a las empresas para darles a conocer la importancia de la seguridad. Lo que hemos visto es que hace cuatro años no existían los sistemas operativos que hay ahora, con lo que nos tenemos que adaptar a los nuevos escenarios. Es verdad que las AAPP han dado un paso hacia adelante con el desarrollo de leyes, pero las empresas deberán adaptarse también con sus propias normativas”.


Cloud Computing

Si existe algo que está en boca de todos y que es la tendencia más relevante del sector TIC es Cloud Computing. Indudablemente, ofrece unas ventajas muy importantes para cualquier tipo de empresa, pero uno de los “peros” que se suelen poner a la nube radica en la seguridad y en la protección de los datos cedidos a terceros. Para Scott Colo, en lo que a la computación en la nube respecta, cree que “las empresas deben buscar su eficiencia aprovechándose de las ventajas que proporciona la tecnología, porque la reducción de costes en lo referente a los recursos humanos ya se ha hecho y por ahí es imposible reducir más. Esta efciciencia se consigue con Cloud Computing pero para que las compañías no sean reticentes, en lo que respecta a su seguridad los que es necesario hacer es mejorar los estándares en el uso de tecnologías cloud, un terreno en el que aún estamos verdes”. Para el country manager de Check Point, “la principal característica es que “se está democratizando el acceso a la cloud cuando antes sólo las grandes empresas podían acceder. Desde el principio lo más importante ha sido asegurar la información. La tecnología antes sólo te permitía hacerlo de una manera y ahora te lo permite de varias. Esa es la diferencia principal que aporta Cloud. La tecnología facilita el acceso a la información y la seguridad tiene que evolucionar. El problema es que los empleados tienen mucho más acceso a la información pero si se contrata con integradores de primer nivel, no hay que preocuparse”, algo en lo que también coincide Miguel Peña de NTS.

Para Javier Torres, Director centro Experto de Seguridad de Informática El Corte Inglés, El problema de cloud computing reside en la gran cantidad de usuarios que pueden acceder a los datos. Lo que tenemos que hacer los integradores, los fabricantes, etc. es entender el concepto de Cloud, incluso personalizado para cada compañía. En definitiva de lo que se trata es que quien ofrezca los servicios de cloud debe cumplirlos y garantizarlos y protegerlos. En ese momento es cuando entra en juego el usuario y yo soy más tendente a apostar por la identificación del usuario, de la aplicación, garantizar la información y por su puesto, la confianza inter-empresas”. Luis Fuertes de Symantec piensa que “la principal diferencia de cloud con respecto a anteriores modelos, como podría ser el outsourcing es que los datos subidos a la nube los gestiona el propio cliente a través de una consola que se sitúa en un CPD externo. Esto no se hacía en un outsourcing”. Emilio Castellote, director de marketing de producto de Panda Security, no se muestra muy de acuerdo con esta opinión, ya que a su entender, “la ventaja que ofrece cloud es que el cliente tiene mayor capacidad para delegar la gestión de un servicio a un tercero sin necesidad de tenerlo en la empresa y sin las limitaciones que antaño se podían tener. La ventaja de cloud es el servicio, no la plataforma en la que corre ese servicio. Por eso nos planteamos la seguridad de cloud: porque tenemos miedo a que alguien acceda a nuestros datos. Y la ventaja que ofrece cloud es que tienes una mayor capacidad de defensa ante unos ataques”. Finalmente Isaac Fores de SonicWall cree que los clientes, “lo que se tienen que plantear es que a la hora de montar una infraestructura cloud o subir datos a la nube es saber si es seguro”. Es decir: “No se debería montar nada en la nube si no es seguro. Si una empresa no incorpora la seguridad desde el principio del servicio estará cayendo en un error que le puede acarrear serios problemas”.


Dispositivos

Otro de los problemas a los que se enfrentan las compañías reside en la cantidad y variedad de dispositivos. Ya no es sólo el tradicional PC, ahora todo equipo (desde el mismo PC, hasta las impresoras, pasando por los smartphones o las tabletas) están conectados a la red y por tanto son susceptibles de recibir ataques. Así que tal y como afirma Mario García, director general de CheckPonit, lo primero es asumir que “los dispositivos móviles, no los vas a poder controlar. Así que lo que se debe decidir en una empresa es saber qué información quiere que sea accesible. Sabiendo que los dispositivos móviles, van a estar incontrolados, esto supone un auténtico reto para las empresas. Así que siempre volvemos a lo anterior: quién gestiona mis datos”. Miguel Peña, Innovation Manager de NTS también se muestra de acuerdo con esta premisa: “El tema de los dispositivos móviles es la asunción de riesgos, es decir, que riesgos soy capaz de asumir. El problema es que se han introducido en las empresas dispositivos de consumo, que no estaban pensados para el mercado empresarial y estos dispositivos móviles tienen una exposición mucho mayor y unas vulnerabilidades mayores que cualquier otro”. En realidad hablar de terminales móviles provoca terror en muchas empresas, algo que también le ocurre a Emilio Castellote de Panda Security: “A mi me dan miedo los dispositivos móviles. Si partimos de la premisa que uno de los atractivos de estos dispositivos de consumo es acceder a apps gratuitas, de las que no se sabe muy bien su procedencia y si realmente seguras, hace que estos dispositivos, sean una amenaza importante que las empresas deben controlar”.

Así que, BYOD (bring your own device) se está empezando a convertir en una de las principales obsesiones de las empresas. De lo que se trata es que los usuarios, a través de sus propios dispositivos, puedan tener acceso a datos y aplicaciones de las propias empresas, para poder trabajar. La ventaja es clara: se incrementa la productividad, puesto que los empleados pueden trabajar en cualquier lugar y a cualquier hora, favorece la motivación y reduce los costes, ya que la empresa no tiene que adquirir determinados productos para que los empleados trabajen. El problema, tal y como se planteó durante el desayuno es que esos dispositivos no sólo se utilizan para trabajar, sino para las actividades privadas del usuario, por lo que los datos de la empresa quedan expuestos. Tal y como señaló Mario García, “lo principal en este caso yo creo que reside en la educación del usuario”, de la misma forma que antiguamente se le educó en tomar determinadas medidas de seguridad a la hora de manejar un ordenador. Para Miguel Peña de NTS, los dispositivos “son un problema más de inseguridad. El factor fundamental se da en las condiciones de uso, y para ello lo que es necesario es saber qué se le va a permitir al usuario con respecto a determinadas aplicaciones y determinadas horas de conexión”.  Por su parte, Javier Torres de IECI cree que “BYOD no nos debe escandalizar. Antes ya se utilizaba el portátil de cada uno y los niveles de seguridad eran los mismos. Yo apostaría claramente por potenciar BYOD, ya que lo que se gana en disponibilidad y productividad del empleado, es brutal. Desde el punto de vista de seguridad hay que saber si actualmente, se es capaz de dar respuesta a esta problemática”. El portavoz de Panda Security se decanta también por esta opinión: “Me parece que el planteamiento es definir el qué, el cómo y el cuándo. Creo que BYOD es una iniciativa buenísima pero si hablamos de seguridad me da la impresión que no está muy desarrollada todavía”.



DESTACADOS

Cada una de las empresas presentas en este desayuno tecnológico aportan un importante background al mundo de la seguridad de las TIC. Desde distintos espector de mercado esto es lo más destacable de cada una de ellas:


NTS

NTS es una compañía especializada en el desarrollo y la integración de soluciones de software orientadas a incrementar la productividad de los procesos de negocio de sus clientes. Sus soluciones van desde el desarrollo de aplicaciones de movilidad a medida para grandes compañías, hasta la integración de herramientas Cloud Computing para una gestión optimizada de los recursos o la integración de herramientas de Mobile Device Management, MDM,  que garanticen el control de parques móviles con grandes volúmenes de dispositivos.  Son precisamente estas soluciones las que están orientadas a garantizar la Seguridad en el ámbito de la movilidad. En este sentido, de un tiempo a esta parte se están identificando en este entorno una serie de amenazas de seguridad, que no vienen dadas por ataques externos contra la plataforma sino más bien por un mal uso de los dispositivos, o por un mayor riesgo de fugas de información, consecuencia del incremento del parque de terminales en las empresas. Es necesario tener presente que los dispositivos móviles no son sólo contenedores de información pasivos sino que se integran activamente con el resto de sistemas de la empresa y constituyen un canal de penetración cuyo riesgo muchas veces no se contempla en toda su extensión. Este nuevo escenario plantea la necesidad de establecer un proceso de gestión eficiente de los terminales, el uso que se hace de los mismos, y salvaguardar la información corporativa que soportan. La clave para ello: las herramientas MDM. El objetivo de las mismas es que con limitados recursos de TI podamos gestionar de forma remota y eficiente grandes volúmenes de terminales móviles, que podrían estar incluso distribuidos por todo el mundo. Para ello, estas herramientas nos ofrecen funcionalidades como la definición y aplicación de políticas TI, distribución de aplicaciones, inventario de terminales y aplicaciones, y control remoto.


IECI

Informática El Corte Ingles (IECI) a través de su Centro Experto de Seguridad, lleva años ayudando a sus clientes en el desarrollo de sistemas de información y procesos seguros, como por ejemplo, en las áreas de seguridad perimetral, consultoría, protección de la información, gestión de la identidad, servicios gestionados de seguridad, biometría, identidad digital, etc…

IECI  ofrece a sus clientes el ciclo de vida completo de gestión de sus infraestructuras, sistemas de información y procesos, incluida la seguridad. Por ello nuestra experiencia en los servicios en cloud es muy amplia, incluida la seguridad.

En el área de gestión de sistemas, nos avala la gran cantidad de activos que gestionamos en nuestros clientes,  dentro de estos procesos la seguridad es una constante muy importante para nosotros.

Llevamos mucho tiempo trabajando en las nuevas “concepciones del puesto de trabajo” por ello entendemos como una extensión del mismo los nuevos dispositivos que se incorporan al mercado (tablets, Smartphone, etc …), los cuales han pasado a formar parte del día a día de las organizaciones y han planteado nuevos retos, entre ellos los de seguridad, a los cuales damos respuesta desde IECI.


SonicWALL

La popularización de la tendencia BYOD (Bring Your Own Device), ha llevado a los administradores de TI a tener en cuenta la compleja ecuación “riesgo-recompensa”, ya que tal vez la mayor amenaza proviene de los usuarios en sí mismos, que cada vez utilizan más sus propios dispositivos móviles, que generalmente están fuera de las políticas TI. Al tiempo que se incrementa el uso de dispositivos móviles, estos se han convertido en un target más lucrativo para los criminales. Las mismas amenazas que eran una plaga en los sistemas operativos tradicionales pueden afectar ahora a los smartphones y tablets: emails diseminados, redes sociales, juegos, salvapantallas, mensajería instantánea, etc.  Además, cada vez más el uso de dispositivos móviles está haciendo una mayor presión sobre los recursos de la red corporativa, especialmente cuando los usuarios consumen contenidos que requieren gran ancho de banda. La combinación de estos factores presenta a los departamentos TI un serio dilema. Por un lado, los smartphones y tablets son simplemente demasiado potentes y útiles para los negocios como para ser ignorados, animando a los usuarios a utilizar plataformas completamente nuevas y permitiéndoles trabajar de forma más flexible y productiva. Pero por otro lado, es complicado desplegarlos de forma segura, añadiendo una gran presión sobre los recursos y presupuestos TI.  Para que las empresas puedan obtener el máximo beneficio del fenómeno móvil, SonicWALL pone a su disposición la solución E-Class SRA de Acceso Remoto Seguro, que proporciona conectividad “tipo oficina” a través de un único dispositivo. Fácil de gestionar y equipadas con todas las prestaciones, las soluciones E-Class SRA de SonicWALL soportan hasta 20.000 usuarios móviles corporativos simultáneos. E-Class SRA mejora la productividad y la continuidad del negocio ofreciendo acceso remoto basado en políticas a los recursos de la red desde equipos Windows®, Windows Mobile, Apple® Mac OS®, iOS, Linux®, y Google Android®. Basados en la potente plataforma SonicWALL Aventail SSL VPN, los dispositivos E-Class SRA se encargan de que solo los usuarios autorizados accedan a los recursos permitidos. Además, cuando se integra con un cortafuegos de próxima generación de SonicWALL a modo de solución Clean VPN™, E-Class SRA ofrece funciones centralizadas de control de acceso, protección antimalware, control de aplicaciones y filtrado de contenido a través de la red inalámbrica interna.


Checkpoint

Check Point ofrece una protección completa frente a todo tipo de ataques, que reduce la complejidad de la seguridad y, por tanto, el coste total de la propiedad. Check Point fue pionero en la industria como inventor del firewall, y actualmente se encuentra reconocido como “líder” en el cuadrante mágico de Gartner. La oferta de Check Point está compuesta por soluciones de seguridad sencillas y flexibles, completamente adaptables a las necesidades de cada cliente o entorno. Check Point es el único proveedor que va más allá de la tecnología definiendo la seguridad como un proceso de negocio. La Seguridad 3D de Check Point combina la política, las personas y el cumplimiento para una mayor protección de los activos de información, ayudando a las organizaciones a implementar un plan de seguridad alineado con las necesidades del negocio.  Entre los clientes de Check Point se cuentan miles de organizaciones de todos los tamaños, incluidas todas las empresas del Fortune 100.  Check Point ofrece a sus clientes un amplio abanico de soluciones modulares basadas en la arquitectura dinámica Software Blade, incluyendo  Firewall, VPN, IPS, DLP, Control de aplicaciones, Acceso Móvil, Control de identidades, Filtrado URL o Antivirus y Anti-Spam, entre otros, además de la última novedad, el Anti-Bot Software Blade. Estas soluciones protegen a los clientes frente a pérdidas, robos y accesos o filtraciones no autorizadas de información confidencial, mediante técnicas de análisis pormenorizado de seguridad, cifrado, control de acceso, y seguridad por aplicación de políticas. Check Point cuenta asimismo con una completa línea de sistemas de hardware para la seguridad empresarial (appliances), para empresas de todo tipo y tamaño que necesitan protegerse contra la enorme plaga de amenazas que afrontan los entornos TI actuales, integrando todas funciones de seguridad necesarias, y mejorando al mismo tiempo el ancho de banda disponible en la red empresarial. Para la gestión centralizada de todas estas tecnologías, Check Point cuenta con la suite R75, que permite a los clientes  sacar el máximo provecho de ellas para asegurar la eficiencia empresarial, la seguridad de la información y el cumplimiento de políticas.


Symantec

Symantec O3 Cloud Identity and Access Control es la plataforma de la compañía para protección de la información en la nube, ofrecerá tres capas de protección para la nube: control de acceso, seguridad de la información y gestión de la información. La solución Symantec O3 Cloud Identity and Access Control ofrece a las compañías un punto de acceso único y seguro para las aplicaciones y los servicios en la nube. Asimismo, Symantec ha establecido una alianza con salesforce.com para proporcionar Symantec O3 for Salesforce, una aplicación de inicio de sesión único, gestión de acceso y autenticación sólida, basada en Force.com, la plataforma social empresarial de salesforce.com.

Según una reciente encuesta de Symantec, el 44% de los CEOs afirmó que se muestran cautos sobre el traslado de aplicaciones empresariales críticas a la nube, con un 76% que citó la seguridad como la principal preocupación. Symantec O3 establece un nuevo punto de control de seguridad para la nube, permitiendo a las organizaciones aplicar medidas de seguridad para proteger la identidad y la información, consistentes a través de todos los dispositivos y servicios en la nube.

“Las  compañías quieren que sus empleados puedan obtener el máximo provecho de los servicios en la nube, pero también desean confiar en que su información crítica se encuentre siempre protegida cuando fluye hacia dentro o fuera de la nube”, afirma Miguel Suárez, presales security leader de Symantec en España. “Symantec O3 es la respuesta. Esta solución permite a las compañías conseguir una protección consistente de la identidad y la información en todos los dispositivos y servicios en la nube, ofreciendo la confianza necesaria y permitiendo una adopción más rápida de los servicios en la nube a las empresas de todo el mundo”.

La solución Symantec O3 Cloud Identity and Access Control permite un inicio de sesión único (Single Sign On, SSO) en cualquier aplicación web, incluyendo aquellas que no ofrecen soporte a protocolos de federación. También obtiene el máximo provecho de la infraestructura de identidad para autenticación existente, permitiendo al mismo tiempo un sistema de autorización basado en contexto, gestión de contraseñas y servicios de federación. Symantec O3 Cloud Identity and Access Control viene preintegrado con Symantec Validation and ID Protection Service (VIP), para que las empresas puedan aprovechar sus credenciales VPN existentes y así fortalecer el acceso a cualquier aplicación en la nube.

Salesforce.com y Symantec establecen una alianza para ofrecer Symantec O3 for Salesforce. Salesforce.com y Symantec combinarán la potencia de la seguridad de la solución Symantec O3 con la plataforma Force.com de salesforce.com para proporcionar la solución Symantec O3 for Salesforce. Symantec O3 for Salesforce permitirá a los clientes obtener el máximo provecho de su identidad en Salesforce, para acceder de forma segura y cómoda a todos sus servicios en la nube, permitiendo una autenticación de dos factores para Salesforce y otras aplicaciones en la nube. Se espera que la solución se encuentre disponible a mediados de 2012.


CA Technologies

La gestión de las identidades y los derechos de acceso dentro y fuera de la empresa se han convertido en una prioridad para las organizaciones de TI. La reducción de riesgos asociados a las TI, el cumplimiento de los requisitos normativos, así como el incremento de la eficiencia son puntos claves del negocio. Al mismo tiempo, es necesario desarrollar nuevas e innovadoras formas para expandir el negocio y sacar el máximo provecho de los nuevos modelos de servicio como, por ejemplo, la informática en la nube.

La familia de soluciones IAM Content Aware (Gestión de Identidades y Accesos que tienen en cuenta el contenido) proporciona una solución completa, robusta y escalable para la gestión de las identidades, el acceso y el uso de la información del usuario. Este conjunto de soluciones protegen sus recursos de TI críticos, desde la Web al mainframe, incluyendo entornos en la nube y virtualizados. También proporcionan la automatización de los controles de cumplimiento y seguridad, mediante el incremento de la eficiencia y simplificando las auditorías de cumplimiento.

La gestión de identidades y accesos tradicional se detiene en el punto de acceso. La visión de CA Technologies para la gestión de identidades y de accesos tiene en cuenta el contenido, es un planteamiento de última generación que va un paso más allá para contribuir al control de los usuarios, de su acceso y del tratamiento que hacen de la información. Este innovador enfoque ayuda a las organizaciones a proteger su información crítica para evitar el uso inapropiado o la divulgación no autorizada

La suite CA IAM Content Aware está formada por las soluciones CA SiteMinder®,  CA DataMinder y CA IdentityMinder™